Prinzipien des Datenschutzes – Kapitel 2

Prinzipien des Datenschutzes – Kapitel 2

11/2019

 

Die Nutzung des Internets und der digitalen Technologien hat zu sozialen und wirtschaftlichen Vorteilen für die Gesellschaft und Individuen geführt.

 

Datenschutz für Anfänger

 

Die Debatte
Der Einzelne profitiert von der Fähigkeit, sich leichter mit den Menschen zu verbinden und sowohl Zugang zu erhalten als auch neue Waren und Dienstleistungen zu schaffen. Dadurch sind aber auch viel mehr personenbezogene Daten entstanden, die verarbeitet werden müssen, was wiederum zu mehr Risiken und potenziellen Schäden führt, wenn diese Daten nicht geschützt sind. Der Datenschutz zielt darauf ab, personenbezogene Daten vor Missbrauch und Schaden zu schützen, um den Schutz des Rechts auf Privatsphäre zu gewährleisten und gleichzeitig die Fähigkeit zur Verarbeitung von Daten für wirtschaftliche und soziale Zwecke zu schützen.

 

Angesichts der Herausforderungen im Zusammenhang mit dem digitalen Zeitalter sind sich die meisten einig, dass mehr getan werden muss, um sicherzustellen, dass dieses Gleichgewicht wirksam gewahrt werden kann. Worüber sie sich nicht einig sind, ist, wie dies geschehen kann.

 

VERSCHIEDENE LÖSUNGSANSÄTZE FÜR DAS PROBLEM
In den letzten Jahren ist eine Reihe von Lösungsvorschlägen entstanden. Die meisten von ihnen beinhalten oder bauen auf Massnahmen auf, die auf bestehenden Datenschutzbestimmungen beruhen. Sie unterscheiden sich jedoch in Bezug auf die Höhe der regulatorischen Eingriffe, die sie für notwendig halten, damit diese Massnahmen effektiv funktionieren.

 

Ein Ansatz wird durch die Datenschutz-Grundverordnung (DSGVO), die die Europäische Union 2016 verabschiedet hat, umfassend veranschaulicht. Die DSGVO führt eine Reihe von rechtlich durchsetzbaren Massnahmen ein, die auf den bestehenden Datenschutzvorschriften aufbauen – darunter die Ausweitung der Nutzerrechte, die Erhöhung der rechtlichen Verpflichtungen der für die Datenverarbeitung Verantwortlichen und die Einführung einer erweiterten Definition von personenbezogenen Daten.
Diejenigen, die den von der DSGVO vorgeschlagenen Ansatz unterstützen, argumentieren, dass rechtlich durchsetzbare Massnahmen erforderlich sind, um die Herausforderungen für das Recht auf Privatsphäre durch die Verarbeitung personenbezogener Daten im digitalen Zeitalter anzugehen. Nur diese Massnahmen, so sagen sie, können einen ausreichenden Schutz bieten. Nicht regulierende Massnahmen, wie Sensibilisierungskampagnen für die Nutzer oder Investitionen in und Förderung von Technologien, die die Privatsphäre respektieren, können als nützlich oder sogar notwendig angesehen werden, aber nicht als ausreichend, um das Recht auf Privatsphäre im digitalen Zeitalter zu gewährleisten. Unterstützer dieses Ansatzes argumentieren, dass die Gewährleistung des Rechts auf Privatsphäre durch eine strengere Regulierung den wirtschaftlichen und sozialen Nutzen der Datenverarbeitung nicht beeinträchtigt und sogar verbessern könnte – zum Beispiel durch die Verringerung des Risikos von Datenschutzverletzungen und Reputationsschäden für Unternehmen.

 

Dieser Ansatz wird im Allgemeinen in Ländern mit umfassenden Datenschutzsystemen bevorzugt, da die Notwendigkeit einer umfassenden Anwendung des Datenschutzes bereits akzeptiert wird.

