I.
Einleitung ^
Dass Amazon ermitteln kann, welche konkreten Filme eine Person mögen könnte, dass ein Supermarkt herauszufinden vermag, ob eine seiner Kundinnen schwanger ist und dass Epidemien oder auch deliktisches Verhalten vorhergesagt werden können, lässt sich auf einen gemeinsamen Nenner zurückführen. Beispielshaft angedeutet werden damit die technischen Möglichkeiten in Zusammenhang mit Big Data, die in allerlei Branchen bereits zum Zuge kommen bzw. zukünftig herangezogen werden könnten.1 Der Begriff Big Data bezieht sich dabei nicht nur – wie bereits aus seinem Wortlaut erkennbar – auf eine grosse Menge von aus verschiedenen Quellen stammenden Daten, sondern bezeichnet gleichzeitig die Nutzung dieser Daten mittels leistungsfähiger Analysetools, um daraus neue Erkenntnisse zu gewinnen.2 Mit Big Data zeichnet sich somit eine neue Form des Umgangs mit Informationen ab, welche die derzeit bestehenden datenschutzrechtlichen Regelungen vor grundlegende Herausforderungen stellt. Die damit zusammenhängenden rechtlichen Fragestellungen wurden an der diesjährigen schweizerischen Datenschutzrechtstagung unter Mitberücksichtigung weiterer Aspekte – soziologischer oder auch technischer Natur – eingehend diskutiert. Im Verlaufe dieses Jahres wird zudem ein Tagungsband erscheinen, der die schriftliche Fassung der an der Datenschutzrechtstagung gehaltenen Referate enthält.
1.
Big Data: Herausforderungen für das Datenschutzrecht ^
Im Eröffnungsvortrag erörterte Prof. Dr. Rolf H. Weber die Potenziale und Risiken von Big Data sowie die sich daraus ergebenden Problemstellungen im Kontext des geltenden Datenschutzrechts, wobei mögliche Lösungsansätze sowie zukünftige Entwicklungen im Zentrum seines Referats standen. Big Data-Analysen liefern seiner Meinung nach zwar sachdienliche Entscheidungsgrundlagen – die insbesondere auch unter wirtschaftlichen Gesichtspunkten von grossem Nutzen sind, sie führen aber aufgrund der auf Wahrscheinlichkeiten beruhenden Analysemethoden nicht zwangsläufig zu richtigen Ergebnissen. Dazu kommt, dass die Beurteilung der Anwendbarkeit der datenschutzrechtlichen Bestimmungen im Fall von Big Data-Anwendungen erhebliche Schwierigkeiten bereitet. Denn Big Data bringt mit sich, dass ursprünglich anonymisierte Daten, die vom Anwendungsbereich des Datenschutzgesetzes nicht erfasst sind, in Verbindung mit weiteren Daten de-anonymisiert werden und damit zu einem späteren Zeitpunkt datenschutzrechtlich relevant werden können. Des Weiteren ging der Referent der Frage nach, wie mit dem Widerspruch von Big Data mit den allgemeinen Datenschutzgrundsätzen, wie etwa dem Zweckbindungsprinzip, dem Prinzip der Transparenz, der Datenminimierung sowie der Richtigkeit der Daten, umzugehen ist. Namentlich gilt es gemäss dem Referenten die Geeignetheit des Konzepts der Einwilligung als Rechtfertigungsgrund für eine Persönlichkeitsverletzung zu überdenken. Denkbar wäre stattdessen die Implementierung der sog. Accountability, welche den Unternehmen zum Zweck der besseren Einhaltung der datenschutzrechtlichen Vorgaben Rahmenbedingungen in einer Mischform zwischen Selbstregulierung und staatlicher Regulierung setzt. Alternativ dazu sei auch die Einführung von Beteiligungsmodellen, bei welchen die Unternehmen und die betroffenen Personen auf der Grundlage von Mitbenutzungsrechten gemeinsam am Wert der Daten teilhaben, ein möglicher Lösungsansatz, um den aufgezeigten Problemstellungen zu begegnen. Besonders hervorzuheben ist schliesslich die Anregung des Referenten, den Fokus auf das Alternativkonzept Smart Data zu richten, welches impliziert, dass nur diejenigen Daten gesammelt werden, die auch tatsächlich einen Mehrwert erzeugen. Auf diese Weise liesse sich das Konfliktpotenzial zu den datenschutzrechtlichen Vorgaben möglicherweise wesentlich reduzieren.
