Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Paradoxes Datenschutzverhalten

Diskrepanz zwischen Datenschutzbedenken und nachlässigem Umgang mit digitalen Dienstleistungen

Einleitung

Im Zuge der Digitalisierung vieler Lebensbereiche haben sich die Konsumgewohnheiten sowie die Vermarktung von Produkten grundlegend verändert. Diese Entwicklungen wurden besonders durch den Einsatz von personalisierten Such- und Entscheidungshilfen sowie personalisierten Produkten und Dienstleistungen (z. B. personalisierte Playlists auf Spotify) vorangetrieben. Mit einer effektiven Personalisierung geht allerdings auch einher, dass große Mengen persönlicher Daten von Verbraucher*innen durch Unternehmen und Institutionen erfasst und automatisch analysiert werden. Angesichts der automatisierten Verarbeitung dieser unüberschaubaren Datenmengen ist der verantwortungsvolle Umgang mit sensiblen Daten durch Unternehmen und öffentliche Institutionen eines der drängendsten Themen der Gegenwart. In diesem Sinne wurden in den vergangenen Jahren gesetzliche Verordnungen erlassen, die den Umgang von Organisationen mit persönlichen Daten regeln (z. B. Datenschutz-Grundverordnung der Europäischen Union, GDPR). Manche Unternehmen setzen sich freiwillig für den Schutz der Privatsphäre ihrer Mitarbeiter*innen und Kund*innen in einem Maß ein, das über die gesetzlichen Bestimmungen und Regulierungen hinausgeht. Damit einhergehend sehen viele Konsument*innen Politik und Wirtschaft in der Verantwortung – und weniger sich selbst. Dieses verbraucherseitige Abgeben von Verantwortung führt in vielen Situationen zu einem unachtsamen Umgang der Verbraucher*innen mit ihren Daten, was wiederum von einigen Unternehmen ausgenutzt wird. Dies wird an dem folgenden Beispiel deutlich: Internetauftritte von Firmen haben oftmals sehr ausführliche Allgemeine Geschäftsbedingungen (AGB), die selten von den Besucher*innen einer Webseite vollständig gelesen und verstanden werden, was oft zu einer „blinden“ Einwilligung verführt. Zwar gibt es Bestrebungen, die Länge und Komplexität der angezeigten AGB zum Schutze der Verbraucher*innen zu reduzieren, allerdings existieren bisher keine bindenden gesetzlichen Regelungen hierfür. Ebenso gibt es Diskussionen darüber, wie stark die Default-Einstellungen bei Cookies auf den Schutz der Privatsphäre ausgerichtet sein sollten. Konsument*innen haben wiederum selten die notwendigen Kapazitäten (z. B. Zeit, Wissen, technische Kapazitäten), um das „geeignete“ Verhalten in datenschutzrelevanten Situationen zu bestimmen. Erschwerend kommt hinzu, dass die individuellen Grenzkosten für zusätzlichen Datenschutz für Konsument*innen rapide ansteigen, u. a. durch sog. Lock-in Effekte. So liegt der Nutzen von sozialen Netzwerken gerade im hohen Engagement einer wachsenden Anzahl an Nutzer*innen, die wiederum den Einfluss dieser Netzwerke stärkt und eine Nichtnutzung der Netzwerke für einzelne Nutzer*innen erschwert. Diese sog. „Privacy Externality“ kann zudem dazu führen, dass das gesellschaftliche Bedürfnis nach mehr Datenschutz verschwindet und Konsument*innen, die ein verstärktes Interesse an der Sicherung ihrer Daten haben, immer mehr Zeit und Geld dafür aufbringen müssen.

Aufgrund dieser Entwicklungen sollten sich Konsument*innen ihr Recht auf informelle Selbstbestimmung und ihre Verantwortung für die Verwendung ihrer Daten bewusstmachen. Tatsächlich existieren in Deutschland einige Initiativen, die Konsument*innen in solchen Vorhaben unterstützen, u. a. indem sie zahlreiche Informationsangebote bereitstellen. Zudem geben Konsument*innen oft an, dass sie insgesamt auf ihre Privatsphäre achten und möglichst oft kontrollieren, welche persönlichen Daten sie preisgeben. Allerdings legen Beobachtungen aus Forschung und Praxis nahe, dass das Wissen über datenschutzrelevante Themen (z. B. Instrumente zum Schutz persönlicher Daten, Wissen über die Konsequenzen bei Missbrauch) und eine allgemein positive Einstellung zum Datenschutz in vielen konkreten Situationen dennoch wirkungslos sind und von den Konsument*innen nicht in konkretes Verhalten umgesetzt werden. So gehen selbst jene Konsument*innen in manchen Situationen nachlässig mit dem Schutz ihrer persönlichen Daten um, die im Allgemeinen besorgt um ihre Datensicherheit sind.

Vor diesem Hintergrund führt der vorliegende Beitrag zunächst in das Privatsphäre-Paradoxon ein und zeigt anschließend den Stand des Schrifttums auf, wobei insbesondere auf situative und kognitive Verzerrungen fokussiert wird, welche zur Erklärung der Diskrepanz zwischen den persönlichen Datenschutzbedenken und dem tatsächlichen, oft sorglosen Verhalten bei digitalen Dienstleistungen beitragen können. Abschließend wird mit dem Konzept der drei Privatsphären-Gaps ein Rahmen für die zukünftige Forschung entwickelt.

Das „Privatsphäre-Paradoxon“

Zahlreiche Studien zum Datenschutzverhalten drehen sich um die oben beschriebene Beobachtung, dass sich Konsument*innen oftmals besorgt um ihre Datensicherheit zeigen, diese Sorge sich allerdings in vielen Situationen nicht in konkretem Handeln ausdrückt. Diese Beobachtung ist in der Literatur auch als sog. Privatsphäre-Paradoxon (engl. „Privacy Paradox“) bekannt und beschreibt die Diskrepanz zwischen allgemeinen (positiven) Einstellungen von Konsument*innen zum Datenschutz und ihrem tatsächlichen (nachlässigen) Verhalten. Diese Einstellungs-Verhaltens-Diskrepanz lässt sich einerseits durch ein rationales Kosten-Nutzen-Kalkül erklären, in dem Konsument*innen den Nutzen bestimmter Produkte und Dienstleistungen (z. B. durch Personalisierung) mit der Preisgabe ihrer Daten gegenrechnen. Eine rationale Erklärung hierfür liefert die Theorie der rationalen Entscheidung, nach der Konsument*innen ihre Entscheidungen in komplexen, unsicheren und risikobehafteten Situationen auf ein rationales Kosten-Nutzen-Kalkül stützen, also in unserem Fall den Nutzen eines Produkts, der mit der Personalisierung einhergeht, gegen die damit verbundenen Kosten bei der Preisgabe persönlicher Daten abwägen. Andererseits können situative Einflüsse oder kognitive Verzerrungen individuelle Datenschutzbedenken in bestimmten Situationen verringern. Zu diesen psychologischen Verzerrungen zählen bspw. Gewöhnungseffekte, der Einfluss der sozialen Umwelt oder die Illusion der vollständigen Kontrolle über die Preisgabe der eigenen Daten.

