Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Prinzipien des Datenschutzes – Kapitel 4

Wie wir in Kapitel 1 gelesen haben, entstand das Konzept des Datenschutzes in den 1960er Jahren als Reaktion auf die Befürchtung, dass der schnelle Anstieg der Verarbeitung personenbezogener Daten zu Verletzungen des Rechts auf Privatsphäre führen könnte.

Datenschutz für Anfänger

Um den Bedenken (Verletzungen des Rechts auf Privatsphäre) Rechnung zu tragen, wurden eine Reihe von Leitlinien entwickelt, die sicherstellen sollen, dass personenbezogene Daten ohne Verletzung der Menschenrechte verarbeitet werden können. Bis Anfang der 1980er Jahre waren diese Grundsätze in zwei internationalen Texten kodifiziert, die im Folgenden näher erläutert werden.

WIE WÜRDE EIN MENSCHENRECHTSKONFORMES DATENSCHUTZREGIME AUSSEHEN?
Diese Grundsätze, sobald sie in nationales Recht umgesetzt sind, erlegen den für die Datenverarbeitung Verantwortlichen Verpflichtungen auf und verleihen den Nutzern Rechte in Bezug auf die Verarbeitung ihrer Daten. Daher waren Datenschutz und Menschenrechte (insbesondere das Recht auf Privatsphäre) schon immer untrennbar miteinander verbunden. Diese Grundsätze bilden die Grundlage für Datenschutzrahmenwerke auf der ganzen Welt, unabhängig davon, ob diese verbindlich (z.B. Gesetzgebung) oder nicht verbindlich (z.B. freiwillige Frameworks oder Leitlinien) sind.

Aber wenn es um den Datenschutz geht, ist es nicht nur der Inhalt eines Gesetzes oder einer Richtlinie, der darüber entscheidet, ob ein Land über ein Datenschutzsystem verfügt, das die Menschenrechte achtet. Wie wir in Kapitel 1 gesehen haben, kann ein Datenschutzsystem entweder umfassend sein, was bedeutet, dass die Gesetzgebung für den privaten und öffentlichen Sektor gilt, oder es kann sektoral sein, was bedeutet, dass es nur für einige Sektoren gilt.

Es gibt vier Schlüsselelemente, die darüber entscheiden, ob ein Land über Menschenrechte verfügt, die das Menschenrechtssystem respektieren:

  1. das Bestehen eines Datenschutzgesetzes;
  2. die Aufnahme international vereinbarter Mindestdatenschutzstandards in das Gesetz;
  3. der Umfang des Geltungsbereichs des Datenschutzgesetzes und
  4. das Vorhandensein einer Vollstreckungs- oder Regulierungsbehörde.

Nur wenn ein Land über alle vier Elemente verfügt, kann es als menschenrechtskonform angesehen werden. Im Folgenden betrachten wir jedes Element in Form von zentralen Leitfragen, die auf jedes Land angewendet werden können.

1. Gibt es ein Datenschutzgesetz?

Die Verabschiedung eines Datenschutzgesetzes ist der erste Schritt, den ein Staat in Richtung eines die Rechte respektierenden Datenschutzsystems unternehmen kann.

Aber hier stellt sich eine offensichtliche Frage. Hat ein Staat überhaupt eine Verpflichtung, diesen ersten Schritt zu tun? Die Antwort ist ja. Wenn es um den Schutz der Menschenrechte geht, haben Staaten sowohl negative als auch positive Verpflichtungen.

  • Bei den negativen Verpflichtungen geht es darum, keine Massnahmen zu ergreifen, die sich nachteilig auf die Menschenrechte auswirken.
  • Positive Verpflichtungen erfordern, dass der Staat bestimmte Schritte unternimmt, um den Schutz der Menschenrechte zu gewährleisten.

Im Falle des Datenschutzes ist diese positive Verpflichtung besonders wichtig. Wie wir in Kapitel 3 gesehen haben, haben personenbezogene Daten und ihre Erhebung, Speicherung, Verwendung und Verbreitung alle Auswirkungen auf das Recht einer Person auf Privatsphäre und stellen eine potenzielle Gefahr für sie dar. Die Staaten sind daher verpflichtet, Massnahmen zu ergreifen, um sicherzustellen, dass das Recht des Einzelnen auf Privatsphäre geschützt wird, und die Verantwortlichkeit und Haftung im Falle einer Verletzung festzustellen.

Der allgemeine Kommentar des Menschenrechtsausschusses zum Recht auf Privatsphäre ist klar, dass es eine Gesetzgebung sein sollte – im Gegensatz zu einer anderen Massnahme –, die festlegt, wer Zugang zu Informationen über das Privatleben einer Person hat und wie diese verarbeitet und verwendet werden können.

2. Enthält das Datenschutzgesetz die Mindeststandards, die erforderlich sind, um den Schutz des Rechts auf Privatsphäre einer Person zu gewährleisten?

Die Datenschutzgesetzgebung sollte mit den festgelegten internationalen Standards im Einklang stehen. Obwohl die internationale Menschenrechtsgesetzgebung selbst keine genauen Angaben darüber enthält, wie die Rechtsvorschriften zur Wahrung der Rechte aussehen sollten, wurde diese Lücke durch die beiden folgenden Texte geschlossen.

  • OECD-Leitlinien zum Datenschutz und zum grenzüberschreitenden Datenfluss: Die OECD ist eine zwischenstaatliche Organisation von 35 Volkswirtschaften mit hohem Einkommen, die gegründet wurde, um den wirtschaftlichen Fortschritt und den Welthandel zu fördern. Im Jahr 1980 entwickelte sie eine Reihe von Datenschutzrichtlinien zur Harmonisierung der Vorschriften und zur Minimierung der Hindernisse für grenzüberschreitende Ströme personenbezogener Daten, die damals rasant zunahmen. Die Leitlinien wurden 2013 aktualisiert.
  • Übereinkommen 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten: Der Europarat ist eine zwischenstaatliche Organisation, die sich aus 47 europäischen Ländern zusammensetzt. Erklärtes Ziel ist die Wahrung der Menschenrechte, der Demokratie und der Rechtsstaatlichkeit. Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (kurz „Übereinkommen 108“) wurde 1981angenommen und von allen 47 Mitgliedsstaaten des Europarates ratifiziert. Es steht auch Staaten, die nicht Mitglieder des Rates sind, zur Ratifizierung offen und ist das weltweit einzige rechtsverbindliche Instrument, das sich speziell auf den Datenschutz konzentriert.

Obwohl es einige kleine Unterschiede gibt, gibt es grosse Überschneidungen zwischen den beiden Normen. Wie bereits erwähnt, sind die in den OECD-Datenschutzrichtlinien und dem Übereinkommen 108 enthaltenen Standards das Minimum, das erforderlich ist, damit das Recht einer Person auf Schutz der Privatsphäre gewährleistet ist. Es gibt jedoch immer mehr Fälle, in denen Staaten das Recht des Einzelnen auf Privatsphäre in der Datenschutzgesetzgebung stärker geschützt haben, insbesondere die Mitgliedstaaten der EU durch die DSGVO

Die zehn Mindeststandards

  1. Fairness und Rechtmässigkeit: Personenbezogene Daten sollten fair und mit Zustimmung der betroffenen Person oder auf einer anderen Rechtsgrundlage erhoben (und danach gespeichert und verwendet) werden.
  2. Datenqualität: Personenbezogene Daten sollten angemessen, relevant und nicht übermässig im Verhältnis zu den Zwecken, für die sie gespeichert und verwendet werden, sein.
  3. Zweckbestimmung: Personenbezogene Daten sollten nur für legitime Zwecke erhoben, gespeichert und verwendet werden, und nicht in einer Weise, die mit diesen Zwecken unvereinbar ist.
  4. Hinweis zum Zweck: Die betroffene Person sollte über die Zwecke informiert werden, für die ihre Daten zu oder vor dem Zeitpunkt ihrer Erhebung erhoben, gespeichert und verwendet werden.
  5. Eingeschränkte Nutzung: Personenbezogene Daten dürfen nur mit Zustimmung der betroffenen Person oder durch die Autorität des Gesetzes für andere als die zum Zeitpunkt der Erhebung angegebenen Zwecke verwendet oder verbreitet werden.
  6. Sicherheit: Aufgrund der Risiken für die Privatsphäre einer Person, die entstehen können, wenn ihre personenbezogenen Daten verloren gehen, gestohlen werden oder durchsickern, sollten die Datenschutzgesetze die für die Datenverarbeitung Verantwortlichen verpflichten, geeignete Sicherheitsmassnahmen zu ergreifen.
  7. Offenheit: Da personenbezogene Daten von Einzelpersonen ohne deren Wissen erhoben werden können, sollten die Datenschutzgesetze eine Stelle – ob Behörde, Privatunternehmen oder andere – verpflichten, Einzelpersonen zu informieren, wenn sie personenbezogene Daten über sie sammelt.
  8. Zugriff: Einzelpersonen sollten auch in der Lage sein, ohne übermässige Verzögerung oder Kosten alle personenbezogenen Daten, die über sie erhoben wurden, in verständlicher Form anzufordern.
  9. Korrektur oder Löschung: Eine Person sollte in der Lage sein, unrichtige oder entgegen den oben genannten Grundsätzen verarbeitete Daten zu korrigieren oder zu löschen.
  10. Rechenschaftspflicht, Sanktionen und Rechtsbehelfe: Die für die Datenverarbeitung Verantwortlichen sollten für die Einhaltung der Anforderungen der Datenschutzgesetzgebung verantwortlich sein.

Da das Recht auf Privatsphäre kein absolutes Recht ist und mit anderen ausgewogen sein muss, einschliesslich des Rechts auf freie Meinungsäusserung, ist es wichtig, dass die Datenschutzgesetze auch Ausnahmen zulassen. Damit diese Ausnahmen jedoch menschenrechtskonform sind, müssen sie bestimmten Prüfungen unterzogen werden, d.h. sie dürfen nur dann zugelassen werden, wenn es eine Rechtsgrundlage für die Beschränkung gibt, wenn sie einem legitimen Ziel dient und verhältnismässig ist. Diese Prüfungen sind in Anhang 2 näher beschrieben (siehe Seite 92-4).

Über die Mindeststandards hinaus: die DSGVO der EU

Die DSGVO baut auf den bestehenden Normen auf, indem sie die Definition von personenbezogenen Daten erweitert, den Nutzern mehr Rechte zur Kontrolle der Verarbeitung ihrer Daten einräumt und den für die Datenverarbeitung Verantwortlichen mehr Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten auferlegt.

