Andreas Furrer Rechtsanwalt, Professor an der Universität Luzern. Aktuelle Anwaltspraxis La pratique de l avocat

Transkript

1 Andreas Furrer Rechtsanwalt, Professor an der Universität Luzern Aktuelle Anwaltspraxis La pratique de l avocat 2013 Unter Mitarbeit von BLaw Céline Bussmann y Stämpfli Verlag

2 Zitiervorschlag: z. B. Schwaibold, Aktuelle Anwaltspraxis 2013, S. Mode de citation proposé: p.ex. Schwaibold, La pratique de l avocat 2013, p. Bibliografische Information der Deutschen Nationalbibliothek Die Deutsche Nationalbibliothek verzeichnet diese Publikation in der Deutschen Nationalbibliografie; detaillierte bibliografische Daten sind im Internet über abrufbar. Alle Rechte vorbehalten, insbesondere das Recht der Vervielfältigung, der Verbreitung und der Übersetzung. Das Werk oder Teile davon dürfen ausser in den gesetzlich vorgesehenen Fällen ohne schriftliche Genehmigung des Verlags weder in irgendeiner Form reproduziert (z. B. fotokopiert) noch elektronisch gespeichert, verarbeitet, vervielfältigt oder verbreitet werden. Tous droits réservés, en particulier le droit de reproduction, de diffusion et de traduction. Sans autorisation écrite de l éditeur, l œuvre ou des parties de celle-ci ne peuvent pas être reproduites, sous quelque forme que ce soit (photocopies, par exemple), ni être stockées, transformées, reproduites ou diffusées électroniquement, excepté dans les cas prévus par la loi. Gesamtherstellung: Stämpfli Publikationen AG, Bern Réalisation intégrale par Stämpfli Publications SA, Berne Stämpfli Verlag AG Bern 2013 Stämpfli Editions SA Berne 2013 ISBN (PDF auf USB-Stick) ISBN (ipad-version) ISBN (e-book OLF) ISBN (Judocu)

3 Entwicklungen im privaten Datenschutzrecht (April 2011 bis März 2013) David Rosenthal *, unter Mitarbeit von Luca Dal Molin ** Inhaltsverzeichnis I. Was den Datenschutz bewegte II. Gesetzesänderungen II. Rechtsprechung Bilder im Internet (Google Street View) Mitwirkung des Hosting-Providers (Tribune de Genève) Überwachung am Arbeitsplatz (Spyware) Auskunftsrecht Übermittlung von Mitarbeiterdaten an ausländische Behörden Adressdaten im Internet (Moneyhouse) III. Literaturauswahl IV. Literaturverzeichnis I. Was den Datenschutz bewegte Der Datenschutz hat im Berichtszeitraum weiterhin an öffentlicher Beachtung gewonnen. Das lag zum Einen daran, dass Schlagworte wie «Social Media» und «Cloud Computing» in aller Munde waren und mit ihnen auch die Fragen, die diese Erscheinungen der Internet-Gesellschaft zum Datenschutz heraufbeschwörten. 1 Dass Cloud Computing aus datenschutzrechtlicher Sicht im Grunde keine wirklich neuen Fragen aufwirft, waren sich viele Experten hin- * ** 1 Lehrbeauftragter für Informations- und Telekommunikationsrecht an der Universität Basel und an der Eidg. Technischen Hochschule Zürich (ETHZ), Sekretär beim Verein Unternehmens-Datenschutz (VUD) sowie Konsulent bei Homburger AG, Zürich. Rechtsanwalt und Mitarbeiter bei Homburger AG, Zürich. Einschliesslich entsprechender Vorstösse im Parlament, vgl. etwa das Postulat AMHERD »Rechtliche Basis für Social Media», aufgrund welchem der Bundesrat einen entsprechenden Bericht vorlegen wird, der sich auch mit Fragen des Datenschutzes in sozialen Netzwerken auseinandersetzt. 707

4 Aktuelle Anwaltspraxis La pratique de l avocat 2013 ter vorgehaltener Hand zwar einig, aber die Nachfrage an Seminaren, Publikationen und Beratungen vermochte dies nicht zu bremsen. 2 Im Bereich sozialer Netzwerke wurde unter anderem die datenschutzrechtliche Rahmenbedingung zur Einbindung solcher in Webseiten Dritter diskutiert (z.b. über den «Like»-Knopf von Facebook), weil damit den Betreibern der Netzwerke u.u. die Möglichkeit gegeben wird, die Nutzung fremder Internetangebote ihrer (eingeloggten) Benutzer verfolgen zu können; ein ähnliches Problem wurde in früheren Jahren im Zusammenhang mit Google Analytics diskutiert erforderlich ist letztlich eine transparente Offenlegung, wer wann welche Daten von den Benutzern einer Website sammeln kann. 3 Bekannte Lösungen für neue Anwendungsfälle brachten auch andere beliebte Themen aus dem Berichtszeitraum mit sich, wie etwa «Bring-Your-Own- Device» oder kurz «BYOD», bei welchem Unternehmen sich die Kosten zur Anschaffung von Geschäftshandies sparen lassen, indem sie Mitarbeiter ihre eigenen Geräte mit entsprechender Sicherheitssoftware nutzen lassen. 4 Oder das Thema «interne Untersuchungen», mit welchem sich nicht nur verschiedene Schweizer Banken aufgrund diverser Auseinandersetzungen und Fehlverhalten auch in datenschutzrechtlicher Hinsicht auseinandersetzen mussten. Inzwischen gehören « -Reviews» denn auch zum Standardwerkzeug der Corporate Governance, wenn es darum geht, potenzielles Fehlverhalten im Unternehmen durch eigene externe Anwälte untersuchen zu lassen. E- Mail-Reviews werden auch erforderlich, wenn Firmen bei Rechtsstreitigkeiten in den USA verpflichtet werden, alle Dokumente zum Streitthema, die sich in ihrem Besitz befinden, auf den Tisch zu legen (sog. «E-Discovery»); immer häufiger wurden auch Schweizer Unternehmen mit solchen Forderungen konfrontiert und wussten zunächst nicht, wie damit auch mit Bezug auf den Datenschutz umzugehen. Dabei werden oft Hunderttausende oder noch mehr s von involvierten Mitarbeitern durch ganze Teams von «Reviewern» durchsucht und gesichtet, um festzustellen, wer im Unternehmen was zu welchem Zeitpunkt gewusst oder getan hat. Wie das datenschutzrechtlich korrekt abzulaufen hat, ist inzwischen allerdings mehr oder weniger klar Vgl. mit Erläuterungen des EDÖB zum Thema. Vgl. etwa PATRICIA MARIA ROGOSCH, Like-Button: welches rechtliche Risiko?, in: digma , S. 182 ff.; vgl. Facebooks-Like-Button html zum Problem und mit einer technischen Lösung. Vgl. etwa MARK A. REUTTER/SAMUEL KLAUS, Rechtliche Stolpersteine bei»byod», in: digma S. 160 ff. DAVID ROSENTHAL/CHRISTIAN ZEUNERT, E-Discovery und Datenschutz: Herausforderungen und Lösungsansätze für multinationale Unternehmen, in: M.H. Hartmann (Hrsg.), Internationale E-Discovery und Information Governance, Berlin 2011, 708