 

Der umfassende, regulatorische Ansatz für den Datenschutz gilt weithin als der menschenrechtsbewussteste Ansatz für den Datenschutz im digitalen Zeitalter. In Kapitel 4 untersuchen wir genauer, wie ein menschenrechtskonformes Datenschutzregime aussieht.

 

Dieser Ansatz hat jedoch bei einigen Kreisen Widerstände hervorgerufen, die argumentieren, dass ein Fokus auf Regulierung das Gleichgewicht zu sehr in eine Richtung kippen würde. Einige heben die wirtschaftlichen Verluste hervor, die durch strengere Beschränkungen der Datenverarbeitung entstehen können – zum Beispiel Massnahmen, die es den Nutzern ermöglichen, den Zugang zu ihren personenbezogenen Daten zu minimieren oder zu blockieren, während sie noch Online-Dienste nutzen. Sie verweisen auch auf die gestiegenen Kosten, die durch die Erfüllung dieser Verpflichtungen entstehen.

 

Andere halten Vorschläge für problematisch, die es den Nutzern ermöglichen sollen, die Löschung personenbezogener Daten zu beantragen, und argumentieren, dass dies das Recht auf freie Meinungsäusserung und Zugang zu Informationen beeinträchtigen könnte. Und einige, insbesondere in der Open Data-Gemeinschaft, befürchten, dass diese Massnahmen die Verwendung von Daten zur Verbesserung und Förderung von Innovation in den Bereichen soziale und öffentliche Dienstleistungen wie Verkehrssysteme, Bildung und Gesundheitswesen verhindern oder einschränken könnten.

 

Diejenigen, die es vorziehen, den Status quo beizubehalten, ziehen es vor, sich auf die "Selbstregulierung" zu verlassen, was in diesem Zusammenhang bedeutet, dass die für die Datenverarbeitung Verantwortlichen freiwillig Massnahmen zum Schutz der Daten ergreifen. Im Rahmen eines Selbstregulierungsansatzes können die für die Datenverarbeitung Verantwortlichen von den zuständigen Behörden ermutigt werden (z.B. durch Leitlinien für bewährte Verfahren), ihre Dienstleistungsvereinbarungen zu vereinfachen oder den Nutzern mehr Wahlmöglichkeiten darüber zu geben, wie viel von ihren Daten gesammelt wird und ähnliches

 

Dieser Ansatz findet sich häufig in Ländern, in denen die Datenschutzbestimmungen sektoral sind sowie in Ländern, in denen die Akteure im  Privatsektor nicht der Datenschutzverordnung unterliegen.

 

DER FACEBOOK-CAMBRIDGE ANALYTICA-VORFALL
Im März 2018 gaben die Medien bekannt, dass ein britisches Beratungsunternehmen, Cambridge Analytica, die personenbezogenen Daten von 87 Millionen Facebook-Nutzern erfasst hatte. Cambridge Analytica war bereits im Blickpunkt der Öffentlichkeit gestanden, da das Unternehmen datengesteuerte Beratungsleistungen für mehrere Kandidaten der US-Präsidentschaftskampagne erbrachte.

Die Enthüllungen im Jahr 2018 zeigten, dass Cambridge Analytica eine Persönlichkeitsquiz-App verwendet hatte, die nach den damaligen Regeln von Facebook auf die in ihren Profilen verfügbaren personenbezogenen Daten zugriff. Dazu gehörten die Arbeitsgeschichte, Geburtstage, Interessen und Hobbys sowie Veranstaltungskalender nicht nur der Nutzer der App – 300'000 –, sondern auch ihrer Freunde und Kontakte auf Facebook, die persönliche Daten über 87 Millionen Menschen lieferten.

Im Jahr 2015 wurde Facebook bekannt, dass Cambridge Analytica diese Daten erworben hatte und erhielt die Zusicherung, dass das Unternehmen die unsachgemäss erfassten Daten löschen würde. Die Nutzer, deren Daten betroffen waren, wurden jedoch nicht über diesen Verstoss gegen die Regeln von Facebook informiert und Cambridge Analytica löschte die Daten nicht.

