{"Signatur": "CH_EDÖB_001", "Spider": "CH_EDOEB", "Datum": "2022-06-17", "PDF": {"Datei": "CH_EDOEB/CH_EDÖB_001_20220617---Schlussbe_2022-06-17.pdf", "URL": "https://www.edoeb.admin.ch/dam/de/sd-web/jKbcY4QwnGnk/20220617%20-%20Schlussbericht%20vom%2017.%20Juni%202022%20mit%20Erg%C3%A4nzugen%20vom%2013.%20Oktober%202022%20in%20Sachen%20Nationale%20Organspenderegister%20(NOSR).pdf", "Checksum": "861162f54359d207147d08273fbc7ee5"}, "Scrapedate": "2026-04-05", "Num": ["20220617 - Schlussbericht vom 17. Juni 2022 mit Ergänzugen vom 13. Oktober 2022 in Sachen Nationale Organspenderegister (NOSR)"], "Kopfzeile": [{"Sprachen": ["de"], "Text": "Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 17.06.2022"}, {"Sprachen": ["fr"], "Text": "Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données 17.06.2022"}, {"Sprachen": ["it"], "Text": "Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati 17.06.2022"}], "Meta": [{"Sprachen": ["de"], "Text": "Eidgenossenschaft Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz"}, {"Sprachen": ["fr"], "Text": "Conféderation Préposé fédéral à la protection des données et à la transparence (PFPDT) Rapports finaux et recommandations protection des données"}, {"Sprachen": ["it"], "Text": "Confederazione Incaricato fedeale della protezione dei dati e della trasparenza Rapporti finali e raccomandazioni protezione dei dati"}], "Abstract": [{"Sprachen": ["de", "fr", "it"], "Text": "Schlussbericht vom 17. Juni 2022 mit Ergänzungen vom 13. Oktober 2022 in Sachen Nationale Organspenderegister (NOSR)"}], "ScrapyJob": "446973/66/2070", "Zeit UTC": "05.04.2026 03:11:28", "Checksum": "e25eed326b538a720893951f5f7ee068", "Chunktext": "Auszug aus dem Entscheid Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Schlussberichte und Empfehlungen Datenschutz 17.06.2022\nRegeste:\nSchlussbericht vom 17. Juni 2022 mit Ergänzungen vom 13. Oktober 2022 in Sachen Nationale Organspenderegister (NOSR)\n\n81 Diesem Ansatz kann aus datenschutzrechtlicher Perspektive nicht zugestimmt werden. Zunächst\nmuss unabhängig von den Fragen des Motivs festgestellt werden, dass vorliegend um besonders\nschützenswerte Personendaten geht und die technische Möglichkeit, Profile unter dem Namen eines Dritten zu erstellen, ohne besondere Hardware oder Computerkenntnisse realisierbar war. Aus\ndatenschutzrechtlicher Sicht reicht dies allein schon aus, um das System als unzureichend zu bezeichnen. Die Zuverlässigkeit des Systems war technisch nicht gewährleistet. Was die Motivation\ndes Täters betrifft, so kann man nicht davon ausgehen, dass niemand diese Schwachstelle ausnutzen wird, weil er scheinbar keinen direkten Nutzen daraus ziehen kann. Neben dem rein schikanösen oder schädlichen Aspekt sind z.B. auch militante oder systemfeindliche Gründe denkbar. Die\nMotive einer Person können vielfältig sein und man kann sie nicht einfach aberkennen, nur weil sie\nnicht vernünftig erscheinen. Auch soll die Zuverlässigkeit eines Systems nicht einfach auf dem\nWohlwollen der Bevölkerung beruhen können. Dies gilt umso mehr, als offensichtlich ist, dass die\nfestgestellten Mängel geeignet waren, das Vertrauen der Öffentlichkeit in das System der Organspende in der Schweiz in der demokratiepolitisch sensiblen Zeitspanne vor der eidgenössischen\nAbstimmung vom 15. Mai 2022 zu beeinträchtigen.\n\n3.2. Authentifizierungsprozess\n\n82 Die Frage nach der Authentizität von Profilen bezieht sich auf die Mechanismen der Registrierung,\nd.h. auf ihre Zuverlässigkeit in Bezug auf die Kontrolle der Identität des Nutzers.\n\n83 Wie oben ausgeführt (vgl. Ziff. 2.3), konnte man sich auf drei verschiedene Arten in das Register\neintragen: per Computer, auf dem Postweg oder per Tablet und Smartphone (die Variante, die ZFT\nzur Erstellung eines fingierten Profils nutzte). Nur bei der ersten dieser Varianten wurde eine Ausweiskopie verlangt. Bei der zweiten Variante wurde die Zustellbarkeit an die angegebene Adresse\nals Identitätsprüfung angesehen. Bei der dritten Variante hatte das Selfie diese Funktion. Ausserdem wurde eine Unterschrift verlangt, je nach Variante handschriftlich oder digital.\n\n84 Diese drei Verfahren wurden von SWT bereits eingestellt. Sie werden deshalb nicht im Detail kommentiert. Der EDÖB hält jedoch fest, dass keine dieser Lösungen eine echte Identitätskontrolle zum\nZeitpunkt der Anmeldung beinhaltete. Die Vorlage einer gescannten ID belegt nicht, wer der Nutzer\nist. Dies gilt auch für die Postadresse, da es möglich ist, eine falsche Adresse anzugeben und den\nNamen der betreffenden Person an den Briefkasten zu kleben (die Post führt keine vorgelagerte\nAdressprüfung durch). Was die Smartphone-/Tablet-Lösung betrifft, wird auf das Anwendungsbeispiel von ZFT bzw. der Sendung Kassensturz verwiesen. Zwar hält SWT dagegen, dass in einer\n\nSeite 21 von 28\nEidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter\nEDÖB\n\npotenziellen Spendensituation die Angehörigen gewisse Unregelmässigkeiten erkennen können.\nDies sei jedoch keine Garantie, zumal die Angehörigen nicht immer anwesend seien.\n\n85 Der EDÖB ist daher der Ansicht, dass diese alten Verfahren keine ausreichende Sicherheit boten;\nihre Aufhebung und die geplante gänzliche Abschaffung sind daher gerechtfertigt.\n\n86 Um diese Mängel zu beheben, erwägt SWT, die Anwendung einzusetzen. Diese basiert\nauf einem Liveness-Check-Verfahren, das mehrere Fotos und die Vorlage eines Ausweisdokuments (das Dokument selbst, eine Kopie reicht nicht aus) umfasst (vgl. oben Ziff. 2.3.4).\n\n87 Der «Online Identification Service» der AG wurde von KPMG im Jahr 2019 auditiert3. Bei\ndieser Prüfung wurde der Prozess insbesondere mit den Anforderungen des FINMA-Rundschrei-\nbens 2016/7 abgeglichen. Der Prüfbericht hält fest, dass der Prozess insgesamt mit dem Rundschreiben übereinstimmt, auch wenn er nicht alle Anforderungen erfüllt, u.a. in Bezug auf die in\nZiff. 31.4 des Rundschreibens geforderte Archivierung der Identifikationsdokumente. Unter Datenschutzaspekt ist dieser Punkt und im vorliegenden Kontext eher positiv zu bewerten.\n\n88 Hingegen sieht SWT vor, die Daten aus dem -Prozess zu speichern, d.h. die Fotos des\nGesichts und des Ausweises im PDF, welches das Durchlaufen des -Prozesses dokumentiert und daneben ein Ausweisfoto in hoher Auflösung. SWT gehe es dabei darum, die Gültigkeit\neines Eintrags beweisen zu können, falls sich nach einem Todesfall diese Frage stellen sollte. In\nKontext des NOSR ist die Aufbewahrung eines hochauflösenden Bilds des Ausweises allein zu\ndiesem Zweck jedoch zu weitgehend und mit zusätzliche Risiken verbunden, ohne dass ein Mehrwert ersichtlich wäre.\n\n89 Im Sinne der Datensparsamkeit wäre zudem anstelle des PDF-Dokuments mit den Portraitaufnahmen und dem Ausweisfoto gegebenenfalls eine elektronische Bescheinigung bzw. Signatur im Betracht zu ziehen, die belegt, dass der -Identifizierungsprozess tatsächlich durchlaufen\nwurde.\n\n3 KPMG, Independent Reasonable Assurance Report to GmbH on the Company’s “Online Identification\nService” der KPMG vom 28. Juni 2019\n\n"}