Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Prinzipien des Datenschutzes – Kapitel 1

Fast jeder Aspekt des täglichen Lebens – von der Wirtschaft über die Freizeit bis hin zur Nutzung öffentlicher Dienste – ist heute zumindest teilweise auf die Verarbeitung von Daten angewiesen: ihre Erhebung, Speicherung, Nutzung und Verbreitung.

Datenschutz für Anfänger

Was ist Datenschutz?
Der Datenschutz, Gegenstand dieses Leitfadens, bezieht sich auf die Regelung der Verarbeitung einer Art von Daten, insbesondere von personenbezogenen Daten. Die Verarbeitung personenbezogener Daten hat das Potenzial, unser Leben besser und einfacher zu machen, kann aber gleichzeitig kann auch Risiken mit sich bringen.

In diesem Kapitel wird dargelegt, was wir unter personenbezogenen Daten und Datenverarbeitung verstehen und warum insbesondere die Verarbeitung personenbezogener Daten geregelt werden muss. Anschliessend betrachten wir die Ursprünge und die Geschichte des Datenschutzes und sehen, wie das Aufkommen des Internets neue Herausforderungen für seine Umsetzung geschaffen hat.

Was sind personenbezogene Daten?
Daten sind alle Arten von Informationen, die in irgendeiner Weise aufgezeichnet werden. Sie können online oder offline existieren, in Formen, die für Menschen verständlich oder nur für Computer lesbar sind.

Nicht alle Daten sind personenbezogene Daten. Ein Sensor in einer Fabrik, der die Anzahl der pro Stunde produzierten Ravioli misst, verarbeitet keine personenbezogenen Daten. Auch wenn diese Daten einen hohen wirtschaftlichen oder sozialen Wert haben können (und ihr Verlust oder ihre Beschädigung einen erheblichen Schaden verursachen könnte), gelten sie erst dann als personenbezogene Daten, wenn sich diese Daten auf eine bestimmte oder identifizierbare Person – die betroffene Person – beziehen. Die Person oder Einheit, die personenbezogene Daten sammelt und verarbeitet, wird als Datenverantwortlicher bezeichnet.

Während Informationen über Menschen oder Informationen, die zur Identifizierung einer Person führen können, während der ganzen Menschheitsgeschichte existiert haben, wurde der Begriff der personenbezogenen Daten erst in den 1970er Jahren mit dem Aufkommen der ersten digitalen Technologien formal definiert. Die Grundelemente dieser Definition sind bis heute mehr oder weniger einheitlich geblieben: Personenbezogene Daten sind einfach alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Es gibt im Wesentlichen vier Kategorien von Daten, die unter diese Definition fallen.

  • Informationen, die eine Person explizit identifizieren. Dies kann beispielsweise ein vollständiger Name, eine E-Mail-Adresse, die den vollständigen Namen des Benutzers enthält, oder Aufzeichnungen des Gesichts einer Person sein.
  • Informationen, die eine Person nicht explizit selbst identifizieren, sondern eindeutig für eine Person sind und deren Identifizierung ermöglichen, wenn weitere Informationen mit einbezogen werden. Dies kann eine Telefonnummer, eine nationale Identifikations- oder Passnummer oder ein Satz Fingerabdrücke sein.
  • Informationen, die möglicherweise nicht eindeutig für eine Person sind, sondern nur zu einem kleinen Personenkreis gehören, wie Geburtsdaten und IP-Adressen, die Personen identifizieren könnten, wenn sie mit anderen Daten kombiniert werden.
  • Informationen, die eine Person nicht als solche identifizieren, sondern Informationen über eine Person oder deren Aktivitäten liefern. Dies könnte Informationen über die Gesundheit einer Person oder ihre Beschäftigungsunterlagen umfassen. Oder es können geografische Daten, ihre Suchhistorie, Social Media-Aktivitäten oder ihre Online-Käufe sein.


WAS IST DATENVERARBEITUNG?
Im Allgemeinen bezieht sich die Datenverarbeitung auf die Erhebung, Speicherung, Nutzung oder Verbreitung von Daten. Während die Definitionen variieren, ist im Folgenden erläutert, worauf sich jede dieser Arten der Datenverarbeitung bezieht.

  • Sammlung: Oder, mit anderen Worten, die Daten zu erhalten. Die Datenerfassung kann manuell und relativ einfach sein – zum Beispiel, wenn eine Person ein Formular oder eine Umfrage ausfüllt. Aber auch maschinell können Daten vollautomatisch erfasst werden, ohne dass die betroffene Person oder ein bestimmter menschlicher Datenverantwortlicher davon Kenntnis hat – zum Beispiel über einen Webbrowser oder eine Überwachungskamera.
  • Speicherung: Nach der Erfassung müssen personenbezogene Daten irgendwo aufbewahrt werden. Dies kann in einem Aktenschrank, in einer Datenbank oder in einer Cloud-basierten Anwendung geschehen.
  • Verwendung: Dies umfasst die verschiedenen Operationen, die mit Daten durchgeführt werden können. Zum Beispiel, indem Sie sie mit anderen Datenbanken vergleichen, Daten anonymisieren, in ein anderes Dateiformat konvertieren oder anders sortieren.
  • Verbreitung: Dies bezieht sich auf die Art und Weise, wie Daten mit anderen geteilt werden. Für jemanden, der in einem Unternehmen arbeitet, kann die Verbreitung von Daten bedeuten, dass er eine Datenbank mit Kundeninformationen in eine Tabellenkalkulation exportiert oder in einem PowerPoint präsentiert. Oder es könnte bedeuten, dass ein Social-Media-Unternehmen Informationen über das Nutzerverhalten mit Werbetreibenden teilt.