2.
Big Data und der Schutz der Privatsphäre ^
3.
Big Data und Datenschutzrecht in Europa ^
Der bayerische Landesbeauftragte für Datenschutz, Dr. jur. Thomas Petri, legte in seinem Referat den Fokus auf die europarechtliche Beurteilung der Problematik von Big Data. Ausgangspunkt bildete hierbei die Bestimmung des Begriffs von Big Data, welcher sich aus Sicht des Referenten auf eine geistige Haltung bezieht, die auf maximalen Erkenntnisgewinn zielt. Um das Spannungsverhältnis von Big Data zum geltenden Datenschutzrecht aufzuzeigen, gab der Referent zunächst einen Überblick über die relevanten Rechtserlasse auf internationaler, regionaler und nationaler Ebene. Dies führte den Referenten nachfolgend dazu, die einzelnen Konfliktpunkte von Big Data mit den zentralen Regelungen des Datenschutzrechts, namentlich dem Grundsatz von Treu und Glauben, dem Zweckbindungsprinzip, dem Prinzip der Datensparsamkeit, dem Schutz besonders sensitiver Daten sowie der Wahrung der Betroffenenrechte, deutlich zu machen. Die Einhaltung des Grundsatzes von Treu und Glauben und der Transparenz sowie die Wahrung der Betroffenenrechte setzten im Allgmeinen voraus, dass die Betroffenen in den Verarbeitungsprozess miteinbezogen werden. Dies dürfte im Rahmen von Big Data oftmals nicht der Fall sein, da bei solchen Anwendungen automatische und systematische Datenverarbeitungsmechanismen zum Zuge kommen. Ausserdem trete die Natur besonders schützenswerter Daten möglicherweise erst während des Auswertungsprozesses zum Vorschein, weshalb der Schutz solcher Daten zum Zeitpunkt ihrer Beschaffung nicht gewährleistet werden kann. Entgegen dem Zweckbindungsprinzip und dem Prinzip der Datensparsamkeit werde mit Big Data darüber hinaus eine möglichst grosse Menge an Daten unter anderem auch zu bei der Erhebung noch nicht vorhersehbaren Zwecken nutzbar gemacht. Diese Widersprüche dürften sich laut dem Referenten auch mit der neuen Datenschutzgrundverordnung, die zurzeit – nach der am 14. März 2014 abgeschlossenen ersten Lesung des Europäischen Parlaments und des Ratsbeschlusses vom 15. Juni 2015 – in Trilog-Verhandlungen zwischen den EU-Gesetzgebungsorganen verhandelt wird, nicht vollends auflösen. Denn auch wenn die endgültige Fassung des neuen Rechtsrahmens noch nicht feststeht, ist aus Sicht des Referenten zu erwarten, dass die mit Big Data im Widerspruch stehenden Prinzipien in ihren Grundzügen erhalten bleiben. Big Data im Sinne eines uneingeschränkten Umgangs mit Personendaten werde deshalb auch in absehbarer Zeit nicht rechtlich zulässig sein.
4.
Herausforderungen von Big Data für die Rechtsbeziehungen unter Privaten ^
5.
