Datenschutz im E-Commerce

Transkript

1 Prof. Dr. Rolf H. Weber Datenschutz im E-Commerce I. Grundlagen Bedeutung von Database Marketing und Customer Relationship Management Funktionsweise der Datenbeschaffung im Internet Direkterhebungen Indirekterhebungen Technische Analysemittel Begriff der Datensammlung Relevante Daten Datenarten Personendaten Besonders schützenswerte Daten und Persönlichkeitsprofile Datenaufbereitung Data Warehousing Data Mining...6 II. Zulässigkeit des Database Marketing nach DSG Objektive Grundsätze Zulässigkeit der Datenbeschaffung Rechtmässigkeit Treu und Glauben Verhältnismässigkeit Zweckbindung Zulässigkeit der Datenverwendung Treu und Glauben Verhältnismässigkeit Zweckbindung Überprüfung der Richtigkeit der Daten Subjektive Einwilligung Voraussetzungen einer rechtmässigen Einwilligung Einwilligungsklausel in Allgemeinen Geschäftsbedingungen Weitere Aspekte Beachtung der Vorschriften über die Datenbekanntgabe ins Ausland Datensicherheit Auskunftspflicht Registrierungspflicht...12 III. Rechtsfolgen bei einer DSG-Verletzung Zivilrechtliche Rechtsbehelfe Strafrechtliche Folgen...13 IV. Revisionsbestrebungen Rechtsvergleichung Europäische Union Deutschland Revisionsentwurf DSG...15 Weber 1

2 2.1. Differenzierte Informationspflicht bei der Erhebung von Personendaten Klärung des Zustimmungsbegriffs Wegfall der Meldepflicht Untersagung der Datenbearbeitung Selbstregulierung und Datenschutz-Audit...16 V. Ausblick...17 I. Grundlagen 1. Bedeutung von Database Marketing und Customer Relationship Management Die Abwicklung elektronischer Geschäftstransaktionen hinterlässt Spuren der daran beteiligten Personen; weil diese Spuren elektronisch erfasst sind, verursacht es keine erheblichen oder stark kostenträchtigen Umtriebe, die einzelnen Informationen zu Datensammlungen zu kompilieren. Die zusammengetragenen Daten sind für die Unternehmen insoweit von grosser Bedeutung, als Geschäftsaktivitäten und Kundenbeziehungen sich auf die daraus gewonnenen Erkenntnisse abzustützen vermögen. Als neuere Werbeform hat sich in den letzten Jahren das Database Marketing entwickelt. Darunter wird ein Marketing auf der Basis kundenindividueller, in einer Datenbank gespeicherter Informationen verstanden. Marketing, Produktplanung und Vertriebspolitik lassen sich danach individuell und direkt auf den einzelnen Kunden abstimmen. Je grösser die Menge von kundenbezogenen Daten ist, um so effizienter lässt sich das Database Marketing vornehmen. Die Sammlung und fortlaufende Bewirtschaftung von Daten über Kunden ist ein wichtiger Teil des Customer Relationship Management. Diese Dienstleistungsart kann das betroffene Unternehmen selbst wahrnehmen oder an ein Drittunternehmen in Form eines Outsourcing übertragen. Denkbar ist aber auch die selbständige Tätigkeitsentfaltung durch ein spezialisiertes Unternehmen, das Daten sammelt und hernach an interessierte Produkteanbieter verkauft. 2. Funktionsweise der Datenbeschaffung im Internet 2.1. Direkterhebungen Die Beschaffung von Daten ist durch Direkterhebung bei der betroffenen Person möglich: Durchführung einer direkten mündlichen oder schriftlichen Befragung der betroffenen Person; Weber 2

3 Vornahme einer Befragung mittels eines technischen Mediums, das einen direkten Kontakt herstellt (z.b. Telefon, Telefax, Mail); Erfassung unmittelbarer Wahrnehmungen und Beobachtungen mit Bezug auf die betroffene Person. Direkterhebungen lassen sich manuell (z.b. schriftlich) oder elektronisch vornehmen Indirekterhebungen Als Formen von indirekten Datenerhebungen hinsichtlich einzelner Personen kommen folgende Vorgehensweisen in Betracht: Beschaffung von Informationen, welche über eine Person allgemein bekannt sind (z.b. Telefonbuch, Branchenverzeichnis); Beschaffung von Daten, welche Dritte gesammelt haben und rechtmässig weitergeben dürfen (z.b. öffentliche Register, Adresshändler, staatliche Stellen); Beschaffung von Daten durch Befragungen von Dritten, die Auskunft geben dürfen (z.b. Arbeitgeber, Arbeitskollegen, Angehörige, Nachbarn). Die indirekte Datenbeschaffung kann ebenfalls manuell oder elektronisch erfolgen; deren Problematik liegt meist im Umfang der von Dritten in zulässiger Weise übermittelbarer Daten; sowohl für Privatpersonen gemäss Datenschutzgesetz (DSG) als auch für öffentliche Stellen aus vielfältigen Vertraulichkeitsgründen (z.b. Amtsgeheimnis) ist die Datenbekanntgabe an Dritte nämlich nicht ohne weiteres möglich Technische Analysemittel In jüngerer Zeit nimmt die Bedeutung von technischen Analysemitteln zur Datenerhebung stark zu; im Vordergrund stehen folgende Vorgehensweisen: Beschaffung von Daten im Internet mittels Eruierung des Surfverhaltens von Homepage- und Website-Besuchern sowie mittels spezieller Suchprogramme; Einsatz der sog. Data Mining-Technologie zum Auffinden und Zusammenstellen von Daten; Beschaffung von Daten durch Überwachung- und Sicherheitstechnologien, elektronische Zugangskontrollen und biometrischen Verfahren sowie durch Auswertung von Chipkarten-Technologien; Beschaffung von Daten durch interaktive Kommunikationssysteme sowie durch Videokameras und Abhöranlagen. Weber 3