Die Enthüllungen hatten ein weltweites Echo, wobei die Vereinigten Staaten, Indonesien, Indien, das Vereinigte Königreich und Brasilien alle ihre Besorgnis darüber äusserten, dass unsachgemäss erfasste personenbezogene Daten von Cambridge Analytica oder anderen politischen Beratungsfirmen verwendet werden könnten, um Wahlen oder andere demokratische Prozesse zu beeinflussen.
Für viele Kommentatoren betonte die Geschichte die begrenzte Rolle, die die Zustimmung bei der Einschränkung der Handlungen der für die Datenverarbeitung Verantwortlichen spielt. Cambridge Analytica übernahm die Daten auf der Grundlage der Zustimmung der Personen, die die App genutzt haben. Ob diese Personen wussten, in welchem Umfang sie damit einverstanden waren, ist eine schwierige Frage, aber die Situation zeigt, dass Internetnutzer manchmal bereit sind, ihre persönlichen Daten und die Daten ihrer Freunde und Familie für den Zugang zu Online-Diensten zu handeln, insbesondere wenn sie vor einer "Alles-oder-Nichts"-Wahl stehen, bei der sie den Zugang zu Daten nicht verweigern und den Dienst trotzdem nutzen können.

Der Vorfall führte zu Reaktionen aus einem breiten Spektrum. Einige sahen darin die Notwendigkeit einer stärkeren und datenschutzrechtlichen Regulierung; US-Datenschutzbeauftragte, Medienkommentatoren und ihre britischen Kollegen forderten eine strengere Regulierung und ein umfassendes Gesetz. Selbst Facebook-Chef Mark Zuckerberg räumte ein, dass das Unternehmen einer weiteren Regulierung unterliegen könnte.

 

Einige befürchten jedoch, dass die überarbeiteten Datenschutzbestimmungen von Facebook, indem sie den Zugang Dritter zu den von Facebook-Nutzern generierten Daten einschränken, auch Forscher und Wissenschaftler ausschliessen würden, die sich auf den Zugang zu Daten für die sozialwissenschaftliche Forschung verlassen, einschliesslich der Erforschung der Nutzung von sozialen Medien und der Auswirkungen auf den Einzelnen und die Gesellschaft. In einem von Wissenschaftlern und Forschern veröffentlichten offenen Brief wurde die Befürchtung geäussert, dass die Änderungen des Datenschutzes die Befugnis von Facebook, eine Forschungsagenda im Einklang mit seinen eigenen Interessen zu definieren, nur verstärken und die unabhängige Aufsicht über die Funktionsweise der Plattform und die Auswirkungen auf ihre Nutzer untergraben würden.

 

DIE DEBATTE IN DER REALEN WELT

 

Kontrolle der Datenerhebung
Um zu verstehen, wie sich die Debatten um den Datenschutz in der realen Welt abspielen, ist es lehrreich zu sehen, was in der ersten Phase des Datenverarbeitungszyklus passiert: der Erhebung.

 

Hier wird die Divergenz der Regulierungsansätze – wie bereits in diesem Kapitel beschrieben – sofort deutlich. Auf der einen Seite argumentieren diejenigen, die eine Ausweitung der Regulierungsmassnahmen befürworten, dass den Nutzern das Recht eingeräumt werden sollte, genau zu wählen, welche Daten über sie erhoben werden und zu welchem Zweck dies geschieht, und die Bereitstellung von Daten, die für die Nutzung eines Dienstes nicht wesentlich sind, zu verweigern. Sie argumentieren, dass beispielsweise Nutzer die Möglichkeit haben sollten, die Verhaltensverfolgung für Werbezwecke während der Nutzung einer App oder eines Dienstes abzulehnen. Einige umfassende Datenschutzsysteme schränken die Datenerfassung auf diese Weise ein, indem sie Unternehmen verpflichten, vor der Erhebung ihrer Daten die Einwilligung von Einzelpersonen einzuholen, und sicherstellen, dass die Einwilligung an einen bestimmten Zweck gebunden ist, der für die Bereitstellung des Dienstes erforderlich ist. Nach dieser Art von Regulierung sollten Personen nicht aufgefordert werden, Daten anzugeben, die für diesen Dienst nicht erforderlich sind.

