29 December 2009. GSM A5 Files Published on Cryptome
6 July 1998: Add German to English version; add pre-note below
6 July 1998
Date: Mon, 06 Jul 1998 19:09:28 +0200 To: jya@pipeline.Com From: Visiteur du cybercafé <visiteur@ii-mel.com>@demon.ii-mel.com Thks to translate german version and before add: In the non public rapport of July 6, 98(30 pages) Swisscom recognize used Periodic Location Updating (one time per 3 hours; other source: 2 X per hour) and stored this data 7 days. Nothing about periodic Location Updating in the public report; Federal Swiss commission http://www.edsb.ch continues to investigate.
Date: Mon, 06 Jul 1998 13:10:53 +0200 To: jya@pipeline.com From: interception <interception@ii-mel.com> Subject: federal swiss commission against Swisscom in GSMtrace News and Links 6. Juli 1998: Rede des EDSB, Herrn Odilo Guntern, an der Pressekonferenz ERSTER TEIL TAETIGKEITSBERICHT 1997/98 Als ich mir den letzten Fussballmatch ansah, fand ich eine Parallele zwischen Schiedsrichter und Datenschutz. Der Datenschutz und der Schiedsrichter befinden sich vielfach in einer ähnlichen Rolle. Der Datenschutz hat wie der Schiedsrichter Regelverstösse zu ahnden und gelegentlich die gelbe, selten die rote Karte, zu zeigen. Diese Rolle ist bei niemandem sonderlich beliebt. Die Akteure schätzen sie nicht, da sie sich behindert fühlen, und selbst das Publikum liebt ihn nicht sonderlich und pflegt ihn gelegentlich zum Prügelknaben abzustempeln. Wie beim Fussball, gibt es auch beim Datenschutz Grundregeln, die von der Akteuren zu beachten sind: Die erste Grundregel des Datenschutzes besagt, dass Personendaten nur rechtmässig beschafft werden dürfen. Lassen Sie mich zu diesem Grundsatz zwei Beispiele aus dem Tätigkeitsbericht zitieren: Für die Bundesorgane schreibt das DSG vor, dass bestehende Datensammlungen mit besonders schützenswerten Personendaten oder mit Persönlichkeitsprofilen ab dem 1.7.1998 nur noch benutzt werden dürfen, wenn ein formelles Gesetz es ausdrücklich erlaubt. Der EDSB hat in einem veröffentlichten Gutachten in einem Rundschreiben und in den zwei letzten Tätigkeitsberichten die Bundesämter auf diesen Termin hingewiesen. Wir forderten sie auf, die entsprechenden Schritte einzuleiten. Für einige Datensammlungen konnte die gesetzliche Grundlage fristgerecht geschaffen werden (Personalinformationssystem der Armee und ISIS). Andere sind auf dem Weg (Asylgesetz), viele aber sind dieser Verpflichtung nicht nachgekommen (im Steuerbereich, Sozialversicherung, Personalwesen und Datensammlungen der Bundespolizei). Der Gesetzgeber sah sich daher genötigt, die 5-jährige Übergangsfrist generell bis Ende 2000 zu verlängern. Ob bis zu diesem Zeitpunkt das Ziel erreicht werden kann, hängt davon ab, dass die Anpassungsarbeiten sofort an die Hand genommen werden. Die ersten Schritte sind vom Bundesrat eingeleitet worden. Lassen Sie mich noch ein zweites Beispiel aufführen: Ende September 1997 stellten wir fest, dass Arbeitslosendaten, mit zum Teil sehr sensiblen Angaben, auf dem Internet weltweit und ohne Zugriffsbeschränkungen abrufbar waren. Die Daten stammten aus dem Arbeitsinformationssystem AVAM des BWA. Wir haben das BWA darauf aufmerksam gemacht, dass die AVAM-Daten auf dem Internet ohne genügende gesetzliche Grundlage nicht zugänglich gemacht werden dürfen. Ohne gesetzliche Grundlage darf die Bekanntgabe im Internet nur so gestaltet werden, dass die betroffenen Personen nicht identifizierbar sind. Das BWA ist diesem Erfordernis in der Folge nachgekommen. Der zweite Grundsatz verlangt das Handeln nach Treu und Glauben. Dieser Grundsatz will besagen, dass die Datenbearbeitung für die betroffenen Personen erkennbar, transparent sein muss. Heimliches Datenbeschaffen widerspricht diesem Prinzip. Um ein Beispiel wiederum aus dem diesjährigen Tätigkeitsbericht zu nennen: Aus dem Antrag für eine Kundenkarte muss klar hervorgehen, dass diese Kundenkarte nicht einzig dazu dient, dem Kunden Rabatte zu gewähren, sondern dass die Daten auch, oder vor allem, dazu erhoben werden, um das Konsumverhalten der Kunden zu erfassen, Kundenprofile zu erarbeiten, und gestützt darauf, gezieltes Marketing zu betreiben. Der Kunde muss wissen, dass alle diese Daten bearbeitet werden und jederzeit abrufbar und verwendbar sind. Sie dienen auch dazu, Kundentreue zu schaffen. Der Kunde muss frei entscheiden können, ob es lohnend ist, eine solche Kundenkarte zu beziehen, und dazu gehört nebst der Einwilligungserklärung zur Datenbearbeitung auch eine ausgewogene Information. Dem Grundsatz der Transparenz genügen auch viele Einwilligungsklauseln im Privatversicherungsbereich und bei den Kreditkarteninstituten nicht. Blankovollmachten wie "Der Versicherer wird ermächtigt, bei Dritten Auskünfte einzuholen", die in der Praxis immer noch verwendet werden und unbestimmt sämtliche zukünftigen Datenbearbeitungen erlauben sollen, sind aus der Sicht des Datenschutzes nichtig. Einige Versicherungen haben sich dem EDSB gegenüber bereit erklärt, für jedes Ereignis (Antrag, Unfall, Leistung, Schaden) jeweils eine Einwilligung beim Versicherten einzuholen. Wir werden dahingehend