Schutz durch das Gesetz – berechtigte oder übertriebene ...

© 2014 Beat Rudin (DSB BS / Universität Basel

PH Zürich, 26. August 2014 www.privacy-security.ch

1

Symposium on Privacy and Security PH Zürich, 26. August 2014

«Datenschutz in der Datenflut?» Schutz durch das Gesetz – berechtigte oder übertriebene Hoffnung?

Beat Rudin Dr. iur., Advokat, Lehrbeauftragter an der Universität Basel, Datenschutzbeauftragter des Kantons Basel-Stadt, Basel

Schutz durch das Gesetz – berechtigte oder übertriebene Hoffnung?

Was Sie erwartet: Datenschutzrechtliche Ansätze Datenschutz durch Gesetz: in der Schweiz Mehr Schutz nötig? Evaluation des Bundesdatenschutzgesetzes Mehr Schutz durch das Gesetz:

Gegenmittel Chancen

Hoffnung auf die europäische Rechtsentwicklung Fazit

2 © 2014 Beat Rudin

Cartoons: Reto Fontana



2

Fragestellung

Die Konzepte des Datenschutzrechts stammen aus den 1970er und 1980er Jahren. Schützen sie die Privatheit auch heute noch wirksam vor den Risiken, die von den aktuellen Technologien herrühren? Und vor den Risiken der Technologien von morgen, die heute entwickelt werden? Was wäre allenfalls vorzukehren, damit sie morgen den notwendigen Schutz bieten?


Schutz der Privatheit: Datenschutzrechtliche Ansätze

Nicht eindimensional, sondern multidimensional Selbstdatenschutz

Nutzer (Eigenverantwortung) Nutzung von Schutztechnologien, Selbstbescheidung, Verzicht

Systemdatenschutz Entwickler, Anbieter, Betreiber Privacy by design, Privacy by default

Datenschutz durch Normen Gesetzgeber (Gesetze), Verbände (soft law) Verbote, Gebote, Anreize




3

Datenschutz durch Gesetz: in der Schweiz

Bund

Europarat: Europarats-Konvention 108 (1981) + ZP (*)

Europäische Union: EG-DS-Richtlinie (1995) / RB 2008/977 (*)

Datenbearbeiten durch Bundesorgane

Datenbearbeiten durch Private

Datenbearbeiten durch kantonale und kommunale Organe

Kantone

Bundesverfassung + z.T. Kantonsverfassungen DSG/Bund (1992) kantonales DSG/IDG usw.


Datenschutz durch Gesetz: das Konzept I

6

Voraussetzung: Personendaten nicht bei (wirksamer!) Anonymisierung

Ansatz: technikneutral Datenbearbeiten durch Private

Persönlichkeitsverletzung? Beseitigung der Widerrechtlichkeit durch: Gesetz, überwiegendes Interesse oder (v.a.) Einwilligung

Weitere Grundsätze Verhältnismässigkeit Zweckbindung Transparenz Integrität Rechte der betroffenen Personen: insb. Auskunft/Einsicht, Berichtigung

© 2014 Beat Rudin



4

Datenschutz durch Gesetz: das Konzept II

Datenbearbeiten durch öffentliche Organe

Gesetzliche Grundlage, (Einwilligung) Weitere Grundsätze (s.o.)

Gesetzliche Grundlage? Unterscheidung zwischen dem sog. «formellen Datenschutzrecht» und dem sog. «materiellen Datenschutzrecht»


Unterscheidung sog. «formelles» / sog. «materielles Datenschutzrecht»

Bund Kantone Sog. «formelles Datenschutzrecht»

(Grundsätze des DS, allgemeines Datenschutzrecht)

gestützt auf Organisationsautonomie, Art. 122 BV, B-Monopole Organisationsautonomie

gilt für Bundesorgane, Private

kantonale/kommunale öffentliche Organe

Form DSG/Bund Kantonale DSGs/IDGs Sog. «materielles Datenschutzrecht»

