Aus dem Unterricht des CAS Digital Risk Management zum Thema Datenschutz mit Bruno Baeriswyl, dem Datenschutzbeauftragten des Kantons Zürich, berichtet Nadine Gloor:

Im Jahr 1890 wurde das erste Mal “The Right to Privacy” definiert. Seit 1999 ist der Schutz der Privatsphäre in der Schweizerischen Bundesverfassung als Grundrecht verankert, ebenso wie der Schutz vor Missbrauch von persönlichen Daten. Seither hat sich jedoch vieles geändert. Die Welt wurde digital und Plattformen wie Google, Facebook usw. sammeln und verarbeiten Daten im grossen Stil. Dies stellt den Datenschutz vor eine grosse Herausforderung.

Als Erstes ist es wichtig, zu wissen, dass das Datenschutzgesetz (DSG) nicht die Daten an sich schützt, sondern die entsprechende Person dahinter:

Das Datenschutzgesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. (DSG, Art. 1)

Besonders relevant sind demnach sogenannte Personendaten (Name, Adresse, Telefonnummer, IP-Adresse, Pseudonyme usw.). Werden die Daten vollständig anonymisiert, greift das Datenschutzgesetz nicht. Besonders schützenswerte Personendaten sind z.B. Gesundheitsdaten oder Daten, die einen Einblick in die Intimsphäre der Person erlauben.

Sieben Grundsätze des Schweizer Datenschutzes

Es gibt sieben Grundsätze im Datenschutz, die eingehalten werden sollen (DSG, Art. 4):

  • Rechtmässigkeit: Zur Bearbeitung von Daten braucht es einen Rechtfertigungsgrund. Dies kann z.B. die Einwilligung der betroffenen Person sein, oder ein entsprechender Vertragsabschluss.
  • Verhältnismässigkeit: Es gilt: “So wenig wie möglich, so viel wie nötig.”
  • Zweckbindung: Die Daten dürfen nur zu dem Zweck, der bei der Erhebung transparent war, verwendet werden. Dies ist gerade bei Quasi-Monopolen wie Google oder Facebook schwierig, da der User, wenn er nicht zustimmt, vom Dienst ausgeschlossen wird.
  • Erkennbarkeit: Die Beschaffungsart und der Zweck der Datenerhebung und -nutzung müssen klar erkennbar sein.
  • Verantwortlichkeit: Der Verantwortliche muss bekannt und die Datenbearbeitung nachvollziehbar sein.
  • Informationssicherheit: Es müssen Massnahmen getroffen werden zum Schutz der Daten. Diese sind dem Stand der Technik anzupassen und müssen verhältnissmässig sein.
  • Kontrolle: Es gibt ein Auskunfts- und Widerspruchsrecht sowie das Recht auf Berichtigung und Vernichtung, das jede Person ohne Begründung ausüben darf.

Und international?

Da die Grenzen zwischen den Staaten im Web nahezu verschwinden, lohnt sich ein Blick über den Tellerrand. Die Europäische Union (EU) hat bis 2018 eine neue Datenschutz-Grundverordnung angekündigt. Das Ziel ist, den “Schutz der Privatsphäre in einer vernetzten Welt” sicherstellen zu können. Inhalt dieser Verordnung werden diese Punkte sein:

  • Der Anwendungsbereich der Verordnung wird auf Drittländer ausgeweitet werden, d.h. auch auf die Schweiz und insbesondere auf die USA.
  • Die Rechte der betroffenen Person werden gestärkt und die Aufsicht erhält Sanktionsmöglichkeiten.
  • Die Grundprinzipien sind Zweckbindung und Profiling (Auswertungen und die Erstellung eines Profils anhand von Personendaten).
  • Die Datenportabilität soll gewährleistet werden. D.h. dass theoretisch Daten exportiert und wieder importiert werden können.
  • Recht auf Vergessen.
  • Es soll eine Meldepflicht bei Verletzungen des Datenschutzgesetzes eingeführt werden.
  • Die neuen Leitlinien sollen “Privacy by Default / Design” sein, also das Gegenteil davon, was heutzutage Facebook und Co. machen. Der User soll von Beginn weg vollste Privatsphäre geniessen und auf Wunsch gewisse Teile freigeben können (z.B. Fotos, Personenangaben usw.).

Zum Schluss noch ein kleiner Einblick in die Macht der Daten: Einer Studie aus dem Jahr 2000 (!) von Latanya Sweeney zufolge konnten nur anhand von Geschlecht, Wohnort und Geburtsdatum 53 % der US-Bevölkerung eindeutig identifiziert werden.