Big Data und der öffentliche Sektor ^
Ergänzend zu den privatrechtlichen Ausführungen erörterte Prof. Dr. Markus Schefer die Bedeutung und Tragweite von Big Data im Bereich des öffentlichen Rechts. Anknüpfungspunkt und Grundlage seiner Erläuterungen bildete das Recht auf informationelle Selbstbestimmung, welches im Rahmen der bundesgerichtlichen Rechtsprechung aus dem in der Bundesverfassung gewährleisteten Recht auf Schutz vor Missbrauch der persönlichen Daten (Art. 13 Abs. 2 BV) abgeleitet wurde. Bezugnehmend auf Big Data ist der Schutzbereich des in Art. 13 Abs. 2 BV verankerten Grundrechts laut dem Referenten immer dann betroffen, wenn der Staat auf der Grundlage von berechneten Wahrscheinlichkeiten Handlungen gegenüber Privaten vollzieht. Die Anwendung von Big Data unterscheide sich dabei insofern von einer «gewöhnlichen» Datenbearbeitung, als sich aus den im Rahmen von Big Data gewonnen Erkenntnissen korrelativ belegte Stereotypen ergeben, die auf die Gesellschaft zurückwirken und allenfalls zu Diskriminierungen führen können. Erschwerend kommt gemäss dem Referenten hinzu, dass der Einzelne von der in diesem Zusammenhang erfolgten Datenverarbeitung nicht notwendigerweise Kenntnis erhält und damit keine Möglichkeit hat, auf die Datenanalyse einzuwirken. Anders gestalte sich dies beispielsweise bei der Erstellung eines – wohl auf geringerer Wahrscheinlichkeit beruhenden – psychiatrischen Gutachtens, bei welchem die betroffene Person in den Datenverarbeitungsprozess miteinbezogen wird. Hinsichtlich einer besseren Bewältigung der mit Big Data zusammenhängenden Problematik legte der Referent besonderes Gewicht darauf, dass jede im Analyseverfahren zu erfolgende Datenverknüpfung gesondert zu beurteilen ist. Nur dadurch sei es möglich, den Interessen des Einzelnen im Rahmen einer Interessenabwägung genügend Rechnung zu tragen. Zusätzlich müssten die angewendeten Auswertungsmethoden den Betroffenen in einer für jedermann verständlichen Sprache dargelegt werden. Auf der Grundlage dieser Überlegungen brachte der Referent zum Schluss seine Bedenken in Bezug auf eine drohende Verengung des Grundrechts auf ein Recht auf Datenschutz zum Ausdruck.
6.
Aktuelle Rechtsprechung im Bereich des Datenschutzes ^
Bezugnehmend auf die Praxis der nationalen und kantonalen Gerichte stellte Prof. Dr. Alexandre Flückiger die aktuelle Rechtsprechung im Bereich des Datenschutzes vor. In Hinblick auf die in Art. 13 Abs. 2 BV normierte Verfassungsgrundlage stellte der Referent zunächst fest, dass sich die schweizerische Rechtsprechung bis auf Weiteres nicht eingehend mit der in der Lehre umstrittenen Frage nach dem Umfang des Schutzbereiches dieses Grundrechts auseinandergesetzt habe. Aus bundesgerichtlicher Rechtsprechung gehe jedoch klar hervor, dass sich das Recht auf informationelle Selbstbestimmung auf Art. 13 Abs. 2 BV stützen lässt und die erwähnte Rechtsgrundlage demzufolge nicht lediglich einen – wie die wörtliche Auslegung der Bestimmung nahelegen könnte – Schutz vor Missbrauch der Daten normiert. Grosse Beachtung in der gerichtlichen Praxis fand sodann die Durchsetzung des Auskunftsrechts. Diesbezüglich wurden zum einen verfahrenstechnische Fragen wie die Verteilung der Beweislast bei der Feststellung nicht vorhandener Personendaten geklärt und zum anderen über materiell-rechtliche Aspekte wie die Gewährleistung des indirekten Auskunftsrechts oder auch die Form des Datenzugangs befunden. Besondere Aufmerksamkeit erweckte dabei ein Fall,3 in welchem eine Privatperson gestützt auf das Öffentlichkeitsgesetz des Kantons Genf detaillierte Angaben über ein dem Staat zugehöriges Gebäude verlangte. Abgelehnt wurde dieses Gesuch mit der Begründung, dass die Verwaltung von Immobilien durch den Kanton Genf aufgrund der Zuordnung des Gebäudes zum Finanzvermögen keine öffentliche Aufgabe im Sinne des Gesetzes über die Information der Öffentlichkeit und den Zugang zu Dokumenten des Kantons Genf (LIPAD)4 darstelle und somit nicht von dessen Anwendungsbereich erfasst sei. Denn auch wenn die daraus generierten Einnahmen der Erfüllung staatlicher Aufgaben dienten, sei das Handeln des Staats laut Bundesgericht in einem solchen Fall mit demjenigen einer Privatperson gleichzusetzen. Aus diesem Grund sind die diesbezüglichen Informationen für die Öffentlichkeit nicht zugänglich. Nach einer kritischen Auseinandersetzung mit dem erwähnten Bundesgerichtsurteil befasste sich der Referent nicht nur mit weiteren datenschutzrechtlichen Aspekten wie der Berichtigung personenbezogener Daten und der Anonymisierung von Urteilen und Verwaltungsentscheiden, sondern er diskutierte zum Schluss ebenfalls die sich in Einzelbereichen – insb. im Gebiet der Amtshilfe, des Arbeitsrechts und des Strafrechts – stellenden Problematiken.