Aus angrenzenden Forschungsgebieten ist die Lücke zwischen selbst berichteten allgemeinen Einstellungen und dem Verhalten in konkreten Situationen bekannt. Allerdings vermittelt der Terminus „Paradoxon“ für diese Einstellungs-Verhaltens-Lücke einen missverständlichen Eindruck, da hinsichtlich digitaler Dienstleistungen durchaus der Fall eintreten kann, dass aus Sicht der Konsument*innen der aus der Datenabgabe gewonnene Nutzen die damit verbundenen Kosten übersteigt und ein scheinbar nachlässiges Verhalten nicht paradox, sondern rational ist. Selbst strikte Einstellungen zum Datenschutz stehen nicht im Widerspruch zu einem freizügigen Umgang mit Daten in bestimmten Situationen, wenn andere Bedürfnisse ungleich wichtiger sind (z. B. in medizinischen Notfällen). Daher wird besonders in jüngster Zeit zunehmend in Frage gestellt, ob das Paradoxon in dieser Form auf der individuellen Ebene überhaupt existiert. Angesichts möglicher langfristiger negativer Effekte und der immensen Bedeutung für Gesellschaft und Wirtschaft, sollte die Debatte über das Privatsphäre-Paradoxon nichtsdestotrotz fortgesetzt werden. Zudem lassen sich zahlreiche paradoxe Verhaltensweisen nicht einfach auf rationale Kosten-Nutzen-Abwägungen zurückführen, weil es vorkommt, dass Konsument*innen unverhältnismäßig viele persönliche Daten preisgeben, ohne eine nennenswerte Gegenleistung oder einen subjektiven Nutzen zu erwarten. Mehrere psychologische Modelle helfen, dieses paradoxe Verhalten zu erklären. Die zentralen Faktoren sollen im Folgenden anhand der vorliegenden Literatur diskutiert werden.

Überblick über die Literatur

Zahlreiche Studien aus den Gebieten Psychologie, Verhaltensökonomie sowie Konsumentenverhaltensforschung beschäftigten sich in den vergangenen Jahren mit den psychologischen Einflussfaktoren auf datenschutzrelevantes Verhalten von Konsument*innen. Diese Faktoren erweitern das rationale Kosten-Nutzen Kalkül um situative und kontextuale Einflüsse bis hin zu emotionalen und irrationalen Entscheidungen

Im weiteren Verlauf gehen wir zunächst auf Studien zu den verhaltensrelevanten Konsequenzen ein. Bisherige Studien befassten sich im Wesentlichen mit zwei Verhaltenskonsequenzen. Zum einen wurde untersucht, inwiefern datenschutzrelevante Faktoren die Konsumbereitschaft für ein bestimmtes Produkt beeinflussen. Zum anderen wurde erforscht, in welchem Ausmaß (wie viel, an wen, etc.) Konsument*innen ihre persönlichen Daten preisgeben. Mit Blick auf die Einflussfaktoren betrachten wir den persönlichen Nutzen, der durch die Nutzung digitaler Dienstleistungen entstehen würde, sowie die Datenschutzbedenken und die angestrebte Privatsphäre der Nutzer*innen. Diese fließen in das Kosten-Nutzen-Kalkül der Konsument*innen ein. Das Kernstück des Literaturüberblicks betrifft Erkenntnisse zu situativen und kognitiven Verzerrungen bei der Abwägung des Nutzens und der Datenschutzbedenken.

Verhaltenskonsequenzen

Sicherung der Privatsphäre. Zunächst unterscheiden sich Konsument*innen hinsichtlich ihrer Bereitschaft, persönliche Daten in bestimmten Situationen preiszugeben. Die Menge der bereitgestellten persönlichen Daten kann wiederum die Nutzungsqualität digitaler Produkte und Dienstleistungen beträchtlich beeinflussen, z. B. in sozialen Netzwerken. Ein typisches Anwendungsbeispiel ist auch die Nutzung von Smart Home Objekten, deren sinnvoller Einsatz nur durch die Verarbeitung persönlicher Daten möglich ist (z. B. passives Mithören intelligenter Lautsprecher eines sprachgesteuerten, internetbasierten Assistenten).

Nutzung digitaler Produkte oder Dienstleistungen. Mit Blick auf die Nutzung digitaler Dienstleistungen wird in der Literatur oftmals die gesamte Customer Journey, d. h. auch Prozesse der Informationsbeschaffung, des Kaufs von Produkten und Dienstleistungen, sowie deren Weiterempfehlung betrachtet. So eruierten Untersuchungen zur Akzeptanz personalisierter Angebote u. a. das dem Kauf vorgelagerte Interesse an weiteren Informationen oder den möglichen Erwerb des Produktes. Häufig untersuchte Verhaltenskonsequenzen in diesem Kontext sind Click Through Rates, der Kauf des Produktes sowie die Weiterempfehlungsbereitschaft der Konsument*innen bzw. deren Bereitschaft, ihre negative Meinung über das Produktmit anderen zu teilen (word-of-mouth). Miyazaki (2008) zeigt beispielsweise, dass der verdeckte Einsatz von Technologien zur Sammlung von Daten (z. B. Cookies) zu negativer Mundpropaganda führen kann.

Kosten-Nutzen-Kalkül

Persönlicher Nutzen durch Nutzung digitaler Produkte oder Dienstleistungen. Konsument*innen wägen in datensensiblen Situationen oft den Nutzen ab, den sie mit der Preisgabe ihrer persönlichen Daten „bezahlen“. Studien bestätigen dementsprechend, dass Menschen anders mit dem Schutz ihrer persönlichen Daten umgehen, wenn sie ein bestimmtes Produkt als nützlich erachten. White et al. (2008) zeigen bspw., dass ein hoher Nutzen eines Produktes zu geringeren Sorgen bei der damit verbundenen Offenlegung der Privatsphäre führt. Dieser Nutzen kann einerseits monetär sein: Gabisch and Milne (2014) zeigen, dass Nutzer*innen eher zur Offenlegung ihrer Daten bereit sind, wenn damit finanzielle Anreize verbunden sind. Andererseits kann der Nutzen auch andere persönliche Interessen betreffen, bspw. gesundheitliche Interessen bei der Nutzung der Corona Warn-App. Darüber hinaus kann eine erhöhte Personalisierung und das individualisierte Maßschneidern von Produkten und Dienstleistungen als sehr nützlich erachtet werden. Gabisch und Milne (2014) untersuchen bspw., ob bei Konsument*innen das Gefühl entsteht, dass sie durch die Personalisierung von Dienstleistungen und Online-Produkten genügend Nutzen erfahren, der die Offenlegung ihrer persönlichen Daten rechtfertigt. Ein hohes Maß an Personalisierung kann aber auch Misstrauen gegenüber dem Unternehmen und Reaktanz auslösen, was die Nutzung der Produkte des Unternehmens wiederum verringert. Auch hier ist dementsprechend ein paradoxer Effekt sichtbar, da Personalisierung einerseits den Nutzen erhöht, andererseits aber auch Reaktanz und Misstrauen auslösen kann.

Datenschutzbedenken. Die allgemeinen und situativen Bedenken gegen den Umgang mit ihren personenbezogenen Daten beeinflussen das Verhalten von Konsument*innen in datenschutzrelevanten Situationen maßgeblich. Die allgemeinen Datenschutzbedenken beziehen sich auf Überzeugungen, Einstellungen und Wahrnehmungen der Konsument*innen zu ihrer Privatsphäre. In der Forschung werden diese oftmals mit der sog. „consumer privacy concern scale“ erfasst. In der bisherigen Literatur wurden Datenschutzbedenken sowohl als Prädiktoren, aber auch als Moderatoren und datenschutzrelevante Konsequenzen untersucht.

Situative und kognitive Verzerrungen

Situative und kognitive Verzerrungen beschreiben Einflussfaktoren, die die konkreten datenschutzrelevanten Handlungen von Konsument*innen über rationale Kosten-Nutzen-Abwägungen hinaus beeinflussen und zu Abweichungen von ihren eigentlichen (allgemeinen) Einstellungen, Überzeugungen und Intentionen führen. Dies können die Anwendungsumgebung sein. Die bisherigen Studien betrachteten unter anderem Informationsasymmetrien, Vertrauen und Transparenz, Kontrollillusionen, die soziale Umwelt, Habituation sowie die wahrgenommene Vulnerabilität.