wirken, dass diese guten Beispiele Schule machen. Der Grundsatz der Verhältnismässigkeit, die dritte Regel, will besagen, dass nur jene Daten erhoben werden dürfen, die für die vom Datenbearbeiter angegebenen Zwecke tatsächlich benötigt werden. (Auch beim obenerwähnten Fall von Arbeitlosendaten im INTERNET wurde gegen dieses Prinzip verstossen.) Leider müssen wir immer wieder feststellen, dass dem Verhältnismässigkeitsprinzip in der Versicherungsbranche nicht nachgelebt wird. Die Versicherungen haben zum Beispiel die Antragsformulare so zu gestalten, dass nur die wirklich nötigen Fragen gestellt werden. Wir beabsichtigen daher, die einzelnen Versicherungsformulare auf ihre Datenschutzkonformität zu überprüfen und, wenn nötig Empfehlungen abzugeben. Beispielsweise für die Datenerhebung im Bereich der obligatorischen Krankenversicherung. Eine weitere Grundregel besagt, dass Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde. Die Gefahr, dass Personendaten für andere als die ursprünglich angegebenen Zwecke verwendet werden, ist gross. So wäre für die Volkszählung 2000 statt der vorgesehenen Aufhebung des Zweckbindungsgebotes, die Schaffung einer Verfassungsgrundlage bereits für die kommende Volkszählung die optimale Lösung gewesen. Grundsätzlich hat der EDSB zur Revision des Volkszählungsgesetzes, welches das Statistikgeheimnis und den Persönlichkeitsschutz tangiert, nicht zugestimmt. Die Verwendung von Personendaten, die zu statistischen Zwecken erhoben werden, um die kantonalen und kommunalen Register zu aktualisierten, ist ein Vorgehen, welches das zweckbindungsgebot durchbricht. Im Rahmen der Revisionsarbeiten haben wir verlangt, dass mindestens einige Vorausetzungen erfüllt werden, die den Schutz der Persönlichkeit gewährleisten. Unsere Vorschläge sind in der Vorlage berücksichtigt worden. Die Verwendung der Volkszählungsdaten zur Aktualisierung der Einwohnerregister sowie zum Aufbau des eidgenössischen Gebäude- und Wohnregisters muss aber eine zeitlich befristete Ausnahme vom Zweckbindungsgebot sein und bleiben. Bei der heutigen Tendenz grössere Datensammlungen mit verschiedener Zweckbestimmung zusammenzuschliessen (Fusionen im Bank- und Versicherungsbereich) besteht auch die Gefahr, dass Daten für andere als die ursprünglich angegebenen Zwecke verwendet werden. Ein weiteres Grundrecht ist sodann das Auskunftsrecht. Jede Person hat demnach das Recht, vom Inhaber einer Datensammlung Auskunft darüber zu verlangen, ob Daten über sie bearbeitet werden. Die Einschränkungen des Auskunftsrechtes sind im Gesetz abschliessend geregelt. Nun mussten wir feststellen, dass die Sozialversicherungen ihre Versichertendossiers in interne und externe Dossiers unterteilen. Sehr oft sind solche internen Akten oder Notizen entscheidrelevant. So wurden etwa in einem Unfallversicherungsdossier Angaben eines privaten Denunzianten, der einen Versicherten als Simulanten bezeichnet, als interne Akten geführt. Die SUVA gewährt nur Einsicht in externe Akten. In den Sozialversicherungsgesetzen finden sich keine Bestimmungen, die Beschränkungen des Auskunftsrechtes zulassen würden. Die Unterteilung in interne und externe Akten, bzw. die generelle Verweigerung der Akteneinsicht in interne Akten, verstösst somit gegen das Auskunftsrecht nach DSG. Wir haben das BSV als Aufsichtsbehörde aufgefordert, die nötigen Vorkehren zu treffen und insbesondere die Kreisschreiben anzupassen bzw. zu ergänzen. Der Grundsatz der Datensicherheit Dieser Grundsatz besagt, dass der Dateninhaber den Datenschutz durch genügende Sicherheitsmassnahmen zu gewährleisten hat. Wir sahen uns veranlasst, Massnahmen zur Verbesserung der Sicherheit im ZAR zu verlangen, da es einer Angestellten der Zürcher Fremdenpolizeibehörde gelang, über eine gewisse Zeit hinweg, Ausweise zu fälschen und diese Ausländern für ihren Aufenthalt in der Schweiz zur Verfügung zu stellen. Wir haben daher verlangt, dass das BFA (Bundesamt für Ausländerfragen) und das Rechenzentrum des EJPD eine Risikoanalyse samt Sicherheitsbericht über das ZAR erstellt. Bei der EDSK haben wir zudem vorsorgliche Massnahmen zur Verbesserung der Sicherheit im ZAR beantragt. Diese Massnahmen sind in der Zwischenzeit realisiert worden. Im Zeitalter der globalen Datennetze, muss sich jeder vor widerrechtlichen Datenbearbeitungen schützen können. Deshalb sprechen wir uns in diesem Tätigkeitsbericht klar für die Verschlüsselungstechnik (Kryptographie) aus. Sie bietet den effektivsten und kostengünstigsten Weg, uns die Datensicherheit zu gewährleisten und um die Privatsphäre zu schützen. Gegenwärtig findet eine weltweite kontrovers geführte Diskussion über die Kryptographie statt. Es sind Bestrebungen im Gange, den Gebrauch der Kryptographie zu reglementieren und den Zugriff von staatlichen Behörden auf die Schlüssel zu ermöglichen. Die Reglementierungen (z.B. Gebrauch von schwacher Verschlüsselung und Schlüsselzugriffsysteme) würden aber einerseits den Gebrauch der Kryptographie beeinträchtigen, anderseits niemand völlig hindern, Daten zu verschlüsseln. Es ist auch nicht möglich, Straftäter, die Verschlüsselungen verwenden, durch eine