Nachfolgend finden Sie einige Beispiele dafür, wie die DSGVO auf den Mindeststandards aufbaut und diese erweitert:

  • Einwilligung: Die Mindestnormen erfordern in der Regel die Zustimmung der betroffenen Person, bevor personenbezogene Daten erhoben (oder gespeichert, verwendet oder verbreitet werden können), geben aber nicht an, was unter „Zustimmung“ zu verstehen ist. In der Praxis, wie in Kapitel 1 erwähnt, stimmen die betroffenen Personen oft zu, indem sie am Ende langer, technischer und komplizierter Serviceverträge ein Häkchen setzen. Die DSGVO versucht, die Zustimmung besser zu informieren, indem sie verlangt, dass jeder schriftliche Antrag auf Zustimmung in „einer verständlichen und leicht zugänglichen Form, in einer klaren und klaren Sprache“ vorliegt.
  • Erweiterte Definition von Sonderkategorien: Die DSGVO enthält eine Definition von „speziellen Kategorien“ von personenbezogenen Daten, die ist breiter und umfangreicher als die des Übereinkommens 108. Es gibt grössere Einschränkungen für personenbezogene Daten, die einen Hinweis auf eine Rasse oder ethnische Herkunft der Person, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Daten zur Gesundheit oder Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.
  • Mehr Rechte für Benutzer, ihre Daten zu löschen: Die Mindestnormen geben der betroffenen Person nur dann das Recht auf Löschung ihrer personenbezogenen Daten, wenn sie unrichtig sind oder wenn sie entgegen den anderen Grundsätzen verarbeitet wurden. Die DSGVO erlaubt es den betroffenen Personen jedoch auch, die Löschung personenbezogener Daten zu beantragen, nur weil sie einer künftigen Verarbeitung dieser Daten nicht mehr zustimmen und es keine andere Rechtsgrundlage für ihre Verarbeitung gibt, eine Bestimmung, die als „das Recht auf Löschung“ bezeichnet wird. Wie in Kapitel 3 erwähnt, könnte dies möglicherweise mit anderen Rechten, insbesondere dem Recht auf freie Meinungsäusserung, kollidieren, so dass die DSGVO eine Ausnahme vom Recht auf Löschung enthält, wenn die Verarbeitung dieser personenbezogenen Daten „notwendig für die Ausübung des Rechts auf freie Meinungsäusserung und Informationsfreiheit“ ist.
  • Ein Recht auf Widerspruch gegen Entscheidungen über die automatisierte Verarbeitung: Die Mindestnormen sagen nichts über die Rechte der betroffenen Personen aus, wenn Entscheidungen durch Automatisierung getroffen werden, die sie betreffen. Die DSGVO gibt den betroffenen Personen das Recht, nicht einer Entscheidung zu unterliegen, die ausschliesslich auf einer automatisierten Verarbeitung (einschliesslich Profilerstellung) beruht, die Rechtswirkungen für sie hat oder sie anderweitig erheblich beeinträchtigt.
  • Meldepflichten bei Datenschutzverletzungen: Die Mindeststandards sagen nichts darüber aus, was ein für die Datenverarbeitung Verantwortlicher im Falle eines Datenverstosses tun soll. Die DSGVO stellt fest, dass der für die Verarbeitung Verantwortliche, wenn eine Datenschutzverletzung mit personenbezogenen Daten stattfindet, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen kann, die betroffene Person unverzüglich benachrichtigen muss.

3. Ist das Datenschutzgesetz umfassend?

Das Recht auf Privatsphäre in Artikel 17 des UNO-Pakts II unterscheidet nicht zwischen den Auswirkungen auf die Privatsphäre, die von Akteuren des öffentlichen Sektors, des Privatsektors oder anderswo ausgehen, während die allgemeine Stellungnahme des Menschenrechtsausschusses zum Recht auf Privatsphäre klarstellt, dass diese Datenschutzvorschriften für alle personenbezogenen Daten gelten müssen, unabhängig davon, ob sie von „Behörden oder Privatpersonen oder Einrichtungen“ erhoben, gespeichert oder verwendet werden. Das bedeutet eine umfassende Datenschutzgesetzgebung.

Die Anforderung an eine umfassende Datenschutzgesetzgebung findet sich auch in zwei wichtigen internationalen Standards, die in Übereinkommen 108 und den OECD-Datenschutzrichtlinien entwickelt wurden. Wir werden diese im nächsten Kapitel näher betrachten, aber die Konvention 108 verlangt von allen Staaten, die sie ratifiziert haben, „die notwendigen Massnahmen in ihrem nationalen Recht zu ergreifen“, um ihre Bestimmungen umzusetzen, und die OECD-Datenschutzrichtlinien besagen, dass Staaten „nationale Gesetze oder Vorschriften erlassen sollten, deren Durchsetzung den Schutz personenbezogener Daten im Einklang mit diesen Richtlinien bewirkt“.

Während die Staaten theoretisch ihrer Verpflichtung zur Entwicklung und Umsetzung umfassender Datenschutzgesetze nachkommen könnten, indem sie mehrere Gesetze erlassen, die den Datenschutz in verschiedenen Lebensbereichen regeln, oder verschiedene Gesetze für verschiedene Aspekte des Datenschutzes, besteht die anerkannte bewährte Praxis darin, eine einzige Gesetzgebung mit einem einheitlichen Schutzniveau zu haben. Es gibt keine endgültige Liste, welche Staaten über solche Datenschutzgesetze verfügen, aber es ist eine beträchtliche Zahl. Professor Graham Greenleaf von der University of New South Wales, der die Datenschutzgesetze weltweit überwacht, schätzt, dass bis 2017 120 Staaten über eine Art umfassende Datenschutzgesetzgebung verfügen.