 

Auf der anderen Seite argumentieren Unternehmen, die auf die Erhebung oder den Verkauf von Daten über das Nutzerverhalten angewiesen sind, dass Vorschriften, die den Nutzern das Recht einräumen, personenbezogene Daten zu minimieren, während sie noch einen Dienst nutzen, den Wert der gezielten Werbung, die die Haupteinnahmequelle für Online-Verlage ist, verringern. Diese Akteure behaupten, dass die Bereitstellung personenbezogener Daten zu Werbezwecken Teil des "Werteaustausches" des Internets ist, wodurch Einzelpersonen völlig kostenlos auf wesentliche Suchwerkzeuge oder Social Media-Seiten zugreifen können. Stattdessen argumentieren sie, dass die Verlage gezwungen sein werden, diesen Einkommensverlust auszugleichen, vielleicht durch die Einführung von Gebührenabonnements oder Paywalls für den Zugriff auf Inhalte und Dienste.

 

Das Recht, vergessen zu werden
Eine weitere wichtige Dimension der Debatten um den Datenschutz betrifft das so genannte "Recht auf Vergessenwerden" oder "Recht auf Löschung". Dieses Recht, das es Einzelpersonen ermöglichen soll, Unternehmen aufzufordern, ihre personenbezogenen Daten unter bestimmten Bedingungen zu löschen, wurde von einigen kritisiert, da es das Recht auf freie Meinungsäusserung und Zugang zu Informationen gefährdet. Wenn sie breit ausgelegt wird, argumentieren einige, könnte sie zu einer Einschränkung des freien Informationsflusses in einer Weise führen, die das Recht auf freie Meinungsäusserung beeinträchtigen würde. Andere argumentieren jedoch, dass das Recht, kontrollieren zu können, welche Informationen anderen öffentlich zugänglich sind, eine Schlüsselkomponente des Rechts auf Privatsphäre ist. Diese Debatte wird in Kapitel 3 näher erläutert.

 

Globale Regulierung
Die meisten Diskussionsteilnehmer sind sich zwar einig, dass die Datenschutzlegislation weltweit stärker harmonisiert werden sollte, aber die Frage nach dem Niveau und den Arten von Vorschriften, denen Daten unterliegen sollten, bleibt umstritten. Eine Verordnung, beispielsweise in Form eines Staatsvertrages, würde Mindeststandards für den Datenschutz festlegen, die für alle Staaten rechtsverbindlich sind.

 

Diejenigen, die einen Vertrag unterstützen, argumentieren, dass dies notwendig ist, weil personenbezogene Daten je nach der Rechtsordnung, in der sie verarbeitet werden, unterschiedliche Schutzniveaus erhalten. Sie argumentieren auch, dass dies mehr Klarheit für die für die Datenverarbeitung Verantwortlichen bringen würde, die derzeit je nach Gerichtsbarkeit mit einer verwirrenden Reihe von unterschiedlichen Verpflichtungen konfrontiert sind.  
Andererseits argumentieren andere, dass dieser Ansatz den grenzüberschreitenden Datenfluss verringern würde, weil es für einige Akteure zu kostspielig wäre, diesen Verpflichtungen zur Datenverwendung nachzukommen. Stattdessen plädieren sie für die Stärkung bestehender Massnahmen, wie Vereinbarungen zwischen Gerichtsbarkeiten, die die Übermittlung personenbezogener Daten zur grenzüberschreitenden Verarbeitung regeln, internationale Verträge direkt zwischen den für die Datenverarbeitung Verantwortlichen und freiwillige Netzwerke von Datenschutzbehörden, die bewährte Verfahren austauschen.

 

STAKEHOLDERS
Wir haben die allgemeinen Argumente in der Datenschutzdebatte herausgearbeitet. Jetzt müssen wir uns die Teilnehmer an der Debatte ansehen – die Interessenvertreter. Wo sitzen sie zur Frage, wie und in welchem Umfang die Verarbeitung personenbezogener Daten geregelt werden soll?