Reglementierung oder Schlüsselhinterlegung zu kontrollieren. Mit steganographischen Methoden (Daten werden in anderen Daten, z.B. in Bildern oder Tondateien verborgen) ist beispielsweise ein Informationsaustausch nicht mehr nachweisbar. Kriminelle, die mit der Reglementierung anvisiert sind, werden Verschlüsselungstechniken verwenden, die nicht kontrollierbar sind. Wir sprechen uns gegen eine Reglementierung oder Beschränkung der Kryptographie aus, weil sie für die Bekämpfung der organisierten Kriminalität ungeeignet ist und den Schutz von Personendaten, des Berufs- oder Geschäftsgeheimnisses, unnötig gefährdet. Die beste Massnahme, um Daten zu sichern, ist die Verschlüsselung. Die Forderung geht daher in die Richtung, dass zur Sicherstellung jedem Teilnehmer elektronischer Kommunikationsdienste ermöglicht werden muss, seine Nachrichten zu verschlüsseln. Zweiter Teil: Swisscom AG Untersuchung (NATEL) Am 30.12.1997 haben wir im Zusammenhang mit den Vorwürfen, - die am 28.12.1997 gegenüber der Swisscom AG erhoben worden sind, eine Untersuchung eingeleitet. Wir haben die Schlussfolgerungen in 7 Punkten zusammengefasst. Sie liegen schriftlich vor. Ich möchte sie wie folgt kommentieren: RECHTMAESSIGKEIT DER DATENBEARBEITUNG BEI DER SWISSCOM AG Vorerst stellte sich die Frage, ob die Datenbearbeitung bei der Swisscom AG rechtmässig sei. Unsere Erhebungen ergeben, dass die Swisscom AG folgende Daten bearbeitet : Bewegungsdaten Sie werden kurzzeitig benötigt, um die Verbindungen herzustellen. Das System muss den jeweiligen Standort des Teilnehmers erkennen können. Die Behauptung, dass die Swisscom AG im Minutentakt die Standorte aller eingeschalteten Mobiltelefone erfasst und registriert, können wir nicht bestätigen. Es liegen keine Hinweise vor. Hingegen hat die Swisscom AG die Möglichkeit, jederzeit jedes eingeschaltete Mobiltelefon bis auf die sogenannte "Location Area (LA)" zu lokalisieren. Diese Daten können bis zu einer Woche gespeichert sein. Betriebsdaten Zu den Betriebsdaten gehören Taxdaten, Abonnementsdaten, Vertragsdaten, Kundendaten, also eine ganze Menge von Daten. Beim Natel werden abgehende, wie auch eingehende Rufnummern registriert. Soweit der Anruf für den Angerufenen kostenlos ist, ist das eingehende Telefonat für die Taxierung irrelevant und daher an sich nicht nötig. Auch die Zellenstandorte sind solange nicht relevant, als keine distanzabhängigen Tarife verlangt werden (wie dies im Natelverkehr der Fall ist). Gerade gestützt auf diese Daten kann ein detailliertes Bewegungsprofil entstehen. Zur Registrierung dieser Daten stützt sich die Swisscom AG auf Art. 44 und Art. 45 Abs. 2 FMG. Technische Überprüfungen und Auskünfte über missbräuchlich hergestellte Verbindungen, vor allem aber auch Auskünfte an Behörden, sind nur aufgrund solcher Daten möglich. Unsere Untersuchung hat keine Anhaltspunkte ergeben, wonach die Swisscom AG im Zusammenhang mit dem Natel-Netz andere Daten erhebt, ausser solchen, die für die Rechnungstellung oder den Verbindungsaufbau benötigt werden. Die gleiche Aussage kann jedoch nicht in bezug auf die Aufbewahrungsfristen gemacht werden. AUFBEWAHRUNGSDAUER VON TELEKOMMUNIKATIONSDATEN Art. 50 FDV Abs.1, Satz 1 sieht vor, dass die Anbieter von Telekommunikationsdiensten Kundendaten nur solange aufbewahren dürfen, als diese für die Herstellung der Verbindung und für die Bezahlung der erbrachten Leistungen erforderlich sind. Satz 2 desselben Artikels legt fest, dass die Daten auf jeden Fall sechs Monate zuhanden der zuständigen Behörden aufzubewahren sind. Nun genügen für die Herstellung der Verbindung und für die Bezahlung der Telekommunikationsleistungen in der Regel Aufbewahrungsdauern von drei Monaten, auf alle Fälle von weniger als sechs Monaten. Wir sind der Ansicht, dass daher die Daten in keinem Fall länger als sechs Monate aufzubewahren sind. Taxdaten des Billingsystems werden selbstverständlich auch gespeichert. Teilweise sind sie allerdings massiv älter als sechs Monate. Die Swisscom AG hat sich diesbezüglich an die 6-Monate-Frist zu halten. UEBERWACHUNG DES FERNMELDEVERKEHRS Unsere Abklärungen bezogen sich sodann auf die Überwachung des Fernmeldeverkehrs, da behauptet wurde, dass die Polizei über einen direkten Draht zur Swisscom AG verfüge und ohne richterlichen Befehl Daten abrufen könne. Darf ich Sie daran erinnern, dass Überwachungen des Fernmeldeverkehrs nur in gerichtspolizeilichen Verfahren zulässig sind (Strafverfolgungen wegen Verbrechen oder Vorgehen), nicht jedoch in präventivpolizeilichen Verfahren. Seit dem 1.1.1998 ist mit der Kontrolle der Telefonüberwachung der Dienst für besondere Aufgaben zuständig. Dieser Dienst überprüft nur, ob die formellen Voraussetzungen für eine Überwachung erfüllt sind. Der Dienst hat die Möglichkeit, mittels "Monitoring" Natel-Gespräche abzuhören und dabei den jeweiligen Zellenstandort zu ermitteln. Mit dem sogenannten "Monitoring" können Gesprächsinhalte der Natel-Verkehrs und die genauen Zellenstandorte überwacht werden. Die Swisscom AG ist verpflichtet worden, die Abhörbarkeit des Natel-Netzes zu gewährleisten. Gemäss dem Leiter des Dienstes für