1.
Atelier I: Big Data in der Rechtspraxis – ausgewählte Problemstellungen ^
2.
Atelier II: Rechtsprechung des EuGH zum Datenschutzrecht ^
In seinem Atelier widmete sich Dr. iur. Markus Kern den Entwicklungen des Datenschutzrechts in der europäischen Rechtsprechung. Aufgegriffen wurde damit eine Thematik, die namentlich angesichts der im Rahmen der Schengen- und Dublin-Assoziierung bestehenden Übernahmepflichten auch für die Schweiz von zentraler Bedeutung ist. Das europäische Datenschutzrecht umfasst neben den im Primärrecht normierten Grundlagen zahlreiche, sekundärrechtlich geltende Regelungen, die bereichsspezifische Vorgaben festlegen. Mithin zeigt sich gemäss dem Referenten ein stark fragmentiertes EU-Rechtssystem im Bereich des Datenschutzes. Zur Veranschaulichung der EuGH-Rechtsprechung wurden drei leading cases herangezogen. Im Anschluss an die Urteile Lindqvist5 und Österreichischer Rundfunk6 befasste sich der Referent insbesondere mit der im Urteil Google Spain7 aufgeworfenen Frage nach der Pflicht eines Suchmaschinenbetreibers, eine Verlinkung auf von Dritten zur Verfügung gestellte Inhalte zu entfernen. Im Rahmen dieses Vorabentscheidungsverfahrens hielt der EuGH bezüglich der Tragweite des Löschungs- bzw. Widerspruchsrechts schliesslich fest, dass ein solches immer dann bestehe, wenn Daten nicht dem Verarbeitungszweck entsprechen, darüber hinausgehen oder zu deren Erfüllung nicht (mehr) erforderlich sind. Zudem kann dem Urteil entnommen werden, dass aufgrund der Schwere des vorliegenden Eingriffs das Interesse des Betroffenen gegenüber dem wirtschaftlichen Interesse der Suchmaschinenbetreiber und dem Informationsinteresse der Öffentlichkeit im Grundsatz wohl überwiegen dürfte. In diesem Sinne erscheint das vorliegende Urteil wegweisend für eine allfällig zukünftige Regelung des damit verbundenen «Recht[s] auf Vergessen». Nachfolgend konzentrierte sich der Referent auf weitere, spezifische Fragestellungen, wie beispielsweise die Speicherung von Fingerabdrücken in biometrischen Pässen oder die sog. Vorratsdatenspeicherung, die in der europäischen Rechtsprechung eingehend diskutiert wurden. Mit dem Ausblick auf einige anstehende Entscheidungen wurden zum Schluss zukünftig zu erwartende Entwicklungen skizziert. Ausserdem wurde vor dem Hintergrund der bereits in die Jahre gekommenen datenschutzrechtlichen Grundlagen die erhebliche Bedeutung des case law betont. Aufgrund der allfälligen Kodifikation der EuGH-Rechtsprechung in der neuen Datenschutzgrundverordnung und der voraussichtlichen Kontinuität der Rechtsentwicklungen werde deren Relevanz laut dem Referenten wohl auch unter neuem Recht bestehen bleiben.
3.
