DS-GVO Fehlkonzept Nr. 1: Datenschutz ist global

Mit der DS-GVO hat die EU ein Gesetz geschaffen, welches dazu führt, dass Ländern Datenschutz-Regeln aufgezwungen werden, die in keiner Art und Weise ihrem Verständnis von Datenschutz entsprechen.

Die EU will der Welt ihr Datenschutz-Konzept aufdrängen.

Die meisten Bürger von EU-Mitgliedsstaaten sehen sich primär als Bürger ihres Landes und nicht als Teil eines anonymen (EU)-Verbunds. Datenschutz ist historisch, gesellschaftlich und sozial geprägt.  Wenn wir uns darüber aufregen, dass es Staaten gibt, die dazu übergehen, ihre Bürger systematisch zu kategorisieren und einzuteilen, dann vergessen wir leicht, dass wir in einem sozialen Umfeld aufgewachsen sind, in welchem wir Repression, Unterdrückung oder Zwang zur Uniformität nur noch aus Büchern oder aus dem Internet kennen. Vergleichbarkeit und Messbarkeit sind bei uns Unworte, obwohl sie die gesellschaftliche Realität widerspiegeln. Während wir in der Schule Noten bekämpfen und uns nicht messen wollen („es bekommt jeder einen Preis“), wird in den Sozialen Medien knallhart bewertet, was der Mausklick hergibt. In Systemen, in welchen der Einzelne nur dann aus der Menge auftaucht, wenn er ein hohes Rating hat, hat Datenschutz nur eine geringe Bedeutung („geben wir uns doch gegenseitig die Maximalbewertung..“).

Trotz Fichen-Affäre und alltäglichen Big Data Analysen ist unsere Sensibilisierung zum Thema Datenschutz gering. Das hat damit zu tun, dass wir Schweizer traditionell vom Staat wenig zu befürchten haben und hatten („wir sind der Staat“). Studien zeigen, dass dort, wo das Vertrauen in den Staat hoch ist, dem persönlichen Datenschutz geringes Gewicht beigemessen wird. So ist es nicht überraschend, dass gerade in den skandinavischen Ländern Dinge wie das Implantieren von Chips sozial akzeptabel sind (in Schweden lag die Zahl „gechippter“ Personen bei rund 3000, August 18). Für die Mehrheit ist dies heute noch undenkbar. Trotzdem wächst die Gruppe von Personen stetig, welche sich freiwillig der digitalen Transparenz aussetzt. Wie sollen die Gesellschaft damit umgehen, dass ein Grossteil der Bevölkerung ihre Personendaten verschleudert und sich damit den hoch heiligen Prinzipien des Datenschutzes aktiv widersetzt? Wie man diese Frage auch immer beantwortet: die DS-GVO ist nur ein Weg, Personen vor sich selbst zu schützen. Sie ist aber in keinem Fall geeignet, auf globaler Ebene als verbindliche Norm eingesetzt zu werden.

Ist der Bürger eines ehemals kommunistischen Staates sensibler, wenn es um Datenschutz geht?

Die 10 wichtigsten DS-GVO Fehlkonzeptionen – So hat Datenschutz keine Chance

Die DS-GVO hat bis Ende Mai 2018 enorm viel Aufwand generiert. Sie hat dazu geführt, dass Heerscharen mehr oder weniger seriöser Anwälte und Berater haufenweise Verträge, Richtlinien und Vereinbarungen geschrieben haben. Wieso sollte uns das interessieren? Ich behaupte, dass sowohl Softwareanbieter wie auch Dienstleister, welche Personendaten verarbeiten, ihre Produkte in diesem Jahr damit um geschätzte 25% verteuert haben. Spätestens nächstes Jahr werden wir als Kunden diese Rechnung präsentiert bekommen – die Produktpreise werden steigen. Da fragt sich doch der Anwender (oder die „Betroffene Person“ im Jargon der DS-GVO): Was bekomme ich wirklich dafür?