besondere Aufgaben werden aber immer häufiger Direktschaltungen zu Polizeibehörden verlangt und realisiert. Viele Kantonspolizeien seien heute dafür ausgerüstet. Auch die Bundespolizei hat in dringlichen Fällen die Möglichkeit von Direktschaltungen für Telefonabhörungen. Aufgrund der Untersuchung konnten wir nicht abklären, ob die gesetzlichen Bestimmungen über die Telefonüberwachung (Art. 66 der BStPO und VO zur Überwachung Fernmeldeverkehrs) befolgt werden. Gerade was die Kantone anbelangt, verfügen wir über nicht abgesicherte Informationen, wonach Überwachungen durch Polizeiorgane direkt ohne richterliche Bewilligung mit der Keyword-Methode durchgeführt werden. Um diesen Vorwürfen gegenüber kantonalen Behörden und Kantonspolizeien nachgehen zu können, sind wir auf die Zusammenarbeit der zuständigen kantonalen Datenschutzbeauftragten angewiesen. Für diesen Punkt werden wir weitere Abklärungen einleiten. AUSKUNFTSRECHT Auf Schwierigkeiten stiessen Natel-Benutzer auch bei der Ausübung des Auskunftsrechtes. Das Auskunftsrecht ist ein wichtiges Fundament des Datenschutzes. Nur so ist es möglich, dass die betroffene Person weiss, wo, wann, was über sie registriert ist. Nur so kann die betroffene Person die Berichtigung falscher Daten durchsetzen. Das DSG sieht vor, wann das Auskunftsrecht eingeschränkt, aufgeschoben, verweigert werden kann (Art. 9 DSG). Die Swisscom AG hat nun, gestützt auf eine Notiz des EJPD vom 30.12.1997, die Einsichtsgesuche in die Datensammlung Natel (Standortdaten) abgewiesen. Art. 45 FMG und Art 50 FDV können aber nicht zur Einschränkung des Auskunftsrechtes herangezogen werden. Art. 45 FMG regelt nur die Auskunft der für die Rechnungstellung verwendeten Daten und beschränkt das Auskunftsrecht bezüglich weitere Daten keineswegs. Art. 50 FDV kann dazu ebenfalls nicht dienen. Weil dieser Artikel nur die Bekanntgabe der Daten für die Rechnungsstellung regelt. Benutzer von Natel-Diensten können daher von der Swisscom AG Auskunft über alle Daten verlangen, die über sie bearbeitet werden. Sollte sich die Swisscom AG weiterhin weigern, das Auskunftsrecht gemäss Art. 8 DSG zu gewähren, werden wir eine Empfehlung erlassen. REGISTRIERUNG VON NATEL-EASY Im Mitberichtsverfahren ist in die FDV (Verordnung über Fernmeldedienste) Art. 49 eingefügt worden. Er verlangt, dass die Anbieter von Fernmeldediensten die Teilnehmer bei der Aufnahme von Kundenbeziehungen zu identifizieren haben. Aufgrund dieser Bestimmung verlangt die Bundesanwaltschaft die Registrierung der Natel-easy-Benutzer. Das Mobiltelefon Natel-easy erlaubt es ohne Abonnementsvertrag, mit vorausbezahlten Wertkarten zu telefonieren. Die erste Voraussetzung von Art. 49 FDV, dass bei Aufnahme der Kundenbeziehung der Teilnehmer zu identifizieren sei, ist nicht erfüllt, da keine Kundenbeziehung mit Swisscom entsteht. Zudem spricht Art. 49 FDV nur von Identifikation des Teilnehmers und nicht von Registrierung. Also geht man bei der Interpretation sowieso über den Verordnungstext hinaus. Auch materiell ist es äusserst zweifelhaft, dass mit einer Registrierung des Erstkäufers die Ermittlung von Straftätern auch nur ansatzweise erreicht werden kann. Es ist naiv zu glauben, ein potentieller Straftäter werde ein registriertes Natel-Gerät oder Karte benutzen. Zudem dürfte das Rückverfolgen eines Gerätes oder einer Karte auf den momentanen Benutzer in vielen Fällen ein Ding der Unmöglichkeit sein. Die Gefahr, dass Kriminelle Telekommunikationseinrichtungen für illegale Zwecke missbrauchen, wäre zudem keineswegs gebannt. Nach wie vor gibt es die Möglichkeit, Telefonkabinen, ausländische SIM-Karten oder Call-Back-Dienste zu benutzen. Die Swisscom AG, die auf dem Sektor Natel-easy innovativ ist und eine Pionierleistung erbracht hat, weigert sich daher zu Recht, eine Registrierung vorzunehmen, die formell durch den Verordnungstext nicht abgedeckt ist und auch materiell nichts bringt. MELDEPFLICHT Der EDSB muss auch erneut darauf hinweisen, dass die Datensammlung Natel beim EDSB hätte angemeldet werden müssen. Einzig für jene Datensammlungen, die von der Reorganisation PTT berührt werden, ist die Frist verlängert worden. Die Datensammlung Natel war davon nicht betroffen. Wir haben nun sowohl die Swisscom AG, als auch die Billag AG und das BAKOM aufgefordert, ihre Datensammlungen bis spätestens 30.9.1998 anzumelden. ZUSAMMENARBEIT MIT DEM EDSB Die Untersuchung hat zudem aufgezeigt, dass im Mitberichtsverfahren zwei Bestimmungen aufgenommen wurden, die trotz datenschutzrechtlicher Relevanz dem EDSB nicht unterbreitet worden sind. In Art. 49 FDV wurde die Verpflichtung der Telekommunikationsanbieter aufgenommen, ihre Kunden zu identifizieren und in Art. 50 FDV die Bestimmung, dass Telekommunikationsdaten von den Anbietern auf jeden Fall 6 Monate zur Verfügung der zuständigen Behörden gehalten werden müssen. Das Vorgehen des EJPD bei der Einführung dieser Bestimmungen widerspricht nicht nur dem Datenschutzgesetz (Art. 30 DSG) sondern auch dem Verfahren, wie es schon 1995 mit einer Delegation des Bundesrates und dem EDSB festgelegt worden ist. Zudem litt die Untersuchung an mangelnder Zusammenarbeit des GS-EJPD. Auskünfte über das Vorgehen im Mitberichtsverfahren wurden beispielsweise mit Berufung auf das Amtsgeheimnis verweigert. Obwohl die Verwaltung dem EDSB gegenüber sich nicht auf das Amtsgeheimnis berufen kann. (Botschaft zum DSG 1988 II 478) Ein ähnliches Verhalten war auch von seiten anderer Mitarbeiter des EJPD und des UVEK festzustellen. Auch die Abklärungskompetenzen des EDSB wurden in Frage gestellt. Es ist aber darauf hinzuweisen, dass Art. 27 Abs. 3 DSG dem EDSB das Recht erteilt, Auskünfte einzuholen (es besteht sogar eine Mitwirkungspflicht), und dass somit Untersuchungen nicht mit vagen Hinweisen auf mangelnde Abklärungskompetenzen oder Berufung auf das Amtsgeheimnis behindert werden dürfen.