5 Entwicklungen im privaten Datenschutzrecht ( ) Nebst diesen Schlagwort-Themen sorgten im Berichtszeitraum immer wieder auch handfeste Skandale für Schlagzeilen zum Thema Datenschutz. Da stellte plötzlich alle Welt erstaunt fest, dass Smartphones nicht nur in der Lage sind, aufgrund ihres eingebauten GPS-Empfängers und anderer technischer Methoden die Bewegungen ihres Trägers aufzuzeichnen, sondern dies teilweise auch tun. Die betroffenen Anbieter wie etwa Apple mussten öffentlich Abbitte leisten (im Fall von Apple war angeblich ein Softwarefehler schuld). 6 Etwas gravierender war ein Hackereinbruch im «Playstation»-Netzwerk von Sony, der sich Mitte 2011 ereignete: Daten von über 100 Mio. Kunden wurden angeblich gestohlen, wobei das Unternehmen vor allem deshalb in die Kritik geriet, weil es nicht umgehend die Öffentlichkeit über den Zwischenfall informierte. Bei Lichte betrachtet war dies allerdings sachgerecht, wusste Sony doch zunächst überhaupt nicht, was wirklich geschehen war und an welche Daten die Hacker gelangt waren. 7 Die Information hätte nicht viel gebracht. Trotz allem forderten Datenschützer und Politiker als Reaktion auf den Vorfall rund um den Globus die Einführung massiver Sanktionen bei mangelndem Schutz von Kundendaten 8, nach der hier vertretenen Ansicht freilich verfehlterweise. 9 Kurz darauf kam es abermals zu einem erfolgreichen Einbruch; in diesem Fall glauben die Behörden die Schuldigen zwischenzeitlich dingfest gemacht zu haben. 10 In der Berichtsperiode trat auch Google in einen Fettnapf, als der Konzern ankündigte, die bisher separat geführten Datenschutzerklärungen von rund 60 seiner Internet-Dienste per März 2012 in einer einheitlichen Erklärung zusammenzufassen, was bei Datenschutzbehörden die Befürchtung auslöste, Google würde neu die Daten all dieser Dienste miteinander verknüpfen. 11 Google verstand den Protest nicht, zumal man ja mit Inkrafttreten der neuen S. 23 ff.; vgl. THOMAS GEISER, Interne Untersuchungen in einem Unternehmen und Datenschutz, in: Datenschutz-Forum Schweiz (Hrsg.), Von der Lochkarte zum Mobile Computing 20 Jahre Datenschutz in der Schweiz, Zürich 2012, S. 19 ff., allerdings mit einem etwas anderen Fokus Debatte-um-Datenschutz-an.html; Vgl. auch html Dienste-trotz-Datenschutzbedenken-zusammen html. 709

6 Aktuelle Anwaltspraxis La pratique de l avocat 2013 Datenschutzerklärung weder neue Daten sammeln noch an den Datenschutzeinstellungen etwas ändern würde, wie das Unternehmen verlauten liess. Mit datenschutzrelevanten Funktionsanpassungen sorgte Facebook für Negativschlagzeilen, als es eine neue Funktion einführte, mit welcher sich Besucher des sozialen Netzwerks bei allen Personen neu auch deren alte, längst vergessenen Einträge und Aktivitäten anzeigen lassen können «Timeline» oder «Chronik» nennt sich diese Funktion. Gerade sieben Tage hatten Facebook-Nutzer Zeit, ihre Profile auszumisten. 12 Was Facebook über ihn speichert, wollte wiederum ein österreichischer Student besonders genau wissen: Er setzte gegenüber dem Online-Dienst sein datenschutzrechtliches Auskunftsrecht mit Erfolg durch und brachte den Konzern in arge Bedrängnis und in den Fokus der irischen Datenschutzbehörde, von wo aus Facebook seine europäischen Kunden bedient. 13 1'200 Seiten an Daten wurden dem Studenten geliefert. Sie offenbarten, dass Facebook weitaus mehr Daten speicherte, als er gedacht hatte: Auch alle Daten, die er gelöscht hatte, waren noch da Statusmeldungen, Freundesanfragen und private Nachrichten. 14 Für Diskussionen sorgte im Berichtszeitraum auch ein weiteres Thema im Zusammenhang mit dem Internet: Das Recht auf Vergessen, oder besser: Das Recht auf Vergessenwerden. 15 Im Bereich des Persönlichkeitsschutzes ist das Thema an sich nicht neu; es stellte sich bisher allerdings vor allem dann, wenn Journalisten längst in Vergessenheit geratene Verurteilungen oder andere Sünden einer Person ausgruben und darüber berichteten. 16 Inzwischen hat das Thema eine neue Dimension erhalten, indem immer mehr soziale Netzwerke und andere Medienangebote existieren, deren Inhalte auf Dauer für die Weltöffentlichkeit abrufbar bleiben und sie obendrein mit Internet-Suchmaschinen durch das blosse Eingeben des entsprechenden Personennamens einfach gefunden werden können. Die Frage, ob eine betroffene Person sich gefallen lassen muss, dass ein Dritter auf seiner Website einen Bericht über sie veröffentlicht, ist nur die eine Frage in diesem Zusammenhang; sie muss Vgl. etwa ROLF H. WEBER, Der Ruf nach einem Recht auf Vergessen, in: digma S. 102 ff.; NORBERT NOLTE, Zum Recht auf Vergessen im Internet: von digitalen Radiergummis und anderen Instrumenten, in: Zeitschrift für Rechtpolitik (ZRP) 44/2011 S. 236 ff.; vgl. zur Diskussion bei staatlichen Internet-Publikationen: VERA BEUTLER, Vorschneller Einsatz von Kommissar Internet, in: Plädoyer 2/2012 S. 10 ff. Vgl. etwa BGE 122 II 449, BGE 111 II