Selbst der Widerhall in der Presse war einmalig. Selten hat ein Gesetz so hohe Wellen geworfen. Die DS-GVO ist ein inhaltliches Monster und wer behauptet, er hätte alles davon verstanden, der hat entweder eine sehr hohe Fehlertoleranz oder gibt sich mit dem Verstehen der wichtigsten Grundprinzipien zufrieden (Zitat aus der Internet Community: „Chuck Norris hat die DS-GVO schon zweimal umgesetzt – vollständig!“). Statt sich mit den Inhalten auseinander zu setzen und sich um reale Risiken zu kümmern, wurden isolierte Aktionen losgetreten. Ein gutes Beispiel dafür ist die Aufforderung zum Erneuern der Newsletter-Anmeldung, welche in 90% aller Fälle überflüssig ist. Solche, meist aus dem Nichts auftauchende Aktionen haben teilweise sinnlose und überflüssige Eigendynamiken entwickelt.

Schaut man etwas über den Tellerrand hinaus, dann muss man sich auf jeden Fall die Frage stellen, ob das heutige Datenschutzkonzept, so wie es durch die Europäische Union vorgelebt werden will, wirklich zukunftsgerecht ist. Ich meine: Nein. Um dies zu begründen, habe ich die wichtigsten Fehlkonzepte der DS-GVO hier aufgelistet:

Fehlkonzeption 1: Datenschutz ist global

Fehlkonzeption 2: Das Recht auf Informationelle Selbstbestimmung ist (k)ein Grundbedürfnis

Fehlkonzeption 3: Einwilligung ist möglich

Fehlkonzeption 4: Datentransparenz ist machbar

Fehlkonzeption 5: Die DS-GVO bestraft den Mittelstand

Fehlkonzeption 6: Informationssicherheit ist unwichtig

Fehlkonzeption 7: Meldepflicht von Datenschutz-Verletzungen

Fehlkonzeption 8: Bussen werden es richten

Fehlkonzeption 9: Alles ist Verarbeitung

Fehlkonzeption 10: Datenschutz hat Einfluss auf die Technologiegestaltung

Im Laufe dieses Jahres werde ich regelmässig auf die einzelnen Fehlkonzeptionen eingehen und sie ausführlich kommentieren.

Revision des Schweizerischen Datenschutzgesetzes

Worum geht es?

Kurz vor Weihnachten 2016 hat der Bundesrat den Entwurf für das neue Datenschutzgesetz der Schweiz präsentiert. Seit längerem hat man darauf gewartet, dass die Verwaltung einen Vorschlag präsentiert, wie das in die Jahre gekommene Datenschutzgesetz erneuert werden soll. Zudem besteht ein hoher Druck, die geltende Gesetzesvorschrift anzupassen. Dieser Druck kommt von der Europäischen Gemeinschaft, die mit der neuen Datenschutz Grundverordnung (DS-GVO), eine Rechtsgrundlage geschaffen hat, um den Datenschutz den neuen Gegebenheiten anzupassen und europaweit zu standardisieren.

Es herrscht folglich ein grosser Zugzwang, da die EU-Verordnung ab 25.5.2018 direkt Wirkung entfaltet, auch wenn keine nationale Umsetzung stattfindet. Damit die Schweiz nicht als unsicheres Drittland gilt (und damit faktisch ein Datenbearbeitungs- und Weitergabeverbot für EU-Unternehmen greift), muss sie ihre gesetzlichen Grundlagen anpassen. Dies ist einer der wesentlichen Gründe, wieso vor Weihnachten ein neuer Gesetzesentwurf in die Vernehmlassung geschickt worden ist. Auf Grund der Dauer der Vernehmlassung und der folgenden parlamentarischen Behandlung wird es schwierig sein, das Gesetz bis zum Inkrafttreten der EU Verordnung in der Schweiz in Kraft zu setzen.

Was sind die wichtigsten Inhalte und wo gibt es wesentliche Änderungen?

Die Schweiz übernimmt die wesentlichen Änderungen, welche in der DS-GVO aufgenommen wurden. Dieser Artikel beleuchtet vorab einige zentrale Aspekte des Datenschutzgesetzes. Es würde zu weit führen, hier sämtliche Änderungen aufzulisten, hierzu wird noch ausführlich Stellung genommen. Eine Arbeitsgruppe des SWICO wird den Vorentwurf detailliert analysieren und eine umfassende Stellungnahme abgeben (der Schreibende ist Mitglied dieser Arbeitsgruppe).