Atelier III: Auswirkungen, Risiken und Chancen der Sammlung physiologischer Daten im Gesundheitsbereich ^
In seinem Atelier beschäftigte sich Stéphane Koch, Experte im Bereich neuer Informationstechnologien, mit den Methoden digitaler Selbstvermessung und deren Auswirkungen auf die Privatsphäre des Einzelnen. Im Rahmen des sog. Quantified Self werden selbst erfasste, (meist) gesundheitsbezogene Daten analysiert und in statistischer Form ausgewertet, damit der Nutzer seine Aktivitäten und Bewegungen und damit auch seinen körperlichen Zustand laufend überprüfen und reflektieren kann. Als Verwendungszwecke kommen dabei nicht nur medizinische Anwendungen durch den Arzt oder Patienten, sondern auch die Messung sportlicher Leistung und die Stärkung des Wohlbefindens in Betracht. Um den Stellenwert der digitalen Selbstvermessung in der Gesellschaft zu verdeutlichen, zeigte der Referent anhand verschiedener Statistiken auf, welchen Nutzen die AnwenderInnen diesen Instrumenten zusprachen und ob infolge der Selbstvermessung tatsächlich Konsumgewohnheiten geändert wurden. Nachfolgend kam der Referent nicht nur auf die Qualität der erfassten Daten zu sprechen, sondern er erläuterte ebenfalls die allfälligen Nutzungsmöglichkeiten der Datensammlungen durch die Mobiltelefonhersteller, App-Entwickler sowie Versicherungen. Möglich wäre beispielsweise, dass Versicherungen denjenigen Personen eine Prämienreduktion gewähren, die bestimmte Instrumente der digitalen Selbstvermessung verwenden und die daraus gewonnenen Daten der Versicherung zugänglich machen. Obschon der Referent in diesem Zusammenhang von einer Win-win-Situation sprach, müsste freilich vorerst abgeklärt werden, ob sich eine solche Abrede mit den datenschutzrechtlichen Vorgaben überhaupt vereinen liesse. Damit kann jedenfalls die These aufgestellt werden, dass sich die Datenschutzexperten zukünftig wohl noch vermehrt mit der Zulässigkeit dieser und sonstiger Verwendungen der aus Quantified Self gewonnenen Daten beschäftigen werden.
4.
Atelier IV: Persönlichkeitsrechte versus Aufbewahrung und Archivierung von Daten: eine Auslegeordnung ^
Mit ihrem Atelier bewegte sich Dr. iur. Sandra Husi-Stämpfli, Stellvertretende Datenschutzbeauftragte des Kantons Basel-Stadt, im Spannungsfeld zwischen Persönlichkeitsschutz und Archivierung. In seiner ursprünglichen Fassung geht der Schutz der Persönlichkeitsrechte auf das verfassungsrechtlich verankerte Recht auf persönliche Freiheit zurück und umfasst daher auch Güter wie die körperliche und geistige Integrität und die Bewegungsfreiheit, wobei in Zusammenhang mit der Archivierung die Achtung der Privatsphäre und der Schutz des gesellschaftlichen Ansehens in besonderem Masse betroffen sind. Im Gegensatz dazu dient die Archivierung öffentlichen Anliegen wie etwa der Dokumentation staatlicher Tätigkeit, der Beweissicherung, der historischen Aufarbeitung sowie der Forschung. Vor diesem Hintergrund ergibt sich im Bereich der Archivierung ein enormes Konfliktpotenzial, das sich gemäss der Referentin mit Blick auf die mit Big Data einhergehenden Entwicklungen zunehmend erhöht. Zur Verdeutlichung dieses Spannungsverhältnisses ging die Referentin schliesslich der Frage nach, ob auch unrechtmässig bearbeitete Personendaten einer Archivierung zugänglich sind. Solche Daten hätten zwar grundsätzlich aufgrund der widerrechtlichen Bearbeitung bereits vor der Archivierung ausgesondert und vernichtet werden sollen, könnten aber