4 Technische Analyseverfahren sind datenschutzrechtlich deshalb problematisch, weil die Sammlung der Daten oft ohne Wissen und damit insbesondere ohne Zustimmung des Betroffenen erfolgt; zudem besteht das Risiko einer Weitergabe der Daten an Dritte. 2.4 Begriff der Datensammlung Als Datensammlung gilt gemäss Art. 3 lit. g DSG jeder Bestand von Personendaten, der in einer Weise strukturiert ist, dass Informationen über eine bestimmte Person sich mit vernünftigem Aufwand auffinden lassen. Massgeblich sind somit die Kriterien der Information über eine Person und der (relativ) leichten Erschliessbarkeit der Information. Eine Datensammlung muss deshalb einen irgendwie systematisch strukturierten Aufbau aufweisen. Angesichts der Offenheit des Begriffs der Datensammlung ist naheliegend, dass eine Beschaffung und Zusammenstellung von Daten bald den gesetzlichen Tatbestand erfüllt. 3. Relevante Daten 3.1. Datenarten Bei elektronischen Geschäftsabwicklungen fallen verschiedene Kategorien von Daten an, die datenschutzrechtlich gegebenenfalls nicht deckungsgleiche Beurteilungen erfahren; im Einzelnen ist die Umschreibung von Datenarten nicht einheitlich, doch lassen sich grundsätzlich folgende Differenzierungen vornehmen: Stammdaten (Bestandsdaten): Zu den Stammdaten gehören die Grunddaten einer Geschäftsbeziehung wie Name und Adresse, andere Identifikationszeichen, technische Angaben, Statusinformationen, Bankverbindung. Verbindungsdaten (Nutzungsdaten): Die Verbindungsdaten zeigen an, wer wann mit wem wie Daten ausgetauscht oder welche Dienste genutzt hat; betroffen sind übermittelte Kommunikationen und auch reine Besuchsvorgänge, was die Schaffung von Aktivitätsprofilen ermöglicht; erfasst werden die Verbindungsdaten von den Log-Files. Inhaltsdaten: Die Inhaltsdaten betreffen die eigentlichen Informationen (z.b. Mail-Text oder Bestellung). Entgeltsdaten (Abrechnungsdaten): Die Entgeltsdaten werden für Abrechnungszwecke verwendet, insbesondere vom Access Provider oder vom Service Provider. Weber 4

5 Kommunikationsdaten: Die Kommunikationsdaten können Gegenstand einer von Nutzern erstellten Sammlung von Transaktionsvorgängen sein (z.b. News Groups, Bulletin Boards, Diskussionsforen) Personendaten Personendaten sind Daten, die Bezug nehmen auf eine bestimmte oder bestimmbare Person (Art. 3 lit. a DSG). Nicht von Bedeutung ist, ob es sich um eine Tatsache, eine Feststellung oder um ein Werturteil handelt; unerheblich ist auch, ob eine Aussage als Zeichen, Wort, Bild, Ton oder Kombination aus diesen Elementen auftritt und auf welcher Art von Datenträger (Papier, Film, elektronischer oder optoelektronischer Datenträger) die Information gespeichert ist. Personendaten liegen nur vor, wenn die Person bestimmt oder zumindest bestimmbar ist. Die Identität kann sich aus Name, Schlüssel oder anderen Hinweisen ergeben; die Identifikation muss ohne unverhältnismässigen Aufwand möglich sein. Sinnvoll von relevanten Personendaten lässt sich schliesslich nur sprechen, wenn der Inhalt der Daten eine minimale Aussagekraft aufweist; dieses gesetzlich nicht erwähnte Element ist indessen vorausgesetzt, damit überhaupt eine gebrauchsfähige Datensammlung entstehen kann Besonders schützenswerte Daten und Persönlichkeitsprofile Art. 3 lit. c DSG umschreibt die besonders schützenswerten Personendaten; darunter fallen Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten, über die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit, über Massnahmen der sozialen Hilfe und administrative oder strafrechtliche Verfolgungen. Im Zusammenhang mit dem E-Commerce sind diese Daten nicht von besonderer Bedeutung. Wichtiger ist hingegen der Begriff des Persönlichkeitsprofils gemäss Art. 3 lit. d DSG, der als Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt, umschrieben wird. Das Zusammenführen unterschiedlicher Computerdaten im Rahmen des Database Marketing führt oft zu einem solchen Persönlichkeitsprofil, z.b. weil Konsumgewohnheiten eines Kunden daraus ableitbar sind. Bei Vorliegen eines Persönlichkeitsprofils sind besondere datenschutzrechtliche Rahmenbedingungen einzuhalten. Weber 5