7 Entwicklungen im privaten Datenschutzrecht ( ) letztlich nach den Umständen beantwortet werden und wird meist eine Interessenabwägung erfordern. 17 Von grundsätzlicherer Natur ist jedoch die Frage, wie sich namentlich die Betreiber von Internet-Suchmaschinen verhalten müssen: Kann von ihnen unter dem Titel eines «Rechts auf Vergessen» verlangt werden, dass sie bestimmte Inhalte für die Suche sperren, auch wenn die Suchmaschinen bloss wiedergeben, was sich im Internet zum gegebenen Zeitpunkt tatsächlich abrufen lässt? Oder können sich die Betreiber der Suchmaschinen auf den Standpunkt stellen, betroffene Personen müssten missliebige Inhalte an der Quelle löschen? Im ersteren Fall wird argumentiert, dass Internet-Inhalte heutzutage überhaupt erst mit der Erfassung in Suchmaschinen ein breites Publikum erreichen, während im letzteren Fall vertreten wird, die Suchmaschinen seien lediglich Transporteure der Information aus dem Netz, können und sollen aber nicht über ihre Rechtmässigkeit entscheiden müssen. Ein Präzedenzfall zu genau diesen Fragen und den offen Antworten im Rahmen des EU-Datenschutzrechts liegt seit der Berichtsperiode vor dem EuGH 18,19. Die genannten Vorfälle und Entwicklungen beschäftigen nicht nur die europäischen Datenschutzbehörden und Gerichte; auch die Politik hat Handlungsbedarf geortet, und das sowohl in der EU als auch in der Schweiz. Das überragende Datenschutz-Thema im Berichtszeitraum waren denn auch nicht die genannten Fälle aus der Praxis, sondern das Grossvorhaben der EU- Kommission, den Datenschutz in der EU mit Hilfe einer EU-Verordnung so weit wie möglich für alle Mitgliedstaaten zu vereinheitlichen und darüber hinaus besser durchzusetzen. Mehrere Entwürfe aus teils unterschiedlichen Federn liegen bereits auf dem Tisch, und die Kontroverse um das Projekt und die spezifischen Regelungsvorschläge ist keineswegs abgeflaut. 20 Die geplante EU-Datenschutzverordnung soll die EU-Datenschutzrichtlinie aus dem In der Schweiz gibt es hierzu nicht wie in vorstehender Fussnote erwähnt Rechtsprechung; das DSG sieht in Art. 12 Abs. 2 Bst. b DSG bereits ausdrücklich vor, dass jede Person verlangen kann, dass ein bestimmter Datenbearbeiter von ihr keine weiteren Daten bearbeiten darf, sofern er keinen Rechtfertigungsgrund hat. Auch der Grundsatz der Verhältnismässigkeit nach Art. 4 Abs. 2 DSG kann für ein Recht auf Vergessenwerden herangezogen werden. EuGH Rs. C-131/12 i.s. Google Spain, Google Inc. v. Agencia de Protección de Datos (AEPD), Mario Costeja González, eingereicht am 9. März 2012 ( Vergessens

8 Aktuelle Anwaltspraxis La pratique de l avocat 2013 Jahre 1995 (und deren in weiteren Richtlinien erfolgten materiellen Ergänzungen) und mit ihr in weiten Bereichen auch die heute teils sehr unterschiedlichen nationalen Datenschutzgesetze der Mitgliedsstaaten ablösen; als Verordnung wäre der Rechtsakt direkt anwendbar, wobei nach wie vor nicht klar ist, wer deren Einhaltung beaufsichtigen soll eine zentrale Stelle oder die Mitgliedstaaten oder beide. Bis Ende 2013 sollen die Beratungen abgeschlossen sein, doch noch ist offen, welche Anpassungen sich wirklich durchsetzen. Inhaltlich sind diese mitunter tiefgreifend. Der Begriff des Personendatums soll zum Beispiel breiter als bisher definiert werden, so dass beispielsweise auch nach heutigem Verständnis als «anonym» geltende Daten erfasst sein können. 21 Eine Datenbearbeitung soll nur noch mit Einwilligung oder gesetzlicher Erlaubnis zulässig sein, wobei letztere auch im Falle von «berechtigten Interessen» bestehen soll. Die Anforderungen an Einwilligungen werden erhöht; einfache Einwilligungserklärungen im Rahmen von allgemeinen Geschäftsbedingungen werden möglicherweise nicht mehr genügen. Auffallend an den neuen Regelungsvorschlägen ist, dass sie teilweise sehr detailliert sind, weil sie als gesetzgeberische Reaktion auf einzelne, internetbezogene Vorkommnisse aus der Praxis gedacht waren aber so allgemeingültig formuliert sind, dass sie letztlich für die gesamte Wirtschaft gelten mit unabsehbaren Folgen. In der Hoffnung, dem «Recht auf Vergessen» im Internet Nachachtung zu verschaffen, soll beispielsweise jeder, der Daten verwendet, neu verpflichtet sein, sicherzustellen, dass jede (von Dritten zwischenzeitlich erstellte) Kopie dieser Daten im Internet und jeder Link darauf gelöscht werden, wenn es die betroffene Person verlangt. Die Datenschutzverordnung soll in ihrem Anwendungsbereich über den EU-Raum hinaus gelten, dürfte also auch Unternehmen in der Schweiz betreffen. Neu sind massive Sanktionen vorgesehen: Gegen fehlbare Unternehmen sollen Bussgelder von bis zu zwei Prozent ihres Weltumsatzes verhängt werden können. Gegenüber diesem Revisionsvorhaben muten die derzeit in der Schweiz laufenden Bestrebungen für eine Revision des Datenschutzgesetzes (DSG) vergleichsweise nüchtern an. Ausgangspunkt ist eine im Auftrag des Bundesrates durchgeführte Evaluation des DSG, zu welcher dieser am 9. Dezember 2011 seinen Bericht veröffentlicht hat 22,23. Darin wurde festgestellt, dass das DSG So z.b. Cookies und die damit erstellten Profile, auch wenn ein Unternehmen den betreffenden Nutzer nicht identifizieren kann. Bericht über die Evaluation des Bundesgesetzes über den Datenschutz vom 9. Dezember 2011, BBl ff. ( Das Gutachten, auf welches sich der Bericht des Bundesrates stützt, ist abrufbar unter ein Bericht über das Datenschutzrecht in ausgewählten Staaten unter 712

9 Entwicklungen im privaten Datenschutzrecht ( ) in jenen Bereichen, auf die es ursprünglich ausgerichtet worden war, eine «spürbare Schutzwirkung» erzielt hat. 24 Das DSG habe sich «grundsätzlich bewährt». 25 Die Institutionalisierung des Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) wurde grundsätzlich als wirksames Instrument zur Erhöhung der Wirksamkeit des DSG beurteilt, auch wenn zur Kenntnis genommen wird, dass seine Wirkungsmöglichkeiten in verschiedener Hinsicht an Grenzen stossen. 26 Empfehlungen des EDÖB würden zwar in der Regel freiwillig umgesetzt, allerdings sei eine Breitenwirkung nicht feststellbar. 27 Die Datenschutzrechte der betroffenen Personen seien vergleichsweise gut ausgebaut 28, wenn auch von den betroffenen Personen kaum genutzt. Hierzu stellte der Bundesrat fest, dass die Bevölkerung den Schutz ihrer persönlichen Daten als wichtig erachte, sich die Betroffenen aber nicht immer konsequent schützen. Den Grund ortete er darin, dass sie sich überfordert fühlten oder schlichtweg die bestehenden Möglichkeiten der Datenbearbeitung und deren Risiken unterschätzen würden. 29 «Die bisweilen grosszügige Preisgabe persönlicher Daten dürfte auch damit zusammenhängen, dass das Risiko eines Datenmissbrauchs und seiner Folgen als diffus und unwahrscheinlich wahrgenommen wird, zumindest im Vergleich zum unmittelbaren Nutzen des jeweiligen Angebots», schreibt er in seinem Bericht. 30 Wie er zu dieser Schlussfolgerung kam, lässt er aber offen, denn zwingend ist sie nicht. 31 Die Frage, ob gesetzgeberischer Handlungsbedarf auch in der Schweiz besteht, bejahte der Bundesrat. Die Befunde der Evaluation, so der Bundesrat, würden darauf hindeuten, «dass sich die Bedrohungen für den Datenschutz aufgrund der fortschreitenden technologischen und gesellschaftlichen Entwicklungen seit einigen Jahren akzentuieren» 32, weshalb er auch in diesem Bereich besonderen Handlungsbedarf ortete. 33 Vor diesem Hintergrund hat der Bundesrat das EJPD beauftragt, gesetzgeberische Massnahmen zur Stärkung des Datenschutzes zu prüfen. Eine entsprechende Arbeitsgruppe unter BBl BBl BBl BBl BBl BBl BBl DAVID ROSENTHAL, Datenschutz-Compliance im Unternehmen: Umsetzung in der Praxis und Handlungsbedarf des Gesetzgebers, in: Weber/Thouvenin (Hrsg.), Neuer Regulierungsschub im Datenschutzrecht?, Zürich 2012, S. 157 ff. BBl BBl ff. 713