 

Der Staat
Der Staat bezieht sich auf die Zweigniederlassungen einer international anerkannten Nation oder eines international anerkannten Territoriums und umfasst Regierungsbehörden, Regulierungsbehörden, Sicherheits- und Strafverfolgungsbehörden und andere öffentliche Einrichtungen. Es sind die Staaten, die Datenschutzgesetze verabschieden und durchsetzen. Die Staaten bestehen jedoch aus einer Reihe von Gremien, die alle unterschiedliche Prioritäten und Perspektiven im Datenschutz haben werden. So ist beispielsweise in vielen Ländern, auch in denen mit umfassenden Datenschutzvorschriften, eine unabhängige öffentliche Stelle oder Datenschutzbehörde (DPA) für die Überwachung der Einhaltung der Datenschutzgesetze verantwortlich. Diese Behörden sind im Allgemeinen verpflichtet, Leitlinien für die nationalen Datenschutzgesetze zu geben und bei Gesetzesverstössen Durchsetzungsmassnahmen zu ergreifen. Sie müssen über ausreichende Ressourcen verfügen, um ihre Aufgaben zu erfüllen, und sie werden ein Interesse daran haben, einen starken Datenschutz zu fördern. Allerdings werden die Staaten auch die Möglichkeit des Handels mit anderen Ländern schützen wollen. Beispielsweise können Handelsministerien oder diejenigen, die für Wirtschaftswachstum oder Investitionen verantwortlich sind, daran interessiert sein, den freien Datenfluss zu gewährleisten und die Verarbeitung von Daten nicht in einer Weise einzuschränken, die Handels- und Geschäftsinteressen belastet.

 

Strafverfolgungsbehörden stehen im Rahmen von Strafermittlungen oft vor Herausforderungen beim Zugriff auf Daten ausserhalb ihrer Gerichtsbarkeit, da unterschiedliche datenschutzrechtliche Rahmenbedingungen das Recht auf Privatsphäre schützen. In manchen Fällen können sie den Ansatz vorziehen, Daten direkt von den Datenverantwortlichen zu erhalten, anstatt diese Anfragen an staatliche Stellen richten zu müssen.

 

Die Datenschutzbehörden sind selbst Teil des Staates. Als Regulierungsbehörden, die mit der Überwachung und Durchsetzung der Datenschutzlegislation betraut sind, werden sie von anderen staatlichen Stellen ausreichend unabhängig sein müssen und sollten mit Befugnissen zur wirksamen Umsetzung der Datenschutzlegislation ausgestattet sein.

 

Benutzer
Der Datenschutz wurde entwickelt, um die Rechte der Nutzer zu schützen und das Machtverhältnis zwischen Nutzern und Datenerfassern zu korrigieren. Die Nutzer sind jedoch keine homogene Gruppe.

 

Einige Nutzer könnten aus verschiedenen Gründen ein grösseres Interesse an ihrer Privatsphäre haben als andere – sei es, weil sie Teil einer Technikgruppe sind oder besondere Risiken für ihre Sicherheit als Aktivist, Menschenrechtsverteidiger oder als Mitglied einer Minderheit für sie bestehen. Infolgedessen können sie konkretere Massnahmen zum Schutz ihrer Privatsphäre ergreifen, z.B. durch spezifische technologische Massnahmen zum Schutz ihrer Daten und zur Minimierung ihrer Erfassung.

 

Andere Nutzer können dem freien Zugang zu Informationen und Komfort, den das aktuelle Geschäftsmodell des Internets bietet, Vorrang einräumen und Merkmale wie gezielte Werbung als akzeptablen Kompromiss ansehen. Einige mögen diese Funktionen sogar nützlich finden und sie begrüssen. Andere können sie als übermässigen Eingriff in ihre Privatsphäre und als inakzeptablen Kompromiss für die Nutzung von Diensten empfinden. Ungeachtet dieser Spannbreite kann man wohl mit Sicherheit sagen, dass die Mehrheit der Nutzer daran interessiert sein wird, Internetdienste und -plattformen zu niedrigen Kosten, mit minimalen Unannehmlichkeiten und einem Minimum an Notwendigkeit, die Kontrolle über ihre persönlichen Daten und ihre Privatsphäre zu opfern, nutzen zu können.