6 4. Datenaufbereitung 4.1. Data Warehousing Als Data Warehouse gelten Datenbanken, die von den operationalen Datenverarbeitungssystemen isoliert sind und als unternehmensweite Datenbasis für Management-Informations-Systeme (MIS) dienen. In einem Data Warehouse sind subjektorientierte, integrierte, zeitraumbezogene, beständige Daten gesammelt, die Entscheidungsprozesse des Managements unterstützen. Qualitativ wird eine grosse Menge an strukturierten, bereinigten und verdichteten Daten zur Entscheidungsunterstützung verwaltet. Die erwähnten Elemente des Data Warehousing lassen sich wie folgt konkretisieren: Subjektorientiert: Die Datensammlung erfolgt nicht funktions- oder anwendungsorientiert, sondern mit Bezug auf eine bestimmte Person. Integriert: Die Daten über eine Person werden aus den verschiedensten Datenquellen und heterogenen operativen Datenverabeitungssystemen zusammengezogen und vereinheitlicht. Zeitraumbezogen: Die Daten decken einen gewissen Ablauf von Ereignissen ab. Beständig: Gesammelte Daten bleiben dauerhaft bestehen, wenn nicht veränderte Umstände eine Anpassung oder Aktualisierung der Datensammlung verlangen. Für ein kleines Data Warehouse wird oft auch der Begriff Data Mart verwendet Data Mining Der Begriff des Data Mining beinhaltet eine Reihe von Technologien, mit deren Hilfe Unternehmen entscheidungsrelevante Informationen aus Datenbanken extrahieren können. Diese Technologien setzen sich aus statistischen Modellen und Verfahren der künstlichen Intelligenz zusammen. Sie ermöglichen die Analyse und Prognose von Verhaltensweisen und Trends. Ein Data Mining liefert dem Management Erkenntnisse und Zusammenhänge, die sonst verborgen bleiben oder ausser acht gelassen werden, weil sie entweder für nicht entscheidungsrelevant oder für nicht analysierbar gelten. Für das Data Mining sind die erwähnten technischen Analyseverfahren von grosser Bedeutung. Gestützt auf Assoziationsregeln, neuronale Netze, Clusteranalysen und Entscheidungsbäume wird versucht, automatisierte Vorhersagen mit Bezug auf künftige Trends und auf Verhaltensweisen von Kunden zu erstellen. Das Data Mining ist somit ein Prozessablauf, welcher dazu beitragen soll, Veränderungen im Kundenverhalten frühzeitig zu entdecken und Weber 6

7 das Unternehmen in die Lage zu versetzen, geschäftspolitisch entsprechend zu reagieren. II. Zulässigkeit des Database Marketing nach DSG Das Datenschutzgesetz von 1992, das derzeit vor einer Revision steht, umschreibt objektive Grundsätze mit Bezug auf die Datenbearbeitung und regelt die subjektiven Aspekte der Datenbearbeitung. Dem Datenschutzregime unterstehen in der Schweiz nicht nur natürliche Personen, sondern auch im Gegensatz etwa zu Deutschland der der Datenschutz-Richtlinie der Europäischen Union juristische Personen. 1. Objektive Grundsätze 1.1. Zulässigkeit der Datenbeschaffung Rechtmässigkeit Personendaten dürfen nur rechtmässig beschafft werden (Art. 4 Abs. 1 DSG). Konkret bedeutet dieser Grundsatz, dass sich ein zur Datensammlung entschlossenes Unternehmen keine Rechtsverstösse erlauben darf und sich an die relevanten Rechtsgrundlagen, insbesondere die materiellen Grundsätze der Datenbeschaffung und Datenbearbeitung, zu halten hat Treu und Glauben Der Grundsatz von Treu und Glauben gemäss Art. 4 Abs. 2 DSG will die Freiwilligkeit der Zurverfügungstellung von Daten schützen; treuwidrig verhält sich z.b., wer unter Vorspiegelung falscher Tatsachen die Daten vom Betroffenen selbst erhält oder wer durch Beobachten oder Abhören von Personen heimlich Informationen beschafft. Unzulässig ist eine Datenbeschaffung auch, (1) wenn der Betroffene durch eine unzutreffende Angabe zur Datenbeschaffung über den eigentlichen Zweck im Unklaren gelassen wird, (2) wenn in einer späteren Phase ungefragt eine Zweckänderung stattfindet oder (3) wenn die Zweckangabe verschleiert bzw. völlig intransparent erfolgt. Aus dem Grundsatz von Treu und Glauben folgt zudem das Gebot der Transparenz gegenüber dem Betroffenen hinsichtlich des Standes der Datenbearbeitung Verhältnismässigkeit Das aus dem öffentlichen Recht bekannte Verhältnismässigkeitsprinzip hat bisher im Datenschutzrecht noch keine klaren Konturen erfahren, obwohl es sich Weber 7