(bereichsspezifisches Datenschutzrecht) gestützt auf Aufgabenkompetenz Aufgabenkompetenz

gilt für alle, die mit dem Vollzug dieses Bundesrechts betraut sind, unabhängig von der föderalen Stufe

alle kantonalen/kommunalen öffentlichen Organe, die mit dem Vollzug dieses Rechts betraut sind

Form

Konkrete Datenbearbeitungsregeln, i.d.R. Bearbeitungs-pflichten oder -ermächtigungen, Schweige- oder besondere Geheimhaltungspflichten, Bekanntgabepflichten (Anzeige- oder Meldepflicht) oder -ermächtigungen, Anspruch, von Privaten oder anderen öffentlichen Organen Daten zu erhalten




5











Form













Form


Bundes- organ

kant. öff. Organ

kant. DSG/ IDG

DSG/ Bund


KVG



6

Schutz durch das Gesetz: Mehr Schutz nötig?

Wo wirkt das Datenschutzrecht? Wo sind Schwächen zu erkennen? Evaluation des Bundesdaten- schutzgesetzes durch den Bund Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz (BBl 2012 335-352)


Schutz durch das Gesetz: Evaluation des DSG (Bund): Befund I

«Die Befunde der Evaluation deuten jedoch darauf hin, dass sich die Bedrohungen für den Datenschutz aufgrund der fortschreitenden technologischen und gesellschaftlichen Entwicklungen seit einigen Jahren akzentuieren. Die technolo-gischen Entwicklungen fordern das Datenschutzgesetz heraus, weil sie zu einer Zunahme von Datenbearbeitungen und zu intransparenten sowie verstärkt zu grenzüberschreitenden Datenbearbeitungen geführt haben. Ausserdem wird es immer schwieriger, die Kontrolle über einmal bekannt gegebene Daten zu behalten. Die grosse Mehrheit der öffentlichen und privaten Datenbearbeitenden ist einigermassen sensibilisiert für den Datenschutz und beachtet in pragmatischer Art und Weise die Bestimmungen des Datenschutzgesetzes. Die Bevölkerung erachtet den Schutz ihrer persönlichen Daten als wichtig. Dennoch schützen sich die Betroffenen selbst nicht immer konsequent. Sie fühlen sich bisweilen überfordert oder unterschätzen die bestehenden Möglichkeiten der Datenbear-beitung und deren Risiken. Die Schaffung der Stelle des EDÖB hat sich als wirksames Instrument erwiesen, ... à




7

Schutz durch das Gesetz: Evaluation des DSG (Bund): Befund II

... als wirksames Instrument erwiesen, um die Schutzwirkung des Datenschutzgesetzes zu erhöhen, obwohl die Wirkungs-möglichkeiten des EDÖB in verschiedener Hinsicht an Grenzen stossen. Die einklagbaren Rechte sind hingegen eher beschränkt wirksam, da sie von den Betroffenen nur selten genutzt werden. Aufgrund der Ergebnisse der Evaluation ist der Bundesrat der Auffassung, dass zu prüfen ist, inwieweit und in welcher Weise die Datenschutzgesetzgebung anzupassen ist, um den rasanten technologischen und gesellschaftlichen Entwicklungen Rechnung zu tragen.»

(Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz, BBl 2012 335-352,336 )


Schutz durch das Gesetz: Mehr Schutz nötig

Nicht: keine Wirkung. Aber: Bedrohungen für den Datenschutz: ä Zahl der (Personen-)Datenbearbeitungen: ä Intransparenz der Datenbearbeitungen: ä grenzüberschreitende Daten- bearbeitungen: ä Gefahr des Kontrollverlusts Überforderung der Betroffenen Unterschätzung der Risiken durch die Betroffenen Schwache Nutzung der einklagbaren Rechte

Ausserdem (in der Evaluation kaum beachtet): Die Gesetzgeber (und die Gerichte) gewichten konkrete Interessen regelmässig höher als den Wert der Privatheit.




8

Mehr Schutz durch das Gesetz: Gegenmittel? I

Einverstanden: Nicht einfach gesetzgeberischer Aktivismus! Welches sind die Schwächen und Defizite? Mit welchem Ansatz lassen sich diese Schwächen und Defizite am besten beseitigen?