Informationsasymmetrien. Konsument*innen wissen häufig nicht, zu welchen Gelegenheiten, auf welche Arten und in welchem Umfang Unternehmen ihre Daten sammeln und verarbeiten und welche weiteren Dienste und Unternehmen ebenfalls Zugriff auf diese Daten haben. Der Hauptgrund hierfür liegt darin, dass den Konsument*innen zumeist die notwendigen (kognitiven, zeitlichen) Kapazitäten im Alltag fehlen oder sie nicht das notwendige technische oder juristische Hintergrundwissen besitzen, um bspw. komplexe Datenschutzbestimmungen zu verstehen. Diese sogenannten Informationsasymmetrien und die daraus entstehenden Folgen (z. B. Misstrauen gegenüber Unternehmen, geringe Kaufbereitschaft) lassen sich nur sehr schwer wieder abbauen. So kann die bloße Benachrichtigung über die Datenschutzrichtlinien des Unternehmens nicht zwangsläufig verhindern, dass Konsument*innen Informationsasymmetrien wahrnehmen und den Datenschutz kritisch sehen. Darüber hinaus spielt es eine Rolle, wie datenschutzrelevante Informationen durch Unternehmen an die Konsument*innen vermittelt werden. Vail et al. (2008) zeigen bspw., dass „traditionelle“ und ausführliche Datenschutzrichtlinien von Konsument*innen eher als vertrauenswürdig angenommen werden, obwohl solche Richtlinien aufgrund ihrer Länge und Komplexität keine Informationsasymmetrien abbauen. Somit kann eine Maßnahme, die eher nachteilig für die Verringerung der Informationsasymmetrien ist, paradoxerweise das Vertrauen der Konsument*innen in das Unternehmen erhöhen.

Vertrauen und Transparenz. Das Vertrauen in Organisationen kann maßgeblich beeinflussen, inwieweit Konsument*innen ihre persönlichen Daten mit diesen teilen. Hierbei wurde in der Literatur besonders eine glaubwürdige und transparente Datenschutzpolitik als vertrauensbildender Erfolgsfaktor untersucht. So kann eine glaubwürdige Datenschutzpolitik des Unternehmens das Vertrauen von Konsument*innen stärken, z. B. durch unabhängige Datenschutzsiegel und freiwillige Angaben zum Datenschutz. Mit einem hohen Vertrauen geht allerdings auch eine erhöhte Erwartungshaltung der Konsument*innen an die Datensicherheit der Unternehmen einher, deren Nichterfüllung sich negativ auf das Verhältnis zwischen Konsument*innen und Unternehmen auswirken können. So kann ein nachlässiger Umgang mit den Kundendaten zu einem Glaubwürdigkeitsverlust von Unternehmen führen und bedeutende negative finanzielle und juristische Konsequenzen nach sich ziehen. Andererseits kann ein transparenter Umgang des Unternehmens mit den verwendeten Daten das Vertrauen der Konsument*innen stärken.

Kontrollillusion. Die wahrgenommene Kontrolle der Konsument*innen über die eigenen Daten gilt als bedeutende Einflussgröße auf deren Verhalten in datensensiblen Situationen. Einerseits kann das Gefühl von Kontrolle bei Konsument*innen Reaktanz und Datenschutzbedenken gegenüber dem Unternehmen abbauen und damit das Verhältnis von Konsument*innen zu den Unternehmen verbessern. Allerdings kann die wahrgenommene Kontrolle auch einen paradoxen Effekt auslösen, der in der Literatur als sog. Kontrollparadoxon eingeführt wurde: Die wahrgenommene Kontrolle über die eigenen Daten führt dazu, dass diese durch Konsument*innen leichtfertiger offengelegt werden. Im Hinblick auf die Kontrolle über die eigenen Daten, kann auch eine gegenteilige Wahrnehmung entstehen, nämlich das Gefühl der Resignation. Konsument*innen fühlen sich in dem Fall hilflos und machtlos und sind überzeugt, dass sie ihre Daten ohnehin nicht schützen können oder dass sie als aktive Bürger*innen in einer modernen Welt nicht ohne digitale Teilhabe bestehen können. Ironischerweise können sowohl die Wahrnehmung von Kontrolle als auch Resignation dieselbe Konsequenz haben: Konsument*innen gehen nachlässig mit ihren persönlichen Daten um. Des Weiteren ist in diesem Zusammenhang das „Nichts-zu-verbergen-Argument“ zu beobachten, das besagt, dass staatliche Maßnahmen zur Überwachung illegaler Aktivitäten dienen und daher keine Personen beeinträchtigt werden, die sich regelkonform verhalten. Hier kann das Gefühl vermeintlicher Kontrolle schlicht durch die Einhaltung von Gesetzen entstehen, obwohl Maßnahmen zur Überwachung in vielen Fällen unabhängig von Verdachtsfällen geschehen.

Soziale Umwelt. Die soziale Umwelt spielt in zweierlei Hinsicht eine bedeutende Rolle für den Umgang von Konsument*innen mit ihren persönlichen Daten. Einerseits dient die soziale Umwelt oftmals als Referenz für das „richtige“ Verhalten in bestimmten Situationen und unterstützt Konsument*innen dabei, die ihre Einstellungen zu einem bestimmten Thema zu ermitteln. Tatsächlich konnten Studien bestätigen, dass Konsument*innen bei der Nutzung einer bestimmten Technologie eher ihre persönlichen Daten preisgeben, wenn sie dieses Verhalten bereits bei anderen beobachtet haben. Darüber hinaus können Konsument*innen in ihren datenschutzrelevanten Entscheidungen durch soziale Normen, Herdenverhalten sowie dem Vertrauen in andere Nutzer*innen von Plattformen und Reziprozitätsgedanken beeinflusst werden. Schließlich kann auch das Bedürfnis nach dem Teilen persönlicher Informationen mit anderen Menschen maßgeblich beeinflussen, wie stark Konsument*innen auf Datenschutzaspekte achten.

Habituation. Der Umgang von Konsument*innen mit ihren persönlichen Daten hängt nicht zuletzt davon ab, wie sehr sie sich an bestimmte Gegebenheiten und Situationen gewöhnen. So können datenschutzrelevante Probleme zwar in einer bestimmten Situation oder für einen bestimmten Zeitraum im Fokus der Aufmerksamkeit stehen (z. B. wenn ein Datenschutzskandal in den Medien aufbereitet wird), allerdings treten im Zeitverlauf andere Themen in den Vordergrund, während die datenschutzrelevanten Probleme ungelöst bleiben oder sich sogar unbemerkt weiterhin nachteilig für die Konsument*innen entwickeln (z. B. durch Agenda Setting). Dies führt u. a. dazu, dass sich Konsument*innen selbst an Umstände gewöhnen, die ihnen eigentlich schaden könnten. Darüber hinaus kann auch die genutzte technologische Plattform zu Gewöhnungseffekten führen und den Umgang mit den persönlichen Daten beeinflussen. So zeigen Melumad und Meyer (2020), dass Konsument*innen eher Persönliches auf sozialen Netzwerken teilen, wenn sie ein Smartphone statt eines PCs nutzen.

Wahrgenommene Vulnerabilität. Das Konzept der wahrgenommenen Vulnerabilität bzw. Verwundbarkeit beschreibt das von Konsument*innen wahrgenommene potenzielle Risiko, das mit der Offenlegung persönlicher Daten einhergeht. Die wahrgenommene Verwundbarkeit entspringt der individuellen Befürchtung, dass andere (z. B. Unternehmen, Staaten, Betrüger) die Absicht hegen könnten, die persönlichen Daten von Konsument*innen zu deren Nachteil zu nutzen. Die jüngste Literatur, die sich der wahrgenommenen Verwundbarkeit intensiv gewidmet hat, konnte nachweisen, dass diese einen beträchtlichen Einfluss darauf hat, wie Konsument*innen ihre eigene Privatsphäre erleben und beurteilen. Schließlich beeinflusst die wahrgenommene Verwundbarkeit subjektive Datenschutzbedenken.