German to English by Babelfish: http://babelfish.altavista.digital.com 6 July 1998: Speech of the EDSB, Mr. Odilo Guntern, at the press conference FIRST SECTION REPORT ON THE ACTIVITIES 1997/98 As the last football match showed, I found a parallel between referees and data security. The data security and the referee are often in a similar role. The data security has to punish like the referee of rule offences and occasionally the yellow, rarely the red card to show. This role is with nobody particularly likes. The participants do not estimate it, since they feel handicapped, and even does not love the public it particularly and maintains it occasionally to the Pruegelknaben to stamp. As is the case for football, there are basic rules, which are to be considered from participants also with the data security: The first basic rule of the data security means that person data may be only rightfully procured. Let me to this principle two examples from the report on the activities quote: For the federal organs the DSG prescribes that existing data collections with particularly protect-worth person data or with personality profiles may be only used starting from that 1,7,1998, if a formal law permits it expressly. The EDSB referred in a published appraisal in a circular and in the two last reports on the activities the federal offices to this date. We requested it to initiate the appropriate steps. For some data collections the legal basis could be created within the prescribed period (personal information system of the army and ISIS). Others are on the way (asylum law), many however this obligation did not follow (in the steuerbereich, social security, personnel management and data collections of the federal police). The legislator saw itself forced to generally extend the 5-jaehrige transition period to end of 2000. Whether up to this point in time the target can be achieved, depends on the fact that the adjustment work is taken immediately to the hand. The first steps were initiated by the Upper House of Parliament. Let me specify still another second example: At the end of September 1997 stated we the fact that unemployed person data, with partially very sensitive specification on which Internet world-wide and without restrictions of access was callable. The data originated from the processing data system AVAM of the BWA. We made the BWA attentive on the fact that the AVAM data on the Internet without sufficient legal basis may not be made accessible. Without legal basis the publication in the Internet may be arranged only in such a way that the persons concerned are not identifiable. The BWA followed this requirement in the consequence. The second principle requires a concerning for faithful and faith. This principle wants to mean that the processing for the persons concerned must be recognizably, transparency. Secret data procuring contradicts this principle. In order to call an example again from the report on the activities of this year: From the request for a customer card must clearly follow that this customer card does not only serve for it, to grant the customer discounts but that the data also, or above all, in addition are raised, to compile in order to enter the consumer behaviour of the customers, customer profiles and supported to operate direct marketing. The customer must know that all are processed these data and at any time callable and usable are. They serve also to create customer loyalty. The customer must be able freely to decide, whether it is worthwhile to refer such a customer card and to it belonged together with the declaration of consent for processing also balanced information. Also many consent clauses within the private insurance area and with the institutes for credit card do not meet the principle of transparency. Full powers like " the insurer one authorizes, with third information to catch up ", which are still used in practice and indefinitely all future processings to permit to be supposed, are from the view of the data security futile. In each case some insurance explained itself opposite to the EDSB ready to catch up for each event (request, accident, performance, damage) a consent with the insured one. We will going by work that these good examples make school. The principle of the proportionateness, the third rule, wants to mean that only those data may be raised, which are