Im Fokus: Datenschutz

Mit Daten zu Taten


Viele Daten, noch mehr Auswertungsmöglichkeiten und grosse Unklarheit darüber, was in Zukunft alles möglich sein wird. Vor diesem Hintergrund hat sich die Datenschutzgesetzgebung entwickelt. Auf europäischer Ebene liegen grundsätzliche Prinzipien und eine konkrete Verordnung vor. In der Schweiz ist eine Totalrevision des Datenschutzgesetzes im Gang. Sämtliche Bestrebungen zielen auf mehr Transparenz für die Betroffenen, gestärkte Rechte, einen erleichterten Datenfluss im europäischen Binnenmarkt und verschärfte Sanktionen ab. Das heisst im Klartext für die Unternehmen: Die Compliance wird noch anspruchsvoller.

Michael A. Meyer

Michael A. Meyer

Senior Manager, Datenschutzexperte, Attorney-at-law

Der Umgang mit Informationen und Angaben zu Personen hat sich im Lauf der letzten Jahrzehnte grundlegend verändert. Im präelektronischen Zeitalter wurden Lagerhallen bis zur Decke mit papierenen Unterlagen gefüllt. Der Zugriff darauf war räumlich und inhaltlich eingeschränkt: Wer die Dokumente einsehen wollte, musste zugegen sein und wissen, wo was abgelegt war.

Mit dem Start der elektronischen Datenbearbeitung erreichten die Themen Datenschutz und -sicherheit eine völlig neue Galaxie. Heute lässt sich jederzeit und von überall auf der Welt auf Daten zugreifen. Das Risiko, dass dies auch solche tun, die unberechtigterweise oder in böser Absicht handeln, ist exponentiell gestiegen – und damit die entsprechenden Sicherheitsmassnahmen. Die schiere Datenmenge ist bereits unendlich gross und findet auf unendlich kleinem Raum Platz. Denn Speichermedien sind verhältnismässig billig, und der Aufwand für das korrekte Löschen von Daten übersteigt den Preis für eine neue Festplatte oft um ein Vielfaches. So befindet sich schliesslich alles auf einem Computer, wobei dieser nicht zwischen Archiv und Ablage unterscheidet.

Seite an Seite mit diesem rasanten Wachstum des Datenschatzes werden die Auswertungsmethoden immer raffinierter. Big Data und Data Analytics sind keine Fremdwörter mehr, sondern intelligenter Geschäftsalltag. Und in den kommenden Jahren werden Datenanwendungen entstehen, von denen wir heute noch nicht einmal träumen.

Schutz von Personen – nicht von Daten

Ab hier kommt die Datenschutzgesetzgebung ins Spiel. Eigentlich ist der Begriff irreführend. Denn der Datenschutz schützt nicht die Daten selbst, sondern die Persönlichkeit der betroffenen Personen. Die Datenschutzbestimmungen auf europäischer und schweizerischer Ebene zielen darauf ab, die Datenbearbeitung in geordnete Bahnen zu lenken und ihr zugleich gewisse Schranken zu setzen. Grenzüberschreitender Datenverkehr und korrekte Datenbearbeitung sollen möglich sein. Gleichzeitig darf die Persönlichkeit der betroffenen Menschen nicht verletzt werden.

Verblüffender Widerspruch

Im Zusammenhang mit persönlichen Daten beschreibt das Paradox der Privatheit – auch als «privacy paradox» bekannt – die scheinbar widersprüchliche Tatsache, dass sich User einerseits um ihre Privatsphäre im Internet sorgen, andererseits hier aber völlig sorglos vorgehen: Trotz grosser Bedenken stellen sie sensible, personenbezogene Daten wie Kreditkarten- und Handynummern, Aufenthaltsorte oder private Fotos online. Für den Datenschutz hat dieses Auseinanderdriften von Einstellung und Handlungsweise in der digitalen Welt bisher ungelöste Konsequenzen. Die Bequemlichkeit des Nutzers steht in einem gewissen Widerspruch zur Griffigkeit der Gesetze. Denn Datenschutzbestimmungen können den Konsumenten nicht vor sich selbst schützen, sondern nur eine rationale Handlungsweise abbilden.

Europa schützt grundsätzlich und konkret

Das gesetzliche Datenschutzfundament auf europäischem Territorium bildet die Konvention SEV 108 «Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten». Diese Konvention 108 gilt verbindlich für alle Mitglieder des Europarats, also auch für die Schweiz. Sie legt die Grundprinzipien für die moderne Datenbearbeitung fest und stärkt den Schutz sowie die Rechte der Personen, über die Daten erfasst und bearbeitet werden. Sie verlangt griffige Sanktionen und die Überwachung des Datenschutzes durch lokale Aufsichtsbehörden. Allerdings hat sie nur wegweisenden Charakter, da sie die Umsetzung im jeweiligen Landesrecht nicht direkt vorgibt. Diese liegt in der Verantwortung der einzelnen Länder; in der Schweiz wird sie nun mit der Revision des Datenschutzgesetzes bewerkstelligt.

Den konkreten Gesetzesrahmen auf EU-Ebene bildet die neue «Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG», kurz Datenschutz-Grundverordnung (EU-DSGVO). Nach der derzeitigen Übergangsfrist tritt sie am 25. Mai 2018 für alle EU-Länder unmittelbar in Kraft. Die EU-DSGVO hat extraterritoriale Wirkung, betrifft also alle Unternehmen, die in der EU tätig sind.

Abbildung 1: Ein Grossteil der in der Schweiz ansässigen Firmen ist von der EU-DSGVO betroffen.
focus_01-01.de Created with Sketch. Firmen ausserhalb der EU (Schweiz), die das Verhalten von Personen in der EU beobachten Firmen ausserhalb der EU (Schweiz), die auf dem europäischen Markt tätig sind Firmen innerhalb der EU