Handlungsempfehlungen für Nutzer*innen und Gesetzgeber

Aus dem vorliegenden Beitrag wird klar, dass wichtige Dimensionen der digitalen Datenschutzkompetenz das Verständnis der Nutzer*innen für die tatsächliche Kontrolle über deren persönliche Daten, soziale Einflüsse, Habituationen und Vulnerabilität und Informationen sind. Auf Seiten des Gesetzgebers könnte man übergeordnet davon sprechen, dass neben rechtlichen Rahmenbedingungen und Standards sowie Kontrolle der Anbieter auch Maßnahmen zur Steigerung der digitalen Datenschutzkompetenz wichtig sind (Informations- und Bildungsangebote). Basierend auf diesen Überlegungen gestalten sich zahlreiche Möglichkeiten, um einen sicheren und verantwortungsvollen Umgang der Nutzer*innen mit den eigenen Daten zu fördern. Gesetzgeber, Verbraucherschutzorganisationen und öffentliche Institutionen können bspw. Unternehmen gesetzlich verpflichten oder dazu motivieren, ihre Kund*innen zu einem verantwortungsvollen Umgang mit persönlichen Daten zu unterstützen.

Die Untersuchung der drei Privatsphäre-Gaps als Forschungsagenda

Der Literaturüberblick verdeutlicht, dass bereits zahlreiche Studien datenschutzrelevante Aspekte im Konsumentenverhalten untersuchten. Es wurde deutlich, dass die konsumentenpsychologische Forschung nützliche konzeptionelle Vorarbeit geleistet hat, die in zukünftigen empirischen Studien vertieft werden sollte. Bislang existiert allerdings noch kein Modell, das zeigt, wie verschiedene datenschutzrelevante Konsumentenreaktionen zueinander stehen und wie sich die aufgeführten Prozesse gegenseitig beeinflussen und die Reaktionen auslösen. Darüber hinaus wurden die verschiedenen Arten von Konsumentenreaktionen in datenschutzrelevanten Situationen nicht systematisch untersucht, obwohl diese Reaktionen paradoxerweise gegenläufige Effekte annehmen können: So kann beispielsweise das Gefühl von Kontrolle über die eigenen Daten einen positiven Effekt auf das Vertrauen gegenüber Unternehmen ausüben und sich in einer positiven Kaufabsicht und der bereitwilligen Preisgabe sensibler Daten widerspiegeln. Allerdings kann dieses Vertrauen auch zu einer Nachlässigkeit im Umgang mit den eigenen Daten führen. So kann ironischerweise das Gefühl von Kontrolle zu einem Kontrollverlust über die Daten führen.

Für eine spezifischere Untersuchung datenschutzrelevanter Aspekte im Konsumverhalten erscheint eine Abgrenzung der erstrebenswerten, erstrebten und erreichbaren Privatsphäre besonders fruchtbar. Die subjektiv erstrebenswerte Privatsphäre kennzeichnet das Maß an Privatsphäre, das aus individuellen, politischen oder sozialen Norm- und Zielvorstellungen resultiert. Besonders die individuellen Normvorstellungen sind hierbei aus unserer Perspektive wichtig, da sich diese einerseits aus tiefergehenden Einstellungen speisen, andererseits auch aus dem Verhalten in anderen datenschutzrelevanten Bereichen. Unter der erstrebten Privatsphäre verstehen wir den Grad an Privatsphäre, den Konsument*innen allgemein oder in bestimmten Situationen anstreben. Er kann von verschiedenen Faktoren beeinflusst werden, die schon empirisch untersucht wurden und in diesem Artikel diskutiert wurden. Schließlich beschreibt die subjektiv erreichbare Privatsphäre das individuell wahrgenommene Maß an Privatsphäre, das allgemein oder in einer bestimmten Situation erreicht werden kann. Es ist stark abhängig vom Informationsstand der Konsument*innen.

Auf Basis der berichteten Literatur und diesen drei zu unterscheidenden Formen der Privatsphäre ergibt sich folgende übergeordnete Fragestellung, die in zukünftiger Forschung untersucht werden sollte: Welche situativen und kognitiven Verzerrungen erklären die Abweichungen zwischen erstrebenswerter, erstrebter und erreichbarer Privatsphäre von Konsument*innen sowie ihr datenschutzrelevantes Verhalten in konkreten Situationen? Für staatliche Institutionen ergibt sich die praktische Fragestellung, durch welche individuellen verhaltenswissenschaftlichen Interventionen und Bildungsmaßnahmen diese Lücken geschlossen werden können. Konkret ergibt sich Forschungsbedarf zu den folgenden drei Gaps der Privatsphäre bei digitalen Dienstleistungen.

Gap 1: Diskrepanz zwischen erstrebenswerter und erstrebter Privatsphäre

Zunächst sollte untersucht werden, wieso Konsument*innen für verschiedene Anwendungen sowie in verschiedenen Kontexten und Situationen unterschiedliche Maßstäbe an den Datenschutz anlegen. Ein geeignetes Beispiel ist der Unterschied im Umgang mit Datenschutzbedenken einiger Konsument*innen zwischen der Corona Warn-App und sozialen Netzwerken. So lehnten im Zuge der Einführung der Corona Warn-App in Deutschland zahlreiche Konsument*innen eine Nutzung aus Gründen des Datenschutzes ab, teilten diese Meinung aber auf sozialen Netzwerken (z. B. Facebook, WhatsApp). Paradox an dieser Situation ist, dass Konsument*innen das erstrebte Maß an Privatsphäre für unterschiedliche Anwendungen inkonsistent beurteilten: für die sinnvolle Teilhabe an sozialen Netzwerken wird die Offenlegung zahlreicher privater Daten in Kauf genommen, während die Anforderungen an die Warn-App sehr hoch waren. Es kommt hinzu, dass der gesellschaftliche Nutzen der Corona Warn-App von zahlreichen Expert*innen und in den Medien als sehr hoch beurteilt wurde. Eine potenzielle Erklärung ergibt sich aus dem Ethical Intuitionism Model, wonach ein moralisches Urteil der rationalen Begründung vorgelagert ist. Eine höhere Bewertung des Datenschutzes kann also auch die nachgelagerte Rationalisierung dafür sein, wieso man das dafür genutzte Produkt ablehnt. Ferner ist auf normativer Ebene zu klären, welches Maß an Privatsphäre überhaupt „gut“ ist. Die Forschung zum Datenschutz konnte bisher bestätigen, dass ein hohes Maß an Privatsphäre mit einer Erhöhung der gesellschaftlichen Wohlfahrt verbunden ist. Jedoch fehlen bislang Studien, die diese Lücke empirisch schließen.

Gap 2: Diskrepanz zwischen erstrebter und erreichbarer Privatsphäre

Die erstrebte Privatsphäre kann auch von der erreichbaren Privatsphäre abweichen. Diese Lücke wurde in der bisherigen Forschung besonders aus der Perspektive des Privatsphäre-Paradoxon untersucht, da Konsument*innen nicht in allen Situationen das höchstmögliche Maß an Privatsphäre suchen, sondern sich mit einem Maß an Privatsphäre zufriedengeben, das ihnen das gewünschte Maß an gesellschaftlicher Teilhabe ermöglicht (sog. Privatsphäre-Externalität) und auch der Verfolgung anderer persönlicher Interessen nicht im Wege steht (sog. Privacy-Personalization-Paradox). Auch hier ist weitere Forschung notwendig, die sich mit der spezifischen Entschlüsselung der Verzerrungen befasst.

Gap 3: Diskrepanz zwischen erstrebenswerter und erreichbarer Privatsphäre

In einigen Situationen können auch die erreichbare und die erstrebenswerte Privatsphäre divergieren. Sollte die erreichbare Privatsphäre deutlich hinter der erstrebenswerten Privatsphäre zurückfallen, entstehen mentale Konflikte. Gewährleistet beispielsweise ein Unternehmen wenig Datenschutz für ein bestimmtes Produkt (niedrige erreichbare Privatsphäre) in einem Bereich, bei dem Privatsphäre als sehr erstrebenswert gilt (hohe erstrebenswerte Privatsphäre, z. B. Gesundheit), entstehen bei Konsument*innen derartige Dissonanzen. Äußere Faktoren beeinflussen die Strategien, mit deren Hilfe Konsument*innen diese kognitiven Dissonanzen reduzieren können. Konsument*innen könnten bspw. das erstrebenswerte Maß an Privatsphäre (oder die Bedeutung von Privatsphäre insgesamt) für sich verringern, wenn sie das angebotene Produkt unbedingt möchten. Sie können allerdings auch das Produkt durch ein Substitut ersetzen oder zu einem anderen Anbieter wechseln, das bzw. der ihnen ein höheres Maß an erreichbarer Privatsphäre bietet. Außerdem können sie in bestimmten Fällen auch die erreichbare Privatsphäre im selben Unternehmen erhöhen, z. B. kurzfristig durch Extra-Zahlungen.