Selbstdatenschutz Systemdatenschutz Datenschutz durch Normen

Im Sinne des Subsidiaritätsprinzips der Gesetzgebung: Daten-schutz durch gesetzliche Normen nur, wenn die anderen beiden Ansätze nicht greifen. Dann: Welche Regeln, Instrumente, Institutionen oder Verfah-ren wirken gegen die festgestellten Schwächen und Defizite?


Mehr Schutz durch das Gesetz: Gegenmittel? II

Die Palette der angedachten Gegenmittel (im sog. «formellen Datenschutzrecht») ist breit:

Geltungsbereich klären (z.B. Territorialitätsprinzip) Informationsansprüche stärken (z.B. Informationspflicht) Einwilligung einschränken Rechte der Betroffenen stärken: Neue Rechte (z.B. Recht auf Vergessenwerden, Wider- spruchsrecht, Einwirkungsmöglichkeit bei automatisierten Entscheidungen?), prozessuale Erleichterungen (wie Beweislastumkehr, Verbandsklage, Kostenreduktion?) Aufsicht stärken: Neue Instrumente (wie Verfügungsrecht, Sanktionsmöglichkeit), mehr Ressourcen «Best Practice»-Ansatz (z.B. Regelungen durch Branche oder Expertengremien)

«Grössere» Ansätze: Propertisierung von Personendaten 16 © 2014 Beat Rudin



9

Mehr Schutz durch das Gesetz: Gegenmittel? III

Beibehaltung der Technikneutralität (im «formellen Datenschutzrecht») Aufteilung zwischen gesetzlichen Regeln für das Datenbearbeiten durch Private einerseits und durch öffentliche Organe andererseits (wenn auch für Kantone: mit Ver- fassungsänderung) Aber auch: Aufhebung von bestehenden Regelung ohne Wirksamkeit (z.B. Register der Datensammlungen, evtl. Zertifizierungen) Stärkung des DSG gegenüber dem «materiellen Datenschutz-gesetzgeber»?

Höhere Geltungskraft des DSG gegenüber anderen Gesetzen? Anreicherung von Teilgehalten des «Grundrechts auf Datenschutz» (durch den Verfassungsgeber, die Gerichte)? Ohne Verfassungsgerichtsbarkeit?


Mehr Schutz durch das Gesetz: Chancen?

Was braucht es? Vor allem eine sachliche Diskussion und Ausgleichsuche. Einverstanden: keine symbolische (aber wirkungslose oder gar kontraproduktive) Gesetzgebung, bloss um ein Zeichen zu setzen. Aber auch keine Diskussionsverweigerung à la «Das Daten-schutzrecht hat sich bewährt – eine Änderung ist nicht sinnvoll und schwächt nur die schweizerische Wirtschaft.» Maximalkonsens: «Good Practice»-Ansätze und mehr Ressourcen für den EDÖB?




10

Mehr Schutz durch das Gesetz: Europäische Rechtsentwicklung

«Aufgrund der Ergebnisse der Evaluation ist der Bundesrat der Auffassung, dass zu prüfen ist, inwieweit und in welcher Weise die Datenschutzgesetzgebung anzupassen ist, um den rasanten technologischen und gesellschaftlichen Entwicklungen Rechnung zu tragen. Er wird deshalb unter Berücksichtigung der Ergebnisse der Evaluation, der im Bereich Datenschutz gegenwärtig laufenden Entwicklungen in der Europäischen Union und beim Europarat sowie aller konkret betroffenen Interessen vertieft prüfen, welche gesetzgeberischen Massnahmen getroffen werden können.»

(Bericht des Bundesrates vom 9. Dezember 2011 über die Evaluation des Bundesgesetzes über den Datenschutz, BBl 2012 335-352,336 )


Hoffnung auf die europäische Rechtsentwicklung?

Revision der Europaratskonvention 108 Auf gutem Weg, dürfte aber auf die Gesetzgebung der Schweiz nur geringe Auswirkungen haben.

