CAS Data Privacy Officer

Der Datenschutz im Zenit

von Ljubisa Jovanovic

Ljubisa Jovanovic und bloggt aus dem Unterricht des CAS Data Privacy Officer

 

Überall sind entweder neue Gesetze zum Schutz von den Personenbezogenen Daten entstanden oder wurden sehr stark revidiert. Der Datenschutz war nie so präsent wie heute. Hat der Datenschutz damit den Höhepunkt erreicht? Wie geht es damit weiter? Kann es im Bereich Datenschutz noch besser werden? Oder geht es jetzt nur noch bergab?  

Wie alles begann

Die Geschichten des modernen Datenschutzes begann 1970 mit dem Hessischen Datenschutzgesetz. Den heutigen Begriff des Datenschutzes hat im gleichen Jahr Dr. Ulrich Seidel in definiert als « Persönlichkeitsrechtliche Probleme der elektronischen Speicherung privater Daten» (Seidel, 1970). Seien Arbeiten haben massgebend zu der heutigen Bedeutung des Datenschutzes beigetragen. Für seine Arbeiten im Bereich des Datenschutzes wurde er mit dem Bundesverdienstkreuz ausgezeichnet.

« Persönlichkeitsrechtliche Probleme der elektronischen Speicherung privater Daten» (Seidel, 1970)

Man kann also sagen der Datenschutz befasst sich mit Daten die, einzeln oder in Kombination mit anderen verarbeitet, die Privatheit und Selbstbestimmung gefährden. Damit ist die Grenze zwischen Personendaten, die für den Datenschutz relevant sind und den allgemeinen Daten gezogen.
Daten und Informationen wurde aber schon früher geschützt. Das beste Beispiel sind militärische Geheimnisse. Ich vermute, dass sogar die Höhlenmenschen einer Höhle eine Übereinkunft hatten, den Höhlenmenschen anderer Höhlen nicht zu vertaten wo die besten Jagdgründe sind.

Wie ist die Situation heute

Damit aber genug von der Vergangenheit. Wie sieht es heute aus? DSGVO hat den Datenschutz auf einem neuen Niveau erhoben. Insbesondere die Aussagen, dass die Verarbeitung solcher Daten grundsätzlich verboten ist, es sei denn es gibt eine Ausnahme. Diese «Ausnahmen» definiert DSGVO im Artikel 6. Im Groben kann man diese «Ausnahmen» oder wie es im Artikel 6 heisst «Rechtmässigkeit der Verarbeitung» in drei Aussagen zusammenfassen:

  • Die betroffene Person hat eingewilligt. Das kann direkt sein mit einer Einwilligung so wie sie nach Artikel 6 a) verlangt wird oder indirekt, in dem sie als eine Vertragspartei, einen Vertrag eingeht (Art. 6 b).
  • Ein anderes Gesetz schreibt es vor (Gesetzliche Grundlage).
  • Es besteht ein berechtigtes Interesse, das höher wiegt als der Schutz der Privatheit.

Der räumlichere Anwendungsbereich der DSGVO (Artikel 3 (2)) legt fest, dass jeder der Personendaten von in der EU ansässigen Personen verarbeitet, auch dem DSGVO unterliegt. Damit wurde die DSGVO für viele Länder zum Treiber für eigene Datenschutzgesetze. Das gilt auch für viele kantonale Datenschutzgesetze in der Schweiz. Auf der Bundesebene geht die Schweiz mit dem revidierten Datenschutzgesetz in die gleiche Richtung wie die DSGVO, auch wenn es hier die Personendatenverarbeitung generell nicht verboten ist. Wer aber Personendaten bearbeitet, wird zuerst einmal zu verantwortlichen Person nach Artikel 5 i). Damit muss er oder sie einige Pflichten erfüllen. Es müssen die Grundsätze nach Artikel 6. befolgt werden. Ausserdem, muss die verantwortliche Person dafür sorgen, dass die betroffenen Personen (das sind diejenigen, deren Daten verarbeitet werden; Art 5 b) ihre Rechte gemäss Kapitel vier wahren können.

Damit waren die personenbezogenen Daten noch nie besser geschützt als jetzt. Zumindest in Europa und einigen andern Ländern (siehe Länderliste des EDÖB). Der nächste logische Schritt wäre, dass andere Länder dieser Entwicklung sich anschliessen, oder?