Fazit

Der vorliegende Artikel diskutiert verschiedene situative und kognitive Verzerrungen, die zur Erklärung der Diskrepanz zwischen den persönlichen Datenschutzbedenken und dem tatsächlichen, oft sorglosen Verhalten bei digitalen Dienstleistungen beitragen. Es wird allerdings deutlich, dass bisher kein übergeordnetes Modell existiert, das die Wechselwirkungen zwischen diesen Verzerrungen sowie den datenschutzrelevanten Konsequenzen untersucht und dabei eine in unseren Augen wichtige Differenzierung zwischen erstrebenswerter, erstrebter und erreichbarer Privatsphäre einbezieht. Dieser Beitrag soll daher zukünftige Forschung auf diesem Gebiet stimulieren.

Zur einfacheren Lesbarkeit wurden die meisten Quellenverweise entfernt. Die Illustrationen wurden aus Platzgründen entfernt.

Wassili Lasarov, Stefan Hoffmann; HMD Praxis der Wirtschaftsinformatik; 2021

https://link.springer.com/article/10.1365/s40702-021-00706-2

http://creativecommons.org/licenses/by/4.0/deed.de

Kategorie: Datenschutz

Das neue Datenschutzgesetz aus Sicht des EDÖB

I. Einleitung

In der Herbstsession 2020 hat das Eidgenössische Parlament das totalrevidierte Bundesgesetz über den Datenschutz (DSG) sowie weitere, geänderte Erlasse zum Datenschutz verabschiedet. Die Referendumsfrist ist am 14. Januar 2021 ungenutzt abgelaufen. Die Bundesverwaltung ist aktuell daran, die dazugehörigen Vollzugsverordnungen auszuarbeiten, welche der Bundesrat voraussichtlich im zweiten Semester des Jahres 2022 zusammen mit dem neuen DSG in Kraft setzen wird.

Bis zum Inkrafttreten werden die Privatwirtschaft und die Bundesbehörden die Bearbeitung von Personendaten an die neuen Bestimmungen anzupassen haben. Vorliegend weist der EDÖB auf die wichtigsten Neuerungen hin, welche sie dabei beachten müssen.

II. Vorgeschichte und Ziele der Revision

Das erste Bundesgesetz über den Datenschutz vom 19. Juni 1992 trat Mitte 1993 in Kraft – zu einem Zeitpunkt also, in welchem das Internet noch nicht kommerziell genutzt wurde und die heutige, vom Umgang mit dem allgegenwärtigen Smartphone geprägte, digitale Realität noch nicht absehbar war. Nach einer Teilrevision im Jahr 2008, deren Ziel es war, die Bevölkerung besser über die Bearbeitung ihrer Daten zu informieren, sollte sich schon bald zeigen, dass die rasante, technologische Entwicklung weitere Anpassungen notwendig machte. Inzwischen ist für das Gros der Bevölkerung ein Leben ohne jederzeitigen Internetzugang sowie intelligente und mit berührungssensiblen Bildschirmen ausgerüsteten Geräten kaum mehr vorstellbar. Um der Bevölkerung in einem Alltag, der von Cloud-Computing, Big Data, Sozialen Netzwerken und Internet der Dinge geprägt ist, einen zeitgemässen Datenschutz zu garantieren, wurde eine umfassende Erneuerung des DSG unausweichlich.

Im Herbst 2017 verabschiedete der Bundesrat den Entwurf zu einer Totalrevision des DSG, den er mit der dazugehörenden Botschaft an die eidgenössischen Räte überwies. Ziel dieser Revision war es, den Datenschutz an die veränderten technologischen und gesellschaftlichen Verhältnisse anzupassen. Das neue DSG muss damit dem Anspruch gerecht werden, die informationelle Selbstbestimmung sowie die Privatsphäre der Bürgerinnen und Bürger zu stärken und damit möglichst langfristig zu gewährleisten.

Nebst der Stärkung der Rechte der betroffenen Personen hebt der Bundesrat in seiner Botschaft den sog. risikobasierten Ansatz als Leitlinien der Revision hervor: Nach diesem Ansatz sollen Staat und Unternehmen die Risiken für die Privatsphäre und informationelle Selbstbestimmung frühzeitig erheben und die Anforderungen des Datenschutzes bereits im Planungsstadium ihrer digitalen Projekte miteinbeziehen. Hohe Risiken und die zu deren Beseitigung oder Minderung getroffenen organisatorischen und technischen Massnahmen sind zu dokumentieren. Sodann fördert das revidierte DSG auch die Selbstregulierung, indem die Mitglieder von Branchen, die einen verbindlichen Verhaltenskodex erlassen, von gewissen Pflichten entbunden werden. Das revidierte DSG enthält nicht zuletzt auch diverse Neuerungen, welche die Aufsichtsbefugnisse des EDÖB stärken sollen.

Anfang 2018 beschloss das Parlament, die Revision in zwei Etappen aufzuteilen: Zwecks Beachtung staatsvertraglicher Umsetzungsfristen wurden in einer ersten Etappe vorab die Bestimmungen zu Datenbearbeitungen angepasst, die für Bundesorgane wie das fedpol gelten, welche die angepasste EU-Richtlinie 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten im Bereich des Strafrechts anwenden, weil diese Teil des sog. Acquis zum Schengener Assoziierungsübereinkommen sind. Diese Arbeiten mündeten im sog. Schengen-DSG bzw. SDSG. In einem zweiten Schritt erfolgte dann die Totalrevision des DSG als Ganzes.

1. Etappe 1: Schengen-Teil

Das SDSG trat am 1. März 2019 in Kraft. Neben dem SDSG, dessen Geltungsdauer bis zum Inkrafttreten der Totalrevision begrenzt ist, wurden sodann weitere Gesetze angepasst, die in den Bereich der Schengener Zusammenarbeit in Strafsachen fallen.

2. Etappe 2: Ganzes Gesetz

In der Herbstsession 2019 nahm sich der Nationalrat der Totalrevision des ganzen Gesetzes als Erstrat an, welche die eidgenössischen Räte am 25. September 2020 nach Bereinigung aller Differenzen verabschiedet haben. Bei der Ausgestaltung des neuen DSG berücksichtigten Bundesrat und Parlament die von der Schweiz unterzeichnete Erweiterung der Europaratskonvention 1081 sowie die Datenschutzgrundverordnung der Europäischen Union (DSGVO). Aufgrund ihres extraterritorialen Anwendungsbereichs wird Letztere seit ihrer Inkraftsetzung im Mai 2018 bereits von weiten Teilen der Schweizer Wirtschaft angewandt. Trotz dieser Anlehnung an das europäische Recht entspricht das neue DSG der schweizerischen Rechtstradition, indem es einen hohen Abstraktionsgrad ausweist und technologieneutral formuliert ist. Von der DSGVO hebt es sich nicht nur aufgrund seiner Kürze, sondern auch einer teilweise unterschiedlichen Terminologie ab. Allgemein wird davon ausgegangen, dass die Schweiz und die EU nach der Erneuerung ihrer Datenschutzgesetzgebungen gegenseitig die Gleichwertigkeit ihrer Datenschutzniveaus anerkennen werden, so dass der formlose Austausch von Personendaten über die Landesgrenzen weiterhin möglich bleibt. Die Erneuerung des aus dem Jahre 2000 stammenden Anerkennungsbeschlusses der EU gegenüber der Schweiz wird für das Frühjahr 2021 erwartet.

