Aus dem CAS Digital Risk Management berichtet René Müller:

Dr. Martin Eckert, seines Zeichens Rechtsanwalt, führte uns im CAS Digital Risk Management zum Thema “Big Data” sofort zum Thema Datenschutz. Treffend war eine seiner ersten Folien mit “Big Data – big problem for lawyers” übertitelt.

Vieles steht im Gesetz, aber effektiv läuft vieles anders. Die aktuelle Gesetzgebung wird dem wichtigen Thema Big Data keineswegs gerecht und hinkt hinter der Aktualität her. Es herrscht eine ungefestigte Rechtslage.

160603_Eckert-Big Data

Datenschutz ist nicht nur Schutz von Daten, sondern Schutz von persönlichen Daten eines Individuums. Personendaten sind bestimmte oder bestimmbare Daten von und über Personen. Anonymisierte Daten fallen nicht darunter, pseudonymisierte Daten (Kappung des Personenbezugs, aber wiederherstellbar) jedoch schon. Droht bei Big Data eine Deanonymisierung und fällt das Thema deshalb doch unter die Datenschutzgesetzgebung?

Chancen und Risiken von Big Data

Für den Schutz von persönlichen Daten (Personendaten) ist das Bundesgesetz (DSG) zuständig, für die Datenbearbeitung durch den Staat sind die kantonalen Gesetze mit Verordnungen massgebend.

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) des Bundes schreibt auf seiner Website zum Thema Big Data:

Big Data bietet neue Chancen für soziale oder wissenschaftliche Erkenntnisse und eine veränderte Form der Wertschöpfung für Unternehmen. Big Data kann jedoch auch die Privatsphäre bedrohen, wenn etwa die bearbeiteten Daten nicht oder nur ungenügend anonymisiert wurden. Wenn es sich um personenbezogene Daten handelt, muss das Recht auf Privatsphäre und der Schutz von Personendaten gewahrt werden.

Datenschutz in der Schweiz ist zahnlos, der EDÖB kann deshalb eigentlich nur in der Öffentlichkeit aktiv werden. Das kann zu Reputationsschäden führen. Sonst basieren seine Interaktionen auf Abklärungen und Empfehlungen. In ganz wenigen Fällen ging er vor Bundesverwaltungsgericht, der bekannteste Fall war Google Streetview. Ein weiteres Beispiel ist der Fall PostFinance im 2014, wo diverse Post-Datenquellen zu einem Personenprofil zwecks Rabatt- und Aktionen-Angeboten erweitert werden sollten. Sofort war der EDÖB zur Stelle und durch die Öffentlichkeit ging ein Aufschrei der Empörung.

Daten sind nicht überall gleichwertig

Grundsätzlich ist ein schärferer Datenschutz absehbar und wir sollten uns darauf einstellen.

Im europäischen Raum sind Personendaten ein wertvolles Gut und gelten als schützenswert. Nicht so in den USA, wo per se Geheimnisse “pfui” sind und der Datenschutz einen geringen Stellenwert hat.

Zweckbindung ist ein weiterer Eckpfeiler des Datenschutzes. Sie ist gerade bei Big Data und vor allem bei Datensammlung auf Vorrat kaum gegeben. Zweckbindung muss bei geplanten Datensammlungen und -erhebungen im Voraus und explizit kommuniziert werden. Der Zweck muss rechtmässig sein und bedarf deshalb einer Einwilligung der Betroffenen, dies muss der Datensammler jederzeit auch beweisen können – Zalando, Facebook und Co. lassen grüssen.

Datenbearbeitung im Sinne des Gesetzes beginnt bei der Datensammlung und endet nach der Speicherung, Aggregation, Auswertung bis zur Verwertung und zum Handel. Personenbezogene Datenquellen sind sehr vielfältig: mobile phone apps, smart grids, toll tag transponders, Patientendaten, location data, social websites, Kundendaten, öffentliche Register, Flugpassagierdaten, genome sequencing, social websites, online-shopping, etc.

Big Data Value Chain

Big Data – Value Chain

Dabei muss man sich immer fragen, ob die Einwilligung der betroffenen Personen vorliegt oder durch den Zweck gegeben ist. Frage dich doch selber einmal, wo welche Daten über dich gespeichert sind und ob du dazu immer deine Einwilligung gegeben hast.

Hast du weiter gewusst, dass der Datenbearbeiter deine explizite Einwilligung zur Datensammlung gegenüber dir jederzeit nachweisen muss? Wäre einmal eine Probe aufs Exempel, dies zu testen. Hast du das schon einmal gemacht? Mit welchem Erfolg?

