Basierend auf dem CLOUD Act können die USA Executive Agreements mit Drittstaaten über die Herausgabe von Informationen für Strafverfahren eingehen. Ein erstes solches Executive Agreement haben die USA mit dem UK abgeschlossen. Dieser Beitrag erörtert die Vor- und Nachteile eines Executive Agreement und analysiert, ob ein solches auch für die Schweiz sinnvoll wäre.

Der Zugang zu Daten ist für die Informations- und Kommunikations­gesellschaft von entscheidender Bedeutung. Wie dieser Zugang in Wirtschaft und Staat ermöglicht werden soll, ist aber noch weitgehend offen, und der grösste Teil der wertvollen Daten fliesst zu einigen Datenmonopolisten. Die Frustration über diese Situation wird rasch am Datenschutz abgearbeitet. Dabei ist der Datenschutz fundamental für eine liberale Wirtschafts- und Gesellschaftsordnung. Die revidierten Datenschutzgesetzgebungen in Europa und der Schweiz sind aber nicht geeignet, das Spannungsverhältnis zwischen Datennutzung und Datenschutz aufzulösen. Es ist notwendig, dass wir neue Ansätze finden, die den (materiellen) Wert der Daten für die Gesellschaft zugänglich machen, aber gleichzeitig den Wert der Privatsphäre für die liberale Gesellschaft stärken.

Nach Art. 8 DSG kann eine Person beim Inhaber einer Datensammlung Auskunft darüber verlangen, ob und welche Daten über sie bearbeitet werden. Der Anspruch ist zentral für die Durchsetzung anderer Rechte, die im DSG vorgesehen sind (u.a. Art. 5, 15 und 25 DSG). Im Rahmen der Revision des DSG wird am Grundsatz des Auskunftsrechts festgehalten. Unklar ist die praktische Bedeutung der vom Parlament vorgenommenen Beschränkungen des Auskunftsrechts auf Rechte, die im Zusammenhang mit dem DSG stehen.

Der Beitrag zeigt anhand einer typischen E-Commerce-Transaktion mittels E-ID auf, welche Akteure Daten bearbeiten und an welche gesetzlichen Rahmenbedingungen diese gebunden sind. Dabei wird ersichtlich, dass klare Unterschiede für die Identity-Provider und die E-ID-verwendenden Dienste in Bezug auf die rechtlichen Anforderungen an die Datenbearbeitung existieren. Während das BGEID einen differenzierten Pflichtenkatalog aufstellt für die Datenbearbeitung der Identity-Provider (z.B. Verbot des Verkaufs von Nutzungsprofilen, Datenbearbeitung in der Schweiz, klare Löschungspflichten), werden die E-ID-verwendenden Dienste im BGEID nur punktuell adressiert. Für Letztere gilt das DSG und somit auch die Pflicht, den Datenschutz durch technische und organisatorische Massnahmen sicherzustellen.