Grundprinzipien

Voraus sei gesagt: Vom Grundsatz der „Informationellen Selbstbestimmung“ wird nicht abgewichen. Dies ist zumindest schon mal bemerkenswert, denn damit wird das verfassungsmässige Grundrecht, dass jede Person über ihre Daten selbst entscheiden kann, weitergeführt. Das Nutzungsverhalten bei modernen Kommunikationsdiensten (Social Media wie Facebook, Messenger wie Whatsapp, Instagram oder Snapchat,) sieht allerdings anders aus. Diese Dienste verleiten die Benutzer zu einem leichtfertigen Umgang mit persönlichen Daten, was bis anhin allerdings kaum auf Kritik stiess. Man kann sich deshalb also durchaus fragen, ob dieser Schutz der Persönlichkeit noch einem gesellschaftlichen Bedürfnis entspricht,. Diese Diskussion muss zwingend geführt werden, hat jedoch derzeit keinen Einfluss auf die mittelfristige Umsetzung. Es ist sicher damit zu rechnen, dass die Durchsetzung der europäischen Prinzipien international auf starken Widerstand stossen wird (vgl. die Lobbyarbeit der amerikanischen Anbieter im Rahmen der Verhandlungen im EU-Parlament).

Es wurden viele begriffliche Anpassungen gemacht. Dies insbesondere, um die Begriffe mit der EU abzustimmen. Das vereinfacht die Abstimmung und das Verständnis. Der Schutz der juristischen Personen wurde aufgehoben, damit passt man sich den europäischen Regelungen an.

Berücksichtigung neuer Techniken

Eine wesentliche Neuerung betrifft die Berücksichtigung neuer Techniken, die sich in den letzten Jahren im Internet etabliert haben. Dazu zählt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Persönlichkeitsprofilen aufgrund öffentlich vorhandener Daten (Teilbereich von „Big Data“). Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gefällt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonitätsprüfungen).

Rechte der Betroffenen

Die Rechte der Betroffenen wurden massiv verbessert. Es gibt mehr Arbeit für den eidgenössischen Datenschutzbeauftragten. Sein Aufgabenkatalog wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16, Art. 17), was einen grösseren Ausbau dieser Behörde zur Folge haben wird. Hier dürften die Rückmeldungen aus der Vernehmlassung, je nach politischer Gesinnungslage, entsprechend kritisch ausfallen.

Pflichten des Verantwortlichen und des Bearbeiters

Den Verantwortlichen treffen nur wenig neue Pflichten. Allerdings haben es einige davon in sich. Der Bearbeiter muss z.B. in der Lage sein, Daten zu berichtigen und den Datenschutzbeauftragten zu informieren, wenn Manipulationen oder Verluste von Personendaten zu befürchten sind (Art. 17).

Der Betroffene hat ein jederzeitiges Auskunftsrecht über alle Datenbestände und Aktionen, welche diese Daten betreffen (Art. 20). Dies ist zwar nicht neu, wird jedoch im Gesetz nochmals ausdrücklich festgehalten. Das Auskunftsrecht bezieht sich explizit auch auf die Aufbewahrungsdauer.

Neu festgehalten wird ein explizites Recht auf Löschung, welches auch durch die Erben ausgeübt werden kann („Digitaler Tod“, Art. 12). Auch dieses gilt selbstverständlich über alle angelegten Datenbestände. Nach wie vor gilt natürlich auch das Recht auf die Datenberichtigung. Offensichtlich unrichtige Daten müssen durch den Verantwortlichen oder durch den Bearbeiter jederzeit angepasst werden können. Hier gibt es einen Konflikt mit den Vorschriften des Aufbewahrungsrechts, welche gelöst werden müssen. Der Verantwortliche muss also Verfahren zur Verfügung stellen, die es den Betroffenen ermöglichen, unrichtige Daten so anzupassen, dass sie mit der äusseren Realität in Einklang stehen. Das ist eine Herausforderung für die Archivierung, bzw. die Gestaltung des Daten-Management-Konzepts.