8 um den Angelpunkt der materiellen Prinzipien handelt (Art. 4 Abs. 2 DSG). Als allgemeine Richtlinien lassen sich immerhin formulieren: An der Datenbeschaffung muss ein Interesse des Bearbeiters bestehen, auch in Korrelation zur beabsichtigten Zweckerreichung. Anwendbar ist der Grundsatz der Erforderlichkeit (oder Subsidiarität), der danach fragt, ob derselbe Zweck auch ohne oder mit weniger Daten erfüllbar wäre. Höchstpersönliche Daten sind z.b. oft nicht notwendig; ebenso sollen Daten nicht auf Vorrat gesammelt werden. Der Aspekt des schonenden Eingriffs in Persönlichkeitsrechte verlangt eine verhältnismässige Relation zwischen Eingriffszweck und Eingriffswirkung. Aus diesen Gründen muss für jede Art der Datenbeschaffung gesondert geprüft werden, ob sie verhältnismässig ist oder nicht. Das Kriterium der Geeignetheit hängt vom durch eine bestehende Vertragsbeziehung verfolgten Zweck ab; die Erforderlichkeit eines Customer Relationship Management ist im Lichte der Ausgestaltung der optimalen Kundenbetreuung zu bewerten. Eine besondere Beurteilung hat gegebenenfalls stattzufinden, wenn ein Unternehmen auch über Reaktionsdaten und Sekundärdaten von Kunden verfügt, die aus Datenquellen Dritter stammen; eine Datenintegration erscheint diesfalls nur als sachgerecht, wenn eine enger Bezug zur vorhandenen Geschäftsbeziehung besteht Zweckbindung Personendaten dürfen nur zu demjenigen Zweck bearbeitet werden, welcher bei der Beschaffung angegeben wird, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist (Art. 4 Abs. 3 DSG). Der Grund für diese gesetzliche Anordnung liegt darin, dass dem Betroffenen transparent sein muss, welche Zwecke eine Datensammlung verfolgt. Die Zweckumschreibung hat deshalb klar zu erfolgen und eine nachträgliche Zweckänderung ist ohne Zustimmung des Betroffenen nicht zulässig. Im Einzelfall sind wiederum die Umstände der Geschäftsbeziehung in Betracht zu ziehen; dabei lässt sich nicht übersehen, dass Personen, die elektronische Geschäftsabwicklungen vornehmen, angesichts ihrer technischen Vorkenntnisse regelmässig wissen müssen, dass Datenspuren entstehen, die dem Unternehmen ein Customer Relationship Management ermöglichen. Überdies kann es auch im Interesse des Kunden sein, gezielte Werbung zu erhalten und nicht mit Werbung eingedeckt zu werden, die ausserhalb jeglichen Interesses liegt. Weber 8

9 1.2. Zulässigkeit der Datenverwendung Treu und Glauben Der Grundsatz von Treu und Glauben gilt auch mit Bezug auf die Datenverwendung; ein Unternehmen darf einzelne Daten über einen Kunden nicht in einer Weise verwenden, die für den Kunden völlig unerwartet ist Verhältnismässigkeit Ein Unternehmen hat von gesammelten Daten einen verhältnismässigen Gebrauch zu machen; insbesondere ist auf den Einsatz von Daten zu verzichten, welche keinen Beitrag zur Optimierung einer vorhandenen oder zu begründenden Geschäftsbeziehung leisten Zweckbindung Beschaffte Daten dürfen nicht in einer Weise verwendet werden, die der Zweckangabe, welche dem Kunden im Rahmen der Datenbeschaffung transparent gemacht worden ist, widersprechen Überprüfung der Richtigkeit der Daten Wer Personendaten bearbeitet, hat sich über deren Richtigkeit zu vergewissern (Art. 5 Abs. 1 DSG). Personendaten sind dann richtig, wenn sie die Umstände und Tatsachen, bezogen auf die betroffene Person, unter den konkreten Umständen sachgerecht wiedergeben. Unrichtige Daten können auf grösseren oder kleineren Fehlern, auf zwischenzeitlichen Veränderungen bei der betroffenen Person oder auf unzutreffenden Datenkombinationen beruhen. Besonders problematisch ist der Aspekt der Situationsveränderung, der angesichts der Grösse verschiedener Datensammlungen oft nicht zeitgerecht reflektiert wird. Stellt der Betreiber einer Datensammlung fest, dass einzelne Daten unrichtig sind, untersteht er einer Berichtigungspflicht. 2. Subjektive Einwilligung 2.1. Voraussetzungen einer rechtmässigen Einwilligung Die Beschaffung und Bearbeitung von Daten ist rechtlich zulässig, wenn eine entsprechende Einwilligung des Betroffenen als subjektiver Rechtfertigungsgrund vorliegt (Art. 13 Abs. 1 DSG). Die Einwilligung kann schriftlich oder stillschweigend erfolgen. Vorausgesetzt ist jedoch, dass der Betroffene wahrheitsgemäss und transparent über alle Verwendungszwecke der gesammelten Daten unterrichtet wird. Insbesondere hat das Unternehmen den Weber 9