10 Aktuelle Anwaltspraxis La pratique de l avocat 2013 der Führung des Bundesamts für Justiz ist zwischenzeitlich ins Leben gerufen worden und untersucht Möglichkeiten für eine Revision des DSG. Auf fünf Bereiche will der Bundesrat dabei sein besonderes Augenmerk richten 34 : Erstens soll der Datenschutz früher greifen. Allfällige Datenschutzprobleme sollen schon bei der Entwicklung neuer Technologien festgestellt und wenn möglich adressiert werden. Diese Idee des «Privacy by Design» ist auch in der EU-Datenschutzreform ein Thema. Zweitens sollen die betroffenen Personen stärker für die mit den technologischen Entwicklungen einhergehenden Risiken für den Persönlichkeitsschutz sensibilisiert werden. Drittens soll die Transparenz über Datenbearbeitungen erhöht werden, dies vor dem Hintergrund, dass es für die Betroffenen wie auch den EDÖB immer schwieriger wird. zu erkennen, wo, wann und wie Daten bearbeitet werden. Allerdings soll darauf geachtet werden, dass die betroffenen Personen auch nicht mittels einer Informationsflut überfordert werden. Viertens soll die Datenkontrolle und -herrschaft verbessert werden, wobei einerseits geprüft werden soll, ob die Aufsichtsmechanismen des EDÖB gestärkt und die Rechtsansprüche der Betroffenen einschliesslich deren Durchsetzung aufgrund veränderter Verhältnisse angepasst werden sollten. Auch eine Präzisierung des «Rechts auf Vergessen» und eine Stärkung der kollektiven Rechtsdurchsetzung sind gemäss Bundesrat zu erwägen. Fünftens soll der Schutz von Minderjährigen verbessert werden, insbesondere angesichts des Umstands, dass sie sich über die Folgen und Risiken der Bearbeitung ihrer Daten weniger bewusst seien als Erwachsene. Inwieweit die Reformbestrebungen in der EU eine Revision des DSG in der Schweiz beeinflussen werden, wird sich zeigen müssen; mitunter wird vertreten, ein Nachvollzug sei aufgrund völkerrechtlicher Verpflichtungen (Schengen/Dublin) unabdingbar, was allerdings für die Datenbearbeitung im privaten Bereich nicht zutreffen dürfte. Auch ein autonomer Nachvollzug der angedachten neuen EU-Regelungen erscheint derzeit (richtigerweise) nicht sehr wahrscheinlich, auch wenn der Schweizer Gesetzgeber nicht darum herumkommen wird, die teilweise selben Themen wie in der EU zu prüfen und ggf. zu regeln zu versuchen, wenn auch etwas pragmatischer und weniger detailfokussiert. Der guten Ordnung halber sei an dieser Stelle erwähnt, dass auch die (von der Schweiz ratifizierte) Datenschutzkonvention des Europarats (Konvention Nr. 108) derzeit überholt wird und dies einen Anpassungsbedarf des DSG mit sich bringen kann; diskutiert wird unter dem Titel einer Modernisierung unter anderem die Festschreibung einer Pflicht zur Information bei 34 BBl ff. 714

11 Entwicklungen im privaten Datenschutzrecht ( ) Datenschutzverstössen 35, ein in den vergangenen Jahren ebenfalls immer wieder durchaus kontrovers diskutiertes Datenschutzthema. Die Revision des DSG, die noch einige Jahre beanspruchen dürfte, ist allerdings nicht das einzige laufende Gesetzgebungsprojekt mit Datenschutzbezug. Zwei weitere Projekte aus dem Berichtszeitraum seien hier ebenfalls erwähnt: Im Februar 2013 übermittelte der Bundesrat seine mit Spannung erwartete Botschaft zur Totalrevision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs 36 (BÜPF) 37 an die Räte. Hier geht es um Themen wie die Einführung einer klare(re)n Rechtsgrundlage für den «Staatstrojaner» 38 oder die Ausdehnung des Kreises der Personen, die strafprozessuale Überwachungsmassnahmen ermöglichen bzw. unterstützen müssen, auf eine Vielzahl von Betreibern von Internet-Diensten über die bisher erfassten Fernmeldedienstanbieter hinaus. Das Projekt ist sehr umstritten. Ebenfalls im Februar 2013 schickte der Bundesrat den Entwurf für ein «Souveränitätsschutzgesetz» in die Vernehmlassung 39, welches unter anderem regeln soll, wann und wie Unternehmen in der Schweiz ausländischen Behörden im Zusammenhang mit rechtlichen Angelegenheiten und Verfahren im Ausland Unterlagen liefern und Auskünfte erteilen dürfen. Nebst den Beschränkungen des DSG sorgte in diesem Zusammenhang bisher vor allem Art. 271 StGB für viel Verunsicherung in international tätigen Unternehmen, da im Rahmen dieser Bestimmung sogar das Liefern eigener Dokumente an ausländische Behörden strafbar sein kann, wenn hierfür keine Bewilligung vorliegt. II. Gesetzesänderungen Das DSG ist im Berichtszeitraum nicht geändert worden. Im Gesetz gegen den unlauteren Wettbewerb (UWG) ist mit Art. 3 Abs. 1 lit. u UWG am vgl. ferner SANDRA HUSI-STÄMPFLI, Europaratskonvention 108: Frischzellenkultur, in: digma S. 78 ff. SR ref_fernmeldeueberwachung.html. Programme, welche von Strafverfolgungsbehörden unbemerkt auf Computer von zu überwachenden Personen eingeschleust werden, um deren Verkehr mit Dritten auch über das Internet überwachen zu können (z.b. Internet-Telefongespräche, die sich mit der herkömmlichen Telefonüberwachung nicht abhören lassen); vgl. etwa zum Thema CORINNE STÖCKLI,»Einfach nur dreist», in: Plädoyer 6/2011 S. 15 ff. ref_zssg.html. 715