Die Verarbeitung von Daten – sowohl persönlicher als auch nicht-persönlicher Natur – hat das Potenzial, das Leben der Menschen zu verbessern. Sie kann Dienstleistungen verbessern, Durchbrüche in der Medizin und im Gesundheitswesen fördern und bessere Produkte und Dienstleistungen schaffen. Die Charakteristika, die die Verarbeitung von Daten sinnvoll machen, können aber auch Risiken mit sich bringen. Wenn die Daten verloren gehen oder gefährdet sind, kann dies zu Schäden für Personen, Systeme, Unternehmen und sogar Staaten führen.

Der Datenschutz befasst sich insbesondere mit der Verarbeitung personenbezogener Daten, die mit besonderen und spezifischen Risiken verbunden sind. Personenbezogene Daten können Aufschluss darüber geben, wer eine Person ist, ihre Beziehungen, ihren Gesundheitszustand und ihre Geschichte, finanzielle Details, sexuelle Präferenzen und Überzeugungen. Ihre Verarbeitung kann daher erhebliche Risiken für das Recht einer Person auf Privatsphäre darstellen.

Das Recht auf Privatsphäre, wie wir in Kapitel 3 sehen werden, wird auf nationaler und internationaler Ebene mit verschiedenen Rechtsinstrumenten geschützt. Die Verarbeitung nicht personenbezogener Daten, da sie das Recht auf Privatsphäre nicht beeinträchtigen kann, wird nicht durch Datenschutzregulative geregelt, obwohl sie durch verschiedene andere regulatorische und nicht regulatorische Rahmenbedingungen geregelt werden kann, wie beispielsweise Gesetze zum Schutz von Geschäftsgeheimnissen oder Cybersicherheitsrichtlinien oder -gesetze.

WARUM PERSONENBEZOGENE DATEN SCHUTZ BENÖTIGEN
Im Laufe der Geschichte wurden Daten gesammelt, gespeichert, verwendet und verbreitet. Die römische Volkszählung zum Beispiel sah vor, dass die Verwalter von Tür zu Tür gingen, um Informationen über die Bürger zu sammeln, die von der Grösse ihres Haushalts bis hin zur Höhe des Grundstücks reichten. Die Entwicklung des Computers in den 1950er Jahren und die zunehmende Nutzung desselben in den 1960er Jahren veränderten jedoch die Art der Verarbeitung personenbezogener Daten und das Ausmass der Notwendigkeit, sie zu schützen.
Schon vor dem Internet hatte der Computer die Art und Weise, wie Aufzeichnungen und Daten erhoben, gespeichert, verwendet und verbreitet wurden, revolutioniert:

  • Sammlung: In den ersten Tagen des Computersports wurden die meisten Daten noch manuell gesammelt und in den Computer eingegeben. Dies geschah über Tastaturen oder Lochkarten (eine Möglichkeit, Daten auf Karten in radikal verkürzter Form zu erfassen). Diese Fortschritte bei Tastaturen und Lochkarten machten die Datenerfassung viel schneller und einfacher.
  • Speicherung: Eine der Hauptattraktionen von Computern war, dass sie grosse Datenmengen speichern konnten. Frühe Computer taten dies durch Lochkarten oder Magnetbänder, die in der Lage waren, mehr Daten zu speichern, als es bisher auf Papier möglich war. Da Computer sich immer weiter entwickelten, konnten sie grössere Datenmengen auf immer kleinerem Raum und zu niedrigeren Kosten speichern.

Gebrauch: Computer – zunächst hauptsächlich für militärische Anwendungen eingesetzt – wurden in den 1960er Jahren durch bestimmte Grossunternehmen und Regierungen zunehmend zur automatischen Verarbeitung und Speicherung von Daten eingesetzt. Dieser Trend setzte sich in den 70er und 80er Jahren fort, mit radikalen Fortschritten bei der Datenspeicherung und -verarbeitung sowie der schrittweisen Einbeziehung digitaler Technologien in eine Reihe von Alltagsaktivitäten – darunter Kommunikation, Shopping, Finanzen und Gesundheitswesen.

Verbreitung: Computer machten es viel einfacher, Daten auszutauschen, auch über Grenzen hinweg. Schon vor der Vernetzung ermöglichte die Verwendung von Disketten und Festplatten die Komprimierung grosser Datenmengen in kleine Objekte, die leicht gemeinsam genutzt werden konnten.

Diese Entwicklungen – und die damit verbundenen Risiken – führten in den 1960er Jahren zu öffentlicher Besorgnis, insbesondere in den Vereinigten Staaten und in Europa, wo Computer zu dieser Zeit allmählich weit verbreitet waren. Bücher und Broschüren prophezeiten regelmässig „das Ende der Privatsphäre“. Obwohl es bereits Datenschutzgesetze gab, waren sie breit gefächert und undefiniert und boten nicht viel Anleitung, was zum Schutz des Rechts auf Privatsphäre zu tun ist, wenn so viele personenbezogene Daten verarbeitet werden.

EINE KURZE GESCHICHTE DES DATENSCHUTZES
Daraufhin stimmten die Regierungen sowohl in den Vereinigten Staaten als auch in Europa darin überein, dass die Verarbeitung personenbezogener Daten geregelt werden muss. Sie setzten „Expertenausschüsse“ ein, um die Frage zu untersuchen. Diese Experten entwickelten eine Reihe von Leitprinzipien, die später allen künftigen Datenschutzregulativen zugrunde lagen, und die auf internationaler Ebene seitdem in zwei Texten kodifiziert wurden: den Leitlinien der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) zum Schutz der Privatsphäre und des grenzüberschreitenden Datenverkehrs und dem Übereinkommen 108 des Europarates (siehe Kapitel 3).

