Glaubt man Medienberichten, wollen die SBB in der Schweiz ihre Passagiere mit Gesichtserkennung bald auf Schritt und Tritt bespitzeln und es drohen Verhältnisse wie in China.
Grund für die Aufregung ist die öffentliche Ausschreibung der Schweizerischen Bundesbahnen (SBB) für ein neues System zur Messung der Kundenfrequenz an ihren Bahnhöfen.
In einer aktuellen Folge der «Datenschutz Plaudereien» diskutieren Andreas Von Gunten und ich, was wir von der Aufregung um das geplante neue Kundenfrequenz-Messsystem halten:
Ergänzende Informationen zum Podcast-Gespräch
K-Tipp: «SBB bespitzeln Passagiere bald auf Schritt und Tritt»
In seinem Beitrag vom 12. Februar 2023 🔒 schreibt der K-Tipp unter anderem:
«Die SBB rüsten grössere Bahnhöfe mit neuen Kameras zur Gesichtserfassung aus: Die Bahn will so das Kaufverhalten auswerten, um die Einnahmen in den Läden zu steigern. Reisende erfahren nicht, dass sie beobachtet werden.»
Und auch:
«SBB-Kunden sind diesen Spionageaktivitäten hilflos ausgeliefert. […] Gemäss Datenschutzgesetz müssten Reisende der Verarbeitung ihrer Daten ausdrücklich zustimmen. […] Der Eidgenössische Datenschutzbeauftragte Adrian Lobsiger kannte die SBB-Überwachungspläne seit letztem Herbst und verlangte eine Datenschutz-Folgenabschätzung. Die Details des Beschaffungsprogramms erfuhr er durch den K-Tipp.»
Zahlreiche Medien übernahmen den «K-Tipp»-Bericht, beispielsweise CH Media unter dem Titel «SBB wollen mit Gesichtserkennung Reisende ausspionieren» 🔒:
«Die SBB lassen sich bei ihrem Geschäftsmodell offenbar von China inspirieren. Wie der K-Tipp in seiner aktuellen Ausgabe aufdeckt, planen die SBB, ihre grösseren Bahnhöfe mit Kameras mit integrierter Gesichtserkennungssoftware auszurüsten, welche die Reisenden auf Schritt und Tritt verfolgen. […]»
Und mit Verweis auf HSG-Professorin Monika Simmler:
«Der von den SBB geplante Einsatz von Gesichtserkennungssoftware ist ein schwerer Eingriff in unsere Grundrechte. […] Ausserdem braucht es gemäss Simmler, sofern wie hier keine gesetzliche Grundlage bestehe, die explizite Einwilligung der Betroffenen zur Erhebung von biometrischen Daten. Es handle sich dabei um ‹besonders schützenswerte Personendaten‹. Diese Einwilligung können die SBB kaum von allen Reisenden an jedem Bahnhof einholen.»
Ich werde unter anderem wie folgt zitiert:
«Ich halte eine datenschutzkonforme Umsetzung für möglich. […] Man unterschätzt gerne, wie liberal unser Datenschutzrecht ist.»
Auch das Schweizer Radio und Fernsehen (SRF) stellt in einem Interview Verhältnisse wie in China in den Raum. Im Tages-Anzeiger wird gar ein Rechtsaussen-Politiker mit «Wir sind nicht in Nordkorea!» 🔒 zitiert.
Medienkritik hat Tech-Journalistin Adrienne Fichter bei dnip.ch veröffentlicht: «SBB-Tracking aller Passagiere mit Gesichtserkennung, really?»
SBB: «Datenschutz mit neuem Kundenfrequenzmesssystem gewährleistet»
In einem Beitrag vom 15. Februar 2023 schreiben die SBB unter anderem:
«Seit Jahren erfasst die SBB an grösseren Bahnhöfen die Anzahl Bahnhofnutzer:innen. Bei einem neuen Messsystem bleibt der Datenschutz unverändert sichergestellt, es wird keine Gesichtserkennung eingesetzt. Die SBB steht seit Langem mit dem EDÖB in Kontakt.»
Und:
«Die Daten werden anonymisiert erfasst, es findet keine Verknüpfung mit Personendaten statt und es wird keine Gesichtserkennung eingesetzt.»
Und auch:
«Es wird nichts beschafft und eingesetzt, das nicht datenschutzkonform ist. Sie wird sämtlichen Forderungen des Datenschutzbeauftragten vor Einführung des neuen Systems nachkommen. Es stimmt nicht, dass der EDÖB erst durch den K-Tipp auf das Projekt aufmerksam wurde. Hingegen verlangt der EDÖB eine Datenschutzfolgen-Abschätzung, dieser Forderung wird die SBB selbstverständlich vor Einführung des neuen Systems nachkommen.»