Neu werden die Pflichten im Rahmen der Auftragsdatenverarbeitung explizit geregelt und es soll dazu eine Verordnung erstellt werden (Art. 7). Der Verantwortliche hat umfassende Pflichten zur Meldung verschiedenster Tatbestände rund um den Datenschutz. Im europäischen Ausland ist die Regelung der Auftragsdatenbearbeitung ein wesentlicher Auslöser von vertraglichen und technischen Kontrollsystemen und wird damit auch für die Schweiz wesentlich wichtiger.

Neu aufgenommen und von grosser Bedeutung für die Unternehmen ist die Pflicht zur Dokumentation der Verfahren. Art. 19 fordert explizit eine Dokumentation aller Verfahren. Damit bewegt man sich auf einem ähnlichen Terrain, wie bei der Verfahrensdokumentation im Rahmen der Aufbewahrungspflichten der Geschäftsbücherverordnung, der Mehrwertsteuer und damit auch allen Rechtsnormen, welche auf diese grundlegenden Vorschriften verweisen.

Risikoanalyse, Prüfung und Zertifizierung

Neu verlangt das Gesetz nach einer Vorprüfung, wenn die Rechte der Betroffenen durch die geplante Bearbeitung gefährdet sein könnten. Diese Prüfung wird Datenschutz-Folgenabschätzung genannt (Art. 16). Auch hier handelt es sich um eine Übernahme aus dem EU-Recht. Dabei geht es im wesentlichen um eine Risikoanalyse, welche durchgeführt werden muss, bevor die Datenbearbeitung (App, Service) in Betrieb geht. Diese Datenschutz-Folgenabschätzung muss erstellt werden und ist dem eidgenössischen Datenschutzbeauftragten vorzulegen. Hierbei handelt es sich folglich um eine präventive Massnahme, die aber etwas schwerfälliger ausgestaltet wurde. Der eidgenössische Datenschutzbeauftragte hat drei Monate Zeit, um diese Folgenabschätzung zu beurteilen. Diese Frist, wird sich höchstwahrscheinlich in der Praxis nicht durchsetzen können. Es ist damit zu rechnen, dass es hier Widerstand im Rahmen der Vernehmlassung auszugeben geben wird. Das Instrument der Datenschutz-Folgenabschätzung ist unbedingt zu begrüssen. Es verhindert Implementationen von Lösungen, die später mit viel Aufwand angepasst werden müssen (und unter Umständen zur strafrechtlichen Verantwortlichkeit führen).

Nach wie vor möglich ist die Zertifizierung, d.h. sie wird im Rahmen der Neugestaltung des Rechts wesentlich verbessert (Art. 10). Da sie sich an den europäischen Vorgaben orientiert, wird es möglich sein, auch europäische Zertifizierungen zu nutzen, die auf Produkte wie auch auf Verfahren ausgestellt wurden.

Strafandrohungen

Inhaltlich hat die Revision des Datenschutzgesetzes wenig Brisanz. Es gibt eine zentrale Ausnahme, das ist die neue Strafandrohung. Die Schweiz muss sich den EU Vorgaben anpassen, indem Sie die Strafbestimmungen wesentlich verschärft. In der EU gilt eine Strafandrohung von 2-4 % des weltweiten Konzernumsatzes bei Verletzung der zentralen Datenschutzpflichten. In der Schweiz hat man auf eine Prozentzahl verzichtet, nimmt jedoch als Höchstgrenze den absoluten Betrag von Fr. 500’000.- an (Art. 50, allerdings nur bei Vorsatz, bei Fahrlässigkeit gilt die Hälfte). In der Praxis dürfte es kaum je zu Verurteilungen kommen, bei denen der Vorsatz nachweisbar ist. Das dürfte noch zu Diskussionen Anlass geben. Ob diese Grenze im Rahmen der Vernehmlassung so standhalten wird, kann man derzeit schwer beurteilen. Die Schweiz hat hier allerdings wenig Spielraum, denn es gilt der Grundsatz, dass der Datenschutz nur dann mit der EU kompatibel ist, wenn auch die wesentlichen Strafbestimmungen mit der DSG-VO mithalten können. Da die maximale Geldbusse in der DS-GVO 20 Millionen Euro beträgt ist für Diskussionsstoff gesorgt.