Diese Leitprinzipien lassen sich am besten so verstehen, dass ein Gleichgewicht zwischen zwei verschiedenen Prioritäten angestrebt wird: die Achtung der Rechte der Bürger, aber auch die Möglichkeit, personenbezogene Daten für wirtschaftliche und soziale Zwecke zu verarbeiten.

Eckdaten der Entwicklung des Datenschutzes in den USA und Europa (1970-2018)

Zwei Elemente wurden als Schlüssel zur Erreichung dieses Gleichgewichts identifiziert:

  • Auferlegung von Verpflichtungen für Datenverantwortliche. Ein Beispiel ist die Verpflichtung, die Zwecke, für die die personenbezogenen Daten zum Zeitpunkt der Erhebung erhoben werden, anzugeben, Daten sicher zu speichern und zu entsorgen, sobald sie für die Zwecke, für die sie ursprünglich erhoben wurden, nicht mehr relevant sind.
  • Gewährung von Rechten an die betroffenen Personen. Dies würde es ihnen ermöglichen, die Erhebung und Verarbeitung ihrer personenbezogenen Daten zu kontrollieren.
    Diese beiden Elemente wurden in die Gesetzgebung von Ländern auf der ganzen Welt aufgenommen und bilden die Grundlage für das, was wir heute als Datenschutz kennen: die Regelung der Erhebung, Speicherung, Verwendung und Verbreitung personenbezogener Daten, sobald sie von einer betroffenen Person freiwillig erhoben oder von einem für die Datenverarbeitung Verantwortlichen erfasst wurden.

ARTEN VON DATENSCHUTZSYSTEMEN
Trotz der Einigung über die Grundprinzipien des Datenschutzes und die Mittel zu ihrer Umsetzung gibt es erhebliche Unterschiede in der praktischen Anwendung, was zu einer Vielzahl konkurrierender Datenschutzsysteme auf der ganzen Welt führt. Systeme können definiert werden als das Set von Standards (oder Prinzipien, Normen und Regeln) und die Entscheidungsverfahren, die das Verhalten einer Institution – einschliesslich einer Regierung – in einem bestimmten Bereich bestimmen.

Die Datenschutzbestimmungen sind von Land zu Land unterschiedlich und können entweder umfassend oder sektoral sein:

  • Umfassend: Wenn ein Land über einen „umfassenden Datenschutz“ verfügt, bedeutet dies, dass die Gesetzgebung für alle personenbezogenen Daten gilt, die von einer Organisation in diesem Land verarbeitet werden, unabhängig von der Branche oder ob es sich um öffentliche oder private Organisationen handelt.
  • Sektoral: In einigen Ländern gilt die Regulierung nur für Daten, die vom öffentlichen oder privaten Sektor verarbeitet werden. In anderen Ländern gilt die Regulierung nur für bestimmte Branchen des öffentlichen oder privaten Sektors, die Daten verarbeiten (z.B. Gesundheit oder Bildung).

Es gibt viele Gründe, warum diese Unterschiede in den Datenschutzsystemen bestehen. Einige sind auf unterschiedliche rechtliche und politische Kulturen zurückzuführen. In den USA beispielsweise wird einem umfassenden Datenschutzregime seit langem widersprochen, weil sich die Politik gegen einen Ansatz wehrt, der den Marktteilnehmern eine stärkere staatliche Kontrolle aufzwingen würde. Dies steht im Gegensatz zu den europäischen Ländern, in denen der umfassende Ansatz gefunden werden kann und die im Allgemeinen seit langem Unterstützung für regulatorische Reaktionen oder Ansätze für politische Herausforderungen finden.

In einigen Fällen können Ressourcenengpässe der entscheidende Faktor sein. Datenschutzregulative sind ein relativ neues Phänomen, das erst in den letzten 40 bis 50 Jahren aufgetreten ist und nicht als oberste Priorität in Staaten angesehen wird, in denen die politische Entscheidungsfähigkeit bereits überlastet ist. In einigen Ländern werden die bestehenden Rechtsschutzbestimmungen für das Recht auf Privatsphäre als ausreichend angesehen, um Datenschutzfragen abzudecken.

Andere spezifischere Gründe können die Einführung des Datenschutzes in bestimmten Regionen erklären. Die jüngste Einführung eines umfassenden Datenschutzes in West- und Nordafrika (von 2013 bis 2018 haben zehn Länder in diesen Regionen Datenschutz-Frameworks angenommen) ist zum Teil auf die Existenz eines Netzes von Datenschutzbehörden zurückzuführen, das Kooperations- und Ausbildungsinitiativen zwischen frankophonen Ländern im Bereich des Datenschutzes unterstützt.