10 Betroffenen über die Folgen der Bearbeitungszwecke und über eine etwaige Datenweitergabe aufzuklären. Die Praxis der vergangenen Jahre hat gezeigt, dass diese Transparenz oft nicht in ausreichendem Masse wahrgenommen worden ist Einwilligungsklausel in Allgemeinen Geschäftsbedingungen Besondere Probleme mit Bezug auf die Einwilligung des Betroffenen ergeben sich oft aus der Tatsache, dass die Einwilligungsklausel in vorformulierten Geschäftsbedingungen enthalten ist. Abgesehen davon, dass die Formulierung nicht immer klar und transparent gefasst wird, stellt sich die Frage, ob die Zustimmung zu solchen Geschäftsbedingungen auch die Einwilligungsklausel mitbeinhaltet, und die Frage, ob der Wunsch, elektronische Geschäftstransaktionen abzuwickeln, zwingend zur Folge hat, dass die Einwilligung zu einer bestimmten Datenbearbeitung hinzunehmen ist. Die Datenschutzbehörden tendieren dahin, von den Unternehmen zu verlangen, dem Kunden die Möglichkeit einzuräumen, die Einwilligung zur Datenbeschaffung als gesonderte Willenserklärung abzugeben. Dieses Rosinenpicken als obrigkeitlich angeordnete Vorgabe ist indessen auch nicht völlig unproblematisch. Ausgeschlossen wird damit z.b. ein Qualitätswettbewerb um Datenschutz. Gerichtsentscheide zur konkreten Form und zum Inhalt von Einwilligungsklauseln sind noch nicht ergangen, ebenso wenig wie zum Aspekt eines Interessenausgleichs im Falle einer überschiessenden Einwilligungsklausel. Ein gewisses Ausmass an Rechtsunsicherheit für Unternehmen und Kunden lässt sich deshalb derzeit nicht ausschliessen. 3. Weitere Aspekte 3.1. Beachtung der Vorschriften über die Datenbekanntgabe ins Ausland Angesichts der Globalisierung von Geschäftsabwicklungen und des grenzüberschreitenden Datenflusses wäre eine Harmonisierung der Datenregelungen auf internationaler Ebene erwünscht. Mehr als eine Mindestharmonisierung erweist sich indessen nicht als realistisch. Deshalb regelt Art. 6 DSG den grenzüberschreitenden Datenverkehr durch ein doppeltes Regulierungsmuster: (1) Materiell gilt das Prinzip der Gleichwertigkeit, d.h. dem grenzüberschreitenden Datenverkehr sind keine Beschränkungen auferlegt, sofern im Empfängerland ein vergleichbares Datenschutzniveau besteht wie in der Schweiz. (2) Beim Transfer von Datensammlungen ins Ausland ist eine vorgängige Meldepflicht zu beachten, doch wird kein Datenexportgenehmigungsverfahren vorgesehen. Die Problematik der Regelung von Art. 6 DSG liegt darin, die Gleichwertigkeit des ausländischen Datenschutzniveaus festzustellen; der Weber 10

11 Vergleich zwingt zu einem wertenden Ermessensurteil, welches auf Einschätzungen und Abwägungen beruht und damit wenig Rechtssicherheit bietet. Dass weltweit ein mit der Schweiz vergleichbares Datenschutzniveau nicht besteht, ist offensichtlich; dies gilt insbesondere für die USA. Die Datenexportregelung von Art. 6 DSG läuft deshalb zum Teil ins Leere. Das DSG befasst sich zudem nicht mit den sog. Datenschutzverträgen, d.h. mit der Möglichkeit, eine vertragliche Regelung des grenzüberschreitenden Datenverkehrs mit Blick auf Drittstaaten, die über keine ausreichende Datenschutzgesetzgebung verfügen, anzustreben Datensicherheit Art. 7 Abs. 1 DSG verlangt den Eisatz geeigneter technischer Massnahmen gegen eine unbefugte Datenbearbeitung; wer Daten beschafft, ist somit verpflichtet, ein umfassendes, ganzheitliches Sicherheitskonzept aufzubauen. Verschiedene Schutzziele sind dabei zu beachten: Schutz der Vertraulichkeit der Daten: Gesammelte Daten sind vor einem Zugriff durch Dritte zu schützen; die Einführung eines einfaches Passwortschutzes ist nicht ausreichend, sofern nicht gleichzeitig die Anwendung dieses Systems genügend instruiert, dokumentiert und überwacht wird. Schutz der Datenintegrität: Technische Massnahmen haben sicherzustellen, dass es Dritten nicht gelingt, Daten zu verändern. Schutz der Datenverfügbarkeit: Gesammelte Daten müssen jederzeit für Berechtigte verfügbar und berichtigbar sein. Die verschiedenartigen internen und externen Datensicherheitsrisiken sind zwischenzeitlich weitherum bekannt; Viren- und Hackerangriffe haben bereits grosse Schäden verursacht. Bei den Unternehmen setzt sich deshalb zutreffend die Erkenntnis durch, dass ein hoher Sicherheitsstandard, der präventiv verwirklicht wird, im Interesse einer erfolgreichen Datenbearbeitung liegt. In Art. 9 Abs. 1 VDSG umschreibt der Gesetzgeber acht Kontrollziele, die von Daten bearbeitenden Unternehmen unter Beachtung des Verhältnismässigkeitsprinzips umzusetzen sind. Der Zweck dieser acht Kontrollziel besteht darin, eine angemessene Datensicherheit mit geeigneten präventiven Massnahmen zu erreichen. Die acht Kontrollziele sind: Zugangskontrolle: Unbefugten Personen ist der (räumliche) Zugang zu den die Daten bearbeitenden Einrichtungen zu verwehren. Personendatenträgerkontrolle: Unbefugte Personen dürfen Datenträger nicht lesen, kopieren, verändern oder entfernen. Transportkontrolle: Beim Transport von Datenträgern dürfen Daten nicht unbefugt gelesen, kopiert, verändert oder gelöscht werden können. Weber 11