III. Wichtigste Neuerungen des totalrevidierten Datenschutzgesetzes

3. Nur noch Daten von natürlichen Personen

Das revidierte DSG bezweckt ausschliesslich den Schutz der Persönlichkeit von natürlichen Personen, über welche Personendaten bearbeitet werden. Daten von juristischen Personen wie kaufmännischen Gesellschaften, Vereinen oder Stiftungen werden vom neuen DSG nicht mehr erfasst, womit dessen Geltungsbereich mit jenem der DSGVO übereinstimmt. Unternehmen können sich nach wie vor auf den Persönlichkeitsschutz durch Art. 28 ZGB, den Schutz des Geschäfts- und Fabrikationsgeheimnis nach Art. 162 StGB sowie die einschlägigen Bestimmungen der Bundesgesetze über den unlauteren Wettbewerb und über Kartelle berufen.

4. Besonders schützenswerte Personendaten

Die bisherige Definition der besonders schützenswerten Personendaten wird um genetische und, sofern diese eine natürliche Person eindeutig identifizieren, biometrische Daten erweitert.

5. Privacy by Design und by Default

Im revidierten DSG sind neu die Grundsätze «Privacy by Design» (Datenschutz durch Technik) und «Privacy by Default» (Datenschutz durch datenschutzfreundliche Voreinstellungen) verankert. Sie verpflichten Behörden und Unternehmen, die Bearbeitungsgrundsätze des DSG bereits ab der Planung entsprechender Vorhaben umzusetzen, indem sie angemessene technische und organisatorische Schutzmassnahmen treffen. Der Datenschutz durch Technik verlangt, dass sie ihre Applikationen u.a. so ausgestalten, dass die Daten standardmässig anonymisiert oder gelöscht werden. Datenschutzfreundliche Voreinstellungen schützen die Nutzer von privaten Online-Angeboten, die sich weder mit Nutzungsbedingungen noch den daraus abzuleitenden Widerspruchsrechten auseinandergesetzt haben, indem nur die für den Verwendungszweck unbedingt nötigen Daten bearbeitet werden, solange sie nicht aktiv werden und weitergehende Bearbeitungen autorisieren. Um diesen Schutz des neuen Gesetzes zu gewährleisten, sollten Schweizer Unternehmen ihre Angebote rechtzeitig überprüfen und nötigenfalls durch Einsatz datenschutz- und kundenfreundlicher Programme Anpassungen vornehmen.

6. Datenschutzberater und Datenschutzberaterinnen

Private Unternehmen können nach Art. 10 revDSG eine Datenschutzberaterin oder einen Datenschutzberater ernennen. Diese können, müssen aber nicht in einem arbeitsvertraglichen Verhältnis zum Unternehmen stehen. In beiden Fällen sollte die Datenschutzberatung getrennt von übrigen Aufgaben des Unternehmens wahrgenommen werden. Auch empfiehlt es sich, die Geschäfte der Datenschutzberatung nicht mit jenen der übrigen Rechtsberatung und -vertretung zu vermischen. Weiter sollte Datenschutzberatern und -beraterinnen erlaubt sein, ihren Standpunkt bei Meinungsverschiedenheiten der Unternehmensleitung zur Kenntnis zu bringen. Im Gegensatz zur europäischen DSGVO ist die Ernennung von Beratern und Beraterinnen für Private stets fakultativ – nur Bundesorgane sind gesetzlich dazu verpflichtet. Sie sind nicht nur eine innerbetriebliche Anlaufstelle, sondern auch Bindeglied zum behördlichen Datenschutz und erste Ansprechpersonen für den EDÖB. Zu ihren Aufgaben gehören nebst der allgemeinen Beratung und Schulung des Unternehmens in Fragen des Datenschutzes die Mitwirkung beim Erlass und der Anwendung von Nutzungsbedingungen und Datenschutzvorschriften. Wird die interne Datenschutzberatung fachlich unabhängig und weisungsungebunden ausgeübt, und werden dort keine Aufgaben wahrgenommen, die mit der Funktion unvereinbar sind, kann ein Unternehmen nach Durchführung einer Datenschutz-Folgenabschätzung auch bei fortbestehend hohem Risiko einzig auf die interne Beratung abstellen, ohne darüber hinaus den EDÖB konsultieren zu müssen (s. dazu unten «Datenschutz-Folgenabschätzungen»).

7. Datenschutz-Folgenabschätzung

Datenschutz-Folgenabschätzungen sind im Schweizer Datenschutzrecht nicht neu – Bundesorgane sind bereits heute dazu verpflichtet. Wenn eine beabsichtigte Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann, müssen gemäss Art. 22 revDSG neu auch private Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung erstellen. Das hohe Risiko ergibt sich – insbesondere bei Verwendung neuer Technologien – aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Insbesondere liegt ein hohes Risiko dann vor, wenn ein Profiling mit hohem Risiko oder umfangreiche Bearbeitungen besonders schützenswerter Personendaten geplant sind. Allgemein gehaltene Folgenabschätzungen vermögen nicht von erkennbaren Risiken zu dispensieren, die sie unerwähnt lassen. Ist ein Produkt, System oder eine Dienstleistung nach Art. 13 revDSG zertifiziert oder wird ein Verhaltenskodex nach Art. 11 revDSG eingehalten, der auf einer Datenschutz-Folgenabschätzung beruht, kann von der Erstellung einer solchen abgesehen werden. Ist aus einer Datenschutz-Folgenabschätzung erkennbar, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Personen zur Folge hätte, muss dieser nach Art. 23 revDSG vorgängig die Stellungnahme des EDÖB einholen. Hat der EDÖB Einwände gegen die Folgenabschätzung selber, wird er dem Verantwortlichen entsprechende Präzisierungen oder Ergänzungen nahelegen. Dies dürfte vor allem der Fall sein, wenn der Text so allgemein gehalten ist, dass er voraussehbare Risiken oder Massnahmen nur unzureichend beschreibt. Richten sich die datenschutzrechtlichen Einwände gegen die geplanten Bearbeitungen als solche, schlägt der EDÖB dem Verantwortlichen geeignete Massnahmen zu deren Modifizierung vor (s. dazu unten «Konsultationen»). Anders als bei den Verhaltenskodizes müssen die Stellungnahmen des EDÖB nicht publiziert werden. Als amtliche Dokumente unterstehen sie jedoch dem Bundesgesetz über das Öffentlichkeitsprinzip in der Verwaltung. Auf die Konsultation des EDÖB kann verzichtet werden, wenn die interne Datenschutzberatung konsultiert wurde (s. dazu oben «Datenschutzberater und Datenschutzberaterinnen»).

8. Verhaltenskodizes

In Art. 11 hat das neue DSG für Berufs-, Branchen- und Wirtschaftsverbände Anreize gesetzt, eigene Verhaltenskodizes zu entwickeln und diese dem EDÖB zur Stellungnahme vorzulegen. Dessen Stellungnahmen werden veröffentlicht. Sie können Einwände enthalten und entsprechende Änderungen oder Präzisierungen empfehlen. Positive Stellungnahmen des EDÖB begründen die gesetzliche Vermutung, dass das im Verhaltenskodex festgehaltene Verhalten datenschutzrechtskonform ist. Allgemein gehaltene Kodizes vermögen indessen nicht vor beliebigen Risiken zu dispensieren, die der Text nicht näher bezeichnet. Durch Unterwerfung unter einen Verhaltenskodex können die Mitglieder der Verbände davon entlastet werden, eigene Hilfestellungen und Vorgaben für die Anwendung des neuen DSG zu erarbeiten. Diese Form der Selbstregulierung bringt ihnen auch den Vorteil, dass sie keine eigenen Datenschutz-Folgenabschätzungen durchführen müssen, wenn sie einen Verhaltenskodex einhalten, der auf einer bereits durchgeführten und immer noch aktuellen Datenschutz-Folgenabschätzung beruht, Massnahmen zum Schutz der Persönlichkeit oder der Grundrechte vorsieht und dem EDÖB vorgelegt wurde.