DATENSCHUTZ UND INTERNET
Die rasante Verbreitung des Internets hat neue Herausforderungen rund um die Anwendung des Datenschutzes mit sich gebracht. Insbesondere hat sie die Ausübung von Nutzerrechten erschwert. Dies hat zwei Gründe:

  • Zunehmende Komplexität der Datenflüsse: Gemäss den Grundsätzen des Datenschutzes sollten die für die Datenverarbeitung Verantwortlichen für die Verarbeitung personenbezogener Daten verantwortlich und transparent sein. So hat der Nutzer beispielsweise das Recht zu erfahren, welche Daten über ihn gespeichert sind und diese unter bestimmten Bedingungen ändern oder löschen zu können. Die zunehmende Komplexität der Datenflüsse erschwert jedoch die Erfüllung dieser Verpflichtung. Zunehmend bewegen sich personenbezogene Daten durch mehrere Gerichtsbarkeiten, die unterschiedliche Verpflichtungen haben können. So kann beispielsweise jemand einen Taxidienst nutzen, der über eine Online-Plattform in Ghana betrieben wird, aber die personenbezogenen Daten im Zusammenhang mit seinen Reisen können von einem Unternehmen mit Sitz in den USA verarbeitet werden, das wiederum ein Unternehmen nutzt, das globale Datenspeicherdienste anbietet. Dies könnte bedeuten, dass ihre Daten von Irland über Hongkong bis Indien gespeichert werden, die alle unterschiedliche Datenschutzlegislation haben.
  • Die Schwierigkeit, eine sinnvolle Zustimmung zu erhalten: Im digitalen Zeitalter hat die automatische Generierung personenbezogener Daten stark zugenommen, und die automatisierte Erfassung und Verarbeitung personenbezogener Daten ist viel billiger und routinemässiger geworden. Das bedeutet, dass die Sicherstellung, dass die Nutzer ihre Rechte an ihren Daten ausüben können, viel schwieriger ist. Einer der Gründe dafür ist, dass sich die Verantwortlichen aufgrund des Umfangs der Datenerhebung traditionell auf „tick-box“-Dienstleistungsvereinbarungen (Terms of Service Agreements, TSAs) verlassen haben, um die Zustimmung zur Erhebung und Verarbeitung personenbezogener Daten zu erhalten. TSAs zeigen den betroffenen Personen in der Regel ein Kästchen mit den Allgemeinen Geschäftsbedingungen des für die Datenverarbeitung Verantwortlichen und der Bitte um Erlaubnis, die Daten nicht nur zu sammeln, sondern auch mit anderen Unternehmen oder „Dritten“ zu teilen. Dies wird oft in Kurzform als „Mitteilung und Zustimmung“ bezeichnet. Aber diese Mitteilungen stellen kein wirkliches Mittel für die betroffene Person dar, die keine andere Wahl hat, als die Vereinbarung zu akzeptieren, wenn sie den Dienst nutzen möchte. In der Praxis gibt diese Situation den Nutzern dann nur sehr wenig Einfluss auf die Verarbeitung ihrer Daten.

Aufgrund immer mehr billiger PCs und digitaler Geräte und der Zunahme der Datenerfassung durch digitale Sensoren und Objekte, die mit dem Internet verbunden sind (oft als Internet der Dinge bezeichnet), werden mehr persönliche Daten verarbeitet. Aber diese Verarbeitung erlaubt auch mehr Rückschlüsse. Mit der zunehmenden Digitalisierung aller Aspekte des menschlichen Lebens ist es möglich geworden, aus personenbezogenen Daten ein viel detaillierteres und komplexeres Bild von Personen zu erstellen. Heute können beliebte Verbrauchertechnologien neben den detaillierten persönlichen Informationen, die routinemässig von Arbeitgebern, Gesundheitsdiensten und Regierungsbehörden gesammelt werden, die genauen Bewegungen einer Person an einem bestimmten Tag, das, was sie gekauft hat, ihre Online-Suchhistorie und das, was ihnen in sozialen Medien „gefällt“, offenlegen. Gleichzeitig ermöglichen die Fortschritte in den digitalen Technologien, dass diese unterschiedlichen Datensätze zunehmend verglichen und sinnvoll aggregiert werden können.

Die zunehmende Datenmenge, die verarbeitet wird, und die ausgefeiltere Analyse der Daten haben zu weitreichenden Vorteilen für Einzelpersonen und Gesellschaften geführt, insbesondere zu benutzerfreundlicheren Verbraucherprodukten und -dienstleistungen, die sich heute routinemässig an den spezifischen Geschmack und die Bedürfnisse der Nutzer anpassen. Aber es bedeutet auch, dass die Risiken für die Menschenrechte, die der Datenverarbeitung innewohnen, die bereits in diesem Kapitel diskutiert wurde, zunehmen. In diesem Zusammenhang soll die Datenschutzregulierung die Menschenrechte, einschliesslich des Rechts auf Privatsphäre, schützen, indem sie Personen die Möglichkeit gibt, die Verarbeitung ihrer Daten zu kontrollieren, und denen, die die Daten verarbeiten, Verpflichtungen auferlegt.

Es besteht allgemeine Einigkeit darüber, dass die Fähigkeit der Nutzer, eine angemessene Kontrolle über ihre personenbezogenen Daten zu haben, im digitalen Zeitalter schwieriger geworden ist und dass es notwendig ist, sich damit auseinanderzusetzen. Aber, wie wir im nächsten Kapitel sehen werden, gibt es erhebliche Meinungsverschiedenheiten über „was wir dagegen tun sollen“.

Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf

Kategorie: Datenschutz

Prinzipien des Datenschutzes – Kapitel 2

Die Nutzung des Internets und der digitalen Technologien hat zu sozialen und wirtschaftlichen Vorteilen für die Gesellschaft und Individuen geführt.

Datenschutz für Anfänger

Die Debatte
Der Einzelne profitiert von der Fähigkeit, sich leichter mit den Menschen zu verbinden und sowohl Zugang zu erhalten als auch neue Waren und Dienstleistungen zu schaffen. Dadurch sind aber auch viel mehr personenbezogene Daten entstanden, die verarbeitet werden müssen, was wiederum zu mehr Risiken und potenziellen Schäden führt, wenn diese Daten nicht geschützt sind. Der Datenschutz zielt darauf ab, personenbezogene Daten vor Missbrauch und Schaden zu schützen, um den Schutz des Rechts auf Privatsphäre zu gewährleisten und gleichzeitig die Fähigkeit zur Verarbeitung von Daten für wirtschaftliche und soziale Zwecke zu schützen.

