Das Datenschutzgesetz kennt zwei verschiedene Rechtfertigungskonzepte für den Eingriff in die persönliche Freiheit und die informationelle Selbstbestimmung. Für die öffentlichen Organe («Bundesorgane») bestehen klare verfassungsgestützte Rahmenbedingungen auf der Basis einer gesetzlichen Grundlage. Im Vordergrund der Rechtfertigungsgründe für private Datenbearbeiter steht die Einwilligung. Sie ermöglicht sogar, die Rahmenbedingungen des DSG zu umgehen. Bei der Verwendung von Gesundheitsdaten für Forschungszwecke stehen wir im Spannungsfeld zwischen dem öffentlichen oder privaten Interesse an der Forschung und dem Schutz der Privatheit. Ein Konzept, das hierbei nur auf der Einwilligung beruht, kann diesen Interessenkonflikt nicht angemessen auflösen. Vielmehr müsste das Humanforschungsgesetz (HFG) mindestens zwischen dem öffentlich-rechtlichen und dem privaten Datenbearbeiter unterscheiden und auf die Rechtfertigungskonzepte des DSG abstellen. Dabei würde sich auch zeigen, dass die Einwilligung nicht per se das Instrument der informationellen Selbstbestimmung ist.

Der Beitrag geht der Frage nach, ob datenschutzrechtliche Einwilligungen und DSE lauterkeits- und vertragsrechtlichen Massstäben unterworfen sind. Er beleuchtet, ob Einwilligungen dem Recht der allgemeinen Geschäftsbedingungen unterstellt sind und welche Grenzen das datenschutzrechtliche Koppelungsverbot setzt. Gemessen am Transparenzgebot und der vorgeschlagenen Informationsverpflichtung des E-DSG macht er deutlich, dass DSE in AGB inte­griert werden können und dass aus den Neuregelungen des E-DSG keine zugangsbedürftige Übermittlungsverpflichtung folgt.

Der verfassungsmässige Schutz der persönlichen Freiheit und der informationellen Selbstbestimmung wird in den Datenschutzgesetzen konkretisiert. Sie stellen Rahmenbedingungen auf, wie mit Personendaten – alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen – umzugehen ist. Das Konzept der Datenschutzgesetze stammt aus den 1960er-Jahren: Die Risiken der neuen Technologien – die Grosscomputer halten Einzug in Verwaltung und Wirtschaft – sollen mit rechtlichen Massnahmen minimiert werden. Deshalb wird das Datenschutzrecht auch als «Technikfolgenrecht» bezeichnet.

Der vorliegende Beitrag stellt die Rechtslage in Bezug auf Datenzuordnung und Datenzugang überblicksartig dar und geht jeweils auch auf die möglichen Entwicklungen de lege ferenda ein. Er zeigt auf, dass die Zuordnung von Daten und der Zugang dazu komplementär sind: Je stärker die Zuordnung zu einem Rechtsträger ist, desto schwieriger wird es für Dritte, die Daten zu nutzen. Gegenwärtig besteht kein Instrument, um Daten als solche jemandem rechtlich zuzuordnen, und vorderhand wird auch kein solches Instrument eingeführt werden. So wird deutlich, dass Daten ihren Inhabern meist faktisch zugeordnet sind. Entsprechend kann ein Interessenausgleich zwischen dem Dateninhaber und Dritten auch nicht mit Einschränkungen bzw. Schranken eines bestehenden Rechts erzielt werden – es braucht dafür Datenzugangsrechte.