4. Gibt es eine Vollstreckungsbehörde mit den Befugnissen zur Durchsetzung der Rechtsvorschriften?

Neben der Sicherstellung der Datenschutzgesetzgebung, die die Erhebung, Speicherung und Verarbeitung personenbezogener Daten regelt, erfordern internationale Normen auch die Einrichtung einer Vollzugsbehörde. Die Behörde sollte befugt sein, die Datenschutzvorschriften durchzusetzen, Ermittlungen durchzuführen oder Vollstreckungsverfahren durchzuführen, wenn ein Verstoss gegen diese Vorschriften vorliegt. Sie sollte von der Regierung unabhängig sein, aber mit ausreichenden Mitteln ausgestattet sein, um ihre Befugnisse wirksam ausüben und Entscheidungen auf einer objektiven, unparteiischen und kohärenten Grundlage treffen zu können.

Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf

Kategorie: Datenschutz

Prinzipien des Datenschutzes – Kapitel 3

Wie wir in Kapitel 1 gesehen haben, steht das Thema Datenschutz in engem Zusammenhang mit einem unserer grundlegenden Menschenrechte – dem Recht auf Privatsphäre.

Datenschutz für Anfänger

Der Datenschutz hat auch Verbindungen zu Menschenrechten wie Meinungsfreiheit und Nichtdiskriminierung, auf die wir später noch zurückkommen werden. Der Datenschutz ist jedoch in erster Linie entstanden, um den Herausforderungen und Risiken, die sich für das Recht auf Privatsphäre durch eine verstärkte Verarbeitung personenbezogener Daten ergeben, zu begegnen.

WARUM IST DATENSCHUTZ EINE FRAGE DER MENSCHENRECHTE?
In den letzten Jahrzehnten wurde die Fähigkeit, die Verwendung personenbezogener Daten zu kontrollieren, als wesentliches Element dieses Rechts auf Privatsphäre anerkannt. Das exponentielle Wachstum der Verarbeitung personenbezogener Daten – und die damit verbundenen erhöhten Risiken – haben den Datenschutz auf die politische Agenda gesetzt. In einigen Staaten hat es auch Fortschritte bei der Anerkennung des Datenschutzes als eigenständiges und eigenständiges Menschenrecht gegeben.

Aber ob als Element des Rechts auf Privatsphäre oder als eigenständiges Menschenrecht, ein starker und wirksamer Datenschutz trägt auch zum Schutz anderer Menschenrechte bei. In diesem Kapitel untersuchen wir genauer, warum der Datenschutz ein so wichtiger Aspekt des Rechts auf Privatsphäre ist und wie schlechte Datenschutzstandards diese und andere Rechte gefährden können.

DAS RECHT AUF PRIVATSPHÄRE

Was ist das Recht auf Privatsphäre?
Was genau Datenschutz bedeutet – und damit der Umfang des Rechts auf Privatsphäre – ist keine leichte Frage. Der UN-Sonderberichterstatter für das Recht auf Privatsphäre sagte in seinem Bericht an den UN-Menschenrechtsrat 2016, dass das Konzept der Privatsphäre „in allen menschlichen Gesellschaften und Kulturen in allen Entwicklungsstadien und in der gesamten bekannten Geschichte der Menschheit bekannt ist“, aber dass „es keine verbindliche und allgemein akzeptierte Definition der Privatsphäre gibt“. Tatsächlich sagt der ICCPR selbst nichts darüber aus, was Datenschutz bedeutet, sondern nur, dass „[n]o one shall be subjected to arbitrary or unlawful interference with his privacy“ (Niemand darf willkürlichen oder rechtswidrigen Eingriffen in seine Privatsphäre ausgesetzt werden).

Da es keine klare Definition in der internationalen Menschenrechtslegislation gibt, wurde es anderen überlassen, zu versuchen, mögliche Definitionen des Datenschutzes zu liefern oder zumindest Datenschutz zu konzeptualisieren. Ein Essay von 1890 der beiden amerikanischen Juristen Samuel Warren und Louis Brandeis war einer der ersten Versuche, das Recht auf Privatsphäre zu artikulieren und als „Recht allein gelassen zu werden“ zusammenzufassen. Dies und andere frühe Versuche, die Privatsphäre zu definieren, konzentrierten sich auf die physische oder territoriale Dimension der Privatsphäre, wie körperliche Integrität und Autonomie, und die Privatsphäre des Hauses und der Korrespondenz.

Die Rolle der internationalen Menschenrechtsnormen
Die Grundlage für ein modernes internationales Menschenrechtsgesetz ist ein Dokument namens Allgemeine Erklärung der Menschenrechte (AEMR), das 1948 von der UN-Generalversammlung verabschiedet wurde. Dies war das erste international vereinbarte Dokument, das die grundlegenden Menschenrechte aller Menschen festlegt. Die AEMR ist kein Vertrag und auch für Staaten nicht bindend, aber ihre Bestimmungen haben den Status des Völkergewohnheitsrechts erlangt und sind Teil des durchsetzbaren Völkerrechts. Auf jeden Fall sind eine Reihe von internationalen Menschenrechtsvereinbarungen, die seit der UDHR entwickelt wurden, für diejenigen Staaten verbindlich, die sie ratifiziert haben. Was den Datenschutz betrifft, so ist der wichtigste davon der Internationale Pakt über bürgerliche und politische Rechte (UNO-Pakt II), der 1966 angenommen wurde und das Recht auf Privatsphäre garantiert.

Neben internationalen Verträgen haben viele regionale Organisationen ihre eigenen Menschenrechtsvereinbarungen verabschiedet, wie die Europäische Menschenrechtskonvention, die Amerikanische Erklärung der Rechte und Pflichten des Menschen und die Afrikanische Charta der Menschenrechte und der Rechte der Völker.

