10. Jahrgang, Heft 4, Dezember 2010

Transkript

1 10. Jahrgang, Heft 4, Dezember 2010 Schwerpunkt: fokus: Datenschutzkonzept auf dem Prüfstand fokus: Zehn Jahre IT Security: Was hat sich bewegt? report: Häusliche Gewalt: Daten- oder Opferschutz? Herausgegeben von Bruno Baeriswyl Beat Rudin Bernhard M. Hämmerli Rainer J. Schweizer Günter Karjoth

2 inhalt fokus Schwerpunkt: auftakt 10 Jahre digma: eine Erfolgsstory von Andreas Hohnheiser und Annette Eberle Seite 125 Zehn Jahre digma «Bridging the gap» von Bruno Baeriswyl Seite 128 Datenschutzkonzept auf dem Prüfstand von Beat Rudin Seite 130 Geschichten aus dem Wilden Westen von Bruno Baeriswyl Seite 140 Weder Anonymität noch Radiergummi von Günter Karjoth Seite Jahre IT Security: Was hat sich bewegt? von Bernhard M. Hämmerli Seite 152 Das Konzept des öffentlich-rechtlichen Datenschutzes ist seit den 1980er-Jahren praktisch unverändert geblieben. Wie hat es sich angesichts der Herausforderungen des ersten Jahrzehnts (E-Themen, 9/11 und Sicherheit, Öffentlichkeitsprinzip und Schengen) bewährt? Wo liegen die Schwächen? Der Datenschutz im privatrechtlichen Bereich steht damit an einem entscheidenden Punkt: Nur wenn Transparenz über die Datenbearbeitungen geschaffen wird, können die Konsumenten entscheiden, ob und wie sie ihre Datenschutzrechte einfordern wollen. Unsere Daten, die wir mehr oder weniger freiwillig im Web hinterlassen, sind zu einer Goldgrube geworden. Warum sind wir Nutzer schutzlos geblieben? Ein Rückblick auf zehn Jahre Datenschutz und Identitätsmanagement im Internet. Datenschutzkonzept auf dem Prüfstand Geschichten aus dem Wilden Westen Weder Anonymität noch Radiergummi Welche Voraussagen haben sich als richtig erwiesen und welche Schlussfolgerungen lassen sich den rückblickenden Beobachtungen entnehmen? Ein Streifzug durch zehn Jahre Angriff und Verteidigung. 10 Jahre IT Security: Was hat sich bewegt? impressum digma: Zeitschrift für Datenrecht und Informationssicherheit, ISSN: , Website: Herausgeber: Dr. iur. Bruno Baeriswyl, Dr. iur. Beat Rudin, Prof. Dr. Bernhard M. Hämmerli, Prof. Dr. iur. Rainer J. Schweizer, Dr. Günter Karjoth Redaktion: Dr. iur. Bruno Baeriswyl und Dr. iur. Beat Rudin Zustelladresse: Redaktion digma, per Adr. Datenschutzbeauftragter des Kantons Basel-Stadt, Postfach 205, CH-4010 Basel Tel. +41 (0) , Fax +41 (0) , Erscheinungsplan: jeweils im März, Juni, September und Dezember Abonnementspreise: Jahresabo Schweiz: CHF , Jahresabo Ausland: Euro (inkl. Versandspesen), Einzelheft: CHF Anzeigenmarketing: Publicitas Publimag AG, Mürtschenstrasse 39, Postfach, CH-8010 Zürich Tel. +41 (0) , Fax +41 (0) , Herstellung: Schulthess Juristische Medien AG, Arbenzstrasse 20, Postfach, CH-8034 Zürich Verlag und Abonnementsverwaltung: Schulthess Juristische Medien AG, Zwingliplatz 2, Postfach, CH-8022 Zürich Tel. +41 (0) , Fax +41 (0) , digma

3 Häusliche Gewalt: Daten- oder Opferschutz? Häusliche Gewalt ist ein Phänomen, welchem mit geeigneter Beratung begegnet werden kann. Die kantonalen Fachstellen könnten mit pro-aktiver Kontaktaufnahme eine Hemmschwelle überschreiten, verfügen aber oftmals nicht über genügende gesetzliche Grundlagen, um die notwendigen Informationen für die Kontaktaufnahme von anderen Behörden zu erhalten. Die Autorinnen zeigen auf, wie sich proaktive Beratung und Datenschutz vereinen lassen. report RECHTSVERGLEICHUNG Häusliche Gewalt: Daten- oder Opferschutz? von Iris Glockengiesser und Sandra Stämpfli Seite 158 FORSCHUNG Security Management für IT-Dienstanbieter von Annett Laube-Rosenpflanzer und Henrik Plate Seite 164 Security Management für IT- Dienstanbieter On-demand-Anwendungen basieren auf einer Vielzahl von Diensten unterschiedlicher Anbieter und Funktion. Das EU- Forschungsprojekt