Wohin geht es mit dem Datenschutz

Leider wird es kaum passieren, dass sich die anderen Länder dieser Entwicklung anschliessen. Die technische Entwicklung ermöglicht noch besseres Ausnutzen der personenbezogenen Daten. Darum wird es kaum im Interesse der Wirtschaft ein noch besserer Datenschutz sein. Es ist kaum zu erwarten, dass sich die Wirtschaft im Bereich Datenschutz selbst reguliert. Und was ist mit dem Staat? Generell kann man schon sagen, dass die Behörden schon ein gesunder Appetit nach Daten haben. Und dabei muss man nicht mal in die Länder wie China, Russland oder USA schauen. Auch in der Schweiz hat es Beispielsweise Bauämter, die Bautätigkeiten per Drohne überwachen. Für die Parteien ist von Interesse, nicht nur zu erfahren was die Wähler denken, sondern das Wahlverhalten entsprechend zu beeinflussen, ja sogar zu steuern. Selbst die demokratischen Länder sind davon dich verschont. Ein Blick in die USA zeigt, dass dies bereits versucht wurde (siehe Cambridge Analytica).

„Wer nichts zu verstecken hat, baucht auch keinen Datenschutz“

China betrachtet die personenbezogenen Daten als öffentliches Gut fast nach dem Motto „Wer nichts zu verstecken hat, braucht auch keinen Datenschutz“. Als bekannt wurde, das China social scoring system im Einsatz hat, war der Aufschrei in der Weltpresse sehr gross. Sowas kann es doch nur in einer Diktatur geben, oder? Nicht ganz. Social scoring gibt es bereits seit langem weltweit. Zugegeben, das im China ist eine, oder sogar einige Stufen weiter. hier schon mal paar Beispiele:

  • Jeder von uns hat schon mal ein „like“ oder „dislike“ verteilt. Angefangen mit Facebook, Instagram, Twitter, Youtube, Zeitungsartikel in den Online-Zeitungen, und vieles mehr.
  • Bonitätsprüfung durch einen Finanzdienstleister oder Finanzinstitut (z.B. SCHUFA)
  • Überprüfung vor der Einreise durch die Behörden

Wie gesagt das ist einige grosse Stufen entfern von dem was in China passiert, ist aber auch eine Art social scoring. Denn genauso wie in China, wer ein gute Punktezahl hat, hat Vergünstigungen. In China durch den Staat, sonst durch die Werbeeinahmen.

„Wer braucht schon meine Daten? Was kann er damit schon machen“

Wir sind aber doch sehr gut geschützt durch die Datenschutzgesetze. Sind wir das? Ja und nein. Mit der Einwilligung übernimmt jeder einzelne von uns die Verantwortung für seine Daten. Leider der grosse Teil von uns versteht aber gar nicht was man mit den Daten alles machen kann. Man hört oft die Aussage: „Wer braucht schon meine Daten? Was kann er damit schon machen“. Und der Druck die Einwilligung zu erteilen ist schon sehr gross. Sonst kann man die Dienstleistung nicht nutzen. Wenn man für jeden Service, für jede Website eine Einwilligung erteilen muss, dann wird man mit der Zeit einerseits müde und wird routinemässig auf „ja“ klicken. Andererseits weiss man schon nach kurzer Zeit nicht mehr welche Einwilligung, wem gegeben wurde. Damit sind auch die Rechte der Betroffenen dahin. Oder hat schon jemand nachträglich überall seine Einwilligung wieder entzogen? Ich jedenfalls nicht. Die neuen Generationen wachsen mit den „likes“ und „dislikes“. Dass die Daten auf Facebook, Instagram und co. publiziert sind, ist für sie keine Ausnahme, sondern die Regel.

Fazit

Das Bedürfnis der neuen Generationen nach dem Schutz der Privatsphäre ist viel geringer als bei den Generationen davor. Das sind aber auch diejenigen, die über die nächste Revision vom Datenschutzgesetzt zu befinden haben. Es wäre nicht verwunderlich, wenn die nächsten Datenschutzgesetze deutlich schwächer ausfallen werden. Es bleibt nur zu hoffen, dass die Technologie dem irgendwie entgegenwirken kann. Beispielsweise in dem solche Daten immer verschlüsselt sind, und mit so eine Art «time to live» markiert sind und sich dann selbst entsorgen, wenn die Zeit ausgelaufen ist.

Beitrag teilen

Ljubisa Jovanovic

Sascha Ljubisa Jovanovic ist dipl. Wirtschaftsinformatiker und bloggt aus dem Unterricht des CAS Data Privacy Officer. Er arbeitet an der ETH in Zürich als Gruppenleiter Stv. in den Informatikdiensten. In der Rolle des IT Security Delegierter der Sektion und als ISO des Departements Maschinenbau und Verfahrenstechnik kann er das Gelernte in der Prxis anwenden.

Alle Beiträge ansehen von Ljubisa Jovanovic →

Schreibe einen Kommentar