9. Zertifizierungen

Gemäss Art. 13 revDSG können nebst den Betreibern von Datenbearbeitungssystemen oder -programmen neu auch deren Hersteller ihre Systeme, Produkte und Dienstleistungen zertifizieren lassen. Mittels Zertifizierung können Unternehmen z.B. nachweisen, dass sie dem Grundsatz von Privacy by Default gerecht werden und über ein angemessenes Datenschutzmanagementsystem verfügen. Wenn ein privater Bearbeitungsverantwortlicher ein System, Produkt oder eine Dienstleistung einsetzt, die zertifiziert ist, kann er von der Erstellung einer Datenschutz-Folgenabschätzung absehen. Weitere Vorschriften über das Zertifizierungsverfahren und Qualitätszeichen wird der Bundesrat auf dem Verordnungsweg regeln.

10. Verzeichnis der Bearbeitungstätigkeiten

Neu müssen nach Art. 12 revDSG die Verantwortlichen sowie die Auftragsbearbeiter je ein Verzeichnis sämtlicher Datenbearbeitungen führen. Die entsprechenden Mindestangaben gibt das neue DSG vor. Das Verzeichnis muss stets à jour gehalten werden. Der Bundesrat wird in der Verordnung Ausnahmen für Unternehmen vorsehen, die weniger als 250 Mitarbeiterinnen und Mitarbeiter beschäftigten und deren Datenbearbeitung ein geringes Risiko von Verletzungen der Persönlichkeit von betroffenen Personen mit sich bringt. Während Bundesorgane dem EDÖB die Verzeichnisse melden müssen, sieht das neue Recht für die privaten Datenbearbeiter keine Meldepflicht mehr vor.

11. Bekanntgabe von Personendaten ins Ausland

Das revidierte DSG hält in Art. 16 fest, dass Daten ins Ausland bekanntgegeben werden dürfen, wenn neu der Bundesrat festgestellt hat, dass die Gesetzgebung des Drittstaates einen angemessenen Schutz gewährleistet. Er wird zu diesem Zweck eine Liste publizieren, die nach dem bisherigen Recht vom EDÖB geführt wurde. Figuriert der betreffende Exportstaat nicht auf der Liste des Bundesrates, dürfen Daten wie nach bisherigen Recht trotzdem dorthin geleitet werden, wenn ein geeigneter Datenschutz auf andere Weise gewährleistet wird. So durch einen völkerrechtlichen Vertrag, Datenschutzklauseln, die dem EDÖB vorgängig mitzuteilen sind, oder verbindliche unternehmensinterne Datenschutzvorschriften, sog. Binding Corporate Rules. Bereits unter der DSGVO genehmigte Standardklauseln der Europäischen Kommission werden vom EDÖB anerkannt.

Ist eine Bekanntgabe ins Ausland geplant – wozu auch die Speicherung auf ausländischen Systemen (Cloud) gehört – sind die Länder anzugeben, gleichgültig, ob diese einen angemessenen Datenschutz bieten. Hier geht das DSG weiter als die DSGVO. Anzugeben ist auch, welche Datenschutzgarantien gegebenenfalls zum Einsatz kommen (z.B. EU-Standardvertragsklauseln) oder auf welche Ausnahmen nach Art. 17 revDSG sich der Verantwortliche allenfalls bezieht; auch hier weicht das DSG von der DSGVO ab.

12. Ausgebaute Informationspflichten

In Erfüllung des Revisionsziels der Transparenz baut Art. 19 revDSG die Informationspflicht für Unternehmen aus. Neu gilt, dass ein privater Verantwortlicher bei grundsätzlich jeder beabsichtigten Beschaffung von Personendaten die betroffene Person vorgängig angemessen informieren muss, selbst wenn die Daten nicht direkt bei ihr beschafft werden. Im aktuellen DSG ist diese Informationspflicht bisher nur bei besonders schützenswerten Personendaten und Persönlichkeitsprofilen vorgeschrieben. Konkret sollen die Identität und Kontaktdaten des Verantwortlichen, der Bearbeitungszweck und gegebenenfalls die Empfänger von Personendaten bekanntgegeben werden. Anders als nach der DSGVO muss auch über den Empfangsstaat und die allfälligen Garantien zur Gewährleistung eines angemessenen Datenschutzniveaus informiert werden (s. oben, Bekanntgabe von Personendaten ins Ausland). Unternehmen werden somit ihre Datenschutzerklärungen entsprechend überprüfen und nachführen müssen. Ausgenommen von der Informationspflicht sind Personendaten, die nur nebenbei oder zufällig erfasst werden. Sodann wird die Informationspflicht durch die zahlreichen Einschränkungs- und Ausnahmegründe in Art. 20 revDSG beschränkt oder aufgehoben. Das ist beispielsweise der Fall, wenn betroffene bereits über die Information verfügen oder die Bearbeitung der Daten gesetzlich vorgesehen ist. Führen Bearbeitungen zu automatisierten Einzelentscheidungen, haben die Verantwortlichen nach Art. 21 revDSG neue Informationspflichten gegenüber der beschwerten Person wahrzunehmen und dieser die ihr zustehenden Anhörungs- und Überprüfungsrechte zu gewähren.

13. Auskunftsrecht der betroffenen Personen

Das Recht einer betroffenen Person, Auskunft darüber zu verlangen, ob Personendaten über sie bearbeitet werden, wurde im neuen DSG ausgebaut. Art. 25 revDSG enthält eine erweiterte Liste an Mindestinformationen, die vom Verantwortlichen herausgegeben werden müssen, beispielsweise die Aufbewahrungsdauer der über sie bearbeiteten Personendaten. Sodann sieht der Artikel vor, dass einer betroffenen Person generell alle Informationen zur Verfügung zu stellen sind, welche erforderlich sind, damit sie die ihr nach dem neuen DSG zustehende Rechte geltend machen kann und eine transparente Datenbearbeitung gewährleistet ist. Wie nach altem Recht kann der Verantwortliche die Auskunft unter bestimmten Bedingungen verweigern, einschränken oder aufschieben.

14. Meldepflicht bei Verletzungen der Datensicherheit

Gemäss Art. 24 revDSG muss der Verantwortliche dem EDÖB neu Verletzungen der Datensicherheit melden, die für die Betroffenen zu einem hohen Beeinträchtigungsrisiko ihrer Persönlichkeit oder ihrer Grundrechte führen. Die Bestimmung gilt sowohl für private Verantwortliche als auch für Bundesorgane. Dabei hat die Meldung an den EDÖB so rasch wie möglich zu erfolgen. Vorher wird der Verantwortliche eine Prognose zu den möglichen Auswirkungen der Verletzung stellen und eine erste Beurteilung darüber vorzunehmen, ob Gefahr im Verzug sein könnte, ob die betroffenen Personen über das Ereignis zu informieren sind und auf welche Weise dies geschehen könnte. Wenn der Verantwortliche das Risiko nicht als hoch einschätzt, hindert ihn dies nicht daran, freiwillig eine Meldung an den EDÖB abzusetzen. Gegenüber dem EDÖB meldepflichtig sind nur eingetretene Persönlichkeits- oder Grundrechtsverletzungen, nicht jedoch erfolgreich abgewehrte oder untaugliche Cyberangriffe. Auch die europäische DSGVO kennt eine entsprechende Meldepflicht und gibt für deren Wahrnehmung gegenüber den Datenschutzbehörden der EU konkrete Fristen vor. Zudem ist die Schwelle zur Meldepflicht nach dem europäischen Recht tiefer, da dieses lediglich ein einfaches Risiko voraussetzt.