PoSecCo will Dienstanbieter dabei unterstützen, die komplexen Anforderungen der beteiligten Akteure bezüglich Sicherheit und Compliance vollständig und effizient zu erfüllen sowie die resultierenden Implementierungen zu validieren. Grundbuchdaten im Internet Striptease Öffentlichkeit mit der Brechstange Die Revision der eidgenössischen Grundbuchverordnung über das Grundbuch wird die Grundlage für die elektronische Erfassung und Publikation der Grundbuchdaten im Internet bilden. privatim fordert weitere Massnahmen, um die Risiken für die Persönlichkeitsrechte auf das erforderliche Mass zu minimieren. Ein Dialog über Doodle, über Belanglosigkeiten und Intimitäten in Facebook im Zeitalter des biometrischen Passes, der Cumuluskarte, der Mail-Kontrolle und der ungehemmten Fichierung. Wikileaks zerrt an die Öffentlichkeit, was die Urheber der Information geheim halten möchten. Julian Assange und Wikileaks sind für die einen Verräter, für die anderen Helden. Ist Öffentlichkeit nur um der Öffentlichkeit willen gut? Ist sie schlecht? Auf jeden Fall: Es wird für einen Urheber von Informationen deutlich schwieriger werden, die Interpretationshoheit für sich zu reservieren. forum PRIVATIM Grundbuchdaten im Internet Medienmitteilung von privatim Seite 168 agenda Seite 170 zwischentakt Striptease von Roland Suter und Freddy Widmer Seite 171 schlusstakt Öffentlichkeit mit der Brechstange von Beat Rudin Seite 172 cartoon von Hanspeter Wyss digma

4 fokus Geschichten aus dem Wilden Westen Der Datenschutz im privatrechtlichen Bereich geht seine eigenen Wege: Der Grundrechtsschutz bleibt auf der Strecke. Dr.iur. Bruno Baeriswyl, Herausgeber, dsb.zh.ch Die digitale Welt zeigt die Grenzen des Datenschutzes im privatrechtlichen Bereich schonungslos auf. Zwischen Datenschutzprinzipien und Rechtfertigungsgründen öffnet sich das Tor der unbegrenzten Datenbearbeitungen. Alles hat so schön begonnen: Als 1992 das eidgenössische Datenschutzgesetz (DSG) verabschiedet wurde, war die Welt noch in Ordnung. Auf dem Hintergrund der so genannten «Fichenaffäre» wurde der Datenschutz im öffentlich-rechtlichen Bereich umfassend geregelt: Im Fokus stand der Staat, der durch überbordende Datenbearbeitungen die Freiheit der Bürgerinnen und Bürger in Frage stellte. Obwohl diese Perspektive letztendlich dem DSG zum Durchbruch verhalf, war diese Konzeption bereits in der Entstehungsphase der Datenschutzgesetze in den 1970er- und 1980er-Jahren angelegt: Das Aufkommen der Grosscomputer war der Beginn der Digitalisierung der öffentlichen Verwaltung. Die damit verbunden Risiken für die Persönlichkeitsrechte sollten deshalb durch eine spezifische Gesetzgebung minimiert werden. Privatrechtlicher Datenschutz Der privatrechtliche Bereich stand dabei im Abseits, da (noch) keine ähnlichen Risiken wie in der staatlichen Datenbearbeitung eruiert wurden. Deshalb wurde hier der Datenschutz mehr oder weniger dem zivilrechtlichen Persönlichkeitsschutz gemäss Art. 28 ZGB gleichgestellt. Das bedeutete insbesondere, dass die Durchsetzung der datenschutzrechtlichen Ansprüche dem Individuum überlassen wurde. Die Aufsichtskompetenzen des eidgenössischen Datenschutzbeauftragten beschränken sich auf «Systemfehler» 1. Dennoch werden dem privaten Datenbearbeiter im DSG Auflagen gemacht: Gemäss den allgemeinen Datenschutzbestimmungen hat er sich an die Grundsätze nach Art. 4 DSG zu halten: Beachtung der Rechtmässigkeit; Beachtung von Treu und Glauben; Beachtung der Verhältnismässigkeit; Beachtung der Zweckbindung; Beachtung der Richtigkeit; Beachtung der Sicherheit; Vorschriften für die grenzüberschreitende Datenbekanntgabe. Dazu kommt ein Auskunftsrecht, das jeder Person das Recht gibt, vom Inhaber einer Datensammlung zu erfahren, ob