12 Aktuelle Anwaltspraxis La pratique de l avocat April 2012 hingegen eine neue Bestimmung in Kraft getreten, die zwar dem Lauterkeitsrecht angehört, letztlich aber datenschutzrechtlich motiviert ist. Gemäss der Bestimmung handelt derjenige unlauter, der «den Vermerk im Telefonbuch nicht beachtet, dass ein Kunde keine Werbemitteilungen von Dritten erhalten möchte und dass seine Daten zu Zwecken der Direktwerbung nicht weitergegeben werden dürfen». Nach der Norm sind Werbeanrufe o- der -mitteilungen an Personen künftig verboten, welche zu ihrer betreffenden Telefonnummer bzw. -Adresse in den offiziellen Teilnehmerverzeichnissen der Schweizer Fernmeldedienstanbieter einen Sternvermerk haben eintragen lassen. Ausgenommen sind jene Personen, die in Werbekontakte eingewilligt haben (z.b. im Rahmen eines Preisausschreibens) oder mit denen eine Kundenbeziehung besteht. Die vorsätzliche Verletzung der Bestimmung ist strafbewehrt. Die Lauterkeitskommission hat sich inzwischen ebenfalls zu der neuen Bestimmung geäussert. 40 Umstritten bzw. unklar ist bei dieser erst im Rahmen der parlamentarischen Beratungen eingeführten Norm insbesondere, in welchen Fällen eine Kundenbeziehung noch angenommen werden kann. 41 Zu gewissen Diskussionen führte im Berichtszeitraum auch die Frage, ob mit Bezug auf Adressen im Telefonbuch bzw. Postsendungen der Sterneintrag ebenfalls beachtet werden muss; dies wird inzwischen (auch nach der hier vertretenen Ansicht) weitgehend abgelehnt, u.a. da der Sterneintrag immer nur pro Telefonnummer gesetzt wird und nicht für den gesamten Adresseintrag und da sich aus den Materialien klar ergibt, dass die Norm auf Telefonwerbung zielte, nicht auf Werbung auf dem Postweg. Zu erwähnen sind noch zwei weitere Gesetzesänderungen, die zwar beide nicht die Datenbearbeitung im privaten Bereich regeln, für diese aber von gewissem Interesse sind. Hierzu gehören zunächst die Bestimmungen von Art. 57i 57q RVOG, die ebenfalls am 1. April 2012 in Kraft getreten sind. Sie regeln die Datenbearbeitung im Zusammenhang mit der Benutzung der elektronischen Infrastruktur des Bundes und dabei insbesondere, wie Mitarbeiter der Bundesverwaltung bei der Benutzung von Computern, und Internet-Zugängen überwacht werden dürfen. Es ist dies die erste solche Regelung im Schweizer Recht. Sie schränkt die Überwachung von Mitarbeitern in der Privatwirtschaft zwar nicht ein, doch kann sie als Anhaltspunkt dafür gelten, in welchem Umfang und auf welche Weise der Gesetzgeber eine Überwachung von Mitarbeitern als zulässig und insbesondere als zweifellos verhältnismässig erachtet So etwa die Frage, wie lange eine solche nach dem Ende einer Vertragsbeziehung noch angenommen werden kann. 716

13 Entwicklungen im privaten Datenschutzrecht ( ) Die Regelung von Art. 57i 57q RVOG ist zwar nicht in jeder Hinsicht konsistent und weist gewisse gesetzgeberische Mängel auf 42, doch sind insbesondere die Bestimmungen von Art. 57m 57o RVOG illustrativ. Sie sehen ein dreistufiges Vorgehen bei Überwachungen vor: Zunächst wird «nicht personenbezogen» ausgewertet, was zu den Zwecken, zu welchen Daten aufgezeichnet werden können, frei möglich ist. Dies umfasst u.a. die Wartung und Aufrechterhaltung der Sicherheit ebenso wie die Kontrolle der Einhaltung von Nutzungsreglementen oder Kostenerfassungen. In einer zweiten Stufe kann eine «nicht namentliche personenbezogene» Auswertung erfolgen, d.h. es werden die Aktivitäten einzelner Personen analysiert aber ohne deren Identität aufzudecken bzw. zu bestimmen. Diese ist zur Kontrolle der Nutzung der elektronischen Infrastruktur und zur Kontrolle der Arbeitszeiten zulässig. Schliesslich können die von den Systemen aufgezeichneten Daten auch einer «namentlichen personenbezogenen» Auswertung unterzogen werden, so insbesondere zur «Abklärung eines konkreten Verdachts auf Missbrauch (...) und Ahndung eines erwiesenen Missbrauchs» oder zur Analyse und Behebung von Störungen oder zur Fakturierung. Im ersten Falle wird jedoch u.a. verlangt, dass die betroffene Person vorgängig schriftlich informiert wird, was allerdings in verschiedener Hinsicht einschränkend auszulegen ist 43 und weiter geht als das, was heute im Bereich der Privatwirtschaft auch seitens der Gerichte verlangt wird. Unter gewissen Umständen kann hier sogar eine verdeckte, nicht vorangekündigte Datenerhebung gerechtfertigt sein. 44 Die zweite erwähnenswerte Änderung im Bereich der Datenbearbeitung durch Bundesorgane betrifft den Krankenversicherungsbereich. Hier verlangt Art. 59a Abs. 6 KVV 45 seit 1. Januar 2013, dass alle Krankenversicherer im KVG-Bereich nicht nur über eine Datenannahmestelle für Rechnungen des Typs DRG (Diagnoses Related Groups) verfügen, sondern diese auch nach Art. 11 DSG zertifiziert haben. Es ist dies der erste Fall, in welchem ein schweizerischer Erlass eine Datenschutzzertifizierung verbindlich anordnet. Auf diese Weise, so der Bundesrat, solle der Datenschutz sichergestellt werden. Die Zertifizierung haben verschiedene Krankenkassen bereits erlangt. Die Regelung ist jedoch sehr umstritten; Kritiker bemängeln, dass sie erhebli Vgl. die ausführliche Kommentierung in: DAVID ROSENTHAL, in: Calame/Hess- Blumer/Stieger (Hrsg.), Patentgerichtsgesetz (PatGG) Kommentar, Basel 2013, Art. 5a PatGG. DAVID ROSENTHAL, in: Calame/Hess-Blumer/Stieger (Hrsg.), Patentgerichtsgesetz (PatGG) Kommentar, Basel 2013, N 80 ff. zu Art. 5a PatGG. Vgl. etwa das Urteil des BGer 6B.536/2009 vom 12. November 2009, betr. eine versteckte Videokamera zur Aufdeckung eines Diebstahls, kommentiert in Besprechung von DAVID ROSENTHAL, Entwicklungen im privaten Datenschutzrecht März März 2011, in: Furrer (Hrsg.), Aktuelle Anwaltspraxis 2011, Bern 2011, S. 593 (Videoüberwachung am Arbeitsplatz). SR

