Datenschutz auf der Intensivstation

Fachbeitrag

Datenschutz auf der Intensivstation

Das Datenschutzrecht wurde und wird umfassend revidiert, es beruht aber noch immer auf Konzepten aus den 1960er- und 1970er-Jahren des letzten Jahrhunderts. Es erstaunt deshalb wenig, dass das geltende (und künftige) Recht nicht in der Lage ist, die heutigen Probleme überzeugend zu lösen. Dieser Beitrag legt den Finger auf die wunden Punkte und versucht, erste Schritte hin zu einem neuen Ansatz zu skizzieren. Er ist bewusst provokativ gehalten und hofft, eine (längst überfällige) Diskussion zu den Grundfragen des Datenschutzrechts anzuregen.

Informationelle Selbstbestimmung

Fachbeitrag

Informationelle Selbstbestimmung

Der vorliegende Beitrag geht der Frage nach, welche Instrumente das Datenschutzrecht zur Verfügung stellt, um die Kontrolle der Betroffenen über ihre personenbezogenen Daten sicherzustellen. Dargestellt werden die unterschiedlichen Kontrollrechte entlang der Kette von Datenbeschaffung, Datenverwendung und Datenlöschung. Es zeigt sich, dass das System der Datenkontrolle mit dem Anspruch auf Transparenz, mit Betroffenenrechten und mit Widerspruchsrechten und Löschansprüchen recht umfassend ist und mit dem Anspruch auf Datenportabilität voraussichtlich weiter ausgebaut wird. Es bleiben aber Zweifel, ob Kontrollrechte in der heutigen digitalisierten Welt in grundsätzlicher Hinsicht überhaupt noch geeignet sind, betroffenen Personen eine gewisse Kontrolle zu geben, oder ob nicht andere Instrumente innerhalb und ausserhalb des Datenschutzrechts erforderlich sind.

Datenzuordnung und Datenzugang

Fachbeitrag

Datenzuordnung und Datenzugang

Der vorliegende Beitrag stellt die Rechtslage in Bezug auf Datenzuordnung und Datenzugang überblicksartig dar und geht jeweils auch auf die möglichen Entwicklungen de lege ferenda ein. Er zeigt auf, dass die Zuordnung von Daten und der Zugang dazu komplementär sind: Je stärker die Zuordnung zu einem Rechtsträger ist, desto schwieriger wird es für Dritte, die Daten zu nutzen. Gegenwärtig besteht kein Instrument, um Daten als solche jemandem rechtlich zuzuordnen, und vorderhand wird auch kein solches Instrument eingeführt werden. So wird deutlich, dass Daten ihren Inhabern meist faktisch zugeordnet sind. Entsprechend kann ein Interessenausgleich zwischen dem Dateninhaber und Dritten auch nicht mit Einschränkungen bzw. Schranken eines bestehenden Rechts erzielt werden – es braucht dafür Datenzugangsrechte.

Cloud-spezifische Risiken und Massnahmen

Fachbeitrag

Cloud-spezifische Risiken und Massnahmen

Öffentliche Organe nehmen für ihre Datenbearbeitungen in vielfältiger Art und Weise die Dienstleistungen Dritter in Anspruch. Für die Auslagerung von Datenbearbeitungen an Dritte enthalten die (Informations- und) Datenschutzgesetze regelmässig Bestimmungen, die im Wesentlichen festhalten, dass das öffentliche Organ auch bei einer Auslagerung für die Datenbearbeitung vollumfänglich verantwortlich bleibt.

Outsourcing und Verantwortung

Fachbeitrag

Outsourcing und Verantwortung

Outsourcing ist der Inbegriff der arbeitsteiligen Welt. Und im Umfeld von Datenbearbeitungen: die Auftragsdatenbearbeitung. Ich verwende diesen Begriff, weil er besser auf das zutrifft, was gemeint ist, als beispielsweise der im Bundesdatenschutzgesetz verwendete Begriff der Auftragsbearbeitung: Es soll ja nicht einfach ein Auftrag bearbeitet werden, sondern es sollen (Personen-)Daten im Auftrag bearbeitet werden.