Daten über sie bearbeitet werden 2. Seit Inkrafttreten des DSG sind weitere Bestimmungen hinzugekommen, insbesondere Informationspflichten des Datenbearbeiters 3. Umgang mit Datenschutzprinzipien Der Katalog der Datenschutzprinzipien hat die privaten Datenbearbeiter gleichen Rahmenbedingungen unterworfen wie die öffentlichen Organe. Doch nur scheinbar. Einerseits hält das DSG fest, dass keine Persönlichkeitsverletzung vorliege, wenn die Datenschutzprinzipien eingehalten werden 4, die Datenbearbeitungen somit dadurch grundsätzlich erlaubt werden. Andererseits bestimmt das DSG auch, dass wenn die Datenschutzprinzipien nicht eingehalten werden, die Datenbearbeitung erlaubt sei, sofern ein Rechtfertigungsgrund vorliege 5. Näher regelt das DSG sodann, dass keine Persönlichkeitsverletzung vorliege, wenn eine betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt habe 6. Aber auch die Einwilligung der betroffenen Person oder ein überwiegendes privates Interesse rechtfertigt die Datenbearbeitung des privaten Unternehmens. Das DSG weist auf solche überwiegenden Interessen beispielhaft hin 7. Ausgangslage (un)klar Die privaten Datenbearbeitungen unterstehen damit der (un)komfortablen Rechtslage, entweder 140 digma

5 den Grundsätzen entsprechen oder sich auf einen Rechtfertigungsgrund abstützen zu müssen. Komfortabel oder unkomfortabel? Auf jeden Fall eine für den Datenschutz im privatrechtlichen Bereich fatale Ausgangslage für den Einstieg in die digitale Welt. Weder für den Datenbearbeiter noch für die betroffene Person ist Klarheit geschaffen. Offene Fragen standen deshalb im Mittelpunkt der ersten Jahre des Datenschutzgesetzes: Was bedeutet beispielsweise «Verhältnismässigkeit» im privatrechtlichen Rechtsverhältnis (ein aus dem öffentlichen Recht übernommener Begriff). Lässt sich dieser Grundsatz durch einen Rechtfertigungsgrund beliebig übersteuern? Oder wie ist mit der Zweckbindung innerhalb eines Unternehmens umzugehen? Welches ist die angemessene Sicherheit, die zu gewährleisten ist? Oder auf den Punkt gebracht: Kann die (auch stillschweigende) Einwilligung der betroffenen Person alles rechtfertigen? Als sich digma im Jahre 2001 in die Diskussion einzuschalten begann, war der Datenschutz im privatrechtlichen Bereich geprägt von den Bemühungen, die richtige Auslegung des DSG und eine entsprechende Umsetzung in der Praxis zu finden. Mindestens schien dies das Thema zu sein. Datenschutz am Arbeitsplatz «Was darf die Chefin, was die Angestellte» ist das Thema von digma , mit der klaren Aussage, dass die Arbeitgeberin über die Nutzung von Internet und am Arbeitsplatz entscheiden kann, aber der Umfang der zulässigen Überwachung vom Gesetz vorgeschrieben ist 8. Nutzungsreglemente sollten die Situation für Arbeitnehmende transparent machen. Vorgegeben war die Kaskade: Eine permanente Überwachung am Arbeitsplatz ist unverhältnismässig, eine spezifische Überwachung ist erlaubt, sofern eine vorgängige «Abmahnung» seitens des Arbeitsgebers erfolgt. Jedoch soll eine solche Überwachung auch nur temporär sein, und die Auswertung der Protokolle hat wiederum verhältnismässig zu erfolgen: Die Privatsphäre des Arbeitnehmenden ist zu respektieren. Diese in digma vertretene Auffassung prägt die Praxis bis heute. Mehr oder weniger: Im Jahre 2009 beurteilte das Bundesgericht eine Videoüberwachung im Arbeitsumfeld und kam zum Schluss, dass ein Verbot der Verhaltensüberwachung am Arbeitsplatz auf keiner ausreichenden gesetzlichen Grundlage beruhe und sie deshalb rechtmässig sei 9. Die fehlende Transparenz der Videoüberwachung für die betroffenen Arbeitnehmenden wurde nicht einmal thematisiert war der Datenschutz im privatrechtlichen Bereich geprägt von den Bemühungen, die richtige Auslegung des DSG und