Datenschutz-Grundverordnung

Im Management sollte eine Grundsatzentscheidung zum Thema Big Data & Datenschutz abgeholt werden. Mögliche Varianten sind:

  • Variante «innovativ – progressiv»: Chancen wichtiger als Risiken
  • Variante «konservativ – kundenorientiert»: Nach dem Motto «Ihre Daten sind uns heilig»
  • Variante «pragmatisch»: Case-by-Case-Analyse

Das kommende EU-Recht im Datenschutz (2018) wird in der Datenschutz-Grundverordnung u.a. folgende Regelungen für die Datenbearbeitung beinhalten:

  • Rechtmässige und transparente Verarbeitung
  • Zweckbindung
  • Datenminimierung
  • auf notwendiges Mass beschränken
  • Daten müssen richtig sein
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit belegbar
  • Sicherheitsprobleme mit Personendaten müssen der Aufsichtsstelle gemeldet werden
  • Datenschutz durch Technikdesign
  • Datenschutz by default, d.h. Checkboxen müssen standardmässig gesetzt sein
  • Datenschutz Impact Assessment

Die wichtigsten Neuerungen der EU-Datenschutz-Grundverordnung, die 2018 eingeführt wird, sind:

  • Unternehmen, deren Kerngeschäft die regelmässige oder systematische Beobachtung von Betroffenen in grossem Umfang ist oder die in grossem Umfang sensitive Daten verarbeiten, sind verpflichtet, einen Datenschutzbeauftragten zu ernennen.
  • Anbieter werden verpflichtet, Datenschutzverstösse, insbesondere unberechtigte Zugriffe oder Verlust von personenbezogenen Daten, binnen 72 Stunden zu melden.
  • Produkte und Services sind derart zu erstellen, dass diese standardmässig nur diejenigen personenbezogenen Daten verarbeiten, welche für den jeweiligen Zweck erforderlich sind (Privacy-By-Design).
  • Datenverarbeitungsprozesse, die hohe Risiken für die Rechte und Freiheiten der Betroffenen beinhalten, bedürfen einer vorgängigen unternehmensinternen Überprüfung (Datenschutzfolge-Abschätzung).
  • Die Durchsetzung des Rechts der Nutzer, Informationen wieder löschen zu lassen, wird erleichtert (Recht auf Vergessenwerden).
  • Den Nutzerinnen muss die Möglichkeit gegeben werden, Daten von einem Anbieter zum nächsten mitzunehmen (Portabilität).
  • Grundsätzlich dürfen Kinder unter 16 Jahren Online-Dienste wie z.B. Facebook nur mit Zustimmung der Eltern nutzen. Den EU-Staaten steht es jedoch frei, tiefere Alterswerte festzulegen, wobei ein absolutes Mindestalter von 13 Jahren gilt.
  • Betroffene sollen sich künftig in ihrer Sprache an die Datenschutzbehörde in ihrem Heimatstaat wenden können, auch wenn es um Datenschutzprobleme in einem anderen Mitgliedstaat geht (one-stop-shop).
  • Unternehmen, die gegen die neuen Datenschutzregeln verstossen, droht eine maximale Geldstrafe von 20 Mio. Euro bzw. 4 % des Jahresumsatzes. Kleineren Unternehmen drohen keine derartigen Sanktionen, wenn es sich um erstmalige, versehentliche oder kleinere Verstösse handelt.

Die Verhandlungen der EU-Gesetzesrevision durch die Parlamente ist erfolgt und läuft nun auf Kollision mit den grossen Firmen wie Google & Co., bzw. nach dem Absturz des “Safe Harbour”-Abkommens auch gegen die USA.

Und in der Schweiz?

Der Bund (EJPD) studiert in einer Kommission die möglichen notwendigen Anpassungen in der Schweizer Gesetzgebung. Zu erwarten ist eine Angleichung an das höhere EU-Niveau, weil sonst keine Datenlieferungen in die EU mehr möglich wären.

Gemäss dem Marktauswirkungsprinzip gilt die neue Datenschutzgesetzgebung somit auch für Schweizer Firmen mit EU-Tätigkeiten, ohne dass diese eine Niederlassung in der EU haben müssen. Also müssen sich die Firmen in der Schweiz mit der Thematik befassen.

Fazit

Quintessenz zum heutigen Thema:

  • Das Recht hilft nicht wirklich weiter beim Datenschutz und Big Data
  • Die Richter und Datenschützer entwickeln keine tatsächlich technisch umsetzbare Lösungen
  • Die geplante neue EU-Datenschutz-Grundverordnung entwickelt sich ebenfalls in eine falsche Richtung und geht v.a. auf Konfrontation gegenüber den USA