Angesichts der Herausforderungen im Zusammenhang mit dem digitalen Zeitalter sind sich die meisten einig, dass mehr getan werden muss, um sicherzustellen, dass dieses Gleichgewicht wirksam gewahrt werden kann. Worüber sie sich nicht einig sind, ist, wie dies geschehen kann.

VERSCHIEDENE LÖSUNGSANSÄTZE FÜR DAS PROBLEM
In den letzten Jahren ist eine Reihe von Lösungsvorschlägen entstanden. Die meisten von ihnen beinhalten oder bauen auf Massnahmen auf, die auf bestehenden Datenschutzbestimmungen beruhen. Sie unterscheiden sich jedoch in Bezug auf die Höhe der regulatorischen Eingriffe, die sie für notwendig halten, damit diese Massnahmen effektiv funktionieren.

Ein Ansatz wird durch die Datenschutz-Grundverordnung (DSGVO), die die Europäische Union 2016 verabschiedet hat, umfassend veranschaulicht. Die DSGVO führt eine Reihe von rechtlich durchsetzbaren Massnahmen ein, die auf den bestehenden Datenschutzvorschriften aufbauen – darunter die Ausweitung der Nutzerrechte, die Erhöhung der rechtlichen Verpflichtungen der für die Datenverarbeitung Verantwortlichen und die Einführung einer erweiterten Definition von personenbezogenen Daten.
Diejenigen, die den von der DSGVO vorgeschlagenen Ansatz unterstützen, argumentieren, dass rechtlich durchsetzbare Massnahmen erforderlich sind, um die Herausforderungen für das Recht auf Privatsphäre durch die Verarbeitung personenbezogener Daten im digitalen Zeitalter anzugehen. Nur diese Massnahmen, so sagen sie, können einen ausreichenden Schutz bieten. Nicht regulierende Massnahmen, wie Sensibilisierungskampagnen für die Nutzer oder Investitionen in und Förderung von Technologien, die die Privatsphäre respektieren, können als nützlich oder sogar notwendig angesehen werden, aber nicht als ausreichend, um das Recht auf Privatsphäre im digitalen Zeitalter zu gewährleisten. Unterstützer dieses Ansatzes argumentieren, dass die Gewährleistung des Rechts auf Privatsphäre durch eine strengere Regulierung den wirtschaftlichen und sozialen Nutzen der Datenverarbeitung nicht beeinträchtigt und sogar verbessern könnte – zum Beispiel durch die Verringerung des Risikos von Datenschutzverletzungen und Reputationsschäden für Unternehmen.

Dieser Ansatz wird im Allgemeinen in Ländern mit umfassenden Datenschutzsystemen bevorzugt, da die Notwendigkeit einer umfassenden Anwendung des Datenschutzes bereits akzeptiert wird.

Der umfassende, regulatorische Ansatz für den Datenschutz gilt weithin als der menschenrechtsbewussteste Ansatz für den Datenschutz im digitalen Zeitalter. In Kapitel 4 untersuchen wir genauer, wie ein menschenrechtskonformes Datenschutzregime aussieht.

Dieser Ansatz hat jedoch bei einigen Kreisen Widerstände hervorgerufen, die argumentieren, dass ein Fokus auf Regulierung das Gleichgewicht zu sehr in eine Richtung kippen würde. Einige heben die wirtschaftlichen Verluste hervor, die durch strengere Beschränkungen der Datenverarbeitung entstehen können – zum Beispiel Massnahmen, die es den Nutzern ermöglichen, den Zugang zu ihren personenbezogenen Daten zu minimieren oder zu blockieren, während sie noch Online-Dienste nutzen. Sie verweisen auch auf die gestiegenen Kosten, die durch die Erfüllung dieser Verpflichtungen entstehen.

Andere halten Vorschläge für problematisch, die es den Nutzern ermöglichen sollen, die Löschung personenbezogener Daten zu beantragen, und argumentieren, dass dies das Recht auf freie Meinungsäusserung und Zugang zu Informationen beeinträchtigen könnte. Und einige, insbesondere in der Open Data-Gemeinschaft, befürchten, dass diese Massnahmen die Verwendung von Daten zur Verbesserung und Förderung von Innovation in den Bereichen soziale und öffentliche Dienstleistungen wie Verkehrssysteme, Bildung und Gesundheitswesen verhindern oder einschränken könnten.

Diejenigen, die es vorziehen, den Status quo beizubehalten, ziehen es vor, sich auf die „Selbstregulierung“ zu verlassen, was in diesem Zusammenhang bedeutet, dass die für die Datenverarbeitung Verantwortlichen freiwillig Massnahmen zum Schutz der Daten ergreifen. Im Rahmen eines Selbstregulierungsansatzes können die für die Datenverarbeitung Verantwortlichen von den zuständigen Behörden ermutigt werden (z.B. durch Leitlinien für bewährte Verfahren), ihre Dienstleistungsvereinbarungen zu vereinfachen oder den Nutzern mehr Wahlmöglichkeiten darüber zu geben, wie viel von ihren Daten gesammelt wird und ähnliches

Dieser Ansatz findet sich häufig in Ländern, in denen die Datenschutzbestimmungen sektoral sind sowie in Ländern, in denen die Akteure im  Privatsektor nicht der Datenschutzverordnung unterliegen.