eine entsprechende Umsetzung in der Praxis zu finden. Das Urteil wurde aber rasch in die Richtung interpretiert, dass nun für die Arbeitgebenden eine ausgedehntere Überwachung am Arbeitsplatz möglich sei 10. Die Grundsätze des Datenschutzes sollen also nicht restriktiv zugunsten der Privatheit und im Sinne des Grundrechts, sondern weitgehend zugunsten des Datenbearbeiters und der neuen technischen Überwachungsmöglichkeiten ausgelegt werden. In digma wurde versucht, das schiefe Bild (nochmals) zurechtzurücken 11. Kundentransparenz Eine zunehmend umfassendere Bearbeitung von Kundendaten ist stark getrieben von der technologischen Entwicklung. Auf der einen Seite werden Daten in Unternehmen immer mehr zentral gehalten in so genannten «Data Warehouses», auf der anderen Seite werden diese Daten auch immer intensiver bewirtschaftet und ausgewertet im so genannten «Data Mining». Diese technologischen Möglichkeiten haben einen eigentlichen Datenhunger nach Kundendaten ausgelöst, und die operationellen Systeme werden mit möglichst vielen Daten gefüttert, um sie später der Analyse und Auswertung im Data Kurz&bündig Der Datenschutz im privatrechtlichen Bereich basiert auf einem Konzept, das in der digitalen Welt die grundrechtlichen Anliegen immer mehr in den Hintergrund treten lässt. Für den privaten Datenbearbeiter ist eine Datenbearbeitung erlaubt, wenn sie entweder den Datenschutzprinzipien entspricht oder sich auf einen Rechtfertigungsgrund stützen kann ein breiter Handlungsspielraum. Anfänglich bemüht, diesen Spielraum mit konkreten Auslegungen und entsprechenden Umsetzungsanleitungen zu füllen, zeigt die Entwicklung der letzten zehn Jahre, dass die Respektierung der datenschutzrechtlichen Vorgaben in der Praxis immer schwächer wird. Mit intransparenten Einwilligungserklärungen in Allgemeinen Geschäftsbedingungen werden die Datenschutzrechte der betroffenen Personen zur Makulatur erklärt. Und global agierende Unternehmen gehen offen über nationale Datenschutzbestimmungen hinweg. Der Datenschutz im privatrechtlichen Bereich steht damit an einem entscheidenden Punkt: Nur wenn Transparenz über die Datenbearbeitungen geschaffen wird, können die Konsumentinnen und Konsumenten entscheiden, ob und wie sie ihre Datenschutzrechte einfordern wollen. digma

6 fokus Warehouse mittels Data-Mining-Methoden zuzuführen. Diese Entwicklung ist heute im vollen Gang und digma hat sich ihr bereits früh angenommen. Die Darstellung des Data Warehousing aus technischer Sicht 12 war Ausgangslage, um die Beurteilung dieser Datenbearbeitungen auf der Basis der Datenschutzgrundsätze vorzunehmen. Dass sich hier ein datenschutzrechtliches Minenfeld auftat, kam schon im Titel des Artikels Das praktizierte Data Mining missachtet zahlreiche Gesetzesnormen, eine transparente Aufklärung der betroffenen Konsumentinnen und Konsumenten findet nicht statt. zum Ausdruck 13. Bei dieser Art und Weise der Datenbearbeitung stellen sich insbesondere die Fragen der Verhältnismässigkeit, der Zweckbindung und der Richtigkeit der Daten. Kann das umfassende Sammeln von Daten über Kundinnen und Kunden überhaupt verhältnismässig sein? Welche Daten sind noch verhältnismässig, und bei welchen Daten braucht es einen Rechtfertigungsgrund? Ebenso scheint offen, zu welchen Zwecken in einem Kundenverhältnis Daten verwendet werden können. Und: Sind die aus Kombinationen gewonnenen Daten im Data Mining überhaupt richtig oder genügt es, wenn sie nur wahrscheinlich sind? Die datenschutzrechtlichen Grundsätze in diesem Umfeld anzuwenden, erscheint schwierig. Rechtfertigungsgründe liegen nicht auf der Hand. Geht es deshalb mit der stillschweigenden Einwilligung der Konsumentinnen und Konsumenten? Die Praxis im Jahre 2001 bis heute ist in diesem