Im Laufe des 20. Jahrhunderts wurde die Bedeutung personenbezogener Daten als weiterer Aspekt der Privatsphäre einer Person zunehmend anerkannt. 1967 sagte Alan Westin, ein führender akademischer Experte für Datenschutz, dass „Datenschutz der Anspruch von Einzelpersonen, Gruppen oder Institutionen ist, selbst zu bestimmen, wann, wie und in welchem Umfang Informationen über sie an andere weitergegeben werden“. So wie die Privatsphäre die Fähigkeit, Autonomie über den eigenen Körper, Beziehungen zu anderen und Kommunikation zu haben, umfasst, so wurde sie auch als Autonomie über Informationen über sich selbst anerkannt.

Anstatt zu versuchen, die Privatsphäre zu definieren, haben andere einen anderen Ansatz gewählt. Im Jahr 2006 schlug Daniel Solove, ein weiterer führender akademischer Datenschutzexperte, eine Taxonomie des Datenschutzes mit vier Kategorien von Aktivitäten vor, die den Datenschutz gefährden könnten: Informationssammlung, Informationsverarbeitung, Informationsverbreitung und Verletzung der Privatsphäre. Die ersten drei davon beinhalten Informationen über eine Person: Wie sie gesammelt werden (z.B. wie durch Überwachung), wie sie gespeichert und verwendet werden (z.B. Zusammenführung von Informationen aus verschiedenen Datensätzen oder schwachen Sicherheitsmaßnahmen, die zu Leckagen und Hacks führen) und wie sie verbreitet werden (z.B. ihre Offenlegung ohne Zustimmung der Person), die sich alle auf die verschiedenen Phasen der Datenverarbeitung wie in Kapitel 1 beschrieben, beziehen.

Der Ansatz des UN-Menschenrechtsausschusses bestand auch darin, sich mit Kategorien von Aktivitäten zu befassen, die sich auf die Privatsphäre auswirken, anstatt zu versuchen, eine umfassende Definition zu liefern. In seinem Allgemeinen Kommentar zum Recht auf Privatsphäre im Jahr 1988 hat der Ausschuss nicht die Privatsphäre definiert, sondern eine Reihe von Beispielen dafür aufgeführt, was unter Privatsphäre fällt. Dazu gehörten die Überwachung, die Durchsuchung von Haus und Eigentum sowie die persönliche und körperliche Durchsuchung. Mit dieser Allgemeinen Bemerkung hat der Ausschuss zum ersten Mal personenbezogene Daten als Aspekt des Rechts auf Privatsphäre anerkannt und erklärt, dass „die Erfassung und Aufbewahrung personenbezogener Daten auf Computern, Datenbanken und anderen Geräten, sei es durch Behörden oder Privatpersonen oder Einrichtungen, gesetzlich geregelt sein muss“.

DATENSCHUTZ UND PRIVATSPHÄRE
Trotz des Fehlens einer einzigen, allgemein anerkannten Definition des Datenschutzes besteht eine klare Anerkennung und Akzeptanz dafür, dass das Konzept Informationen über sich selbst und insbesondere die Fähigkeit zur Kontrolle, wer Zugang zu diesen Informationen hat und wie sie verwendet werden, umfasst.

Was die personenbezogenen Daten in der Offline-Welt betrifft, so ist dies recht einfach. Wir können einfach entscheiden, welche Informationen über uns selbst wir anderen Leuten mitteilen. Aber das Aufkommen von Computern, Internet und digitalen Technologien im Allgemeinen bedeutet, dass grosse Mengen an personenbezogenen Daten inzwischen von Staaten, Organisationen des Privatsektors und anderen Akteuren erfasst werden. Viele der verschiedenen Arten von personenbezogenen Daten, die gesammelt werden – und die Art und Weise, wie sie verwendet werden – werden in Kapitel 1 erläutert.

Was die Gerichte gesagt haben
1997 erklärte der Europäische Gerichtshof für Menschenrechte, dass „der Schutz personenbezogener Daten (….) von grundlegender Bedeutung für den Genuss des Rechts auf Achtung des Privat- und Familienlebens einer Person ist“. (Z. v. Finnland (1997))

Wir können uns einige Beispiele aus der Praxis ansehen, um zu sehen, wie der Missbrauch personenbezogener Daten zu eindeutigen Verletzungen des Rechts auf Privatsphäre führen kann:

  • Im Falle von Biriuk v. Litauen (2008) war die Antragstellerin eine mit HIV lebende Frau, die im Dorf Kraštų wohnte. Die Tatsache, dass sie HIV-positiv war, wurde in einer lokalen Zeitung veröffentlicht, nachdem ein lokales Krankenhaus die Tatsache der Zeitung ohne Wissen oder Zustimmung der Antragstellerin bestätigt hatte.
    Der Europäische Gerichtshof für Menschenrechte stellte fest, dass es sich hierbei um einen eindeutigen Fall einer Verletzung des Rechts der Frau auf Privatsphäre und einen „unerhörten Missbrauch der Pressefreiheit“ handelte, und dass der Missbrauch ihrer personenbezogenen Daten zu ihrer öffentlichen Demütigung und zum Ausschluss aus dem lokalen sozialen Leben geführt hatte.
  • In der Rechtssache Rotaru gegen Rumänien (2000) war der Antragsteller ein rumänischer Staatsangehöriger, der in den 1940er Jahren vom kommunistischen Regime wegen Protest gegen Beschränkungen der Meinungsfreiheit verfolgt und inhaftiert worden war. In den 90er Jahren, während eines nicht damit zusammenhängenden Gerichtsverfahrens, legte das Innenministerium dem Gericht ein Schreiben des rumänischen Geheimdienstes als Beweis vor, in dem es hieß, sie hätten eine Akte über den Antragsteller, in der es heißt, dass er in den 1940er Jahren Mitglied einer Legionärsbewegung war, sowie eine Reihe anderer Informationen über ihn. Der Kläger argumentierte, dass diese und die anderen Behauptungen in dem Schreiben falsch und diffamierend seien, konnte aber trotz Klage gegen den Nachrichtendienst keine Kopie der Akte erhalten oder die falschen Informationen korrigieren oder löschen lassen. Der Europäische Gerichtshof für Menschenrechte stellte fest, dass es sich bei diesen Informationen um „personenbezogene Daten“ unter dem Schutz des Recht auf Privatsphäre handelte, die den Ruf des Antragstellers schädigen könnten, und dass das Versäumnis des rumänischen Rechts, ihm den Zugang zu den falschen Informationen zu ermöglichen und diese gegebenenfalls zu korrigieren oder zu löschen, eine Verletzung dieses Rechts auf Privatsphäre darstellt.