EDÖB: «Projekt weiterhin aufsichtsrechtlich begleiten»
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) veröffentlichte am 15. Februar 2023 eine kurz und nüchtern gehaltene Mitteilung unter dem Titel «Bahnhöfe SBB»:
«Die heutigen Medien berichteten über ein Projekt der SBB betreffend Erhebung von Daten in Bahnhöfen, mit denen Personenflüsse optimiert werden sollen.
Die SBB haben den EDÖB im Oktober 2022 über dieses Projekt informiert. Sie sicherten dem EDÖB zu, dass die Daten nicht personenbezogen verwendet werden, und dass sie eine Datenschutzfolgenabschätzung zum Projekt durchführen werden. Der EDÖB wird das Projekt weiterhin aufsichtsrechtlich begleiten. »
SBB: Öffentliche Ausschreibung für KundenFrequenzMessSystem
Die SBB mussten ihr Projekt für das geplante neue Kundenfrequenz-Messsystem, kurz KFMS 2.0, öffentlich ausschreiben. Die Ausschreibung ist für die Europäische Union bei «Tenders Electronic Daily» und für die Schweiz bei simap.ch zu finden.
Bei simap.ch können auch die Unterlagen heruntergeladen werden. Es handelt sich unter anderem um folgende Unterlagen:
Vollständige Unterlagen (ZIP-Archive):
- Angebotsunterlagen «KFMS 2.0 – KundenFrequenzMessSystem»
- Documents d’offre «KFMS 2.0 – Système de comptage des voyageurs»
- Rahmenvertrag betreffend «KFMS»
Ergänzte Unterlagen vom 22. Februar 2023:
Datenschutzgesetz: Einschlägige Bestimmungen für die SBB
Biometrische Daten und «besonders schützenswerte Personendaten»
Im geltenden Datenschutzgesetz (DSG) finden sich keine Bestimmungen über «biometrische Daten». Das neue Datenschutzgesetz definiert «biometrische Daten, die eine natürliche Person eindeutig identifizieren» als «besonders schützenwerte Personendaten» (Art. 5 lit. c Ziff. 4 nDSG – Begriffe).
Mit der einschränkenden Definition soll verhindert werden, dass jedes Foto als biometrisches Datum im datenschutzrechtlichen Sinn gilt.
Einwilligung der betroffenen Personen
Wenn für das neue Messsystem besonders schützenswerte Personendaten bearbeitet würden, wäre grundsätzlich keine Einwilligung der betroffenen Personen erforderlich. Wenn eine Einwilligung ausnahmsweise erforderlich wäre, müsste diese ausdrücklich erteilt werden:
«Ist für die Bearbeitung von Personendaten die Einwilligung der betroffenen Person erforderlich, so ist diese Einwilligung erst gültig, wenn sie nach angemessener Information freiwillig erfolgt. Bei der Bearbeitung von besonders schützenswerten Personendaten […] muss die Einwilligung zudem ausdrücklich erfolgen.» (Art. 4 Abs. 5 DSG – Grundsätze).
Bearbeitung zu nicht personenbezogenen Zwecken
Ohne Einwilligung zulässig ist unter anderem die Bearbeitung von Personendaten zu nicht personenbezogenen Zwecken für Forschung, Planung und Statistik.
Entsprechende Rechtsgrundlagen bestehen für private Verantwortliche …
«Eine Verletzung der Persönlichkeit ist widerrechtlich, wenn sie nicht durch Einwilligung des Verletzten, durch ein überwiegendes privates oder öffentliches Interesse oder durch Gesetz gerechtfertigt ist. Ein überwiegendes Interesse der bearbeitenden Person fällt insbesondere in Betracht, wenn diese […] Personendaten zu nicht personenbezogenen Zwecken insbesondere in der Forschung, Planung und Statistik bearbeitet und die Ergebnisse so veröffentlicht, dass die betroffenen Personen nicht bestimmbar sind […].»
(Art. 13 Abs. 1 u. Abs. 2 lit. e DSG – Rechtfertigungsgründe)
… und für Bundesorgane:
«Bundesorgane dürfen Personendaten für nicht personenbezogene Zwecke, insbesondere für Forschung, Planung und Statistik bearbeiten, wenn a. die Daten anonymisiert werden, sobald es der Zweck des Bearbeitens erlaubt; b. der Empfänger die Daten nur mit Zustimmung des Bundesorgans weitergibt; und c. die Ergebnisse so veröffentlicht werden, dass die betroffenen Personen nicht bestimmbar sind.»
(Art. 22 Abs. 1 DSG – Bearbeiten für Forschung, Planung und Statistik)
Vergleichbare Bestimmungen finden sich jeweils auch im neuen Datenschutzgesetz.
