Schutz durch das Gesetz – berechtigte oder übertriebene ...
Transcript of Schutz durch das Gesetz – berechtigte oder übertriebene ...
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
1
Symposium on Privacy and Security PH Zürich, 26. August 2014
«Datenschutz in der Datenflut?» Schutz durch das Gesetz – berechtigte oder übertriebene Hoffnung?
Beat Rudin Dr. iur., Advokat, Lehrbeauftragter an der Universität Basel, Datenschutzbeauftragter des Kantons Basel-Stadt, Basel
Schutz durch das Gesetz – berechtigte oder übertriebene Hoffnung?
Was Sie erwartet: Datenschutzrechtliche Ansätze Datenschutz durch Gesetz: in der Schweiz Mehr Schutz nötig? Evaluation des Bundesdatenschutzgesetzes Mehr Schutz durch das Gesetz:
Gegenmittel Chancen
Hoffnung auf die europäische Rechtsentwicklung Fazit
2 © 2014 Beat Rudin
Cartoons: Reto Fontana
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
2
Fragestellung
Die Konzepte des Datenschutzrechts stammen aus den 1970er und 1980er Jahren. Schützen sie die Privatheit auch heute noch wirksam vor den Risiken, die von den aktuellen Technologien herrühren? Und vor den Risiken der Technologien von morgen, die heute entwickelt werden? Was wäre allenfalls vorzukehren, damit sie morgen den notwendigen Schutz bieten?
3 © 2014 Beat Rudin
Schutz der Privatheit: Datenschutzrechtliche Ansätze
Nicht eindimensional, sondern multidimensional Selbstdatenschutz
Nutzer (Eigenverantwortung) Nutzung von Schutztechnologien, Selbstbescheidung, Verzicht
Systemdatenschutz Entwickler, Anbieter, Betreiber Privacy by design, Privacy by default
Datenschutz durch Normen Gesetzgeber (Gesetze), Verbände (soft law) Verbote, Gebote, Anreize
4 © 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
3
Datenschutz durch Gesetz: in der Schweiz
Bund
Europarat: Europarats-Konvention 108 (1981) + ZP (*)
Europäische Union: EG-DS-Richtlinie (1995) / RB 2008/977 (*)
Datenbearbeiten durch Bundesorgane
Datenbearbeiten durch Private
Datenbearbeiten durch kantonale und kommunale Organe
Kantone
Bundesverfassung + z.T. Kantonsverfassungen DSG/Bund (1992) kantonales DSG/IDG usw.
5 © 2014 Beat Rudin
Datenschutz durch Gesetz: das Konzept I
6
Voraussetzung: Personendaten nicht bei (wirksamer!) Anonymisierung
Ansatz: technikneutral Datenbearbeiten durch Private
Persönlichkeitsverletzung? Beseitigung der Widerrechtlichkeit durch: Gesetz, überwiegendes Interesse oder (v.a.) Einwilligung
Weitere Grundsätze Verhältnismässigkeit Zweckbindung Transparenz Integrität Rechte der betroffenen Personen: insb. Auskunft/Einsicht, Berichtigung
© 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
4
Datenschutz durch Gesetz: das Konzept II
Datenbearbeiten durch öffentliche Organe
Gesetzliche Grundlage, (Einwilligung) Weitere Grundsätze (s.o.)
Gesetzliche Grundlage? Unterscheidung zwischen dem sog. «formellen Datenschutzrecht» und dem sog. «materiellen Datenschutzrecht»
7 © 2014 Beat Rudin
Unterscheidung sog. «formelles» / sog. «materielles Datenschutzrecht»
Bund Kantone Sog. «formelles Datenschutzrecht»
(Grundsätze des DS, allgemeines Datenschutzrecht)
gestützt auf Organisationsautonomie, Art. 122 BV, B-Monopole Organisationsautonomie
gilt für Bundesorgane, Private
kantonale/kommunale öffentliche Organe
Form DSG/Bund Kantonale DSGs/IDGs Sog. «materielles Datenschutzrecht»
(bereichsspezifisches Datenschutzrecht) gestützt auf Aufgabenkompetenz Aufgabenkompetenz
gilt für alle, die mit dem Vollzug dieses Bundesrechts betraut sind, unabhängig von der föderalen Stufe
alle kantonalen/kommunalen öffentlichen Organe, die mit dem Vollzug dieses Rechts betraut sind
Form
Konkrete Datenbearbeitungsregeln, i.d.R. Bearbeitungs-pflichten oder -ermächtigungen, Schweige- oder besondere Geheimhaltungspflichten, Bekanntgabepflichten (Anzeige- oder Meldepflicht) oder -ermächtigungen, Anspruch, von Privaten oder anderen öffentlichen Organen Daten zu erhalten
8 © 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
5
Unterscheidung sog. «formelles» / sog. «materielles Datenschutzrecht»
Bund Kantone Sog. «formelles Datenschutzrecht»