Bereich nur wenig transparent. Auffallend ist indessen, dass kaum diesbezüglich Einwilligungserklärungen von Konsumentinnen und Konsumenten eingeholt werden dass offenbar die Erlaubnis der Datenbearbeitung in der Respektierung der Datenschutzprinzipien liegen soll. Diese Praxis würde auch beinhalten, dass Data Mining klare Grenzen hätte und das Erstellen von Konsumprofilen unterbunden wäre: Denn hierfür würde auch eine stillschweigende Einwilligung als Rechtfertigungsgrund nicht ausreichen 14. Die Schlussfolgerungen in digma sind indessen ernüchternd. Das von den Unternehmen praktizierte Data Mining missachtet zahlreiche Gesetzesnormen, eine transparente Aufklärung der betroffenen Konsumentinnen und Konsumenten findet nicht statt. Und: Es fehlen detaillierte Leitfäden und Merkblätter. Aber die Unternehmen scheuen den Aufwand eines rechtskonformen Data Minings. Ein rechtliches Minenfeld, das keinen Schaden hervorruft. Scoring ein anderes Minenfeld Mit dem Scoring-Verfahren wird die Auswertung von Kundendaten auf die Spitze getrieben. «Den Kunden berechnen» kommt als neues Element immer mehr in den Fokus der Kundendatenbearbeitung. Dabei geht es nicht nur darum, ein zukünftiges Verhalten eines Kunden anhand von bestehenden Daten möglichst vorauszusehen (um ihm beispielsweise neue Produkte anbieten zu können), sondern Scoring-Verfahren sollen auch unmittelbar zum Entscheid führen, ob und allenfalls mit welchen Konditionen einem Kunden ein Angebot gemacht werden soll. Die Datengrundlage für solche Berechnungen wie auch die Anwendungsfelder im konkreten Geschäftsumfeld sind für die betroffenen Kundinnen und Kunden weitgehend intransparent. digma nimmt sich der datenschutzrechtlichen Ausgangslage umfassend an. Das Einhalten der Datenschutzprinzipien ist weitgehend verunmöglicht, da die Richtigkeit der Daten in diesem Umfeld kaum zu gewährleisten ist. Falsche Personendaten führen zu falschen Analyseergebnissen, was den betroffenen Personen zunächst gar nicht bewusst wird: Sie erfahren nur, dass sie eine Dienstleistung nicht erhalten oder zu sehr ungünstigen Konditionen. Ein Vertragszwang besteht ja nicht Das Ausweichen auf den nächsten Anbieter führt wohl zu ähnlichen Scoringergebnissen, da vielfach gleiche Datenbanken als Grundlage dienen. Zur Prüfung der Kreditwürdigkeit kann sich ein Scoringunternehmen auf den Rechtfertigungsgrund eines überwiegenden privaten Interesses stützen 15. Im Weiteren wohl aber nur auf eine ausdrückliche Einwilligung der betroffenen Person. Die Praxis zeigt, dass vielfach ein Rechtfertigungsgrund fehlt. Dennoch verbreitet sich Scoring mehr und mehr. Versicherer wollen alles wissen Als Anbieter im privaten Markt, die auch auf besonders schützenswerte Personendaten angewiesen sind, nehmen die Versicherer eine spezifische Rolle ein. Welche Daten zu welchem Zweck Verwendung finden dürfen, blieb und bleibt seit Einführung des DSG umstritten. Soweit nicht spezifische Rechtsnormen die Datenbearbeitungen der Versicherer regeln deren gibt es zahlreiche 16 sind die allgemeinen Grundsätze des DSG einzuhalten. Einwilligungserklärungen im Sinne von Generalvollmachten sind in diesem Bereich aber weit verbreitet. Neben der Datenbearbeitung im Bereich der sozialen Krankenversicherung, die öffentlich- 142 digma