14 Aktuelle Anwaltspraxis La pratique de l avocat 2013 che Kosten zulasten der Prämienzahler verursacht. Mit Datenschutzaudits hätte dasselbe Ziel mit wesentlich geringerem Aufwand erreicht werden können. Es bleibt abzuwarten, ob der Gesetzgeber Datenschutzzertifizierungen nach Art. 11 DSG, die bisher auf wenig Interesse gestossen sind, in Zukunft auch für andere (regulierte) Bereiche bzw. Branchen vorschreibt. II. Rechtsprechung Im Berichtszeitraum wurden verschiedene, mitunter wichtige Urteile im Zusammenhang mit dem Datenschutz gefällt. Die für private Datenbearbeiter Wichtigsten werden nachfolgend zusammengefasst dargestellt. In zwei Fällen wurden auch Empfehlungen des EDÖB aufgenommen 46, die von den betroffenen Unternehmen akzeptiert worden sind und es daher nicht zu einer gerichtlichen Beurteilung kam. Sie liefern trotz allem wichtige Anhaltspunkte für die Praxis des EDÖB. Nicht weiter erörtert wird an dieser Stelle die Praxis zum Datenschutzrecht der EU. Trotzdem ist darauf hinzuweisen, dass die Art. 29 Datenschutzgruppe 47 im Berichtszeitraum eine Reihe von Stellungnahmen und Arbeitspapieren zu auch für die Schweiz wichtigen Datenschutzfragen veröffentlicht hat, so namentlich zum Begriff der Einwilligung 48, zum «Behavioural Advertising», d.h. zu den auf vorgängiger Profilbildung basierenden Werbemassnahmen 49, zum Einsatz von Ortungstechnologien auf mobilen Geräten 50, zu Cloud Computing 51, zum Einwilligungserfordernis bei «Cookies» 52 (zu diesem Thema ist insbesondere auch die Wegleitung des britischen Datenschutzbeauftragten ICO empfehlenswert 53 ), zum Einsatz von Corporate Binding Rules für Auftragsdatenbearbeiter 54, zum Datenschutz bei Apps 55, zur Ge- Vgl. Art. 29 DSG /the_guide/~/media/documents/library/privacy_and_electronic/practical_application/c ookies_guidance_v3.ashx

15 Entwicklungen im privaten Datenschutzrecht ( ) sichtserkennung 56 und zum in der Öffentlichkeit (unverdienterweise) weitgehend unbeachtet gebliebenen Thema des Smart Metering Bilder im Internet (Google Street View) Der Fall «Google Street View» 58 sorgte mit dem Entscheid des Bundesgerichts vom 31. Mai 2012 (publiziert in BGE 138 II 346) erneut für Schlagzeilen weit über die Schweiz hinaus und fand auch in der Literatur entsprechende Beachtung 59 ; der Entscheid der Vorinstanz wurde an dieser Stelle bereits früher kommentiert 60, weshalb darauf nicht mehr eingegangen wird. Google Street View ist eine Funktion von Google Maps 61, mit welcher sich im Internet virtuelle Rundgänge auf Strassen in der Schweiz und vielen anderen Gegenden der Erde unternehmen lassen. Die Aufnahmen werden mit speziell dafür ausgestatteten Fahrzeugen getätigt. Nach der Aufnahme der Bilder werden diese aufbereitet, wobei die Gesichter von aufgenommenen Personen sowie die Kennzeichen von Fahrzeugen automatisch unkenntlich gemacht werden. Der EDÖB klagte gegen zwei Google-Gesellschaften, weil diese seine Empfehlung nicht wie verlangt umsetzen wollten. Im Prozess verlangte der EDÖB unter anderem, dass nur noch Bilder veröffentlicht werden, auf denen ausnahmslos alle Gesichter und Kennzeichen unkenntlich gemacht sind, vor sensiblen Einrichtungen volle Anonymität gewährleistet Der Autor des vorliegenden Beitrags war Rechtsvertreter von Google. JÜRG SCHNEIDER/OLIVER M. KUNZ, Google Street View in der Schweiz Datenschutz Persönlichkeitsschutz, Anmerkung, in: MR-Int 1-2/2012 S. 43 ff.; PATRICIA HAGER, Google Street View Eine Verletzung des Rechts am eigenen Bild?, in: Jusletter 23. Juli 2012; ALEX SCHWEIZER, Google Street View: Veröffentlichung personenbezogener Bilder im Internet, in: Digitaler Rechtsprechungs-Kommentar, Push- Service Entscheide, publiziert am 11. Juli 2012; ROLF H. WEBER, Switzerland: Data Protection Limitations for Google Street View Service, in: CRi 4/2012 S. 125 ff.; AMÉDÉO WERMELINGER, Google Street View: On the road again? Bemerkungen zum Urteil (des Bundesgerichts) 1C_230/2011 vom 31. Mai 2012, in: digma S. 134 ff.; JULIA BHEND, Die Bedeutung des Street View-Urteils für die Veröffentlichung von Bildern im Internet, in: sic! 11/2012, S. 700 ff.; MATTHIAS SCHWAIBOLD, Schweizer Bundesgericht bestätigt Auflagen für Google Street View, in: K&R, 7/8/2012 S. 547 f. DAVID ROSENTHAL, Entwicklungen im privaten Datenschutzrecht März März 2011, in: Furrer (Hrsg.), Aktuelle Anwaltspraxis 2011, Bern 2011, S. 606 ff. (Google Street View)

16 Aktuelle Anwaltspraxis La pratique de l avocat 2013 ist, Bilder von umfriedeten Höfen und Gärten entfernt und keine ohne Einwilligung aufgenommene Privatstrasse abgebildet werden. Vor Bundesgericht ging es im Kern um die Frage, ob der Mechanismus zur automatischen Unkenntlichmachung von Gesichtern und Autokennzeichen vollständig fehlerfrei funktionieren muss oder ob gewisse Fehler (d.h. nicht erkannte und daher nicht verwischte Gesichter) noch hinnehmbar sind. Google hatte geltend gemacht, dass eine vollständige Fehlerfreiheit auch mit den besten automatischen Programmen nicht möglich sei und daher eine manuelle Prüfung jedes Bildes erfordere, was so teuer sei, dass der Dienst nicht mehr weitergeführt werden könne. Die Fehlerrate 62 lag bei knapp unter 1% der potenziell erkennbaren Gesichter. Das Bundesgericht erachtete eine solche Fehlerrate entgegen der Vorinstanz und dem EDÖB als ausreichend, sofern wie dies der Fall sei die Technik laufend verbessert werde und eine Möglichkeit bestehe, nachträglich Bilder manuell unkenntlich machen zu lassen (E und 10.7). Ferner konkretisierte es den Entscheid der Vorinstanz, wonach Aufnahmen von umfriedeten Höfen und Gärten dann nicht erlaubt seien, wenn sie auch dem Blick «eines gewöhnlichen Passanten verschlossen bleiben» würden. 63 Konkret legte es die maximale Aufnahmehöhe auf zwei Meter fest und gewährte eine Übergangsfrist zur Anpassung der Bilder von drei Jahren (ebd.). Es bestätigte, dass um «sensible Institutionen» eine Verwischung der Gesichter nicht genügt, sondern eine vollständige Anonymisierung gewährleistet sein müsse, wobei es die beispielhafte Aufzählung solcher Institutionen als hinreichend klare Definition des Begriffs erachtete (E ). Die Pflicht, in den Medien generell über die Widerspruchsmöglichkeit und speziell bevorstehende Aufnahmen und Aufschaltungen von Bildern zu informieren, wurde bestätigt (E , 11). Der Entscheid des Bundesgerichts ist über den konkreten Fall hinaus in mehrfacher Hinsicht aufschlussreich. So macht er deutlich, dass für Verfahren nach Art. 29 DSG insbesondere mit Bezug auf Interessenabwägungen andere Regeln gelten als im Falle einer Interessenabwägung im konkreten Einzelfall, d.h. im Falle einer (zivilrechtlichen) Klage einer einzelnen betroffenen Person. Das Bundesgericht hielt dies nicht nur ausdrücklich fest («Die II. zivilrechtliche Abteilung beurteilt die Widerrechtlichkeit einer Persönlichkeitsverletzung nicht unter den in der vorliegenden Angelegenheit massgebenden datenschutzrechtlichen Gesichtspunkten», E. 12). Es führte dies im Rahmen der Interessenabwägung im konkreten Fall auch näher aus. Dazu erläuterte das Bundesgericht, dass in der Interessenabwägung in Fällen gemäss Art. 29 DSG nicht die Interessen der einzelnen betroffenen Person mit Bezug auf eine konkrete Verletzung einzubeziehen sind, sondern «ob und D.h. die Nichtverwischung. Entscheid des BVerwG A-7040/2009 vom 31. März 2011 E