12 Bekanntgabekontrolle: Datenempfänger, welche Personendaten erhalten, sind zu identifizieren und auf die Einhaltung der gesetzlichen Bestimmungen zu behaften. Speicherkontrolle: Die unbefugte Eingabe in den Speicher sowie die unbefugte Einsichtnahme, Veränderung oder Löschung gespeicherter Daten sind zu verhindern. Benutzerkontrolle: Die Benutzung von Datenbearbeitungssystemen durch unbefugte Personen ist zu verunmöglichen. Zugriffskontrolle: Der Zugriff auf Personendaten ist auf denjenigen Personenkreis zu beschränken, der zur Erfüllung der eigenen Aufgabe tatsächlich den Zugriff benötigt. Eingabekontrolle: In Datenbearbeitungssystmen muss nachträglich überprüfbar sein, welche Personendaten wann von welcher Person eingegeben worden sind Auskunftspflicht Eine betroffene Person hat das Recht, vom Inhaber einer Datensammlung jederzeit und im Grundsatz kostenlos (Maximalgebühr CHF 300. in Ausnahmefällen bei ausserordentlichem Aufwand) Auskunft darüber zu verlangen, ob Personendaten bearbeitet worden sind oder nicht (Art. 8 DSG); auf entsprechende Anfrage hin ist vom Inhaber der Datensammlung Folgendes mitzuteilen: Vorhandensein von Daten der anfragenden Person; Zweck und Rechtsgrundlagen der Datenbeschaffung; Kategorie der bearbeiteten Personendaten; Beteiligte an der Sammlung; Kreis der Datenempfänger im Falle der Weitergabe von Daten. Die eigentliche Durchsetzung des Auskunftsanspruches ist weniger problematisch als das Vorhandensein des Wissens, wer überhaupt als Auskunftsbelasteter in Frage kommt, d.h. wer Daten effektiv sammelt Registrierungspflicht Drittpersonen und Unternehmen haben dann personenbezogene Datensammlungen beim Register des Eidgenössischen Datenschutzbeauftragten zu melden (Art. 11 DSG), wenn Weber 12

13 die Datensammlung regelmässig besonders schützenswerte Personendaten oder Persönlichkeitsprofile enthält oder Personendaten an Dritte weitergegeben werden und entweder für die Datenbearbeitung keine gesetzliche Pflicht besteht oder die betroffenen Personen keine Kenntnis von der Datenbearbeitung haben. Die Praxis hat gezeigt, dass die Pflicht zur Registrierung von Datensammlungen eher unzuverlässig eingehalten worden ist. Nicht zuletzt angesichts der bestehenden Vollzugsprobleme möchte die bevorstehende DSG-Revision auf dieses Instrument verzichten. III. Rechtsfolgen bei einer DSG-Verletzung 1. Zivilrechtliche Rechtsbehelfe Art. 15 DSG stellt einen Querbezug zum Persönlichkeitsrecht dar, weshalb folgende Klagearten in Betracht kommen: Unterlassungsklage bei drohender und ernsthafter Gefahr einer Persönlichkeitsverletzung; Beseitigungsklage im Falle einer gegenwärtigen und/oder noch bestehenden Verletzung; Feststellungsklage bei noch andauernder Störung und einem Interesse an der Feststellung der Widerrechtlichkeit; Klage auf Schadenersatz, Genugtuung oder Gewinnherausgabe; Klage auf Berichtigung von Daten und Veröffentlichung der Berechtigung; Klage auf Sperrung und/oder Vernichtung von Personendaten; Klage auf Auskunft über eine Sammlung von Personendaten. In der Praxis sind in den letzten zehn Jahren Verfahren wegen Verletzung des DSG selten geblieben. 2. Strafrechtliche Folgen Mit der Inkraftsetzung des DSG ist neu die Bestimmung von Art. 179 novies StGB in Kraft getreten: Mit Gefängnis oder Busse wird danach bestraft, wer unbefugt besonders schützenswerte Personendaten oder Persönlichkeitsprofile, die nicht frei zugänglich sind, aus einer Datensammlung beschafft. Eine Neuregelung hat auch das Berufsgeheimnis in der medizinischen Forschung erfahren (Art. 321 bis StGB). Weber 13