7 rechtlich geregelt ist, halten insbesondere die privaten Versicherer nicht mit Einwilligungserklärungen zurück. Wie in digma thematisiert, können dabei umfangreiche Gesundheitsdaten inklusive genetischer Daten bearbeitet werden, aber auch «schwarze Listen» über einzelne Klientinnen und Klienten können Daten mit diskriminierender Wirkung im Wirtschaftsleben enthalten. Es zeigt sich, dass die Datenschutzgesetze keine Schranken bieten, und die bereichsspezifischen Gesetze die Datenbearbeitungen nur ungenügend regeln; sie sind in dieser Ausgangslage kaum einschränkend für den Datenbearbeiter. Neue Trends: Zertifizierungen Es wurde und wird augenfälliger, dass das Datenschutzrecht die Privatsphäre und die informationelle Selbstbestimmung der betroffenen Personen in der digitalen Welt immer weniger zu schützen im Stande ist. Mit Standards werden im technischen Bereich erfolgreich (minimale) Anforderungen an ein Produkt definiert oder im Bereich der Datenbearbeitungen abgestufte Sicherheitsmassnahmen eingeführt 17. Was sich im Bereich der Datenbearbeitungen etabliert hat, sollte doch auch für das Datenschutzrecht möglich sein. In digma wurde die Diskussion lanciert, wie weit auch im Datenschutzbereich Standards etabliert werden könnten. Interessant war und ist diese Frage insbesondere in Bezug auf die ebenfalls damit verbundene Zertifizierung von Datenbearbeitungen. Erfahrungen in Deutschland zeigten, dass mittels Datenschutzzertifizierungen die Zertifizierung von Produkten und Prozessen mehr Transparenz in Bezug auf die Datenbearbeitungen geschaffen werden konnte, und damit auch eine Verbesserung des Datenschutzes erreicht wurde. Bereits im Jahre 2006 haben sich einige Unternehmen in der Schweiz einer solchen freiwilligen Zertifizierung unterzogen. Heute ist im DSG die Möglichkeit der Zertifizierung vorgesehen und ein entsprechendes Verfahren ist detailliert geregelt. Doch was fehlt: der Enthusiasmus der Datenbearbeiter, sich Standards und Zertifizierungen unterziehen zu wollen. Wie hoch sind die Kosten und wo liegt der Nutzen, lauten die Gretchenfragen. Standards und Zertifizierungen zur Verbesserung des Datenschutzes so wie es der Gesetzgeber vorsieht scheinen nicht zu überzeugen. Standards werden nur dann (freiwillig) akzeptiert, wenn es sich um Minimalstandards handelt, wie dies die Entwicklung auf internationaler Ebene im Datenschutz klar zeigt 18. Ebenso halten sich Zertifizierungen im Bereich der «Compliance» auf; eine Verbesserung des Datenschutzes wird bereits durch die «Compliance» gesehen (oder im Klartext: Non-Compliance ist der Standard). Ob Standards und Zertifizierungen die Themen des privatrechtlichen Datenschutzes in den nächsten zehn Jahren sein werden, ist offen. Denn eine neue Welle der Datenbearbeitungen sollte den privatrechtlichen Bereich erfassen. Eine Verbesserung des Datenschutzes wird bereits durch die «Compliance» gesehen (oder im Klartext: Non-Compliance ist der Standard). Meine Freunde im Netz Wie so vieles in der technologisierten Gesellschaft kommt der Wind aus dem Westen. Im Jahre 2007 thematisierte digma (2007.4) die sich rasant verbreitenden sozialen Netzwerke. Im Vordergrund standen dabei einerseits die Mediennutzung der «Digital Natives» und andererseits der technische Hintergrund der sozialen Netzwerke. Wie sich zeigt, bewegen sich insbesondere die jugendlichen Nutzenden in diesen Netzwerken im Spannungsfeld zwischen unbekümmerter Neugier und gefährlicher Enthemmung. Soziale Netzwerke erweitern den Handlungsspielraum der Jugendlichen, Risiken für die Privatheit bleiben dabei im Hintergrund. Soziale Netzwerke basieren auf dem Web 2.0, das weniger ein technisches als ein soziales Phänomen ist. Technisch zeigt sich, dass die verschiedenen Dienste wie , Chat, Adressbücher immer mehr miteinander verschmelzen und dass dabei auch die Grenze zwischen eigenem Computer und dem Internet immer unschärfer wird. Die Dienste verlagern sich allmählich ins Internet, in die grosse Wolke («Cloud Computing») mit dem zunehmenden Risiko für die Nutzenden, dass sie die Kontrolle über ihre Daten vollständig verlieren. Nicht unerwartet die Schlussfolgerung im Artikel «Wie schütze ich mein virtuelles Ich» 19 : Oftmals liegen