Der Datenschutz, wie wir auch in den Kapiteln 1 und 2 gesehen haben, ist die Regelung der Erfassung, Speicherung, Verwendung und Verbreitung personenbezogener Daten, sobald sie von einer Person freiwillig oder auf andere Weise erhoben wurden. Es ist daher das Mittel, mit dem Informationen vor unbefugtem Zugriff oder unbefugter Nutzung geschützt werden. Im Wesentlichen bietet der Datenschutz ein Mittel, um sicherzustellen, dass der Einzelne die Autonomie über sich selbst betreffende Informationen behält und sein Recht auf Privatsphäre wahrt.

Ein Recht auf Datenschutz?
Obwohl es allgemein bekannt ist, dass der Datenschutz ein Aspekt des Rechts auf Privatsphäre ist, betrachten einige Gerichtsbarkeiten den Datenschutz heute als ein Menschenrecht an sich.

Die Charta der Grundrechte der Europäischen Union, die im Jahr 2000 angenommen wurde und 2009 in der EU rechtsverbindlich wurde, ist das erste Beispiel für ein internationales Menschenrechtsinstrument mit einem eigenständigen Recht auf Datenschutz. Artikel 8 sieht vor, dass „jeder das Recht auf Schutz der ihn betreffenden personenbezogenen Daten hat“. Sie verlangt auch, dass diese Daten „für bestimmte Zwecke und auf der Grundlage der Zustimmung der betreffenden Person oder einer anderen gesetzlich festgelegten legitimen Grundlage fair verarbeitet werden müssen“ und garantiert, dass „jeder das Recht auf Zugang zu den ihn betreffenden Daten und auf deren Berichtigung hat“. Schliesslich verlangt sie auch, dass die EU-Mitgliedstaaten eine unabhängige Behörde benennen, die die Einhaltung dieser Vorschriften gewährleistet.

Neben der EU gibt es eine kleine Anzahl von Staaten, die ein Recht auf Datenschutz als eigenständiges Recht in ihren eigenen nationalen Rechtsordnungen anerkennen. So enthalten beispielsweise die Verfassungen von Angola, Kolumbien, Kroatien, Griechenland, Portugal, Slowenien und der Türkei in irgendeiner Form ein Recht auf Datenschutz.

Die Menschenrechtserklärung der Association of Southeast Asian Nations (ASEAN) von 2012 bezieht sich auch ausdrücklich auf den Datenschutz und stellt fest, dass „jede Person das Recht hat, frei von willkürlichen Eingriffen in ihre Privatsphäre, Familie, ihr Zuhause oder ihre Korrespondenz, einschliesslich personenbezogener Daten (….), zu sein“.

Der Balanceakt
Obwohl es keine endgültige Liste von Faktoren gibt, die bei der Abwägung des Rechts auf Privatsphäre und Meinungsfreiheit in Fällen, die personenbezogene Daten betreffen, berücksichtigt werden sollten, haben einige Gerichte entsprechende Erwägungen dargelegt. In Von Hannover gegen Deutschland (Nr.2) (2012) wurde dieser Spagat vom Europäischen Gerichtshof für Menschenrechte vollzogen. Der Fall wurde von Prinzessin Caroline und Prinz Ernst August von Hannover angestrengt, von denen Fotos ohne deren Zustimmung in deutschen Zeitschriften veröffentlicht worden waren. Sie argumentierten, dass dies eine Verletzung ihres Rechts auf Privatsphäre darstelle. Bei der Abwägung ihres Rechts auf Privatsphäre mit dem Recht der Zeitschriften auf freie Meinungsäusserung legte das Gericht die folgenden zu berücksichtigenden Faktoren fest:

  • Der Beitrag, den die Veröffentlichung zu einer Debatte von „allgemeinem Interesse“ leistet (das Gericht meinte politische Fragen, Verbrechen, Sportfragen und darstellende Künstler wären Themen von allgemeinem Interesse, aber die ehelichen oder finanziellen Schwierigkeiten einer Person wären es nicht);
  • Bekanntheitsgrad der betroffenen Personen (mit Unterscheidung zwischen Privatpersonen und Personen, die in einem öffentlichen Kontext handeln, einerseits und Personen des öffentlichen Lebens andererseits);
  • Das vorherige Verhalten der betroffenen Personen (vorherige Zusammenarbeit mit den Medien, z.B. Einschränkung der Möglichkeit einer Person, zu argumentieren, dass ihre Privatsphäre verletzt wurde);
  • Inhalt, Form und Folgen der Veröffentlichung (wobei Faktoren wie die Grösse der Leserschaft einer Veröffentlichung relevant sind); und
  • Die Umstände, unter denen die Informationen (in diesem Fall Fotos) beschafft wurden (mit relevanten Faktoren, einschliesslich der Frage, ob die Person ihre Zustimmung gegeben hat oder ob sie ohne ihr Wissen oder mit illegalen Mitteln erfolgte, die Art und Schwere eines Eindringens und die Folgen für die betreffende Person).