Auftragsbearbeitung im Privatbereich

Fachbeitrag

Auftragsbearbeitung im Privatbereich

Die arbeitsteilige Datenbearbeitung verlangt in erster Linie eine klare und praktisch handhabbare Zuordnung der Verantwortung. Dafür stellt das Datenschutzrecht die Instrumente der alleinigen oder gemeinsamen Verantwortlichkeit und der Auftragsverarbeitung zur Verfügung. Wichtig ist in erster Linie die Unterscheidung der Rolle des Verantwortlichen von jener des Auftragsverarbeiters. Als Faustregel bewährt sich dabei die Schwerpunkttheorie: Eine an der Verarbeitung eines Verantwortlichen beteiligte weitere Stelle ist Verantwortliche, wenn ihr Auftrag im Kern nicht die Datenverarbeitung betrifft, sondern eine andere Dienstleistung. Betrifft ihre Leistungspflicht dagegen gerade die Datenverarbeitung, ist sie eine Auftragsverarbeiterin. In vielen Fällen sind jedoch weitere Kriterien zu beachten. Sind mehrere Stellen jeweils Verantwortliche, stellt sich sodann die weitere Frage der gemeinsamen Verantwortlichkeit. Dies gilt für die DSGVO, in Kern aber auch das (heutige und revidierte) DSG. Viele Fragen in diesem Umfeld sind allerdings noch wenig geklärt.

Wenn die Rechtsauslegung «nebulös» wird

Fachbeitrag

Wenn die Rechtsauslegung «nebulös» wird

Beim «Cloud-Computing» handelt es sich aus datenschutzrechtlicher Sicht um eine Datenbearbeitung im Auftrag. Der Grundsatz, dass das öffentliche Organ vollumfänglich für die Datenbearbeitungen verantwortlich bleibt, gilt auch hier. Das «Cloud-Computing» hat indessen andere und zusätzliche Risiken. Konkrete Regulierungen Cloud-spezifischer Risiken wären für ein einheitliches Schutzniveau bei der Verwendung dieser Technologie im öffentlich-rechtlichen Bereich zu begrüssen. Solange dies nicht der Fall ist, steht die Risikoanalyse im Vordergrund. Es sind Massnahmen zu treffen, die auch beim «Cloud-Computing» den Schutz der Grundrechte gewährleisten, wie wenn die Datenbearbeitungen «inhouse» erfolgen würden.

Kinderrechte in der digitalen Welt

Fachbeitrag

Kinderrechte in der digitalen Welt

Der Schutz von Kindern und Jugendlichen in der digitalen Welt hat bislang wenig Beachtung erfahren. Die Empfehlungen des Europarates CM/Rec(2018)7 schliessen diese Lücke. Insbesondere die Empfehlungen zum Schutz der informationellen Selbstbestimmung zeigen, dass Politik, Eltern und Wirtschaft gleichermassen in der Verantwortung stehen: Kinder und Jugendliche dürfen nicht länger als unmündige «Datenquellen» angesehen werden, sondern als Grundrechtsträgerinnen und -träger.

Technische Gestaltung von Informed Consent

Fachbeitrag

Technische Gestaltung von Informed Consent

Die gesetzlichen Anforderungen an eine Einwilligung sind sehr hoch. Zudem gab es in den letzten zehn Jahren kaum Fortschritte in ihrer technischen Realisierung. Noch immer beruht das der Einwilligung zugrunde liegende Modell auf Transaktionen mit einen begrenzten Zweck und klar definierten Zeitpunkten für den Informationsaustausch. Die Identität der Organisationen, mit denen man es zu tun hatte, die gesammelten Informationen und wie die Informationen verwendet werden sollten, war bekannt. Im Gegensatz sind digitale Assistenten, mit denen wir reden, proaktiv und merken sich, was ihre Gesprächspartner schätzen. Dazu benötigen sie Informationen, die sie aus dem persönlichen Kalender, Telefonaten und Interaktionen in sozialen Netzwerken gewinnen. Sie werden für die unterschiedlichsten Aufgaben eingesetzt, was es für den Auftraggeber schwierig macht zu wissen, welche Unternehmen ihre Daten verarbeiten und für welche Zwecke. Dies stellt zusätzliche Herausforderungen an die technische Umsetzung von Einwilligungen.

Gesichtserkennung auf dem Vormarsch

Fachbeitrag

Gesichtserkennung auf dem Vormarsch

Biometrische Merkmale, wie z.B. das Gesicht, ermöglichen die Identifikation und die Verifikation von Personen. Die Gesichtserkennungstechnik ist heute unterschiedlich ausgestaltet und bereits in diversen Lebensbereichen einsetzbar. Obwohl die dabei erhobenen Daten besonders sensibel sind, werden sie gemäss der aktuellen Gesetzgebung nicht adäquat geschützt. Aufgrund des technischen Fortschritts ist jedoch davon auszugehen, dass die Gesichtserkennung zukünftig vermehrt eingesetzt werden wird. Um die Grundrechte angemessen zu schützen, erscheint deshalb eine Gesetzesänderung notwendig. Zentral ist dabei, dass der Anwendungsbereich der Gesichtserkennungstechnik klar definiert wird, die Bearbeitung der Daten auf den Zweck abstellt und die betroffenen Personen Auskunft über ihre Daten sowie deren Löschung verlangen können.