actually needed for the purposes indicated by the data editor. (also with the above-mentioned case of work lot data in the INTERNET against this principle one offended.) Unfortunately we must state again and again that the proportionateness principle in the insurance industry one does not after-live. The insurance has to arrange the request forms in such a way for example that only those are placed really necessary questions. We intend to check the individual forms for insurance for their data security conformity and, to deliver if necessarily recommendations. For example for the data acquisition within the area of the mandatory health insurance. A further basic rule means that person data may be processed only for the purpose, which was indicated for the procurement. The danger that person data for others than the originally indicated purposes are used, is large. Like that for the census 2000 instead of the removal intended of the appropriation requirement, the creation of a constitutional reason position would have been already for the coming census the optimal solution. Basically the EDSB did not agree for the revision of the census law, which concerns the statistics secret and the persoenlichkeitsschutz. The use of person data, which are raised for statistical purposes, around the kantonalen and local registers to updated, is a procedure, which breaks through appropriation-required. In the context of the revision work we required that at least some Vorausetzungen are fulfilled, which ensure the protection of the personality. Our suggestions were considered in the collecting main. The use of the census data for the updating of the inhabitant registers as well as for the setting up of the Swiss federal building and living register must be and remain however a temporally limited exception of the appropriation requirement. With the today's tendency to unite (fusions in the bank and insurance area) also the danger exists larger data collections with different purpose that data for others than the originally indicated purposes are used. A further fundamental right is then the right to information. Each person has therefore the right to require of the owner of a data collection information over it whether data are processed over it. The restrictions of the right to information are finally regulated in the law. Now we had to state that the social security divided their insuring dossiers into internal and external dossiers. Such internal documents or notes are decision relevant very often. Thus for instance in an accident insurance dossier specification of a private denunzianten, who calls an insured one simulator, was led as internal documents. The SUVA grants only insight into external documents. In the social security laws are no regulations, which would permit limitations of the right to information. The partitioning in internal and external documents, or the general verweigerung of the file inspection into internal documents, offends thus against the right to information after DSG. We the BSV as supervisory authority requested to meet the necessary pre-assembled honours and adapt or complete in particular set writing. The principle of data security this principle means that the data owner has to ensure the data security by sufficient safety precautions. We saw ourselves compelled to require measures to the improvement of security in the ZAR since it succeeded to an employee of the inhabitants of zurich other police authority, over a certain time, documents of identification to falsify and this to foreigners for their stay in Switzerland to the order place. We therefore required that the BFA (Federal Office for foreigner questions) and the computing centre of the EJPD create a risk analysis including safety report over the ZAR. With the EDSK we besides precautionary measures for the improvement of security in the ZAR requested. These measures were implemented in the meantime. In the age of the global data networks, everyone must be able itself to protect against illegal processings. Therefore we express ourselves in this report on the activities clearly for the encoding technique (cryptography). It offers the most effective and most economical way to ensure and protect around the privatsphaere us data security. At present a world-wide controversially led discussion takes place over cryptography. There is efforts under way to enable the use of cryptography to reglementieren and the access of national authorities to the codes. Regimentations (e.g. use of weak encoding and code access systems) would impair however on the one hand the use of cryptography, would prevent on the other hand nobody completely to encode data. It is not possible also to control offenders, who use encodings, by a regimentation or a code deposit. With steganographischen methods (data in other data, e.g. in pictures or tone files hidden) for example an information exchange is no longer provable. Criminal ones, which are anvisiert with regimentation, will use encoding techniques, which are not controllable. We express ourselves against a regimentation or a limitation