Datenschutzreform der Europäischen Union: Stärkere Gewichtung der Einwilligung, erhöhte Transparenz-anforderungen, Marktortprinzip, Datenportabilität, Recht auf Vergessenwerden (æ, EuGH-Urteil?), Outsourcing, Übermitt-lung in Drittstaaten, Datenschutz-Compliance (inkl. PIA, Privacy Impact Assessment), Sanktionskatalog, One-Stop-Shop (Datenschutzaufsicht)


Datenschutz-Grundverordnung

Richtlinie

3. Pfeiler Rahmenbeschluss 2008/977/JI

1. Pfeiler Datenschutz-Richtlinie 95/46/EG



11

EU-Datenschutzreform Stand der Verhandlungen

Entwurf der Kommission (Jan. 2012) Innenausschuss des Parlaments: Abstimmung über das Verhandlungsmandat: 49:1:3 (21.10.2013) Plenum des Europäischen Parlaments: 621:10:22 (12.03.2014) Schengen-Relevanz noch nicht abschliessend geklärt; Tendenz: nicht schengen-relevant (KdK-AG, Stand Ende 2013) Entwurf der Kommission (Jan. 2012) Innenausschuss: 29:20:3 (21.10.2014) Plenum des Europäischen Parlaments: 371:276:30 (12.03.2014) Unklar, ob überhaupt weiterverhandelt werden soll, da von diversen Staaten unerwünscht Gründe: Umsetzungsrückstand, Souveränitätsbeden-ken, Absenkung des Datenschutzniveaus Wäre klar schengen-relevant

Dat

ensc

hutz

- G

rund

vero

rdnu

ng

Rich

tlini

e


EU-Datenschutzreform Fazit

Datenschutz-Grundverordnung Absicht: Stärkung der Position der Betroffenen Erreichbar? Extrem starker Lobbyismus ...

Richtlinie Wille?

Zeithorizont? Ende des Prozesse wohl nicht vor 2017

Und schon prophylaktischer Widerstand in der Schweiz ... 22 © 2014 Beat Rudin



12

Fazit

Schwächen wurden festgestellt. Ansätze zur Verstärkung des gesetzlichen Schutzes gibt es durchaus. Ihnen erwächst bis zu einem gewissen Grad Fundamental-opposition aus Teilen der Wirtschaft, die mit den Schwächen offenbar gut leben können. Nur «Best Practice» und mehr Ressourcen für den EDÖB?

Verbindlichkeit von «Best Practice» ? Ausgewogenheit? Rechtssicherheit? Mehr Ressourcen ✕ unverändert schwache Instrumente = mehr Schutz?!? Mehr Ressourcen sprechen – oder bloss Reform bodigen mit dem In-Aussicht-Stellen von mehr Ressourcen?


Ausblick

Mit Verlaub: Ich bleibe skeptisch, ob «mehr Schutz durch Gesetz» in naher Zukunft realisierbar ist. Vermisst: eine fundierte gesellschaftliche und schliesslich politische Diskussion über die Chancen und Risiken der Informations- und Kommunikationstechnologie. Weder Paranoia noch das Totschlagargument der Wirtschafts-feindlichkeit bringen uns weiter. Aber was die ICT mit unserer Gesellschaft anstellt, darf uns nicht egal sein: Selbstbestimmung ist eine Lebensvoraus-setzung für den demokratischen Staat, für eine auf Freiheit und Selbstverantwortung aufbauende Gesellschaft und für die auf Wettbewerb basierende Marktwirtschaft!




13

Danke für Ihr Interesse

Beat Rudin

Dr. iur., Advokat, Lehrbeauftragter an der Universität Basel Datenschutzbeauftragter des Kantons Basel-Stadt Postfach 205, CH-4010 Basel

061 201 16 40 [email protected] und [email protected]


Schutz durch das Gesetz – berechtigte oder übertriebene ...

Documents

Transcript of Schutz durch das Gesetz – berechtigte oder übertriebene ...