Nachtrag: Präzisierung und Klarstellung vom 22. Februar 2023
Am 22. Februar 2023 veröffentlichten die SBB eine «Präzisierung und Klarstellung zur Ausschreibung», unter anderem:
«Der Anbieter muss nachweisen, wie seine Lösung das Datenschutzgesetz über alle Phasen der Datenverarbeitung einhält. Der Zuschlag erfolgt nur an Anbieter, die dies vollumfänglich aufzeigen und sicherstellen können.
Das Projekt wird vom Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) aufsichtsrechtlich begleitet. Dieser war bereits in früheren Phasen über das Projekts informiert. Die SBB hat mit ihm vereinbart, dass eine Datenschutzfolgenabschätzung erarbeitet wird. Die SBB wird in Zusammenarbeit mit dem jeweiligen Anbieter vor Einführung des neuen Systems eine solche erstellen und dem EDÖB zur Stellungnahme vorlegen.»
Und auch:
«Keine Identifikation von Personen: Die SBB ist nicht interessiert an der Identifikation von Personen. Es wird daher auch sichergestellt werden, dass dies mit dem System nicht möglich ist.
Keine Gesichtserkennung, keine biometrischen Daten: Die SBB will keine Gesichtserkennung einführen und hat kein Interesse an Personendaten, geschweige denn an biometrischen Daten, die zur Identifikation von Personen führen können.
Keine Verknüpfung mit Swisspass: Die SBB will keine Daten mit dem Swisspass verknüpfen. Die SBB wird kein System beschaffen, das solche Verknüpfungen ermöglicht.
Keine Personen-ID zur Identifikation von Personen: Eine vom Sensor 1 erfasste Person, welchejederzeit anonym und ohne erkennbares Gesicht erfasst wird, wird eine technische Nummerierung zugeordnet. Ab diesem Zeitpunkt wird der Bewegungsfluss anhand dieser Nummerierung und mithilfe von Koordinaten festgelegt. Kommt diese Nummer in den Bereich des Sensors 2 übernimmt dieser anhand der Koordinaten die Nummer in seinen Messbereich. Die Nummer wird temporär vergeben. Kommt dieselbe Person am nächsten Tag erneut in den Bahnhof, wird ihr eine neue Nummer zugeteilt.»
Und schliesslich:
«SBB bedauert, dass die technischen Unterlagen zu Missverständnissen und falschen Interpretationen geführt haben. Hingegen versteht und begrüsst sie die öffentliche Diskussion um den Datenschutz. Diese ist richtig und wichtig und der SBB ein zentrales Anliegen. Die SBB hält sich selbstverständlich an die gesetzlichen Vorgaben.»
Nachtrag 2: Fokussierung auf «Kernfunktionen des Systems» und Berichtigung der Ausschreibung
Am 13. März 2023 veröffentlichten die SBB folgende Mitteilung im Zusammenhang mit ihrer Ausschreibung:
«Die SBB fokussiert auf Kernfunktionen des Systems und verzichtet auf die Möglichkeit einer Kundensegmentierung. Ankündigung der entsprechenden Anpassung der Ausschreibung. Fragen werden später beantwortet.»
Und:
«Die SBB hat entschieden, sich auf die Kernfunktionen des Kundenfrequenzmesssystems zu fokussieren und daher auf die Funktion der Kundensegmentierung zu verzichten. Das bedeutet, dass die SBB auf die optional ausgeschriebene Möglichkeit, auch Kundensegmente nach Alter, Geschlecht Grösse etc. mit dem Messsystem unterscheiden zu können, verzichten wird. Wie in der Ausschreibung vorgegeben, wäre auch diese Funktion selbstverständlich nur unter der Voraussetzung der vollständigen Datenschutzkonformität beschafft worden. Der Entscheid erfolgte auf Basis einer internen Nutzenabwägung und unter Berücksichtigung der geäusserten Befürchtungen aus Politik und Öffentlichkeit.
Die Ausschreibung wird somit in den nächsten Wochen […] berichtigt […]. Die Anbieter werden danach wiederum die Möglichkeit haben, Fragen zu stellen, inkl. die bereits in der ersten Fragerunde gestellten Fragen. Mit der Berichtigung wird auch die neue Frist für die Offerteinreichung publiziert. Diese beträgt ab Publikation der Berichtigung 40 Tage.»
Nachtrag 3: Provisorischer Projekt-Abbruch
Am 6. April 2023 teilten die SBB via simap.ch den provisorischen Projekt-Abbruch mit:
«Das Projekt wird provisorisch abgebrochen, weil eine wesentliche Änderung der nachgefragten Leistung erforderlich wird (Art. 43 Abs. 1 Bst. f BöB).»
Sehr gut ist dieser Artikel und Beitrag.
Vielen Dank für die Information.
Beste Grüsse von Reiner