 

Zivilgesellschaft
Da der Datenschutz Schutz vor Rechtsmissbrauch und Schutzmassnahmen für Einzelpersonen bietet, haben zivilgesellschaftliche Organisationen eher ein Interesse an Regulierungsansätzen oder umfassenden Datenschutzsystemen. Die Zivilgesellschaft umfasst jedoch auch Gruppen, die sich auf den Zugang zu Daten verlassen können, um die Dienstleistungen für ihre Begünstigten zu verbessern, wie z.B. humanitäre Helfer und Helfer. Diese Organisationen können sich auch im Rahmen ihrer Fundraising-Bemühungen auf Direktmarketing verlassen, eine Praxis, die durch eine stärkere Regulierung beeinträchtigt wird. Daher kann eine stärkere Regulierung diesen Organisationen finanzielle Belastungen auferlegen. Zur Zivilgesellschaft gehören auch Forscher und Wissenschaftler, die von der Verwendung von Open Data oder grosser Datensätze (Big Data) profitieren können, die personenbezogene Daten enthalten oder sich auf diese stützen, und daher Selbstregulierungsmassnahmen bevorzugen können.

 

Privater Sektor
Strengere Datenschutzgesetze erlegen den privatwirtschaftlichen Akteuren, die Daten verarbeiten, oft grössere finanzielle Verpflichtungen auf. Gleichzeitig können Vorschriften, die die Fähigkeit der Akteure des Privatsektors zur Datenerhebung minimieren, Unternehmen, die auf Datenverarbeitung oder auf den Verkauf und die Übermittlung personenbezogener Daten als Grundlage für ihre Einnahmen angewiesen sind, vor Herausforderungen stellen. Dies gilt insbesondere für die Werbebranche und für Verleger, die auf die Erhebung von Daten und den Verkauf von Daten an Werbetreibende angewiesen sind, um die Rentabilität zu erhalten.

 

Privatunternehmen, die sich auf die Verwendung personenbezogener Daten verlassen, um gezielte Dienstleistungen zu erbringen, haben jedoch auch ein Interesse daran, das Vertrauen ihrer Kunden zu erhalten, das durch einen stärkeren Datenschutz bei Dienstleistungen und Produkten gestärkt werden kann. Kleinere Unternehmen können es vorziehen, solche Massnahmen umzusetzen und ihr Engagement für den Datenschutz freiwillig zu vermarkten, da sich die Kosten für die Einhaltung der Rechtsvorschriften überproportional auf sie auswirken können.

 

Eine der grössten Herausforderungen für alle privatwirtschaftlichen Unternehmen, die in mehr als einem Land tätig sind, besteht darin, sich an unterschiedliche Datenschutzrahmen zu halten und zu bestimmen, welche Rechtsordnungen in welchen Fällen gelten (siehe Kapitel 3). Sie befürworten nicht unbedingt eine globale Regulierung oder einen Vertrag, der allen Ländern dieselben Standards auferlegen würde, sondern unterstützen eine länderübergreifende Harmonisierung der Datenschutzgesetzgebung durch eine engere Koordinierung zwischen Regierungen und Regulierungsbehörden.

 

Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf
04.11.2019

 

datenschutz fingerabdruck

 

Datenschutz

Datenschutz greift auch in unsere Lebensprozesse ein

 

Datenschutz ist allgegenwärtig und begleitet uns im Berufsalltag wie auch im Privatleben. Erfahren Sie bei uns alles über Beratung, Ausbildung und Services im Fachbereich Datenschutz und wie wir Sie als erfahrene Datenschutzspezialisten unterstützen können.

 

Kontaktieren Sie uns, denn wir wissen, welche Daten wie zu schützen sind! Wir beraten Sie gerne. +41 41 984 12 12, infosec@infosec.ch

 

Mehr