(Grundsätze des DS, allgemeines Datenschutzrecht)
gestützt auf Organisationsautonomie, Art. 122 BV, B-Monopole Organisationsautonomie
gilt für Bundesorgane, Private
kantonale/kommunale öffentliche Organe
Form DSG/Bund Kantonale DSGs/IDGs Sog. «materielles Datenschutzrecht»
(bereichsspezifisches Datenschutzrecht) gestützt auf Aufgabenkompetenz Aufgabenkompetenz
gilt für alle, die mit dem Vollzug dieses Bundesrechts betraut sind, unabhängig von der föderalen Stufe
alle kantonalen/kommunalen öffentlichen Organe, die mit dem Vollzug dieses Rechts betraut sind
Form
Konkrete Datenbearbeitungsregeln, i.d.R. Bearbeitungs-pflichten oder -ermächtigungen, Schweige- oder besondere Geheimhaltungspflichten, Bekanntgabepflichten (Anzeige- oder Meldepflicht) oder -ermächtigungen, Anspruch, von Privaten oder anderen öffentlichen Organen Daten zu erhalten
9 © 2014 Beat Rudin
Unterscheidung sog. «formelles» / sog. «materielles Datenschutzrecht»
Bund Kantone Sog. «formelles Datenschutzrecht»
(Grundsätze des DS, allgemeines Datenschutzrecht)
gestützt auf Organisationsautonomie, Art. 122 BV, B-Monopole Organisationsautonomie
gilt für Bundesorgane, Private
kantonale/kommunale öffentliche Organe
Form DSG/Bund Kantonale DSGs/IDGs Sog. «materielles Datenschutzrecht»
(bereichsspezifisches Datenschutzrecht) gestützt auf Aufgabenkompetenz Aufgabenkompetenz
gilt für alle, die mit dem Vollzug dieses Bundesrechts betraut sind, unabhängig von der föderalen Stufe
alle kantonalen/kommunalen öffentlichen Organe, die mit dem Vollzug dieses Rechts betraut sind
Form
Konkrete Datenbearbeitungsregeln, i.d.R. Bearbeitungs-pflichten oder -ermächtigungen, Schweige- oder besondere Geheimhaltungspflichten, Bekanntgabepflichten (Anzeige- oder Meldepflicht) oder -ermächtigungen, Anspruch, von Privaten oder anderen öffentlichen Organen Daten zu erhalten
Bundes- organ
kant. öff. Organ
kant. DSG/ IDG
DSG/ Bund
10 © 2014 Beat Rudin
KVG
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
6
Schutz durch das Gesetz: Mehr Schutz nötig?
Wo wirkt das Datenschutzrecht? Wo sind Schwächen zu erkennen? Evaluation des Bundesdaten- schutzgesetzes durch den Bund Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz (BBl 2012 335-352)
11 © 2014 Beat Rudin
Schutz durch das Gesetz: Evaluation des DSG (Bund): Befund I
«Die Befunde der Evaluation deuten jedoch darauf hin, dass sich die Bedrohungen für den Datenschutz aufgrund der fortschreitenden technologischen und gesellschaftlichen Entwicklungen seit einigen Jahren akzentuieren. Die technolo-gischen Entwicklungen fordern das Datenschutzgesetz heraus, weil sie zu einer Zunahme von Datenbearbeitungen und zu intransparenten sowie verstärkt zu grenzüberschreitenden Datenbearbeitungen geführt haben. Ausserdem wird es immer schwieriger, die Kontrolle über einmal bekannt gegebene Daten zu behalten. Die grosse Mehrheit der öffentlichen und privaten Datenbearbeitenden ist einigermassen sensibilisiert für den Datenschutz und beachtet in pragmatischer Art und Weise die Bestimmungen des Datenschutzgesetzes. Die Bevölkerung erachtet den Schutz ihrer persönlichen Daten als wichtig. Dennoch schützen sich die Betroffenen selbst nicht immer konsequent. Sie fühlen sich bisweilen überfordert oder unterschätzen die bestehenden Möglichkeiten der Datenbear-beitung und deren Risiken. Die Schaffung der Stelle des EDÖB hat sich als wirksames Instrument erwiesen, ... à
12 © 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
7
Schutz durch das Gesetz: Evaluation des DSG (Bund): Befund II
... als wirksames Instrument erwiesen, um die Schutzwirkung des Datenschutzgesetzes zu erhöhen, obwohl die Wirkungs-möglichkeiten des EDÖB in verschiedener Hinsicht an Grenzen stossen. Die einklagbaren Rechte sind hingegen eher beschränkt wirksam, da sie von den Betroffenen nur selten genutzt werden. Aufgrund der Ergebnisse der Evaluation ist der Bundesrat der Auffassung, dass zu prüfen ist, inwieweit und in welcher Weise die Datenschutzgesetzgebung anzupassen ist, um den rasanten technologischen und gesellschaftlichen Entwicklungen Rechnung zu tragen.»
(Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz, BBl 2012 335-352,336 )
13 © 2014 Beat Rudin
Schutz durch das Gesetz: Mehr Schutz nötig
Nicht: keine Wirkung. Aber: Bedrohungen für den Datenschutz: ä Zahl der (Personen-)Datenbearbeitungen: ä Intransparenz der Datenbearbeitungen: ä grenzüberschreitende Daten- bearbeitungen: ä Gefahr des Kontrollverlusts Überforderung der Betroffenen Unterschätzung der Risiken durch die Betroffenen Schwache Nutzung der einklag- baren Rechte
Ausserdem (in der Evaluation kaum beachtet): Die Gesetzgeber (und die Gerichte) gewichten konkrete Interessen regelmässig höher als den Wert der Privatheit.
14 © 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
8
Mehr Schutz durch das Gesetz: Gegenmittel? I
Einverstanden: Nicht einfach gesetzgeberischer Aktivismus! Welches sind die Schwächen und Defizite? Mit welchem Ansatz lassen sich diese Schwächen und Defizite am besten beseitigen?
Selbstdatenschutz Systemdatenschutz Datenschutz durch Normen
Im Sinne des Subsidiaritätsprinzips der Gesetzgebung: Daten-schutz durch gesetzliche Normen nur, wenn die anderen beiden Ansätze nicht greifen. Dann: Welche Regeln, Instrumente, Institutionen oder Verfah-ren wirken gegen die festgestellten Schwächen und Defizite?
15 © 2014 Beat Rudin
Mehr Schutz durch das Gesetz: Gegenmittel? II
Die Palette der angedachten Gegenmittel (im sog. «formellen Datenschutzrecht») ist breit:
Geltungsbereich klären (z.B. Territorialitätsprinzip) Informationsansprüche stärken (z.B. Informationspflicht) Einwilligung einschränken Rechte der Betroffenen stärken: Neue Rechte (z.B. Recht auf Vergessenwerden, Wider- spruchsrecht, Einwirkungsmöglichkeit bei automatisierten Entscheidungen?), prozessuale Erleichterungen (wie Beweislastumkehr, Verbandsklage, Kostenreduktion?) Aufsicht stärken: Neue Instrumente (wie Verfügungsrecht, Sanktionsmöglichkeit), mehr Ressourcen «Best Practice»-Ansatz (z.B. Regelungen durch Branche oder Expertengremien)
«Grössere» Ansätze: Propertisierung von Personendaten 16 © 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
9
Mehr Schutz durch das Gesetz: Gegenmittel? III
Beibehaltung der Technikneutralität (im «formellen Datenschutzrecht») Aufteilung zwischen gesetzlichen Regeln für das Datenbearbeiten durch Private einerseits und durch öffentliche Organe andererseits (wenn auch für Kantone: mit Ver- fassungsänderung) Aber auch: Aufhebung von beste- henden Regelung ohne Wirksamkeit (z.B. Register der Datensammlungen, evtl. Zertifizierungen) Stärkung des DSG gegenüber dem «materiellen Datenschutz-gesetzgeber»?
Höhere Geltungskraft des DSG gegenüber anderen Gesetzen? Anreicherung von Teilgehalten des «Grundrechts auf Datenschutz» (durch den Verfassungsgeber, die Gerichte)? Ohne Verfassungsgerichtsbarkeit?
17 © 2014 Beat Rudin
Mehr Schutz durch das Gesetz: Chancen?
Was braucht es? Vor allem eine sachliche Diskussion und Ausgleichsuche. Einverstanden: keine symbolische (aber wirkungslose oder gar kontraproduktive) Gesetzgebung, bloss um ein Zeichen zu setzen. Aber auch keine Diskussionsverweigerung à la «Das Daten-schutzrecht hat sich bewährt – eine Änderung ist nicht sinnvoll und schwächt nur die schweizerische Wirtschaft.» Maximalkonsens: «Good Practice»-Ansätze und mehr Ressourcen für den EDÖB?
18 © 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
10
Mehr Schutz durch das Gesetz: Europäische Rechtsentwicklung
«Aufgrund der Ergebnisse der Evaluation ist der Bundesrat der Auffassung, dass zu prüfen ist, inwieweit und in welcher Weise die Datenschutzgesetzgebung anzupassen ist, um den rasanten technologischen und gesellschaftlichen Entwicklungen Rechnung zu tragen. Er wird deshalb unter Berücksichtigung der Ergebnisse der Evaluation, der im Bereich Datenschutz gegenwärtig laufenden Entwicklungen in der Europäischen Union und beim Europarat sowie aller konkret betroffenen Interessen vertieft prüfen, welche gesetzgeberischen Massnahmen getroffen werden können.»
(Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz, BBl 2012 335-352,336 )
19 © 2014 Beat Rudin
Hoffnung auf die europäische Rechtsentwicklung?
Revision der Europaratskonvention 108 Auf gutem Weg, dürfte aber auf die Gesetzgebung der Schweiz nur geringe Auswirkungen haben.
Datenschutzreform der Europäischen Union: Stärkere Gewichtung der Einwilligung, erhöhte Transparenz-anforderungen, Marktortprinzip, Datenportabilität, Recht auf Vergessenwerden (æ, EuGH-Urteil?), Outsourcing, Übermitt-lung in Drittstaaten, Datenschutz-Compliance (inkl. PIA, Privacy Impact Assessment), Sanktionskatalog, One-Stop-Shop (Datenschutzaufsicht)
20 © 2014 Beat Rudin
Datenschutz-Grundverordnung
Richtlinie
3. Pfeiler Rahmenbeschluss 2008/977/JI
1. Pfeiler Datenschutz-Richtlinie 95/46/EG
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
11
EU-Datenschutzreform Stand der Verhandlungen
Entwurf der Kommission (Jan. 2012) Innenausschuss des Parlaments: Abstimmung über das Verhandlungsmandat: 49:1:3 (21.10.2013) Plenum des Europäischen Parlaments: 621:10:22 (12.03.2014) Schengen-Relevanz noch nicht abschliessend geklärt; Tendenz: nicht schengen-relevant (KdK-AG, Stand Ende 2013) Entwurf der Kommission (Jan. 2012) Innenausschuss: 29:20:3 (21.10.2014) Plenum des Europäischen Parlaments: 371:276:30 (12.03.2014) Unklar, ob überhaupt weiterverhandelt werden soll, da von diversen Staaten unerwünscht Gründe: Umsetzungsrückstand, Souveränitätsbeden-ken, Absenkung des Datenschutzniveaus Wäre klar schengen-relevant
Dat
ensc
hutz
- G
rund
vero
rdnu
ng
Rich
tlini
e
21 © 2014 Beat Rudin
EU-Datenschutzreform Fazit
Datenschutz-Grundverordnung Absicht: Stärkung der Position der Betroffenen Erreichbar? Extrem starker Lobbyismus ...
Richtlinie Wille?
Zeithorizont? Ende des Prozesse wohl nicht vor 2017
Und schon prophylaktischer Widerstand in der Schweiz ... 22 © 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
12
Fazit
Schwächen wurden festgestellt. Ansätze zur Verstärkung des gesetz- lichen Schutzes gibt es durchaus. Ihnen erwächst bis zu einem gewissen Grad Fundamental-opposition aus Teilen der Wirtschaft, die mit den Schwächen offenbar gut leben können. Nur «Best Practice» und mehr Ressourcen für den EDÖB?
Verbindlichkeit von «Best Practice» ? Ausgewogenheit? Rechtssicherheit? Mehr Ressourcen ✕ unverändert schwache Instrumente = mehr Schutz?!? Mehr Ressourcen sprechen – oder bloss Reform bodigen mit dem In-Aussicht-Stellen von mehr Ressourcen?
23 © 2014 Beat Rudin
Ausblick
Mit Verlaub: Ich bleibe skeptisch, ob «mehr Schutz durch Gesetz» in naher Zukunft realisierbar ist. Vermisst: eine fundierte gesellschaftliche und schliesslich politische Diskussion über die Chancen und Risiken der Informations- und Kommunikationstechnologie. Weder Paranoia noch das Totschlagargument der Wirtschafts-feindlichkeit bringen uns weiter. Aber was die ICT mit unserer Gesellschaft anstellt, darf uns nicht egal sein: Selbstbestimmung ist eine Lebensvoraus-setzung für den demokratischen Staat, für eine auf Freiheit und Selbstverantwortung aufbauende Gesellschaft und für die auf Wettbewerb basierende Marktwirtschaft!
24 © 2014 Beat Rudin
© 2014 Beat Rudin (DSB BS / Universität Basel
PH Zürich, 26. August 2014 www.privacy-security.ch
13
Danke für Ihr Interesse
Beat Rudin
Dr. iur., Advokat, Lehrbeauftragter an der Universität Basel Datenschutzbeauftragter des Kantons Basel-Stadt Postfach 205, CH-4010 Basel
061 201 16 40 [email protected] und [email protected]
25 © 2014 Beat Rudin