späteren Generationen bei der Aufarbeitung staatlichen Fehlverhaltens ausgesprochen nützlich sein. Zielführend sind in solchen Fallkonstellationen laut der Referentin einzelfallbezogene Lösungen, die die Abwägung der einander gegenüber stehenden Interessen miteinschliessen. Hingegen bleibt der Umstand bestehen, dass bei der Verhältnismässigkeitsprüfung äusserst schwierig zu beurteilen ist, welche konkreten Dokumente zum Zeitpunkt einer späteren Aufarbeitung oder Beweisführung tatsächlich noch erforderlich sein könnten. Dass die Einhaltung der weiteren Datenschutzgrundätze im Archivwesen ebenfalls mit Schwierigkeiten verbunden ist, zeigte sich in den Diskussionen rund um die Problematik der Verdingkinder. Nachfolgend machte die Referentin zudem darauf aufmerksam, dass sich die Auswirkungen des im Google8-Urteil vorgebrachten «Recht[s] auf Vergessen» bis auf Weiteres nicht abschätzen liessen. Insbesondere stelle sich dabei die Frage, ob sich die Löschungspflicht in Bezug auf online zur Verfügung gestellte Inhalte auf Archivbestände übertragen lasse und infolgedessen auch bereits archivierte Dokumente regelmässig aussortiert und gegebenenfalls gar gelöscht werden müssten. Für all diese aufgezeigten Problemstellungen seien Lösungswege anzustreben, die – so der Schlussgedanke der Referentin – sowohl die Persönlichkeitsrechte des Betroffenen als auch die öffentlichen Interessen der Archive gebührend berücksichtigen.
IV.
Abschliessende Bemerkungen ^
Daniela Nüesch, MLaw ist als diplomierte Assistentin am Institut für Europarecht an der Universität Freiburg i.Ue. tätig.
Für die wertvollen Anregungen bei der Erarbeitung des vorliegenden Beitrags und die kritische Durchsicht des Manuskripts geht mein herzlicher Dank an Frau Prof. Astrid Epiney, Herrn Dr. Markus Kern und Herrn Tobias Auer.
- 1 Für weitere Anwendungsbeispiele s. Astrid Epiney, Big Data und Datenschutzrecht: Gibt es einen gesetzgeberischen Handlungsbedarf, in: Jusletter IT 21. Mai 2015, Rz. 2.
- 2 Epiney (Fn. 2), Rz. 5f.; siehe auch die Begriffsumschreibung von Bitkom, Big Data im Praxiseinsatz – Szenarien, Beispiele, Effekte, 2012, 7ff., einsehbar unter https://www.bitkom.org/Publikationen/2012/Leitfaden/Leitfaden-Big-Data-im-Praxiseinsatz_Szenarien_Beispiele_Effekte/BITKOM_LF_big_data_2012_online%281%29.pdf (alle Internetquellen zuletzt besucht am 29. Juli 2015) und Rolf H. Weber, Big Data: Rechtliche Perspektive, in: Rolf H. Weber/Florent Thouvenin (Hrsg.), Big Data und Datenschutz – Gegenseitige Herausforderungen, Zürich 2014, 17 (17ff.) sowie weitere Definitionsansätze, die Big Data anhand der sie kennzeichnenden «Vs» (volume, velocity, variety, veracity und value) umschreiben, so z.B. http://www.edoeb.admin.ch/datenschutz/00683/01169/index.html?lang=de oder auch Andreas Wespi, Big Data: Technische Perspektive, in: Rolf H. Weber/Florent Thouvenin (Hrsg.), Big Data und Datenschutz – Gegenseitige Herausforderungen, Zürich 2014, 3 (4f.).
- 3 Urteil des Bundesgerichts 1C_379/2014 vom 29. Januar 2015.
- 4 Loi sur l’information du public, l’accès aux documents et la protection des données personnelles du 5 octobre 2001, RSG A 2 08.
- 5 Urteil des EuGH, Rs. C-101/01 vom 6. November 2003, ECLI: EU:C:2003:596 (Lindqvist).
- 6 Urteil des EuGH, verb. Rs. C-465/00, C-138/01 und C-139/01 vom 20. Mai 2003, ECLI:EU:C:2003:294 (Österreichischer Rundfunk).
- 7 Urteil des EuGH, Rs. C-131/12 vom 13. Mai 2014, ECLI:EU:C:2014:317 (Google Spain).
- 8 Siehe Fn. 7.