Bei der Prüfung des fraglichen Falles anhand dieser Faktoren stellte das Gericht fest, dass es keine Verletzung des Persönlichkeitsrechts der Von Hannovers gegeben hatte.

DATENSCHUTZ UND ANDERE MENSCHENRECHTE
Alle Menschenrechte sind universell, unteilbar, voneinander abhängig und miteinander verbunden. Nachteilige Auswirkungen auf ein Recht haben oft auch negative Auswirkungen auf die Ausübung anderer Rechte, und die Erleichterung eines Rechts wird oft die Ausübung anderer Rechte weiter ermöglichen. Dies ist sicherlich der Fall, wenn es um die Frage des Datenschutzes geht, der, wie wir gesehen haben, eng mit dem Recht auf Privatsphäre verbunden ist.

  • Recht auf Nichtdiskriminierung: Das Recht auf Nichtdiskriminierung wird durch Artikel 7 der AEMR und Artikel 26 des UNO-Pakt II sowie durch regionale Menschenrechtsinstrumente geschützt. Informationen über eine Person können direkt oder indirekt ihre persönlichen Eigenschaften offenbaren – Eigenschaften, die sie vielleicht Dritten nicht offenbaren wollen oder die zu Diskriminierung führen könnten.
    Insbesondere die Fähigkeit, keine möglicherweise unsichtbaren Merkmale wie Religion, sexuelle Orientierung, Geschlechtsidentität oder Gesundheitszustand preiszugeben, kann für den Schutz vor Diskriminierung von grundlegender Bedeutung sein.
    Ein starker Datenschutz stellt daher sicher, dass der Einzelne die Kontrolle über Informationen behält, die zu einer Diskriminierung führen könnten, wenn sie einem Dritten bekannt wären. Umgekehrt kann der unbefugte Zugriff auf die personenbezogenen Daten einer Person – neben der Verletzung des Rechts auf Privatsphäre – zu Diskriminierung führen.

    Nicht nur das Vorhandensein personenbezogener Daten kann zu Diskriminierung führen, sondern auch deren Verarbeitung, insbesondere wenn Personen auf der Grundlage ihrer personenbezogenen Daten profiliert werden. Das Profiling kann von staatlichen Akteuren und privaten Unternehmen genutzt werden, um Entscheidungen zu treffen, die sich auf die Art und Weise, wie eine Person behandelt wird, welche Dienstleistungen ihnen angeboten werden und unter welchen Bedingungen. Es besteht daher die Gefahr, dass eine Person diskriminiert wird, wenn sie aufgrund der Profilerstellung aufgrund des Besitzes eines nicht erklärbaren bestimmten Merkmals eine weniger günstige Behandlung erfährt. Dies kann der Fall sein, wenn die für die Profilerstellung entwickelten Algorithmen die bewussten oder unbewussten Vorurteile, die offline existieren, beinhalten.

    Ein Beispiel dafür ist die Verwendung von Algorithmen in den USA, um Risikobewertungen darüber vorzunehmen, ob eine wegen einer Straftat angeklagte Person gegen Kaution freigelassen werden soll. Die Algorithmen verwenden polizeiliche Daten, wie z.B. die Anzahl der Wiederaufgriffe von Personen für dieselbe Straftat, um die Risikobewertung zu erstellen. Da die erneuten Verhaftungen von Polizeibeamten jedoch auf Rassendiskriminierung zurückzuführen sein können, haben die Algorithmen dazu geführt, dass bestimmte ethnische Minderheitengruppen weniger wahrscheinlich gegen Kaution freigelassen werden als andere. Jüngste Datenschutzgesetze haben versucht, dieses besondere Risiko zu mindern: Die DSGVO der EU beispielsweise gibt allen betroffenen Personen das Recht, nicht einer Entscheidung zu unterliegen, die ausschliesslich auf automatisierter Verarbeitung, einschliesslich der Erstellung von Profilen, beruht, die sie erheblich beeinträchtigt oder Rechtswirkungen auf sie hat.
  • Recht auf freie Meinungsäusserung: Das Recht auf Meinungsfreiheit und freie Meinungsäusserung wird durch Artikel 19 des AEMR und Artikel 19 des UNO-Pakts II sowie durch regionale Menschenrechtsinstrumente geschützt. Das Recht umfasst die Freiheit, Informationen, Ideen und Meinungen zu suchen, zu empfangen und weiterzugeben, unabhängig von Grenzen und in jeglicher Form. Die Fähigkeit, anonym zu bleiben, wenn es darum geht, bestimmte Formen von Reden, Meinungen oder anderen Äusserungen auszudrücken, kann unter Umständen entscheidend sein. In Gesellschaften, in denen bestimmte Aussagen zu Vergeltung oder Verfolgung führen können, können sich Einzelpersonen manchmal nur unter dem Deckmantel der Anonymität frei äussern, was insbesondere das Internet erlaubt. In vielen Teilen der Welt wird diese Fähigkeit untergraben. Mindestens 49 afrikanische Länder verlangen von Einzelpersonen, dass sie ihre personenbezogenen Daten bei den Netzbetreibern registrieren, bevor sie eine SIM-Karte aktivieren, was zur Einrichtung umfangreicher Datenbanken mit Benutzerinformationen führt und das Potenzial für jegliche Anonymität der Online-Kommunikation ausschliesst. Im Jahr 2013 hat der UN-Sonderberichterstatter für die Förderung und den Schutz des Rechts auf Meinungsfreiheit und freie Meinungsäusserung sich über diese Entwicklung gezeigt und festgestellt, dass es oft ein Mangel an Datenschutzlegislation war, der es den Regierungen ermöglichte, die Informationen der SIM-Nutzer mit anderen privaten und öffentlichen Datenbanken zu vergleichen und detaillierte Profile von Einzelpersonen zu erstellen.

