Beim «Cloud-Computing» handelt es sich aus datenschutzrechtlicher Sicht um eine Datenbearbeitung im Auftrag. Der Grundsatz, dass das öffentliche Organ vollumfänglich für die Datenbearbeitungen verantwortlich bleibt, gilt auch hier. Das «Cloud-Computing» hat indessen andere und zusätzliche Risiken. Konkrete Regulierungen Cloud-spezifischer Risiken wären für ein einheitliches Schutzniveau bei der Verwendung dieser Technologie im öffentlich-rechtlichen Bereich zu begrüssen. Solange dies nicht der Fall ist, steht die Risikoanalyse im Vordergrund. Es sind Massnahmen zu treffen, die auch beim «Cloud-Computing» den Schutz der Grundrechte gewährleisten, wie wenn die Datenbearbeitungen «inhouse» erfolgen würden.

Der vorliegende Beitrag geht der Frage nach, welche Instrumente das Datenschutzrecht zur Verfügung stellt, um die Kontrolle der Betroffenen über ihre personenbezogenen Daten sicherzustellen. Dargestellt werden die unterschiedlichen Kontrollrechte entlang der Kette von Datenbeschaffung, Datenverwendung und Datenlöschung. Es zeigt sich, dass das System der Datenkontrolle mit dem Anspruch auf Transparenz, mit Betroffenenrechten und mit Widerspruchsrechten und Löschansprüchen recht umfassend ist und mit dem Anspruch auf Datenportabilität voraussichtlich weiter ausgebaut wird. Es bleiben aber Zweifel, ob Kontrollrechte in der heutigen digitalisierten Welt in grundsätzlicher Hinsicht überhaupt noch geeignet sind, betroffenen Personen eine gewisse Kontrolle zu geben, oder ob nicht andere Instrumente innerhalb und ausserhalb des Datenschutzrechts erforderlich sind.

Der rechtliche Rahmen hat massgeblichen Einfluss auf die Handelbarkeit von Personendaten. Einerseits ermöglicht das Datenschutzrecht, Personendaten faktisch zu übertragen und damit zu handeln. Durch die freie Widerrufbarkeit der Einwilligung und Regelungen wie z.B. des Zweckbestimmungsgrundsatzes schränkt das Datenschutzrecht den Handel mit Personendaten andererseits ein. Ein unmittelbarer Handlungsbedarf besteht nicht, denn es liegt kein Marktversagen vor: Unternehmen können sich über die Primärmärkte und durch Nutzen von «Datenderivaten» genügend Daten beschaffen, um innovative Technologien und Geschäftsideen umzusetzen. Soll der Handel mit Personendaten gleichwohl gefördert werden, könnte die freie Widerrufbarkeit der datenschutzrechtlichen Einwilligung eingeschränkt werden.

Bitcoin und die zugrunde liegende Technologie der Blockchain sind längst keine Randphänomene mehr. Zwar ist Bitcoin in vielerlei Hinsicht neuartig. Das steht aber einer Einordnung als «Geld im weiteren Sinn» bzw. als «Kryptowährung» nicht im Weg. Bitcoin dient zurzeit primär als Spekulationsobjekt, aber auch zur Wertaufbewahrung und als Zahlungsmittel. Während das Bitcoin-System nur die Übertragung von Bitcoins erlaubt, ist die Blockchain von Ethereum, der zweitgrössten Kryptowährung, frei programmierbar und erlaubt die Emission beliebiger «Tokens». Diese können Währungen, Anleihen, Aktien oder beliebige andere Vermögenswerte mit oder ohne vom Emittenten garantierten Wert darstellen. Kryptowährungen haben das Potenzial, einen Digitalisierungsschub im Finanzbereich auszulösen. Um dieses Potenzial zu realisieren, bedarf es aber noch der Klärung verschiedener Rechtsfragen und der Beseitigung rechtlicher Hürden.