17 Entwicklungen im privaten Datenschutzrecht ( ) inwieweit die Bearbeitungsmethoden... insgesamt geeignet sind, die Persönlichkeiten einer grösseren Anzahl von Personen zu verletzen» (E. 10.2). Das so verstandene Datenschutzinteresse gegen eine Bearbeitungsmethode könne, wenn es um eine Vielzahl von Personen gehe, auch ein öffentliches sein, was in der Interessenabwägung in Fällen nach Art. 29 DSG zu berücksichtigen sei, wie das Bundesgericht sinngemäss ausführte (E. 10.1) 64. In gleicher Weise sind jedoch auch die Interessen an der zur Diskussion stehenden Bearbeitungsmethode zu berücksichtigen, und zwar nicht nur die Interessen des Bearbeiters selbst, sondern aller Personen, die an ihr ein schützenswertes Interesse haben, was auch Dritte oder sogar die betroffenen Personen selbst sein können (E. 10.3). Was das heisst, zeigte das Bundesgericht am konkreten Fall: Zwar ging es davon aus, dass durchaus zahlreiche Personen in ihrer Persönlichkeit verletzt sein könnten, dass jedoch «ein namhafter Teil der mit Street View hervorgerufenen Persönlichkeitsverletzungen nicht sehr schwer wiegt und mit einer unbürokratisch gehandhabten Widerspruchsmöglichkeit hinreichend korrigiert werden kann» (E ). Dem wurden anders noch als in der Vorinstanz nicht nur die vorwiegend wirtschaftlichen Interessen von Google gegenübergestellt, sondern auch die Interessen Dritter, die aus Street View einen Nutzen durch erleichterte Informationsbeschaffung und -verwendung ziehen (und die letztlich bei einer Einstellung des Dienstes auf dem Spiel standen) (E ). Auch allfällige «unlautere Absichten gewisser Nutzer» würden die grundsätzlichen positiven Aspekte von Street View nicht infrage stellen, so das Bundesgericht (ebd.). Das Bundesgericht führte weiter aus, dass «angesichts der in der heutigen Gesellschaft faktisch bestehenden Einbindung von Personendaten in die soziale Realität nicht ein totaler Schutz vor einer unbefugten Bildveröffentlichung gewährleistet werden kann», was in der gesamthaften Interessenabwägung auch zu beachten sei (E ). Mit anderen Worten: Eine Bearbeitungsmethode, die eine Vielzahl von Persönlichkeitsverletzungen verursacht, kann trotz allem gerechtfertigt sein, weil in der heutigen Informationsgesellschaft ein vollständiger Schutz der Persönlichkeit gesellschaftlich nicht (mehr) erwartet wird. Insgesamt sei es gemäss Bundesgericht «nicht gerechtfertigt», Google zusätzlich zur automatischen Anonymisierung, zur vollständigen Unkenntlichmachung aller Gesichter und Fahrzeugkennzeichen in Street View zu verpflichten (E. 10.7). Trotz diesem pragmatischen Ergebnis muss zur Kenntnis genommen werden, dass eine Bearbeitungsmethode in einem Verfahren nach Art. 29 DSG zwar abstrakter, tendenziell aber schärfer beurteilt wird als in einem konkreten Einzelfall vor einem Zivilrichter. Denn während in letzterem Fall betreffend 64 Damit präzisierte das Bundesgericht seine früheren Aussagen in BGE 136 II 508, E

18 Aktuelle Anwaltspraxis La pratique de l avocat 2013 die Interessen gegen eine Datenbearbeitung nur jene der einzelnen, betroffenen Person relevant sind und es darauf ankommt, wie sehr sie tatsächlich verletzt sind, müssen bei einem Verfahren nach Art. 29 DSG gemäss dem Street-View-Entscheid des Bundesgerichts die Interessen aller potenziell Betroffenen in die Waagschale der Interessenabwägung geworfen werden, wobei es genügt, dass ihre Persönlichkeit verletzt werden könnte, um ein Interesse gegen die Bearbeitung anzunehmen. Obwohl es dabei immer um dasselbe Rechtsgut geht, ist sein Schutz somit trotz identischer materieller Rechtsgrundlagen je nach Verfahren unterschiedlich zu beurteilen. Zudem kann im Rahmen eines Verfahrens nach Art. 29 DSG nach der Art und Schwere der überhaupt möglichen Verletzungen nicht oder nur in sehr begrenztem Umfange differenziert werden, was Verfahren nach Art. 29 DSG zu einem vergleichsweise «groben» Instrument macht («one size fits all» oder besser «one size must fit all»). Das trifft vor allem die Datenbearbeiter, denn den betroffenen Personen steht im Einzelfall der Gang vor Zivilgericht auch dann noch offen, wenn in ihrem konkreten Fall ein Verfahren nach Art. 29 DSG keine angemessene Lösung herbeiführt. Der Entscheid des Bundesgerichts in Sachen Street View ist auch in verschiedener anderer Hinsicht über den konkreten Fall hinaus von Interesse. 65 Ein Punkt betrifft das Territorialitätsprinzip, das aufgrund der öffentlichrechtlichen Natur der Streitigkeit zur Begründung der Zuständigkeit des EDÖB erfüllt sein musste: Das Bundesgericht stützte die Vorinstanz darin, dass der EDÖB auch eine im Ausland erfolgte Publikation von Bildern prüfen kann, wenn diese zuvor in der Schweiz aufgenommen wurden und hier abrufbar sind und somit eine allfällige Persönlichkeitsverletzung in der Schweiz stattfindet (E. 3.3). Damit ging es von einer relativ niedrigen Schwelle zur Annahme eines inländischen Sachverhalts bei ausländischen Internet- Publikationen mit einem inhaltlichen Bezug zur Schweiz aus; ein solcher ist nötig, damit das Territorialitätsprinzip greift. Bei der Frage, ob die nicht verwischten Gesichter und Fahrzeugkennzeichen überhaupt Personendaten darstellen, stimmte das Bundesgericht der Vorinstanz zu, wonach die auf einem Teil der nicht verwischten Personenbilder abgebildeten Personen nicht nur bestimmbar, sondern bereits bestimmt waren, sich der Personenbezug somit «aus der Abbildung selbst» ergeben hat und es jedenfalls bei Aufnahmen von Personen in ihrem Lebensumfeld «zumindest nicht auszuschliessen» sei, dass Nachbarn oder Bekannte sie erkennen würden, was vorliegend zur Annahme von Personendaten genügte (E. 6.3, 6.4). Das Bundesgericht prüfte denn auch nicht, ob Benutzer von 65 Vgl hierzu insbesondere auch die Ausführungen von JULIA BHEND, Die Bedeutung des Street View-Urteils für die Veröffentlichung von Bildern im Internet, in: sic! 11/2012 S. 700 ff. 722