MENSCHENRECHTE IM KONFLIKT?
Während ein starker Datenschutz für die Wahrnehmung des Rechts auf Privatsphäre von wesentlicher Bedeutung ist, kann die Einschränkung der Verfügbarkeit personenbezogener Daten unter bestimmten Umständen mit anderen Menschenrechten, insbesondere dem Recht auf freie Meinungsäusserung, in Konflikt geraten. Wenn das Recht auf freie Meinungsäusserung das Recht bedeutet, „Informationen und Ideen aller Art zu suchen, zu empfangen und zu vermitteln“ (die in Artikel 19 des UNO-Pakt II verwendete Sprache), dann stellt jedes Verbot des Zugangs, der Nutzung oder der Veröffentlichung öffentlicher Informationen – weil es sich um personenbezogene Daten handelt – eine Beeinträchtigung dieses Rechts dar.

So wie das Recht auf Privatsphäre jedoch kein absolutes Recht ist, so ist auch das Recht auf freie Meinungsäusserung kein absolutes Recht. Einschränkungen sind unter bestimmten Umständen zulässig. Damit diese jedoch die Menschenrechte respektieren, müssen sie bestimmte Tests bestehen. Es muss eine Rechtsgrundlage für die Beschränkung geben, sie muss einem legitimen Ziel dienen, und sie muss verhältnismässig sein. Diese Prüfungen sind in Anhang 2 näher beschrieben.

Einige Datenschutzrahmen enthalten spezifische Ausnahmen, um andere Aspekte des Rechts auf freie Meinungsäusserung zu schützen. So heisst es beispielsweise in den OECD-Datenschutzrichtlinien, dass sie „nicht so ausgelegt werden sollten (….), dass die Meinungsfreiheit unangemessen eingeschränkt wird“ (Grundsatz 3(b)) und die EU-DSGVO räumt den Mitgliedstaaten Ausnahmen im nationalen Recht ein, um „das Recht auf Schutz personenbezogener Daten (….) mit dem Recht auf Meinungs- und Informationsfreiheit, einschliesslich der Verarbeitung für journalistische Zwecke und die Zwecke der akademischen, künstlerischen oder literarischen Meinungsäusserung, in Einklang zu bringen“.

„Das Recht auf Löschung“ oder „das Recht, vergessen zu werden“.
Ein Thema, das das Recht auf Privatsphäre (und Datenschutz) direkt gegen das Recht auf freie Meinungsäusserung gestellt hat, ist das so genannte „Recht auf Vergessenwerden“ oder „Recht auf Löschung“, das heute in einer Reihe von Rechtsordnungen besteht. Das Konzept wurde erstmals 2014 vom Europäischen Gerichtshof bei der Auslegung der EU-Datenschutzrichtlinie 95/46 (inzwischen durch die DSGVO abgelöst) entwickelt. Das Gericht entschied, dass eine Person einen Suchmaschinenbetreiber auffordern könnte, Links zu bestimmten Webseiten mit ihrem Namen «deindexieren» zu lassen, was bedeutet, dass Suchanfragen, die ihren Namen enthalten, diese Webseiten nicht als Teil der Suchergebnisse zurückgeben würden. Dazu müssten Einzelpersonen feststellen, dass diese Webseiten Informationen über sie enthalten, die „unzureichend, irrelevant oder nicht mehr relevant“ seien.

Dieses Recht wurde in der Bestimmung „Recht auf Löschung“ in Artikel 17 der DSGVO weiter konkretisiert, die ihren Anwendungsbereich um das Recht erweitert, eine solche Anfrage an einen für die Datenverarbeitung Verantwortlichen zu richten und die Daten in ihrer Gesamtheit zu löschen. Wenn Einzelpersonen einen Antrag auf Löschung personenbezogener Daten stellen, muss der für die Datenverarbeitung Verantwortliche diese Daten unter bestimmten Umständen löschen (z.B. wenn die Daten nicht mehr benötigt werden, wenn die Person ihre Einwilligung zur Verarbeitung widerruft oder wenn die Daten von einem Online-Dienst oder einer Online-Plattform verarbeitet werden), es sei denn, es gilt eine der aufgeführten Ausnahmen, wie beispielsweise in Fällen, in denen Informationen „zur Ausübung des Rechts auf freie Meinungsäusserung und Informationsfreiheit“ erforderlich sind. Eine ähnliche Bestimmung, mit kleineren Ausnahmen, findet sich in Artikel 43 der argentinischen Verfassung.

Einige argumentieren, dass das Recht auf Löschung notwendig ist, wenn Einzelpersonen eine sinnvolle Kontrolle über Informationen haben sollen, die sie betreffen, was, wie wir oben gesehen haben, ein Aspekt ihres Rechts auf Privatsphäre ist. Andere argumentieren, dass die globale Entfernung von Informationen über eine Person, nur weil sie nicht wollen, dass sie dort sind, eine Bedrohung für das Recht auf freie Meinungsäusserung darstellt, wobei wichtige Informationen im öffentlichen Interesse Gefahr laufen, gelöscht zu werden.

 Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf

Kategorie: Datenschutz
© Swiss Infosec AG 2025