DER FACEBOOK-CAMBRIDGE ANALYTICA-VORFALL
Im März 2018 gaben die Medien bekannt, dass ein britisches Beratungsunternehmen, Cambridge Analytica, die personenbezogenen Daten von 87 Millionen Facebook-Nutzern erfasst hatte. Cambridge Analytica war bereits im Blickpunkt der Öffentlichkeit gestanden, da das Unternehmen datengesteuerte Beratungsleistungen für mehrere Kandidaten der US-Präsidentschaftskampagne erbrachte.

Die Enthüllungen im Jahr 2018 zeigten, dass Cambridge Analytica eine Persönlichkeitsquiz-App verwendet hatte, die nach den damaligen Regeln von Facebook auf die in ihren Profilen verfügbaren personenbezogenen Daten zugriff. Dazu gehörten die Arbeitsgeschichte, Geburtstage, Interessen und Hobbys sowie Veranstaltungskalender nicht nur der Nutzer der App – 300’000 –, sondern auch ihrer Freunde und Kontakte auf Facebook, die persönliche Daten über 87 Millionen Menschen lieferten.

Im Jahr 2015 wurde Facebook bekannt, dass Cambridge Analytica diese Daten erworben hatte und erhielt die Zusicherung, dass das Unternehmen die unsachgemäss erfassten Daten löschen würde. Die Nutzer, deren Daten betroffen waren, wurden jedoch nicht über diesen Verstoss gegen die Regeln von Facebook informiert und Cambridge Analytica löschte die Daten nicht.

Die Enthüllungen hatten ein weltweites Echo, wobei die Vereinigten Staaten, Indonesien, Indien, das Vereinigte Königreich und Brasilien alle ihre Besorgnis darüber äusserten, dass unsachgemäss erfasste personenbezogene Daten von Cambridge Analytica oder anderen politischen Beratungsfirmen verwendet werden könnten, um Wahlen oder andere demokratische Prozesse zu beeinflussen.
Für viele Kommentatoren betonte die Geschichte die begrenzte Rolle, die die Zustimmung bei der Einschränkung der Handlungen der für die Datenverarbeitung Verantwortlichen spielt. Cambridge Analytica übernahm die Daten auf der Grundlage der Zustimmung der Personen, die die App genutzt haben. Ob diese Personen wussten, in welchem Umfang sie damit einverstanden waren, ist eine schwierige Frage, aber die Situation zeigt, dass Internetnutzer manchmal bereit sind, ihre persönlichen Daten und die Daten ihrer Freunde und Familie für den Zugang zu Online-Diensten zu handeln, insbesondere wenn sie vor einer „Alles-oder-Nichts“-Wahl stehen, bei der sie den Zugang zu Daten nicht verweigern und den Dienst trotzdem nutzen können.

Der Vorfall führte zu Reaktionen aus einem breiten Spektrum. Einige sahen darin die Notwendigkeit einer stärkeren und datenschutzrechtlichen Regulierung; US-Datenschutzbeauftragte, Medienkommentatoren und ihre britischen Kollegen forderten eine strengere Regulierung und ein umfassendes Gesetz. Selbst Facebook-Chef Mark Zuckerberg räumte ein, dass das Unternehmen einer weiteren Regulierung unterliegen könnte.

Einige befürchten jedoch, dass die überarbeiteten Datenschutzbestimmungen von Facebook, indem sie den Zugang Dritter zu den von Facebook-Nutzern generierten Daten einschränken, auch Forscher und Wissenschaftler ausschliessen würden, die sich auf den Zugang zu Daten für die sozialwissenschaftliche Forschung verlassen, einschliesslich der Erforschung der Nutzung von sozialen Medien und der Auswirkungen auf den Einzelnen und die Gesellschaft. In einem von Wissenschaftlern und Forschern veröffentlichten offenen Brief wurde die Befürchtung geäussert, dass die Änderungen des Datenschutzes die Befugnis von Facebook, eine Forschungsagenda im Einklang mit seinen eigenen Interessen zu definieren, nur verstärken und die unabhängige Aufsicht über die Funktionsweise der Plattform und die Auswirkungen auf ihre Nutzer untergraben würden.

DIE DEBATTE IN DER REALEN WELT

Kontrolle der Datenerhebung
Um zu verstehen, wie sich die Debatten um den Datenschutz in der realen Welt abspielen, ist es lehrreich zu sehen, was in der ersten Phase des Datenverarbeitungszyklus passiert: der Erhebung.

Hier wird die Divergenz der Regulierungsansätze – wie bereits in diesem Kapitel beschrieben – sofort deutlich. Auf der einen Seite argumentieren diejenigen, die eine Ausweitung der Regulierungsmassnahmen befürworten, dass den Nutzern das Recht eingeräumt werden sollte, genau zu wählen, welche Daten über sie erhoben werden und zu welchem Zweck dies geschieht, und die Bereitstellung von Daten, die für die Nutzung eines Dienstes nicht wesentlich sind, zu verweigern. Sie argumentieren, dass beispielsweise Nutzer die Möglichkeit haben sollten, die Verhaltensverfolgung für Werbezwecke während der Nutzung einer App oder eines Dienstes abzulehnen. Einige umfassende Datenschutzsysteme schränken die Datenerfassung auf diese Weise ein, indem sie Unternehmen verpflichten, vor der Erhebung ihrer Daten die Einwilligung von Einzelpersonen einzuholen, und sicherstellen, dass die Einwilligung an einen bestimmten Zweck gebunden ist, der für die Bereitstellung des Dienstes erforderlich ist. Nach dieser Art von Regulierung sollten Personen nicht aufgefordert werden, Daten anzugeben, die für diesen Dienst nicht erforderlich sind.

Auf der anderen Seite argumentieren Unternehmen, die auf die Erhebung oder den Verkauf von Daten über das Nutzerverhalten angewiesen sind, dass Vorschriften, die den Nutzern das Recht einräumen, personenbezogene Daten zu minimieren, während sie noch einen Dienst nutzen, den Wert der gezielten Werbung, die die Haupteinnahmequelle für Online-Verlage ist, verringern. Diese Akteure behaupten, dass die Bereitstellung personenbezogener Daten zu Werbezwecken Teil des „Werteaustausches“ des Internets ist, wodurch Einzelpersonen völlig kostenlos auf wesentliche Suchwerkzeuge oder Social Media-Seiten zugreifen können. Stattdessen argumentieren sie, dass die Verlage gezwungen sein werden, diesen Einkommensverlust auszugleichen, vielleicht durch die Einführung von Gebührenabonnements oder Paywalls für den Zugriff auf Inhalte und Dienste.

Das Recht, vergessen zu werden
Eine weitere wichtige Dimension der Debatten um den Datenschutz betrifft das so genannte „Recht auf Vergessenwerden“ oder „Recht auf Löschung“. Dieses Recht, das es Einzelpersonen ermöglichen soll, Unternehmen aufzufordern, ihre personenbezogenen Daten unter bestimmten Bedingungen zu löschen, wurde von einigen kritisiert, da es das Recht auf freie Meinungsäusserung und Zugang zu Informationen gefährdet. Wenn sie breit ausgelegt wird, argumentieren einige, könnte sie zu einer Einschränkung des freien Informationsflusses in einer Weise führen, die das Recht auf freie Meinungsäusserung beeinträchtigen würde. Andere argumentieren jedoch, dass das Recht, kontrollieren zu können, welche Informationen anderen öffentlich zugänglich sind, eine Schlüsselkomponente des Rechts auf Privatsphäre ist. Diese Debatte wird in Kapitel 3 näher erläutert.

Globale Regulierung
Die meisten Diskussionsteilnehmer sind sich zwar einig, dass die Datenschutzlegislation weltweit stärker harmonisiert werden sollte, aber die Frage nach dem Niveau und den Arten von Vorschriften, denen Daten unterliegen sollten, bleibt umstritten. Eine Verordnung, beispielsweise in Form eines Staatsvertrages, würde Mindeststandards für den Datenschutz festlegen, die für alle Staaten rechtsverbindlich sind.

Diejenigen, die einen Vertrag unterstützen, argumentieren, dass dies notwendig ist, weil personenbezogene Daten je nach der Rechtsordnung, in der sie verarbeitet werden, unterschiedliche Schutzniveaus erhalten. Sie argumentieren auch, dass dies mehr Klarheit für die für die Datenverarbeitung Verantwortlichen bringen würde, die derzeit je nach Gerichtsbarkeit mit einer verwirrenden Reihe von unterschiedlichen Verpflichtungen konfrontiert sind.  
Andererseits argumentieren andere, dass dieser Ansatz den grenzüberschreitenden Datenfluss verringern würde, weil es für einige Akteure zu kostspielig wäre, diesen Verpflichtungen zur Datenverwendung nachzukommen. Stattdessen plädieren sie für die Stärkung bestehender Massnahmen, wie Vereinbarungen zwischen Gerichtsbarkeiten, die die Übermittlung personenbezogener Daten zur grenzüberschreitenden Verarbeitung regeln, internationale Verträge direkt zwischen den für die Datenverarbeitung Verantwortlichen und freiwillige Netzwerke von Datenschutzbehörden, die bewährte Verfahren austauschen.

STAKEHOLDERS
Wir haben die allgemeinen Argumente in der Datenschutzdebatte herausgearbeitet. Jetzt müssen wir uns die Teilnehmer an der Debatte ansehen – die Interessenvertreter. Wo sitzen sie zur Frage, wie und in welchem Umfang die Verarbeitung personenbezogener Daten geregelt werden soll?

Der Staat
Der Staat bezieht sich auf die Zweigniederlassungen einer international anerkannten Nation oder eines international anerkannten Territoriums und umfasst Regierungsbehörden, Regulierungsbehörden, Sicherheits- und Strafverfolgungsbehörden und andere öffentliche Einrichtungen. Es sind die Staaten, die Datenschutzgesetze verabschieden und durchsetzen. Die Staaten bestehen jedoch aus einer Reihe von Gremien, die alle unterschiedliche Prioritäten und Perspektiven im Datenschutz haben werden. So ist beispielsweise in vielen Ländern, auch in denen mit umfassenden Datenschutzvorschriften, eine unabhängige öffentliche Stelle oder Datenschutzbehörde (DPA) für die Überwachung der Einhaltung der Datenschutzgesetze verantwortlich. Diese Behörden sind im Allgemeinen verpflichtet, Leitlinien für die nationalen Datenschutzgesetze zu geben und bei Gesetzesverstössen Durchsetzungsmassnahmen zu ergreifen. Sie müssen über ausreichende Ressourcen verfügen, um ihre Aufgaben zu erfüllen, und sie werden ein Interesse daran haben, einen starken Datenschutz zu fördern. Allerdings werden die Staaten auch die Möglichkeit des Handels mit anderen Ländern schützen wollen. Beispielsweise können Handelsministerien oder diejenigen, die für Wirtschaftswachstum oder Investitionen verantwortlich sind, daran interessiert sein, den freien Datenfluss zu gewährleisten und die Verarbeitung von Daten nicht in einer Weise einzuschränken, die Handels- und Geschäftsinteressen belastet.