klare Rechtsverletzungen bei dieser Art und Weise der Datenbearbeitungen vor, aber eine rechtliche Handhabe dagegen fehlt schlichtweg. Missachtung der Grundrechte Wie stark der Eingriff in die Grundrechte ist, realisiert man erst, wenn man das Kleingedruckte unter die Lupe nimmt 20. Soziale Netzwerke informieren in ihren Allgemeinen Geschäftsbedingungen und den Datenschutzerklärungen ausführlich über den Umgang mit den Daten und Informationen der Nutzenden. Wer ein solches Netzwerk nutzt, gibt nicht nur faktisch, sondern auch rechtlich seine informationelle Selbstbestimmung auf. Die datenschutzrechtlichen digma

8 fokus Soziale Netzwerke scheuen sich dabei nicht, den Nutzenden den Verzicht auf ihre Datenschutzrechte unter dem Titel «Deine Privatsphäre ist uns wichtig» zu verkaufen. Grundprinzipien werden durch die allgemeinen Geschäftsbedingungen zur Makulatur. Die Anbieter von sozialen Netzwerken scheuen sich dabei nicht, den Nutzenden den Verzicht auf ihre Datenschutzrechte unter dem Titel «Deine Privatsphäre ist uns wichtig» zu verkaufen. Immerhin, wer die Allgemeinen Geschäftsbedingungen liest, der weiss, worauf er sich einlässt. Und wer ihnen zustimmt, gibt dem Datenbearbeiter den Rechtfertigungsgrund für seine Datenbearbeitungen. Gemäss DSG das korrekte Vorgehen. Dass die Allgemeinen Geschäftsbedingungen nicht gelesen werden, eventuell Ungewöhnliches enthalten und für viele Nutzenden intransparent sind, kann sie (teilweise) ungültig machen. Dies ist aber keine spezifisch datenschutzrechtliche Frage mehr und müsste durch die betroffene Person beim Richter anhängig gemacht werden. Gemäss den allgemeinen Geschäftsbedingungen meistens in den USA und meistens mit einer beschränkten Haftungssumme ($ 100). Ungültige Geschäftsbedingungen hätten immerhin zur Folge, dass die datenschutzrechtlichen Grundprinzipien wieder anwendbar wären. Ein Fall zur Klärung durch die zuständigen Aufsichtsbehörden. Doch diese haben schon vor einer Weile im Bereich des privatrechtlichen Datenschutzes kapituliert. Strassenansichten Denn der Wind aus dem Westen sollte noch rauer wehen. Die Praxis kippt dramatisch. Während bis anhin auch Anbieter von neuen Dienstleistungen im Internet noch bemüht waren, Vorgaben des DSG zu beachten, kommt eine neue Art des Selbstverständnisses der Datenbearbeiter zu tragen: So wie wir es machen, ist es richtig. In der globalisierten Welt könne es doch nicht sein, dass sich ein Anbieter an eine nationale Datenschutzgesetzgebung halten müsse. Neben der bereits bekannten Deklaration «Deine Privatsphäre ist uns wichtig» nun die weitere «Die Datenschutzregeln bestimmen wir». Auf diese Art und Weise dehnte Google seinen Dienst «Street View» über die Schweiz aus. Wie in anderen Ländern wurde auch in der Schweiz das Datenschutzgesetz vollständig übergangen die sich stellenden Rechtsfragen wurden gar nicht aufgeworfen 21 und der Dienst mit einer Marketingaktion über dessen Sinnhaftigkeit lanciert. Angesichts dieses dreisten Vorgehens blieb auch in der Schweiz der zuständigen Datenschutzbehörde die Luft weg. Am Tage der Lancierung des Dienstes liess sich die Behörde so zitieren: «Der EDÖB hat sich vertieft mit Google Street View auseinandergesetzt und beurteilt die Datenbearbeitung im Rahmen des Dienstes als konform mit dem Datenschutzgesetz 22.» Doch die öffentliche Meinung wollte sich mit diesem Statement nicht beruhigen lassen, so dass sich die Aufsichtsbehörde gezwungen sah, eine Empfehlung an Google nachzureichen, in der indessen die grundsätzlichen Fragen ausgeklammert werden 23. Google findet rasch Nachahmer. Das Thema der richtigen Auslegung des DSG und dessen entsprechender Umsetzung in der Praxis ist vom Tisch. Nicht mehr die Rahmenbedingungen für die Datenbearbeitungen