{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2016-01-04", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_2016---Datenschutz-b_2016-01-04.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/228h8NzUurzo/2016%20-%20Datenschutz%20beim%20Swisspass%20-%20Empfehlung%20EDOEB.pdf", "Checksum": "5ebca72284d0a2995ef322fd8b231da5"}, "Scrapedate": "2026-04-05", "Num": ["2016 - Datenschutz beim Swisspass - Empfehlung EDOEB"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.01.2016"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 04.01.2016"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 04.01.2016"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Empfehlung vom 04. Januar 2016 betreffend die Kontrolle in Sachen Swiss Pass"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:42", "Checksum": "897ad219e2d058d2f78c17e9d62d106b", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 04.01.2016\nRegeste:\nEmpfehlung vom 04. Januar 2016 betreffend die Kontrolle in Sachen Swiss Pass\n\n2\nArt. 20a PBG ist am 1. Januar 2016 in Kraft getreten.\n4/6\nAber auch die anderen vom VöV aufgeführten Gründe überzeugen nicht. So wird das\nZugbegleitpersonal während der Kontrolle merken, ob sein Gerät bei allen Karten funktioniert\nund auf die Abonnementsdaten zugreifen kann oder nicht und eine allfällige Störung sofort\nmelden können. Fälle, in denen eine Karte trotz Beendung der Hinterlegung als hinterlegt\nerscheinen kommen sicher sehr selten vor und können einzelfallweise ohne Kontrolldatenbank\ngelöst werden3. Der VöV führt nicht weiter aus, weshalb die Kontrolldatenbank bei der Analyse\nvon System- und Betriebsausfällen, die voraussichtlich vor allem den Zugriff auf\nAbonnementsdaten (KUBA) betreffen, nötig ist. In den in Z. 12.000 und 12.001 T600.9\naufgeführten Fällen sollte eine Rückerstattung ohne Kontrolldaten möglich sein. Auch wenn\nein Reisender/eine Reisende die Rückerstattung aufgrund einer Nichtbenützung infolge\nKrankheit oder Unfall erst nachträglich verlangt, erübrigt sich ein Zugriff auf die\nKontrolldatenbank, da in diesen Fällen ein entsprechendes Arztzeugnis beizubringen ist (vgl.\nZ. 60.005 T600.9).\n\nIm Zeitpunkt der Kontrolle vor Ort (mehr als 2 ½ Monate nach Einführung des SwissPass)\nwaren, wie erwähnt, abgesehen für die Behandlung von zwei Auskunftsgesuchen, keine\nZugriffe auf die Kontrolldatenbank nötig gewesen. Auch das UVEK hat in seiner\nStellungnahme vom 21. September 2015 an die Präsidentin und den Präsidenten der\nKommissionen für Verkehr und Fernmeldewesen betreffend die Petition 15.2018 festgehalten,\ndass aus den Datenschutzbestimmungen nicht klar hervorgehe, dass eine personalisierte\nAuswertung der Kontrolldaten ausgeschlossen sei. Dadurch, dass überhaupt gespeichert\nwerde, in welchem Zug ein Reisender kontrolliert wurde, entstehe aber zumindest die Gefahr,\ndass solche Daten missbräuchlich personalisiert verwendet werden könnten.\n\nSchliesslich ist noch darauf hinzuweisen, dass in Zusammenhang mit den Fragen des EDÖB\nzum Regelwerk Datennutzung die SBB ausdrücklich festhielt, auf die ursprünglich\nvorgesehene Analyseoption der Kontrolldaten in pseudonymisierter Form verzichtet zu haben\n(vgl. Ziff. 2.4 des Schlussberichts vom 04.01.16).\n\nDaraus folgt, dass die Aufbewahrung der Kontrolldaten in der Kontrolldatenbank weder nötig\nnoch geeignet und somit unverhältnismässig ist. Wie erwähnt kann zudem nicht\nausgeschlossen werden, dass in der Kontrolldatenbank Bewegungsprofile entstehen. Dabei\nist irrelevant, dass die Aufbewahrung in verschlüsselter Form erfolgt und nur ein kleiner Kreis\nvon Anwendern Zugriff auf die Daten hat.\n\n2. Rechtmässigkeit\nUnabhängig davon stellt sich auch die Frage der Rechtmässigkeit der Aufbewahrung der\nKontrolldaten. Wie im Schreiben des VöV vom 30. Oktober 2015 festgehalten wurde, handeln\ndie Transportunternehmen in Zusammenhang mit den Kontrolldaten als Bundesorgan.\nFolglich müssten die Führung der Kontrolldatenbank und das Informationssystem selbst in\neiner gesetzlichen Grundlage geregelt sein. Diesbezüglich kann auch auf die Bearbeitung von\nDaten in Zusammenhang mit Reisenden ohne gültigen Fahrausweis verwiesen werden. Für\ndiese wurde ebenfalls eine gesetzliche (da es sich um besonders schützenswerte\nPersonendaten handelt eine formellgesetzliche) Grundlage geschaffen (vgl. AS 2015 3205 f.).\nVorliegend fehlt somit auch eine gesetzliche Grundlage, welche die Einzelheiten der\nKontrolldatenbank (Regelung des Informationssystems, der Datenbearbeitungen, der\nDatenaufbewahrung, Zugriffberechtigungen, usw.) regelt. Eine Regelung in einem Tarif, der\nvon den Transportunternehmen erstellt wird, würde nicht genügen. Es muss sich mindestens\num eine gesetzliche Grundlage im materiellen Sinn (z.B. eine Bundesratsverordnung) handeln.\nWerden besonders schützenswerte Personendaten bearbeitet, braucht es eine formelle\n\n3\nVgl. Fussnoten 2 und 4 des Schlussberichts\n5/6\ngesetzliche Grundlage (z.B. Bundesgesetz). Zudem müsste das Informationssystem selbst in\nder gesetzlichen Grundlage geregelt werden. Gleichzeitig müsste der VöV die Datenbank beim\nEDÖB anmelden. Daraus folgt, dass die Kontrolldatenbank auf keiner genügenden\ngesetzlichen Grundlage beruht und somit nicht rechtmässig ist.\n\nIn seiner Korrespondenz mit dem EDÖB betreffend die Petition 15.2018 vertrat auch das BAV\ndie Auffassung, dass die Kontrolldatenbank weder verhältnismässig ist noch auf einer\ngenügenden gesetzlichen Grundlage beruht. So hat das BAV im September 2015 gegenüber\ndem EDÖB festgehalten, dass es nicht erforderlich sei, die Daten aufzubewahren, nachdem\ndie Kontrolle einen gültigen Fahrausweis ergeben habe. Zudem gäbe es keine\nRechtsgrundlage, um die Daten von Reisenden mit gültigem Fahrausweis zu speichern.\nFolglich hielt das BAV fest, dass die Identität des Reisenden, die von einem Gerät zur Kontrolle\nder Gültigkeit des Fahrausweises erfasst würden, automatisch in dem Moment zu löschen\nseien, in dem das Gerät die Gültigkeit seines Fahrausweises bestätigt habe.\n\nDaraus folgt, dass die in Zusammenhang mit der Kontrolldatenbank durchgeführten\nDatenbearbeitungen weder das Verhältnismässigkeitsprinzip einhalten noch auf einer\ngenügenden gesetzlichen Grundlage beruhen.\n\nIII.\nAufgrund dieser Erwägungen\nempfiehlt der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte:\n\n"}