14 Überdies enthält das DSG zwei Übertretungstatbestände, nämlich die Verletzung der Auskunfts-, Melde- und Mitwirkungspflichten (Art. 34 DSG) sowie die Verletzung der beruflichen Schweigepflicht (Datenschutzgeheimnis, Art. 35 DSG). IV. Revisionsbestrebungen 1. Rechtsvergleichung 1.1. Europäische Union Die Europäische Union kennt eine dem schweizerischen Recht nahestehende allgemein Datenschutz-Richtlinie sowie eine technikbezogene spezifische Datenschutz-Richtlinie, die den besonderen Risiken bei der elektronischen Übermittlung von Informationen Rechnung tragen soll: Richtlinie 95/46 vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personen-bezogener Daten und zum freien Datenverkehr Richtlinie 97/66 vom über die Verarbei-tung personenbezogener Daten und den Schutz der Privatsphäre im Bereich der Telekommunikation Richtlinie... über die Verarbeitung personenbezo-gener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Verabschiedung voraussichtlich in 2. Jahreshälfte 2002) Hauptsächlichste Regelungspunkte der technikspezifischen Richtlinie sind die Pflicht zur Beschränkung der Sammlung von gewissen Datenarten, die Aufrechterhaltung von Sicherheit und Vertraulichkeit bei der Datenbeschaffung und die Zustimmung zu elektronischen Werbemassnahmen Deutschland Deutschland kennt nicht zuletzt aus föderalen Gründen ein enges Netz von datenschutzrelevanten Regelungen: Datenschutzgesetze (Bund, Länder) Telekommunikationsgesetz Telekommunikationsdiensteunternehmen-Datenschutzverordnung Teledienstegesetz Teledienstedatenschutzgesetz Weber 14

15 Mediendienste-Staatsvertrag Eine gewisse Problematik dieses deutschen Regelungsmusters besteht darin, das die Bestimmungen nicht immer vollständig deckungsgleich und oft recht kompliziert sind; materieller Ausgangspunkt ist ein grundsätzliches Datenbearbeitungsverbot mit Erlaubnisvorbehalt, doch ergibt sich dabei das Problem der Ausgestaltung der Einwilligung. Im Übrigen sind der Grundsatz der Datensparsamkeit und das Prinzip der Datenvermeidung verankert. 2. Revisionsentwurf DSG Im August 2001 hat der Bundesrat einen Vorentwurf zur Teilrevision des Bundesgesetzes über den Datenschutz in die Vernehmlassung geschickt. Die bis zu Dezember 2001 eingereichten Stellungnahmen haben gezeigt, dass die bundesrätliche Vorgehensweise nicht ungeteilte Zustimmung erfährt. Insbesondere wird bemängelt, die Revisionsvorlage bleibe auf halbem Wege stecken und nehme auf die neuen Bedürfnisse des Datenschutzes zu wenig Rücksicht. Mit Blick auf den E-Commerce sind insbesondere vier Revisionspunkte, deren Realisierung derzeit aber noch ungewiss ist, relevant Differenzierte Informationspflicht bei der Erhebung von Personendaten Ein neuer Art. 7a E-DSG soll mit dem Ziel der erhöhten Transparenz eine Differenzierung der Aufklärungspflicht von Daten bearbeitenden Unternehmen einführen: Eine detaillierte Informationspflicht gilt beim Beschaffen von besonders schützenswerten Personendaten und Persönlichkeitsprofilen; im Falle gewöhnlicher Personendaten wird die Informationspflicht hingegen relativiert. Klar zum Ausdruck kommen soll insbesondere der Zweck für die Beschaffung und Bearbeitung von Daten. Diese beabsichtigte Differenzierung ist an sich sinnvoll, verschiebt aber einen Teil des Problems auf den Begriff des Persönlichkeitsprofils; noch stärker als heute wird von Bedeutung sein, wann tatsächlich ein Persönlichkeitsprofil anzunehmen ist bzw. wann gesammelte Persönlichkeitsdaten noch nicht ein Persönlichkeitsprofil abgeben Klärung des Zustimmungsbegriffs Art. 4 Abs. 5 E-DSG will die Voraussetzungen der Zustimmung des Betroffenen konkret umschreiben; der Gesetzgeber beabsichtigt, die Zustimmung am Rechtsprechungbegriff der Einwilligung des aufgeklärten Patienten zu orientieren. Konkret wird der Betroffene somit über alle Informationen verfügen müssen, die erforderlich sind, um eine freie Entscheidung zu treffen. Insbesondere ist der Betroffene über die möglichen negativen Folgen oder Nachteile einer Datenbeschaffung und Datenbearbeitung zu orientieren. Weber 15