of cryptography, because them are unsuitable for the fight of the organized criminality and the protection endangered by person data, Berufs-oder of professional secret, unnecessarily. The best measure, in order to protect data, is the encoding. The demand therefore goes into the direction that for sicherstellung must be enabled to each user of electronic communication services to encode its messages. Second section: To 30.12.1997 We initiated Swisscom AG investigation (NATEL) in connection with the reproaches, - which were raised to 28.12.1997 opposite the Swisscom AG, an investigation. We summarized the conclusions in 7 points. They are present in writing. I would like to commentate it as follows: LEGAL STANDARD of the PROCESSING AT the SWISSCOM AG placed itself for the time being the question whether the processing was legal at the Swisscom AG. Our collections result in that the Swisscom AG processes the following data: Transaction data you are briefly needed, in order to make the connections. The system must be able to detect the respective location of the user. We cannot acknowledge the statement that the Swisscom AG in the minutes pulse enters and registers the locations of all switched on mobile telephones. No notes are present. However the Swisscom AG has the possibility of localizing at any time each switched on mobile telephone up to the so-called "location AREA (LA)". These data can be stored up to one week. Operational data to the operational data belong to Taxdaten, subscription data, contract data, customer data, thus a lot of data. With the Natel outgoing become, as registers also detailed call numbers. As far as the calling for the calling is free, the detailed telephone call for rating is irrelevant and therefore actually not necessary. Also the cell locations are not so long relevant, when no distance-dependent tariffs are required (like this in the Natelverkehr the case is). Even one supported by these data can develop a detailed movement profile. For the registration of these data the Swisscom AG relies on art. 44 and art. 45 exp. 2 FMG. Technical examinations and information on abusively made connections, above all in addition, information at authorities, are possible only due to such data. Our investigation did not result in reference points, according to which the Swisscom AG raises other data in connection with the Natel network, except such, which are needed for the invoicing or the connection establishment. The same predicate cannot be made however regarding the periods for safekeeping. KEEPING DURATION OF TELECOMMUNICATIONS DATA art. 50 FDV Abs.1, record 1 designates that the providers of telecommunication services may keep customer data only so long, when these are necessary for the production of the connection and for the payment of the furnished performances. Record 2 of the same article determines that the data zuhanden in any case six months the responsible authorities to be kept are. Now meet for the production of the connection and for the payment of the telecommunications performances usually keeping lasting from three months, in any case from fewer than six months. We are the opinion that therefore the data in no case are to be kept longer than six months. Taxdaten of the Billingsystems are naturally also stored. Partly they are older however substantial than six months. The Swisscom AG has itself to keep relevant by the 6-Monate-Frist. It referred MONITORING of the COMMUNICATIONS TRAFFIC our clarifications to the monitoring of the communications traffic, there was then stated that the police has a direct wire to the Swisscom AG and could without judicial instruction data recall. I may remind you of the fact that monitorings of the communications traffic are admissible only in court-police procedures (prosecutions because of crimes or procedure), not however in preventive-police procedures. Since that 1,1,1998 the service is responsible for special functions with the check of the telephone monitoring. This service checks only whether the formal prerequisites for a monitoring are fulfilled. The service has the possibility of hearing by means of " monitorings " Natel discussions and of determining the respective cell location. With the so-called " monitoring " discussion contents of Natel traffic can be monitored and the exact cell locations. The Swisscom AG was obligated to ensure the listening receptivity of the Natel network. In accordance with the director/conductor of the service for special functions however always frequent direct circuits to police authorities are required and implemented. Many canton police is today equipped for it. Also the federal police has the possibility of direct circuits for telephone hearing in urgent cases. Due to the investigation we could not clarify whether the legal regulations are obeyed over the telephone monitoring (art. 66 the BStPO and VO for the monitoring of communications traffic). Even which the cantons concerned, we have not secured information, according to which monitorings are executed by police organs directly without judicial grant with the Keyword