Aus dem Unterricht des CAS Disruptive Technologies mit Olivier Heuberger-Götsch berichtet Daniel Enderli:

Zu Zeiten des kalten Krieges war es primär der Staat, welcher Daten gesammelt hat. Heute sind es vor allem private Unternehmen, welche den Wert der Daten als Basis für Ihre Geschäftsmodelle erkannt haben. Dies führt dazu, dass immer mehr Daten gesammelt und ausgewertet werden. Dabei gilt es auch die rechtlichen Aspekte und Gesetzte miteinzubeziehen.

Ein Beispiel hierfür ist das Angebot myStep der CSS Versicherung.

Versicherte Personen, können mittels eines Schrittzählers ihre täglichen Schritte an die CSS Versicherung übermittelt und profitieren ab einer Anzahl gelaufener Schritte pro Tag von einer Prämienreduktion.

Olivier Heuberger-Götsch führt uns im Schnelltempo in die entsprechenden Gesetze ein und vermittelt uns die wichtigsten Grundlagen.

Das Schweizer Datenschutzrecht
Kern bilden die zwei Artikel (persönliche Freiheit, Recht auf Privatsphäre) der Bundesverfassung.

Datenschutzgesetz

Dateschutzgesetz (DSG)
Das DSG schützt nicht Daten, sondern Personen, deren Daten bearbeitet werden. Dieses Gesetz bezweckt den Schutz der Persönlichkeit und der Grundrechte von Personen, über die Daten bearbeitet werden. Das DSG gilt für den privaten und öffentlichen Bereich.

Schutz der Persönlichkeit, ZGB 28
Regelt den Schutz der «Privacy»

  • Recht auf Wahrung der Privatsphäre
  • Recht auf informationelle Selbstbestimmung
  • Recht auf Vertraulichkeit und Integrität
  • Schutz vor Missbrauch von Daten

Recht auf informationelle Selbstbestimmung
Dies bedeutet, dass jeder Einzelne ein umfassendes Verfügungsrecht über sämtliche ihn betreffende Daten, das sog. Recht auf informationelle Selbstbestimmung besitzt.

Unterscheidung Personen- und Sachdaten
Das DSG ist nur anwendbar auf Personendaten. Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen.

Einteilung Daten

Persönlichkeitsprofil
Ist eine Zusammenstellung von Daten die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.

Datensammlung, Art. 3 Bst. G
Ein Bestand von Personendaten, der so aufgebaut ist, dass die Daten nach betroffenen Personen erschliessbar sind. Für Datensammlungen gelten nachfolgende Bearbeitungsgrundsätze.

Bearbeitungsgrundsätze

  • Zweckbindung: Bearbeiten nur zum Zweck, der bei der Erhebung transparent war
  • Transparenz: Die Beschaffung an sich und der Zweck der Beschaffung müssen erkennbar sein
  • Verhältnismässigkeit und Treu und Glauben: Bearbeitung hat nach Treu und Glauben zu erfolgen und muss verhältnismässig sein
  • Richtigkeit der Daten: Vergewisserung über die Richtigkeit. Treffen von Massnahmen zur Berichtigung oder Vernichtung im Hinblick auf den Zweck ihrer Beschaffung oder Bearbeitung
  • Grundsatz der Einwilligung: Keine wiederrechtliche Verletzung der betroffenen Personen
  • Nur rechtmässige Beschaffung: Gemäss Gesetzen, Einwilligung

Weitergabe von Daten ins Ausland, Art. 6 DSG
Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würden, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet.

Datenschutz in Zeiten von Big Data
Beispielsweise wird während einer Kreditkartenzahlung an einer Kasse in Echtzeit überprüft, ob diese Transaktion aufgrund eines Nutzerprofils Sinn macht.

Dabei stellen sich folgende neue Fragestellungen:

  • Welche Gesetze sind anwendbar?
  • Beeinträchtigung der Persönlichkeit durch Big Data-Analysen?
  • Dürfen sensitive Daten bearbeitet werden?
  • Dürfen Sachdaten verknüpft werden, so dass sensitive Daten entstehen?
  • Kann in eine solche Analyse gültig eingewilligt werden?
  • Wird der Grundsatz der Zweckbindung eingehalten?
  • Können Daten genügend anonymisiert werden?
  • Wo ist die Balance zwischen dem Interesse der Privatsphäre und den wirtschaftlichen Interessen von Unternehmen?

Zusammengefasst kann gesagt werden, dass im Zusammenhang mit Big Data die Sammlung und Auswertung von Daten für die betroffene Person oftmals nicht transparent ist.

Auf Ebene der Europäischen Union (EU) gibt es hierzu einen Entwurf der EU-Datenschutzgrundverordnung. Inwiefern die Schweiz diesen Entwurf oder Teile davon übernimmt, ist aktuell nicht festgelegt.

Datensicherheit
Diese betreffen den Schutz der Daten durch angemessene technische und organisatorische Massnahmen. Dies betrifft folgende Aspekte:

  • Integrität: Daten können nicht unbefugter Weise verändert werden
  • Verfügbarkeit: Informationen stehen zur Verfügung, wenn sie gebraucht werden
  • Vertraulichkeit: Verhinderung von unbefugter Kenntnisnahme
  • Authentizität: Bezeichnung einer verantwortlichen Person
  • Nachvollziehbarkeit: Erkennbarkeit von Änderungen an Daten sowie deren Urheber

Rechtsfolgen bei Datenschutzverletzungen
Jede Person oder Organisation kann ihre Rechtsansprüche zu Datensammlungen geltend machen.  Dies betrifft folgende Rechte:

  • Einsichtsrecht (Art. 11a Abs. 1 Satz 2 DSG)
  • Berichtigung / Bestreitungsvermerk (Art. 5 Abs. 2, Art. 15 Abs. 1 und 2, Art. 25, Abs. 2 und 3 DSG)
  • Auskunftsrecht (Art. 8 DSG, vgl. auch Art. 9 und 10 DSG)
  • Vernichtung/Löschung (Art. 15 Abs. 1, Art. 25 Abs. 3 DSG)
  • Bekanntgabe an Dritte verbieten/Sperrung (Art. 15 Abs. 1, Art. 20, Art. 25 Abs. 3 DSG)
  • Recht auf Unterlassung, Beseitigung und Feststellung einer widerrechtlichen Datenbearbeitung (Art. 28a ZGB, Art. 25 Abs. 1 DSG)
  • Schadenersatz, Genugtuung, Gewinnherausgabe (Art. 28a ZGB, Art. 264 ZPO, Art. 41 ff. OR, Verantwortlichkeitsgesetz des Bundes )
  • Urteilspublikation
  • Vorsorgliche Massnahmen

Weiterführend kann auch der Weg über zivil- und strafrechtliche Wege eingeleitet werden.

Profiling
Dabei geht es um Bildung von Wissen durch mathematische Algorithmen.

  • Korrelation: Irgendeine Art von Beziehung zwischen Daten
  • Segmentierung: Bildung von Kategorien und Attributen
  • Zweck: Vorhersage von zukünftigen Ereignissen, basierend auf vergangenem Verhalten

Beispielsweise betreibt Amazon ein Kunden Profiling für entsprechende Produktevorschläge.

Profiling

Zum Schluss noch ein Video, welches das Thema Datenschutz nochmals sehr gut zusammenfasst: