1.
Einleitung ^
Wie schon der Begriff vermuten lässt, steht bei «Big Data» das Merkmal der Quantität an zentraler Stelle. Big Data bezeichnet «Datenmengen, die zu gross oder zu komplex sind oder sich zu schnell ändern, um sie mit händischen und klassischen Methoden der Datenverarbeitung auszuwerten».1 Abgestellt wird somit in erster Linie auf die Datenmenge.2
2.1.
Daten und Personendaten ^
2.2.
Personendaten und Persönlichkeitsprofile ^
3.1.
Begriff und Beispiele ^
3.2.
Rechtliche Relevanz der Qualifikation ^
So wie die Qualifikation von Daten als Personendaten von weitreichender Bedeutung ist und letztlich über die Anwendbarkeit des DSG auf solche Daten entscheidet, kommt auch der Einstufung von Personendaten als besonders schützenswerte Daten erhebliche rechtliche Relevanz zu. Das DSG enthält für diese qualifizierte Form von Personendaten zahlreiche Sonderbestimmungen, wonach die Datenbearbeitung untersagt, eingeschränkt oder an erhöhte Voraussetzungen geknüpft wird.6
4.
Daten über die Gesundheit ^
4.1.1.
Im Allgemeinen ^
4.1.2.
Im Kontext von Big Data ^
Von Gesundheitsdaten kann nicht nur dort gesprochen werden, wo diese auf einen negativen Gesundheitszustand im Sinne eines Gebrechens oder einer Krankheit hindeuten.15 Auch der Umstand, dass eine Person an einer bestimmten Krankheit nicht leidet bzw. als «gesund» eingestuft wird, betrifft Gesundheitsdaten, die besonderen Schutz verdienen (man denke etwa an das Interesse von Lebensversicherungen an genau solchen Daten).16
4.2.1.
Grundlagen ^
4.2.2.
Anwendungsbeispiele ^
- Mit Fitness-Armbändern werden das Bewegungsverhalten (Anzahl Schritte), der Puls und das Schlafverhalten (Bewegungsaktivität während der Nacht) gemessen. Zudem kann der Armbandträger Informationen zu eingenommenen Mahlzeiten und zu seiner Befindlichkeit selbst erfassen. Während jede dieser Informationen bei isolierter Betrachtung kaum Hinweise auf den Gesundheitszustand einer Person zulässt, liefert die Kombination und Analyse dieser Daten über einen längeren Zeitraum Erkenntnisse über die Entwicklung des Pulses, die Zeitdauer, bis sich der Puls nach einer sportlichen Aktivität (hoher Puls, grosse Anzahl Schritte in kurzer Dauer) normalisiert hat, mögliche Schlafstörungen und deren Einfluss auf die Befindlichkeit oder den Hang zu Adipositas (stark fett- oder zuckerhaltige Ernährung und wenig Bewegung).
- Einzelhändler bieten ihren Kunden verschiedenartige Loyalitätsprogramme an. Im Rahmen solcher Programme werden die Transaktionsdaten aller Einkäufe erhoben, was deren spätere Auswertung im Rahmen von Warenkorbanalysen ermöglicht. Der Warenkorb eines isolierten Einkaufs (z.B. laktosefreie Milch, Wein, Pommes Chips, Zigaretten) hat dabei kaum Aussagekraft. Die Analyse der Einkäufe über einen längeren Zeitraum lässt aber möglicherweise Schlüsse auf den Konsum von Suchtmitteln, auf Laktoseintoleranz oder auf Hang zu Fettleibigkeit zu.
- Der Besuch einer einzelnen Website durch eine Person oder das Aufschalten eines einzelnen Eintrags in einem Blog lassen kaum Rückschlüsse auf deren Gesundheit zu. Anders ist dies möglicherweise dann zu beurteilen, wenn das Surfverhalten oder die «Posts» einer Person über einen längeren Zeitraum erfasst und analysiert werden: Die häufige Verwendung bestimmter Suchbegriffe und der Besuch der als Treffer angezeigten Websites (z.B. Informationsseiten über eine spezifische Krankheit, Websites von Selbsthilfegruppen wie Weight Watchers oder Anonyme Alkoholiker22) können Hinweise darauf geben, dass die betreffende Person an einer bestimmten Krankheit oder Sucht leidet.23
4.2.3.
Massgebliche Kriterien ^
- Abzustellen ist zunächst auf die Datenmenge als objektive Komponente: Eine gewisse quantitative Erheblichkeit muss vorliegen. Ein einzelnes Datenelement wird die Voraussetzungen für den Gesundheitsbezug nicht erfüllen, eine Gesamtheit von Rohdaten dagegen eher. Beispielsweise werden aus den Daten eines Fitnesstrackers erst dann gesundheitsbezogene Schlüsse abgeleitet werden können, wenn diese nicht nur über wenige Tage, sondern über mehrere Monate erhoben werden.24
- Neben der reinen Datenquantität ist die Datenqualität als einschränkendes objektives Kriterium zu berücksichtigen: Zwischen den Rohdaten und der Möglichkeit, Schlüsse auf die Gesundheit zu ziehen, muss eine nachweisbare Beziehung bestehen, d.h. die Rohdaten müssen für diesen Zweck grundsätzlich geeignet sein.25 Dadurch soll verhindert werden, dass schlechthin jede grössere Datensammlung als Gesundheitsdaten qualifiziert wird. Der Konnex muss allerdings nicht unmittelbar bestehen, wie das Beispiel der Warenkorbanalyse von Nahrungsmitteln zeigt. Wie bereits dargelegt ist auch nicht erforderlich, dass die aus den Rohdaten gezogenen Schlüsse im Einzelfall zutreffen.
- Bei einer Grenzziehung anhand rein objektiver Kriterien würden aufgrund der Datenmenge und grundsätzlichen Eignung für Gesundheitszwecke sehr viele Datensammlungen unter den Begriff der Gesundheitsdaten fallen. Als einschränkendes subjektives Kriterium sollte deshalb auch auf den beabsichtigten Gebrauch der Daten abgestellt werden.26 Falls geplant ist, die Rohdaten für gesundheitsbezogene Zwecke zu nutzen und daraus entsprechende Schlüsse zu ziehen, handelt es sich um Gesundheitsdaten. Für die Bestimmung zulässiger Bearbeitungszwecke gilt das Zweckbindungsprinzip (Art. 4 Abs. 3 DSG), wonach Personendaten nur zu dem Zweck bearbeitet werden dürfen, der bei der Beschaffung angegeben wurde, aus den Umständen ersichtlich oder gesetzlich vorgesehen ist.
5.
Fazit ^
Der Einsatz von Daten für Big Data Analysen kann dazu führen, dass an sich «gewöhnliche» Personendaten als besonders schützenswerte Daten einzustufen sind, was namentlich für Gesundheitsdaten zutrifft. Da die Bearbeitung besonders schützenswerter Daten stärkeren Restriktionen und erhöhten Anforderungen unterliegt, muss sich jeder Inhaber grösserer Sammlungen von Rohdaten bereits bei der Datenbeschaffung mit der Frage auseinandersetzen, ob es sich hierbei potenziell um Gesundheitsdaten handelt.
Roland Mathys, lic.iur. et lic.oec.publ., LL.M. (LSE), Rechtsanwalt / Partner, Schellenberg Wittmer AG, Zürich, roland.mathys@swlegal.ch.
- 1 https://de.wikipedia.org/wiki/Big_Data (alle Internetquellen zuletzt besucht am 27. April 2015).
- 2 Auch bei den bis zu sieben «V’s», mit denen Big Data oft charakterisiert wird (u.a. Velocity, Variety), wird das Merkmal «Volume» jeweils an erster Stelle genannt; vgl. etwa Eileen McNulty, Understanding Big Data: The Seven V’s (abrufbar unter: http://dataconomy.com/seven-vs-big-data/).
- 3 Rosenthal, in Rosenthal/Jöhri, Handkommentar zum Datenschutzgesetz, 2008, Rz. 35 zu Art. 3 DSG.
- 4 Gemäss einer Studie von Latanya Sweeney, Simple Demographics Often Identify People Uniquely, 2000, S. 30 (abrufbar unter http://dataprivacylab.org/projects/identifiability/paper1.pdf) liessen sich 87.1% der US-Bevölkerung anhand dieser drei Kriterien eindeutig identifizieren.
- 5 Rosenthal, a.a.O., Rz. 46 zu Art. 3 DSG.
- 6 Eingehend Rosenthal, a.a.O., Rz. 44 zu Art. 3 DSG.
- 7 BBl 1988 II 413, 446.
- 8 Rosenthal, a.a.O., Rz. 48 zu Art. 3 DSG.
- 9 Vgl. Leitsatz 26 der Präambel zum Vorschlag für eine Datenschutz-Grundverordnung vom 25. Januar 2012, KOM(2012) 11 endg.
- 10 Vgl. etwa Article 29 Data Protection Working Party, Advice paper on special categories of data («sensitive data»), April 2011, abrufbar unter http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/others/2011_04_20_letter_artwp_mme_le_bail_directive_9546ec_annex1_en.pdf.
- 11 Article 29 Data Protection Working Party, Health Data in Apps and Devices, abrufbar unter http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_en.pdf (Letter) und http://ec.europa.eu/justice/data-protection/article-29/documentation/other-document/files/2015/20150205_letter_art29wp_ec_health_data_after_plenary_annex_en.pdf (Annex).
- 12 Annex, S. 2.
- 13 Annex, S. 2.
- 14 Annex, S. 3.
- 15 Die Begriffsdeutung gemäss Botschaft (BBl 1988 II 413, 446) erscheint insoweit zu eng, als sie nur Befunde erfasst, die sich «für den Betroffenen negativ auswirken können», was eher auf einen schlechten Gesundheitszustand hindeutet.
- 16 Annex, S. 2.
- 17 Annex, S. 2.
- 18 Vgl. auch die Beispiele in Annex, S. 2.
- 19 Vgl. Annex, S. 1.
- 20 Annex, S. 3 f.
- 21 Annex, S. 3.
- 22 Annex, S. 2.
- 23 Vgl. auch das Beispiel in Annex, S. 3, wonach mittels Analyse von «Posts» in sozialen Medien versucht wird, frühzeitig Anzeichen einer möglichen Depression zu erkennen.
- 24 Beispiel gemäss Annex, Fussnote 5.
- 25 Annex, S. 4.
- 26 Annex, S. 4.
- 27 Vgl. auch Annex, Fussnote 5.