Strafverfolgungsbehörden stehen im Rahmen von Strafermittlungen oft vor Herausforderungen beim Zugriff auf Daten ausserhalb ihrer Gerichtsbarkeit, da unterschiedliche datenschutzrechtliche Rahmenbedingungen das Recht auf Privatsphäre schützen. In manchen Fällen können sie den Ansatz vorziehen, Daten direkt von den Datenverantwortlichen zu erhalten, anstatt diese Anfragen an staatliche Stellen richten zu müssen.

Die Datenschutzbehörden sind selbst Teil des Staates. Als Regulierungsbehörden, die mit der Überwachung und Durchsetzung der Datenschutzlegislation betraut sind, werden sie von anderen staatlichen Stellen ausreichend unabhängig sein müssen und sollten mit Befugnissen zur wirksamen Umsetzung der Datenschutzlegislation ausgestattet sein.

Benutzer
Der Datenschutz wurde entwickelt, um die Rechte der Nutzer zu schützen und das Machtverhältnis zwischen Nutzern und Datenerfassern zu korrigieren. Die Nutzer sind jedoch keine homogene Gruppe.

Einige Nutzer könnten aus verschiedenen Gründen ein grösseres Interesse an ihrer Privatsphäre haben als andere – sei es, weil sie Teil einer Technikgruppe sind oder besondere Risiken für ihre Sicherheit als Aktivist, Menschenrechtsverteidiger oder als Mitglied einer Minderheit für sie bestehen. Infolgedessen können sie konkretere Massnahmen zum Schutz ihrer Privatsphäre ergreifen, z.B. durch spezifische technologische Massnahmen zum Schutz ihrer Daten und zur Minimierung ihrer Erfassung.

Andere Nutzer können dem freien Zugang zu Informationen und Komfort, den das aktuelle Geschäftsmodell des Internets bietet, Vorrang einräumen und Merkmale wie gezielte Werbung als akzeptablen Kompromiss ansehen. Einige mögen diese Funktionen sogar nützlich finden und sie begrüssen. Andere können sie als übermässigen Eingriff in ihre Privatsphäre und als inakzeptablen Kompromiss für die Nutzung von Diensten empfinden. Ungeachtet dieser Spannbreite kann man wohl mit Sicherheit sagen, dass die Mehrheit der Nutzer daran interessiert sein wird, Internetdienste und -plattformen zu niedrigen Kosten, mit minimalen Unannehmlichkeiten und einem Minimum an Notwendigkeit, die Kontrolle über ihre persönlichen Daten und ihre Privatsphäre zu opfern, nutzen zu können.

Zivilgesellschaft
Da der Datenschutz Schutz vor Rechtsmissbrauch und Schutzmassnahmen für Einzelpersonen bietet, haben zivilgesellschaftliche Organisationen eher ein Interesse an Regulierungsansätzen oder umfassenden Datenschutzsystemen. Die Zivilgesellschaft umfasst jedoch auch Gruppen, die sich auf den Zugang zu Daten verlassen können, um die Dienstleistungen für ihre Begünstigten zu verbessern, wie z.B. humanitäre Helfer und Helfer. Diese Organisationen können sich auch im Rahmen ihrer Fundraising-Bemühungen auf Direktmarketing verlassen, eine Praxis, die durch eine stärkere Regulierung beeinträchtigt wird. Daher kann eine stärkere Regulierung diesen Organisationen finanzielle Belastungen auferlegen. Zur Zivilgesellschaft gehören auch Forscher und Wissenschaftler, die von der Verwendung von Open Data oder grosser Datensätze (Big Data) profitieren können, die personenbezogene Daten enthalten oder sich auf diese stützen, und daher Selbstregulierungsmassnahmen bevorzugen können.

Privater Sektor
Strengere Datenschutzgesetze erlegen den privatwirtschaftlichen Akteuren, die Daten verarbeiten, oft grössere finanzielle Verpflichtungen auf. Gleichzeitig können Vorschriften, die die Fähigkeit der Akteure des Privatsektors zur Datenerhebung minimieren, Unternehmen, die auf Datenverarbeitung oder auf den Verkauf und die Übermittlung personenbezogener Daten als Grundlage für ihre Einnahmen angewiesen sind, vor Herausforderungen stellen. Dies gilt insbesondere für die Werbebranche und für Verleger, die auf die Erhebung von Daten und den Verkauf von Daten an Werbetreibende angewiesen sind, um die Rentabilität zu erhalten.

Privatunternehmen, die sich auf die Verwendung personenbezogener Daten verlassen, um gezielte Dienstleistungen zu erbringen, haben jedoch auch ein Interesse daran, das Vertrauen ihrer Kunden zu erhalten, das durch einen stärkeren Datenschutz bei Dienstleistungen und Produkten gestärkt werden kann. Kleinere Unternehmen können es vorziehen, solche Massnahmen umzusetzen und ihr Engagement für den Datenschutz freiwillig zu vermarkten, da sich die Kosten für die Einhaltung der Rechtsvorschriften überproportional auf sie auswirken können.

Eine der grössten Herausforderungen für alle privatwirtschaftlichen Unternehmen, die in mehr als einem Land tätig sind, besteht darin, sich an unterschiedliche Datenschutzrahmen zu halten und zu bestimmen, welche Rechtsordnungen in welchen Fällen gelten (siehe Kapitel 3). Sie befürworten nicht unbedingt eine globale Regulierung oder einen Vertrag, der allen Ländern dieselben Standards auferlegen würde, sondern unterstützen eine länderübergreifende Harmonisierung der Datenschutzgesetzgebung durch eine engere Koordinierung zwischen Regierungen und Regulierungsbehörden.

Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf

Kategorie: Datenschutz
© Swiss Infosec AG 2025