Datenschutzrecht
Dezember 3, 2015
Aus dem Unterricht des CAS Disruptive Technologies berichtet Daniel Morado:
Der Dozent Olivier Heuberger-Gösch nimmt das Thema Datenschutz und das Recht auf informationelle Selbstbestimmung aus dem Kurs Netzkritik – Netzneutralität auf.
Warum braucht es ein Datenschutzrecht?
Was ist das Problem?
Die Ursprünge des heutigen Datenschutzrechtes gehen in der Schweiz zurück ins Jahr 1977. Das Konzeptionsdokument legt nahe, dass man sich über die neue technologische Entwicklung und den Datenschutz sorgte. Eine Zeit, in der das Internet in den Kinderschuhen steckte und die ersten Personal Computer auf den Markt kamen. Bis jedoch das formelle Gesetz 1993 in Kraft trat, vergingen noch einige Jahre.
In einer Welt, in der sich die Datenverfügbarkeit alle 1.2 Jahre verdoppelt und Milliarden von Fotos, Kreditkartentransaktionen und Google-Suchanfragen für unbeschränkte Verknüpfungen zur Verfügung stehen, sind die Voraussetzungen jedoch ganz andere.
Politiker und Industrie scheinen sich einig: „Daten sind das neue Öl“.
Datensammlung, -bearbeitung und -verknüpfung wird darüber hinaus als Geschäftsmodell betrieben, oder, wie Andrew Lewis zu sagen pflegte: If you are not paying for it, you’re not the customer; you’re the product being sold“.
Grundlage und Zweck
Das Datenschutzrecht basiert in der Schweiz auf Verfassungs- sowie Gesetzesstufe. Rechtsgrundlagen finden sich in der Eidgenössischen Bundesverfassung, im Bundesgesetz über den Datenschutz, in der Verordnung zum Datenschutzgesetz (VDSG), im Schweizer Zivilgesetzbuch (ZGB) sowie in anderen Datenschutzbestimmungen im öffentlichen Recht.
Im Kern wird dadurch die eigene Persönlichkeit und Privatsphäre geschützt; Missbrauch von persönlichen Daten soll verhindert werden.
Datenschutz – Wirklichkeit oder Illusion?
Kernbereich (Schutz)
Das Datenschutzgesetz gilt für das Bearbeiten von Daten von privaten Personen sowie Unternehmen durch andere private Personen oder Bundesorgane. Während Sachdaten keinen Schutz erhalten, geniessen Personendaten einen vollumfänglichen Schutz. Als Personendaten werden dabei Daten verstanden, welche entweder eine Person eindeutig zu identifizieren vermögen (z.B. Pass) oder eine Person durch Verknüpfung oder durch den Kontext der Daten bestimmbar machen.
Somit sind private Personen oder Bundesorgane angehalten, das Datenschutzgesetz zu beachten, sobald sie solche Daten bearbeiten. Als Bearbeiten versteht man dabei das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten. Das Gesetz schreibt weiterhin vor, dass Daten nur rechtmässig beschafft werden dürfen, die Grundsätze von Treu und Glauben eingehalten werden und die Daten verhältnis- und zweckmässig sein müssen. Dabei müssen die Daten richtig erfasst werden und es muss Transparenz über die Datenbearbeitung geschaffen werden.
Eine Abweichung vom oben Erwähnten ist nur mit der Einwilligung der in seiner Persönlichkeit verletzten Person, durch ein überwiegendes privates oder öffentliches Interesse oder durch ein Gesetz erlaubt.
Dürfen meine Daten ins Ausland weitergereicht werden?
Aus dem Kernbereich des Datenschutzgesetzes geht hervor, dass eine Übertragung ins Ausland nicht ohne weiteres möglich ist. Zusätzlich zu den erlaubten Abweichungsgründen müssen insbesondere dem Verletzten vertragliche Garantien eingeräumt werden für Destinationsländer, in welchen nicht äquivalente Datenschutzrichtlinien befolgt werden. Ausserdem muss die Person die Daten allgemein zugänglich gemacht haben.
Wie kann ich mich gegen eine Datenschutzverletzung wehren?
Grundsätzlich hat jeder einen rechtlichen Anspruch auf Auskunft. Das Datenschutzrecht sieht weiterhin verschiedene Mittel zur Bekämpfung von Datenschutzverletzungen vor. Diese Mittel reichen von der einfachen Berichtigung, Auskunft oder vom Bestreitungsvermerken über Vernichtung der Daten und Verbot der Bekanntgabe an Dritte bis hin zu Schadenersatz, Urteilspublikation oder vorsorglichen Massnahmen.
Durchsetzung der Ansprüche im aktuellen Umfeld
Die Durchsetzung der Rechtsansprüche ist derweil kein leichtes Unterfangen. So liegt beispielsweise die Beweislast – also wer die Verletzung zu beweisen hat – beim Bürger oder bei der Bürgerin. Diese sind jedoch meist nicht in der Lage, abzuschätzen wie, wo und wann ihre Daten bearbeitet werden.
Desweiteren kommt hinzu, dass in einer globalisierten Welt die Daten nicht nur an einem Ort, sondern meist an verschiedenen Orten sequentiell oder sogar parallel bearbeitet werden. Man muss diesbezüglich also nicht nur Recht haben, sondern darüber hinaus noch einen langen Atem.
In der Schweiz wird seit einiger Zeit diskutiert, den Schutz der persönlichen Daten im Grundrecht der Bundesverfassung zu verankern. Dies würde zur Umkehr der Beweislast führen und die Unternehmen oder der Staat müssten sodann beweisen, dass sie die Daten nicht missbrauchen.
Profiling: nicht nur in CSI oder Minority Report
Was ist Profiling?
Unter Profiling versteht man die Erstellung, Aktualisierung und Verwendung von Daten mit dem Ziel, prospektive Aussagen machen zu können. Die Wissensgewinnung resultiert dabei aus der Verwendung von Algorithmen.
Anonymisierung – Potemkinsches Dorf?
Bei der Datenanonymisierung werden personenbezogene Daten derart verändert, dass sie nicht mehr einer Person zugeordnet werden können. Während dieses Ziel isoliert betrachtet das angestrebte Ziel der Anonymisierung wohl erfüllt, mag es doch bei genauerer Betrachtung nicht zu überzeugen. Die immer grösser werdende Verfügbarkeit von Daten und deren mögliche Verknüpfungen ermöglichen vermehrt, anonymisierte Daten aufgrund des Kontextes wieder einer Person zuzuschreiben.