19 Entwicklungen im privaten Datenschutzrecht ( ) Street View sich die Mühe machen würden, die in Street View abgebildeten Personen zu identifizieren (subjektive Komponente), auch wenn es davon ausging, dass dies in etlichen Fällen möglich sein dürfte (objektive Komponente) (E. 6.4). Das Bundesgericht äusserte sich weiter zur Anwendung des Grundsatzes der Zweckbindung und Erkennbarkeit (Art. 4 Abs. 3 und 4 DSG). Es stellte sich die Frage, ob es für Passanten hinreichend klar sei, was die Kamerafahrzeuge von Google jeweils tun. Hier wendete das Bundesgericht einen relativ strengen Massstab an: Der Zweck der Fahrzeuge, Strassenzüge (etc.) systematisch abzufahren und abzubilden und die Aufnahmen ohne Zustimmung der Betroffenen im Internet zu veröffentlichen, sei «nicht ohne Weiteres erkennbar», auch wenn Street View in der Schweizer Bevölkerung mittlerweile einen hohen Bekanntheitsgrad geniessen würde; es sei für Anwesende nicht erkennbar, ob ein vorbeifahrendes Google-Fahrzeug gerade Aufnahmen tätige (E. 9.1). Ob dieser Standard auch für andere (nicht dauernd benutzte) Kameras gelten soll, blieb offen. Insgesamt wurde bei der Beurteilung der Bearbeitungsgrundsätze jedoch ein sehr strenger Standard angewandt. Im Zentrum des Entscheids stand neben der Interessenabwägung das «Recht am eigenen Bild», ein nicht im DSG verankerter Grundsatz. Seine Verletzung muss jedoch im Rahmen von Art. 4 Abs. 1 DSG geprüft werden und wird damit auch zum «Datenschutzthema» (und nur solche können Gegenstand eines Verfahrens nach Art. 29 DSG sein) (E. 8.1). Gemäss dem Recht am eigenen Bild darf grundsätzlich niemand ohne seine (vorgängige oder nachträgliche) Zustimmung abgebildet werden, sei es durch Zeichnung, Gemälde, Fotografie, Film oder ähnliche Verfahren (E. 8, m.w.h.). Es schütze nicht nur gegen gezieltes, auf Identifikation und Ausforschung gerichtetes Erstellen von Fotos, sondern soll auch verhindern, «dass jede private Lebensäusserung, die in der Öffentlichkeit stattfindet, wie zum Beispiel ein Abschiedskuss auf der Strasse oder die Beerdigung eines Menschen der Allgemeinheit bekannt wird» (E. 8.2). Der Einzelne solle sich nicht dauernd beobachtet fühlen (ebd.). Dem steht die ebenfalls vom Bundesgericht entwickelte Sphärentheorie und darauf aufbauende Praxis im Bereich von Versicherungsobservationen gegenüber, wonach Tatsachen und Vorgänge aus dem Gemein- oder Öffentlichkeitsbereich von jedermann ohne Weiteres wahrgenommen und auch weiterverbreitet werden dürfen, sofern die Privatsphäre einer Person nicht deshalb betroffen ist, weil deren Tätigkeit in der Öffentlichkeit systematisch dokumentiert wird 66 (was vorliegend anders als etwa im Rahmen einer Observation aber nicht zur Diskussion stand). Das Bundesgericht befasste sich im Rahmen des Rechts am eigenen Bild weiter mit der Frage, wann eine abgebildete Person ein auch ohne ihre Zu- 66 BGE 136 III 410, E

20 Aktuelle Anwaltspraxis La pratique de l avocat 2013 stimmung zulässiges «Beiwerk» bzw. «Mitfang» oder «Staffage» sei (E. 8.3). Schon bisher war klar, dass eine Person dann kein Beiwerk mehr ist, wenn sie individualisiert, d.h. um der Person willen dargestellt wird. 67 Das Bundesgericht hielt fest, dass die Veröffentlichung eines individualisierenden, das heisst nicht rein zufälligen Bildes ohne Einwilligung des Betroffenen immer eine Persönlichkeitsverletzung darstelle, und zwar unabhängig davon, ob bereits die Aufnahme unrechtmässig erfolgte (ebd.). Neu befand das Bundesgericht, dass auch derjenige die Persönlichkeit verletzt, der ein Bild publiziert, auf welchem eine Person zunächst Beiwerk ist (denn es war unbestritten, dass Personen in Street View nicht um ihrer Person willen und rein zufällig aufgenommen wurden), dann aber «durch ein Informationsinteresse des Publikums ins Zentrum des Bildes gerückt oder mittels der Zoom-Funktion derart vergrössert» wird, so dass die Person nicht mehr (nur) als untergeordneter Teil eines belebten Strassenbildes erscheint, auch wenn dies nicht Ziel der Veröffentlichung war (E. 8.3). Im Ergebnis zielt diese Überlegung auf die (individualisierende) Verwendung von Bildern aus Street View durch Dritte (z.b. Zeitungen, die Ausschnitte von Street-View-Bildern publizieren und in einen heiklen Zusammenhang stellen 68 ) ab, rechnet diese vorliegend jedoch Google zu, welche die Bilder ursprünglich veröffentlichte, wenn auch in der Totalen. Die Schranken zur Annahme einer Verletzung des Rechts am eigenen Bild erscheinen damit herabgesetzt, denn bisher galt, dass Aufnahmen von öffentlichen Situationen, in denen Personen lediglich als zufälliges Beiwerk und nicht in verfänglicher Weise erscheinen, keine Persönlichkeitsverletzung sind. 69 Die Möglichkeit, Ausschnitte harmloser Bilder nachträglich so zu vergrössern und auf eine bestimmte Person zu fokussieren, dass diese im (neu erstellten) Bild individualisiert erscheint, gibt es freilich überall, wo Lupen oder Bilder in digitaler Form zur Verfügung stehen und daher vergrössert werden können. 70 Dogmatisch lässt sich dies allenfalls damit begründen, dass sich im Falle einer Persönlichkeitsverletzung der Richter gegen jeden anrufen lässt, der an einer solchen mitwirkt (Art. 28 Abs. 1 ZGB; vgl. nachfolgend Ziff. 2 den Entscheid «Tribune de Genève zum Begriff der «Mitwirkung»). Eine andere Möglichkeit zur Begründung ist die besondere Konstellation von Verfahren nach Art. 29 DSG, in welchen nicht einzelne Fälle analysiert werden, sondern Vgl. etwa BGE 136 III 410, E ; BGE 127 II 481, E. 3a/aa. Vgl. etwa (der angebliche Dealer stellte sich als Wirt heraus, der Essensgutscheine verteilte; der»blick» entschuldigte sich daraufhin für den Bericht). BGE 136 III 410, E In Street View sorgte die Zoom-Funktion nicht für eine höhere Auflösung, sondern hatte ebenfalls nur die Wirkung einer Lupe. Die Auflösung der Bilder entsprach insgesamt dem, was ein Mensch mit einer Sehkraft von noch 60% sehen kann, wie im Verfahren nachgewiesen wurde. 724