method. In order to be able to follow to these reproaches in relation to kantonalen authorities and canton police, we are dependent on the co-operation of the responsible kantonalen commisioners for data protection. For this point we will initiate further clarifications. Natel users pushed RIGHT TO INFORMATION on difficulties also with the practice of the right to information. The right to information is an important foundation of the data security. Only like that it is possible that the person concerned knows, where, when, what is registered over her. Only so the person concerned can implement the correction of false data. The DSG designates, when the right to information can be limited, delayed, refused (art. 9 DSG). The Swisscom AG rejected now, supported by a note of the EJPD of 30.12.1997, the requests for insight into the data collection Natel (location data). Type. 45 FMG and type 50 FDV cannot be consulted however for the restriction of the right to information. Type. only the information of the data used for the invoicing regulates and limits 45 FMG the right to information concerning further data by no means. Type. cannot serve 50 FDV for it likewise. Because this article regulates only the publication of the data for the rendering of invoice. Users of Natel services can require therefore of the Swisscom AG information over all data, which are processed over them. If the Swisscom AG should refuse further to grant the right to information in accordance with art. 8 DSG we are issued a recommendation. REGISTRATION OF NATEL EASY in the Mitberichtsverfahren was inserted into the FDV (regulation over communications service) art. 49. It requires that the providers of communications services have to identify the users with the accommodation of kundenbeziehungen. Due to this regulation the Federal Prosecutor's Office requires the registration of the Natel easy users. The mobile telephone Natel easy permits it without subscription contract to telephone with prepaid value cards. The first prerequisite of art. 49 FDV that with accommodation of the kundenbeziehung of the users is to be identified, is not fulfilled, since no kundenbeziehung with Swisscom develops. Besides art. speaks 49 FDV only of identification of the user and not of registration. Thus one goes anyway with the interpretation beyond the regulation text. Also materially it is extremely doubtful that with a registration of the first buyer the determination can be achieved by offenders also only ansatzweise. Naively, a potential offender is to be believed a registered Natel device or card will use. Besides the back pursuing of a device or a card might be on the user momentary in many cases a thing of the impossibility. The danger that criminal telecommunications mechanisms for illegal purposes abuse, would not be besides by any means gebannt. Still there is the possibility, telefonkabinen, of using foreign SIM cards or call baking services. The Swisscom AG, which is innovative on the sector Natel easy and furnished a pioneer achievement, therefore refuses rightfully making a registration which is not taken off formally by the regulation text and brings also materially nothing. OBLIGATION TO REGISTER of the EDSB must also again point out that the data collection Natel would have had to be announced at the EDSB. Only for those data collections, which are touched by the reorganization PTT, the period was extended. The data collection Natel was not affected by it. We requested now both the Swisscom AG, and the Billag AG and the BAKOM to announce their data collections to at the latest 30,9,1998. CO-OPERATION WITH the EDSB the investigation besides pointed out that in the Mitberichtsverfahren two regulations were taken up, which were not submitted to the EDSB despite data security-legal relevance. To art. 49 FDV the commitment of the telecommunications providers was taken up to identify their customers and to art. 50 FDV the regulation that telecommunications data must be held by the providers in any case 6 months for the order of the responsible authorities. The procedure of the EJPD during the introduction of these regulations does not only contradict the data protection act (art. 30 DSG) but also the procedure, as it was already determined 1995 with a delegation of the Upper House of Parliament and the EDSB. Besides the investigation at co-operation lacking of the GS-EJPD suffered. Information on the procedure in the Mitberichtsverfahren were refused for example with appointment to the official secret. Although the administration the EDSB cannot appoint opposite itself to the official secret. (message to the DSG 1988 II 478) a similar behavior was to be determined also on the part of other coworkers of the EJPD and the UVEK. Also the clarification authority of the EDSB was questioned. It is to be pointed out however that art. gives 27 exp. 3 DSG the EDSB the right, information to catch up (there is even an obligation to cooperate), and that thus investigations may not be obstructed with vague referring to clarification authority lacking or appointment to the official secret.