16 Weiterhin soll die Einwilligung nicht an eine bestimmte Form gebunden sein und stillschweigend bzw. konkludent erteilt werden können Wegfall der Meldepflicht Die Pflicht, im Falle eines grenzüberschreitenden Datenverkehrs oder bei Erstellung einer Datensammlung eine Registrierung beim Eidgenössischen Datenschutzbeauftragten vorzunehmen, soll entfallen (Art. 6 und 11 DSG); diese Erleichterung ist sachgerecht, zumal die heutigen Vorschriften ohnehin nur sehr lückenhaft eingehalten worden sind Untersagung der Datenbearbeitung Über die heute schon geltenden zivilrechtlichen Rechtsbehelfe hinaus soll der Betroffene einer Datenbeschaffung gemäss Art. 15a E-DSG die Möglichkeit haben, ein privates, Daten bearbeitendes Unternehmen zu verpflichten, die Bearbeitung unverzüglich einzustellen. Dieses Verbot gilt solange, als der Inhaber der Datensammlung der betroffenen Person nicht einen Rechtfertigungsgrund für die Bearbeitung dargelegt hat. Erfolgt eine Rechtfertigung, kann der Betroffene innert einer Frist von 10 Tagen vom Richter verlangen, dass die Bearbeitung provisorisch oder definitiv untersagt wird. Dieser neue Rechtsbehelf soll sicherstellen, dass eine möglicherweise unzulässige Datenbeschaffung sehr kurzfristig eingestellt wird. 3. Selbstregulierung und Datenschutz-Audit Angesichts der Tatsache, dass die Vorschriften des DSG zehn Jahre nach seinem Inkrafttreten teilweise schon überholt sind und dass die neuen Technologien auch neue Datenschutzreaktionen erfordern, kommt der Selbstregulierung eine grosse Bedeutung zu. Verschiedene Organisationen haben es deshalb unternommen, Richtlinien zu formulieren, deren Einhaltung zur Erteilung eines Gütesiegels berechtigt. Materiell geht es um Qualitätskriterien, die beabsichtigen, das Datenschutzniveau zu erhöhen. Der Gedanke, das Datenschutzniveau messbar zu machen, ist ein Ausdruck des Qualitätsmanagements. Dessen Sicherstellung verlangt die Durchführung von Datenschutz-Audits. Mögliche Prinzipien sind die Transparenz der Datenbearbeitung, die Systemsicherheit, die Gewährleistung korrekter Datenhaltung, das Prinzip der Anonymisierung und die kontinuierliche Überprüfung des Datenschutz-Prozessmanagements. Deutschland verfügt bereits über erste Erfahrungen mit Datenschutz-Audits. In der Schweiz hat die Schweizerische Normenvereinigung ein Projekt vorgelegt, das im Rahmen einer allgemeinen Selbstregulierung zum elektronischen Geschäftsverkehr den Datenschutzanliegen besondere Bedeutung zumisst. Das Verfahren bei Vergabe von Gütesiegeln gliedert sich in verschiedene Schritte: Weber 16

17 Bestandsaufnahme; Festlegung der Datenschutzziele; Einrichtung eines Datenschutzmanagementsystems; Begutachtung durch Auditor; Verleihung des Gütesiegels. In den letzten Monaten scheinen einzelne Unternehmen auch verstärkt zu realisieren, dass die Einhaltung eines hohen Datenschutzniveaus ein Marketing -Instrument im elektronischen Geschäftsverkehr darstellt. Anforderungen an den Datenschutz-Standard können ein Qualitätsargument des Unternehmens im Wettbewerb sein, das sich gegenüber den potentiellen und tatsächlichen Nutzern positiv zum Ausdruck bringen lässt. V. Ausblick Das schweizerischen Datenschutzrecht ist für die Bewältigung der Probleme im elektronischen Geschäftsverkehr nur schlecht gewappnet. Gesetzgeberische Vorkehren lassen sich zwar noch treffen, doch wird es sehr schwer fallen, allein durch das Recht die Technologieentwicklung in den Griff zu bekommen. Stärker als bisher hat deshalb der Aspekt des Datenschutzes durch Technik in den Vordergrund zu rücken. Aspekte sind dabei technikbezogene Schutzvorkehren und die Anonymisierung von beschafften Daten. Wichtiger werden auch Selbstregulierungsmassnahmen, insbesondere die freiwillige Einführung von Systemdatenschutz-Konzepten und deren Überprüfung durch einen Datenschutz-Audit; Motivation dazu sein kann die Verleihung von Gütesiegeln durch private Verbände. Weiterführende Literatur: BRUNO BAERISWYL/BEAT RUDIN (Hrsg.), Perspektive Datenschutz Praxis und Entwicklungen in Recht und Technik, Zürich/Baden-Baden/Wien 2002 URS MAURER/NEDIM PETER VOGT (Hrsg.), Kommentar zum Schweizerischen Datenschutzgesetz, Basel 1995 ALEX SCHWEIZER, Data Mining Data Warehousing, Zürich 1999 ROLF H. WEBER, Datenschutzrecht vor neuen Herausforderungen, Zürich 2000 ROLF H. WEBER, E-Commerce und Recht, Zürich 2001, 447 ff. Weber 17