15. Recht auf Datenportabilität

Mit dem Recht auf Datenherausgabe und -übertragung gemäss Art. 28 revDSG hat eine betroffene Person neu die Möglichkeit, ihre Personendaten, welche sie einem privaten Verantwortlichen bekanntgegeben hat, in einem gängigen elektronischen Format herauszuverlangen oder einem Dritten übertragen zu lassen. Die Voraussetzungen hierzu sind, dass der Verantwortliche die Daten automatisiert und mit der Einwilligung der betroffenen Person oder in unmittelbarem Zusammenhang mit einem Vertrag bearbeitet. Das Recht kann kostenlos geltend gemacht werden, ausser wenn die Herausgabe oder Übertragung mit einem unverhältnismässigen Aufwand verbunden ist. Letzteres kann etwa der Fall sein, wenn bei Kommunikationsdaten eine aufwändige Triage zwischen den eigenen Äusserungen und jenen von Dritten nötig wird.

16. Untersuchung aller Verstösse gegen Datenschutzvorschriften

Der EDÖB wird in Zukunft alle Verstösse gegen das neue DSG durch Bundesorgane oder private Personen von Amtes wegen zu untersuchen haben (Art. 49 Abs. 1 revDSG). Im aktuellen DSG gilt noch die Einschränkung, wonach der EDÖB gegen Private nur dann von sich aus eine Untersuchung inklusive Sachverhaltsabklärungen durchführt, wenn die Bearbeitungsmethode geeignet ist, die Persönlichkeit einer grösseren Anzahl von Personen zu verletzen. Diese, als «Systemfehler» bezeichnete Interventionsschwelle fällt inskünftig weg. Bei Verletzungen der Datenschutzvorschriften von geringfügiger Bedeutung kann jedoch auch nach neuem Recht von der Eröffnung einer Untersuchung abgesehen werden (Art. 49 Abs. 2 revDSG). Auch kann der EDÖB wie bis anhin von der Eröffnung formeller Schritte absehen, wenn sich nach einer ersten Kontaktnahme mit dem Bearbeitungsverantwortlichen zeigt, dass dieser Mängel, auf die er aufmerksam gemacht wurde, anerkennt und innert nützlicher Zeit behebt. Aufgrund seiner beschränkten Ressourcen ist generell davon auszugehen, dass der EDÖB bei der Behandlung von Anzeigen auch nach Inkrafttreten des neuen Gesetzes nach Massgabe des Opportunitätsprinzips Prioritäten setzen wird.

17. Verfügungen

Nach Art. 51 Abs. 1 revDSG kann der EDÖB neu Verfahren nach dem Verwaltungsverfahrensgesetzes durchführen und gegenüber Bundesorganen oder privaten Bearbeitungsverantwortlichen formell verfügen, eine Datenbearbeitung ganz oder teilweise anzupassen, zu unterbrechen oder gar einzustellen sowie Personendaten löschen oder vernichten zu lassen. So kann der EDÖB zum Beispiel verfügen, dass ein Unternehmen betroffene Personen über eine gemeldete Verletzung der Datensicherheit informieren muss. Bisher hatte der EDÖB lediglich die Kompetenz, Empfehlungen auszusprechen und bei deren Nichtbefolgung mit Klage an das Bundesverwaltungsgericht zu gelangen.

Gegen Verfügungen des EDÖB kann ein Adressat vor Bundesveraltungsgericht Beschwerde führen und danach weiter an das Bundesgericht gelangen. Beschwerdeentscheide des Bundesverwaltungsgerichts kann auch der EDÖB vor Bundesgericht anfechten (Art. 52 Abs. 3 revDSG).

18. Konsultationen

Der EDÖB ist weder eine Genehmigungsbehörde noch eine Zulassungsstelle für Applikationen, Produkte, Regulierungen und Projekte. Das neue Gesetz sieht indessen an verschiedener Stelle vor, dass die Verantwortlichen den EDÖB vor dem definitiven Abschluss entsprechender Arbeiten und der Realisierung ihrer Vorhaben konsultieren müssen. So sind ihm Verhaltenskodizes und bei hohen Restrisiken auch Datenschutz-Folgenabschätzungen zur Stellungnahme vorzulegen. Angesichts der abstrakten Natur dieser Konsultationsgegenstände werden die Stellungnahmen des EDÖB in aller Regel keinen verfügenden Charakter haben und die von ihm empfohlen Massnahmen und Auflagen keine Beschwerdemöglichkeiten zulassen. Bleiben Letztere unbeachtet, müssen die Bearbeitungsverantwortlichen indessen damit rechnen, dass konkrete Datenbearbeitungen, die mit Empfehlungen des EDÖB im Zusammenhang stehen, später Gegenstand von Verfügungen werden. Diese können so weit gehen, Datenbearbeitungen als Ganzes zu untersagen, wogegen den Verantwortlichen dann aber die ordentlichen Rechtsmittel des Verwaltungsverfahrens offenstehen.

19. Spontane Stellungnahmen und Information der Öffentlichkeit

Abgesehen von den Stellungnahmen im Rahmen formeller Konsultationen steht es dem EDÖB weiterhin frei, sich spontan zu neuen Technologien, Phänomenen der Digitalisierung oder zu Bearbeitungspraktiken gewisser Branchen zu äussern und seine Meinungsäusserungen und Einschätzungen zu publizieren. In Fällen von allgemeinem Interesse informiert der EDÖB die Öffentlichkeit zudem – wie nach bisherigem Recht – über seine Feststellungen und Massnahmen. Gemäss Art. 57 Abs. 2 revDSG gilt dies auch für Feststellungen und Verfügungen, die im Rahmen formeller Untersuchungen des EDÖB ergangen sind.

20. Gebühren

Art. 59 revDSG regelt, für welche Leistungen der EDÖB von privaten Personen zukünftig Gebühren erheben wird. So fällt eine Gebühr an für Stellungnahmen zu einem Verhaltenskodex oder zu einer Datenschutz-Folgenabschätzung oder für die Genehmigung von Standarddatenschutzklauseln und verbindlichen unternehmensinternen Datenschutzvorschriften. Aber auch für allgemeine Beratungsdienstleistungen gegenüber Privaten wird der EDÖB zukünftig Gebühren erheben. Die Details regelt der Bundesrat auf dem Verordnungsweg.

21. Sanktionen

Im neuen DSG werden Bussen für private Personen bis zu CHF 250’000 angedroht (Art. 60 revDSG). Strafbar sind vorsätzliches Handeln und Unterlassen, nicht jedoch Fahrlässigkeit. Nur auf Antrag bestraft werden die Missachtung von Informations-, Auskunfts- und Meldepflichten sowie die Verletzung von Sorgfaltspflichten und der beruflichen Schweigepflicht. Von Amtes wegen verfolgt wird hingegen die Missachtung von Verfügungen des EDÖB. Gebüsst wird grundsätzlich die verantwortliche natürliche Person. Neu kann aber auch das Unternehmen selbst bis zu CHF 50’000 gebüsst werden, wenn die Ermittlung der strafbaren natürlichen Person innerhalb des Unternehmens oder der Organisation einen unverhältnismässigen Untersuchungsaufwand mit sich ziehen würde.

Im Gegensatz zu den europäischen Datenschutzbehörden kommen dem EDÖB auch nach neuem Recht keine Sanktionsbefugnisse zu. Die fehlbaren Personen werden durch die kantonalen Strafverfolgungsbehörden gebüsst. Der EDÖB kann zwar Anzeige erstatten und im Verfahren die Rechte einer Privatklägerschaft wahrnehmen (Art. 65 Abs. 2 revDSG), ein Strafantragsrecht steht ihm aber nicht zu. Anders als beim neuen DSG richten sich die Verwaltungssanktionen nach der DSGVO ausschliesslich gegen juristische Personen. Die Datenschutzbehörden in der EU können gegen fehlbare Unternehmen Bussen bis zu 20 Millionen Euro resp. 4 Prozent des weltweit erzielten Jahresumsatzes aussprechen.

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB, 05.03.2021

https://www.edoeb.admin.ch/dam/edoeb/de/dokumente/2021/revdsg.pdf.download.pdf/revDSG_DE.pdf

Kategorie: Datenschutz
© Swiss Infosec AG 2026