sind gefragt. Es wird ruhiger in Bezug auf den Datenschutz bei privaten Unternehmen. Aber was Google auch zeigt man kann getrost in die Offensive gehen. Selbst die Aufsichtsbehörde weiss nicht mehr, was datenschutzkonform ist. Fussnoten 1 Art. 29 DSG. 2 Art. 8 DSG. 3 Art. 14 DSG. 4 Art. 12 DSG. 5 Art. 13 DSG. 6 Art. 12 Abs. 3 DSG. 7 Art. 13 Abs. 2 DSG. 8 BEAT RUDIN, Was darf die Chefin, was die Angestellte?, in: digma 2001, BGer, Urteil vom 12. November 2009, 6B_536/ ROGER RUDOLPH, Zulässigkeit einer Videoüberwachung am Arbeitsplatz, in: ARV/DTA 2010, KURT PÄRLI, Videoüberwachung am Arbeitsplatz zulässig, in: digma 2010, KLAUS R. DITTRICH, ATHANASIOS VAVOURAS, Data Warehousing aus technischer Sicht, in: digma 2001, ALEX SCHWEIZER, Data Mining ein rechtliches Minenfeld, in: digma 2001, Art. 4 Abs. 5 DSG. 15 Art. 13 Abs. 2 lit. c DSG. 16 KVG, VVG, UVG etc. 17 Z.B. ISO < 19 ROLAND MATHYS, LUKAS ABEGG, Wie schütze ich mein virtuelles Ich?, in: digma 2007, BRUNO BAERISWYL, Kleingedrucktes unter der Lupe, in: digma 2010, BRUNO BAERISWYL, Die Anwendbarkeit des Datenschutzgesetzes, in: digma 2009, < ( ). 23 < index.html?lang=de>. 144 digma

9 Fazit Zehn Jahre Datenschutz im privatrechtlichen Bereich begleitet von digma zeigt einen eindeutigen Trend: Die Ernsthaftigkeit, die datenschutzrechtlichen Anliegen umzusetzen, weicht einer offensiven Missachtung der datenschutzrechtlichen Bestimmungen. Dies hat verschiedene Ursachen: Im Konzept des DSG kommt der Datenschutz im privatrechtlichen Bereich faktisch als rein individuelles Anliegen zum Tragen. Er ist verhandelbar («Einwilligung») und seine Durchsetzung ist dem Individuum überlassen. Die Bestimmungen des DSG überlassen dem Datenbearbeiter einen breiten Spielraum. Er hat diesen Spielraum sowohl bei den datenschutzrechtlichen Grundprinzipien als auch beim Beizug von Rechtfertigungsgründen. Das DSG wird als «Softlaw» wahrgenommen, da keine effektiven Instrumente für die Durchsetzung bestehen. Die Missachtung des DSG hat (selten) finanzielle Konsequenzen. Ein allfälliger Imageschaden lässt sich mit Marketingmassnahmen überspielen. Die Datenbearbeiter aus den USA zeigen, dass es unterschiedliche (rechtliche) Auffassungen bezüglich des Datenschutzes insbesondere zwischen den USA und Europa gibt. Der amerikanische «Datenschutz» gewinnt an Sympathien im privatrechtlichen Bereich, da er (fast) keine Vorgaben kennt. Der Datenschutz im privatrechtlichen Bereich steht damit heute an einem entscheidenden Punkt. Entweder gelingt es, den grundrechtlichen Trend: Die Ernsthaftigkeit, die datenschutzrechtlichen Anliegen umzusetzen, weicht einer offensiven Missachtung der datenschutzrechtlichen Bestimmungen. Gehalt des Datenschutzes auch im privatrechtlichen Bereich zu verwirklichen, oder der Datenschutz wird zur Disponibilität der Datenbearbeiter gestellt. Zwischen diesen Polen öffnet sich ein Handlungsfeld, das die Entwicklung des Datenschutzes in Zukunft prägen dürfte: Gefragt sind die Konsumentinnen und Konsumenten, die sich entscheiden müssen, ob sie den Datenschutz einfordern wollen oder nicht. Dieser Entscheid verlangt aber die Transparenz über die bestehenden Datenbearbeitungen. Hierüber sollte ein gesellschaftlicher Konsens in der liberalen Rechtsund Wirtschaftsordnung eigentlich selbstverständlich sein. digma

10 digma Zeitschrift für Datenrecht und Informationssicherheit erscheint vierteljährlich Meine Bestellung 1 Jahresabonnement digma (4 Hefte des laufenden Jahrgangs) à CHF bzw. bei Zustellung ins Ausland EUR (inkl. Versandkosten) Name Vorname Firma Strasse PLZ Ort Land Datum Unterschrift Bitte senden Sie Ihre Bestellung an: Schulthess Juristische Medien AG, Zwingliplatz 2, CH-8022 Zürich Telefon Telefax zs.verlag@schulthess.com Homepage: