Wie sind die Daten beim IdP geschützt?

Das BGEID sieht ein umfassendes Konzept zum Schutz der verschiedenen Datenkategorien vor, um die es bei Einsatz der E-ID gehen wird. Um welche Daten es geht, ist z.B im folgenden Beitrag beschrieben: Um welche Daten geht es bei der E-ID?

Schutzmassnahmen sind die folgenden:

Datensparsamkeit nutzerinnenseitig

Die Nutzerin kann durch selektiven Einsatz der staatlich bestätigen E-ID
verhindern, dass zu viele Nutzungsdaten über sie anfallen. Sie kann sich beim Einsatz auf
jene Use Cases beschränken, mit denen sie ein persönliches Erscheinen vor einer Behörde
abwenden kann (siehe zur Abgrenzung: hier). Es handelt sich um wenige Fälle pro Jahr.

Löschpflichten des IdP

Wenn doch Daten beim IdP landen, helfen die Art. 6 Abs. 2 revDSG (Verhältnismässigkeitsgrundsatz) und Art. 6 Abs. 4 revDSG (Löschpflicht des IdP) der Nutzerin. Wenn Daten zur Erreichung des gesetzlichen Zwecks nicht mehr nötig sind, muss der IdP sie bei sich löschen. Dies dürfte in vielen Fällen schon nach wenigen Wochen der Fall sein.

Wenn nicht besonderes Gesetzesrecht eine längere Aufbewahrung verlangt (z.B. Terrorismusbekämpfung, siehe Use Case Handy Abonnement), besteht oft keine Rechtfertigung für eine Speicherung von Nutzungsprofilen für die volle Dauer von 6 Monaten.

Dann kann die Nutzerin auch ihre Betroffenenrechte ausüben und die Löschung der Daten beim IdP vor Ablauf von 6 Monaten verlangen.

In jedem Fall muss der IdP die in Bezug auf eine Person bei ihm gespeicherten Daten spätestens nach sechs Monaten wieder löschen (Maximalfrist). Dies ergibt sich aus Art. 15 Abs. 1 lit. k BGEID.

Pflicht zur Datenhaltung in der Schweiz

Der IdP muss seine Systeme in der Schweiz haben und hier behalten. Ein Systemtransfer ins Ausland oder der Beizug von Unterdienstleistern im Ausland ist verboten, wenn sie in irgendeiner Weise Zugriff auf Daten erhalten. Dies ergibt sich aus Art. 13 Abs. 2 lit. e BGEID.

Pflicht zur Datentrennung

Der IdP muss Personenidentifizierungsdaten, Nutzungsdaten und Nutzungsprofile jeweils getrennt voneinander aufbewahren. Die Datentrennung muss dem Zweck des Angriffsschutzes dienen. Dies verlangt Art. 9 Abs. 3 BGEID ausdrücklich.

Zwecklimitierung

Art. 9 Abs. 1 BGEID verbietet es dem IdP, Personenidentifizierungsdaten gemäss Art. 5 BGEID zu anderen Zwecken zu verwenden als zu Identifizierungen gemäss BGEID. Es ist dem IdP also z.B. verboten, Mutmassungen anzustellen über die Surf History der Nutzerin und natürlich umso mehr, Aufzeichnungen darüber in seinen Systemen zu speichern.

Der IdP darf dies selbst dann nicht, wenn die Nutzerin ihm dies in einem Nutzungsvertrag erlauben würde. Damit geht das BGEID über das revDSG hinaus; denn unter dem revDSG wäre zulässig, eine Zweckerweiterung in den Nutzungsvertrag zu schreiben. Das geht unter dem BGEID nicht.

Verknüpfungsverbote

Es ist dem IdP verboten, andere Verknüpfungen zu Personenidentifizierungsdaten vorzunehmen. Ebenso ist es dem IdP verboten, Erkenntnisse aus einem allenfalls parallel dazu angebotenen privaten Nutzungsverhältnis mit der Nutzerin mit E-ID-Daten zu verknüpfen. Dies ergibt sich ebenfalls aus Art. 9 Abs. 1 BGEID.

Kommerzialisierungsverbot

Es ist dem IdP verboten, die Daten zu kommerzialisieren. Zum Beispiel ist ihm ein Verkauf der Daten über die Nutzerin verboten.

Dass der IdP für seine Dienste ein Entgelt verlangt, ist demgegenüber nicht verboten. Ein privater IdP muss den Dienst nicht kostenlos anbieten. Natürlich nicht!

Weitergabeverbot

Der IdP darf keine Daten an Dritte weitergeben. Er darf zwar Subunternehmer beiziehen, die Sitz in der Schweiz haben und die er in Bezug auf Einhaltung des Gesetzes (namentlich des DSG und des BGEID) und der weiteren Vorgaben kontrolliert.

Er darf aber Daten namentlich nicht an Empfänger wie die folgenden weiterleiten: Aktionäre, Marketingdienstleister, etc.

Dieses Weitergabeverbot bezieht sich gemäss Art. 16 Abs. 2 BGEID ausdrücklich auf alle Daten, um die es geht:

  • Personenidentifizierungsdaten,
  • Nutzungsprofile sowie
  • alle weiteren Daten, die bei der Nutzung der E-ID anfallen (somit auch auf Nutzungsdaten)

Damit geht das BGEID über das revDSG hinaus; denn dieses sieht Weitergabeverbote nur vor für besonders schützenswerte Personendaten (Art. 30 Abs. 2 lit. c revDSG).

Ob es im Geltungsbereich des BGEID überhaupt besonders schützenswerte Personendaten gibt, ist gar nicht so klar (wurde aber in Bezug auf das Gesichtsbild so dargestellt). Zur Einordnung des Gesichtsbilds siehe den folgenden Beitrag: E-ID und biometrische Daten — worum geht es?.

Schutznormen

Die hier beschriebenen Bestimmungen des BGEID sind Schutznormen mit zwingendem Charakter. Der IdP kann sie nicht dadurch übersteuern, dass er sich von der E-ID-Nutzerin in AGB oder dergleichen die Einwilligung einholt, sie nicht einzuhalten.

Ergänzend: Sanktionenkonzept

Zu den vorstehenden zwingenden Bestimmungen tritt das Sanktionenkonzept hinzu, das wir hier beschrieben haben: E-ID und Sanktionsmöglichkeiten.

Das könnte Dich auch interessieren...

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht.