Darf eine Tracing-App rechtmässig das Geburtsdatum der User erfassen ?
Als X die Tür zum Restaurant öffnet, wo er/sie sich mit einem Kunden verabredet hat, wird sie vom Personal aufgehalten und gefragt : « Haben Sie sich mit der App registriert/identifiziert ? »
Darauf beginnt für X ein langer Weg, der ihn/sie zum Umkehren bewogen hätte, hätte der Kunde nicht bereits im Restaurant gewartet.
Als X die App installiert hat, merkt er/sie, dass die Angabe des Geburtsdatums zwar obligatorisch ist, dass man aber ein beliebiges Datum einfügen kann, sogar eins aus dem 19. Jahrhundert…
Schon nicht sehr erfreut, sich systematisch identifizieren zu müssen, füllt X das Formular aus, um endlich den Kunden treffen zu können, aber er/sie informiert sich anschliessend bei einer Bekannten, die Juristin ist und sich damit auskennt.
Es stellt sich heraus, dass das Geburtsdatum, noch dazu das vollständige, zum Zwecke der Kontaktdatenerfassung nicht nötig ist und dass die Angabe eines falschen Datums ebenfalls unrechtmässig ist.
Empfehlungen
Der für die Datenbearbeitung Verantwortliche muss sicherstellen, dass die Grundsätze der Rechtmäßigkeit, der Zweckbindung, der Verhältnismäßigkeit, von Treu und Glauben und der Transparenz, der Datenrichtigkeit und die Datensicherheit während des gesamten Bearbeitungsvorgangs eingehalten werden. Er muss dies sicherstellen, bevor er eine technische Lösung verwendet. Es geht dabei auch um die in der DSGVO und im revidierten DSG, das voraussichtlich im Jahr 2022 inkraft treten wird, vorgesehenen Konzepte des "Privacy by design" und "by default".
Grundprinzipien
Art. 4 DSG Rechtmässigkeit, Verhältnismässigkeit, Art. 5 Datenrichtigkeit, Privacy by design/default
Praxisbeispiel
s. Information auf der Website des EDÖB vom 29. Oktober 2020:
https://www.edoeb.admin.ch/edoeb/de/home/aktuell/aktuell_news.html#-700432490