Am 2. Dezember 2022 hat das erste Datenschutz-Festival der Schweiz im Debattierhaus Karl der Grosse in Zürich stattgefunden. Angemeldet hatten sich über 120 Interessierte aus Wissenschaft, Politik und Zivilgesellschaft, um über einen zeitgemässen und selbstbestimmten Datenschutz zu diskutieren. Als Ausgangspunkt für eine neue Bewegung steht die Idee einer Volksinitiative, mit der sich die Digitale Gesellschaft zusammen mit der Stiftung für direkte Demokratie in den letzten Monaten intensiv beschäftigt hat. Am Datenschutz-Festival wurde diese zum ersten mal breit vorgestellt und diskutiert.
Die Bundesverfassung (Art. 13 Abs. 2) wird wie folgt geändert:
Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.
Ein zeitgemässer Datenschutz verpflichtet datenverarbeitende Stellen, die Interessen der betroffenen Personen zu wahren, wenn die Datenbearbeitung ungewollte Folgen für diese haben kann. Ein selbstbestimmter Datenschutz bedeutet darüber hinaus, dass jede Person selber bestimmen kann, welche Informationen über sie bearbeitet werden, die über die Notwendigkeit zur Erfüllung einer gewünschten Dienstleistung hinaus gehen. Doch:
- Was bedeutet die vorgeschlagene Verfassungsänderung diesbezüglich?
- Wie kommen wir vom Verfassungstext zu einem Datenschutz, der unsere Grundrechte schützt und eine breite Datennutzung ermöglicht?
- Welchen Datenschutz wollen wir überhaupt? Was sind die Schutzziele? Wollen wir Datenräume – oder nicht vielmehr Open Data?
Diesen Fragen wurde am ersten Datenschutz-Festival nachgegangen. Dr. Rahel Estermann (Generalsekretärin Grüne Schweiz, Vorstand Digitale Gesellschaft) und Dr. Daniel Donatsch (Software-Entwickler, Digitale Gesellschaft) führten durch den Abend.
Willkommen zum ersten Datenschutz-Festival der Schweiz
Den Auftakt machten Nationalrat Dr. Jörg Mäder (glp) und Erik Schönenberger, Geschäftsleiter der Digitalen Gesellschaft. In ihrem Vortrag gingen sie der These nach, wonach die fortschreitende Digitalisierung und Vernetzung sämtlicher Lebensbereiche, die durch die Pandemie einen zusätzlichen Schub erfahren hat, dazu geführt hat, dass das Thema Datenschutz für die Menschen immer wichtiger wird. Sie sind überzeugt, dass Datenschutz und Datennutzung nicht im Widerspruch zueinander stehen müssen. Im Gegenteil: Digitale Demokratie, E-Government und erfolgreiche neue Geschäftsmodelle sind massgeblich vom Vertrauen der Menschen in der Schweiz abhängig. Nur ein verantwortungsvoller Umgang mit Personendaten kann dieses Vertrauen gewährleisten.
Am Beispiel der drohenden Überidentifikation im neuen E-ID-Gesetz zeigten sie auf, dass auch das revidierte Datenschutzgesetz, das im September 2023 in der Schweiz in Kraft treten wird, nicht verhindern kann, dass bei ganz alltäglichen Vorgängen ein Ausweis verlangt wird, da die Hürden für eine Datenbearbeitung nicht hoch sind. Eine rechtmässige Bearbeitung von Personendaten liegt vor, wenn sie durch ein privates oder öffentliches Interesse oder durch ein Gesetz gerechtfertigt ist. Dies kann auch ein wirtschaftliches Interesse sein. Falls eine solche Rechtfertigung nicht vorliegt, kann die Einwilligung durch das Abnicken, beispielsweise der Allgemeinen Geschäftsbedingungen, eingeholt werden, ohne dass diesem widersprochen werden könnte. Eine einfach wahrzunehmende Widerspruchsmöglichkeit im Sinne eines Opt-out-Häkchen existiert in aller Regel ebenfalls nicht; in der Praxis müsste daher auf die Verletzung der Persönlichkeit geklagt werden. Zudem besteht in der Praxis auch kein Koppelungsverbot, das die Nutzung eines Dienstes von der Zustimmung zu einer Datenbearbeitung abhängig macht, wie beispielsweise einem Profiling.
Datenschutz-Initiative aus rechtlicher Sicht
Im Anschluss tauchten die Juristin Anna Walter und Rechtsanwalt Viktor Györffy in ihrer Präsentation zur Datenschutz-Initiative tiefer in die Verfassungsänderung ein und legten dar, was das in der jetzigen Formulierung enthaltene Missbrauchsparadigma für den Datenschutz und dessen Durchsetzung impliziert. Sie wiesen darauf hin, dass eine solche Formulierung, mit welcher der Inhalt und die Tragweite des Grundrechts zum Vornherein eingeschränkt wird, unüblich ist (typische Formulierung z.B.: «Die Wirtschaftsfreiheit ist gewährleistet.» [Art. 27 Abs. 1 BV]). In der Anwendung bedeutet das Missbrauchsparadigma, dass Betroffene selber tätig werden müssen, die Beweislast des Missbrauchs bei den Betroffenen liegt und diese eigentlich erst tätig werden können, wenn ein solcher bereits geschehen ist.
Das Bundesgericht anerkennt in seinen Urteilen zwar ein Recht auf informationelle Selbstbestimmung, dieses findet aber in der Verfassung keine explizite Erwähnung. Einige der nicht sehr zahlreichen Stimmen in der Lehre dazu halten fest, der Wortlaut von Art. 13 Abs. 2 BV (mit dem einschränkenden Missbrauchsparadigma) sei zu eng gefasst, andere kritisieren, dass die informationelle Selbstbestimmung ohne Grundlage in der BV angewendet werde.
Durch die Streichung der Worte «vor Missbrauch» würde das Missbrauchsparadigma aus dem Verfassungstext verschwinden. Festgehalten wäre stattdessen der Anspruch auf Schutz der persönlichen Daten. Das Grundrecht wäre ohne einschränkende Relativierungen vollumfänglich gewährleistet.
Die Konsequenzen daraus wären:
- Wirksamerer Datenschutz
- Verstärkte Selbstbestimmung der Bürger:innen
- Verstärkte Verpflichtung der Datenbearbeiter:in, die Interessen der betroffenen Personen zu wahren
- Vertrauen in Datennutzung und Datenbearbeitung wird gestärkt
- Tiefere Hürden bei der Durchsetzung des Anspruch auf Schutz der Daten
- Widerspruchsrecht bei Profiling
- Koppelungsverbot
Recht auf Informationelle Selbstbestimmung?!
Professor Dr. Florent Thouvenin ging dann in seinem Vortrag mit dem Titel «Recht auf informationelle Selbstbestimmung!?» noch genauer auf dessen Ursprung in der Schweiz und Deutschland ein. Er wies darauf hin, dass das Bundesgericht zwar das Recht jeder Person anerkennt, gegenüber fremder, staatlicher oder privater Bearbeitung von sie betreffenden Informationen bestimmen zu können, ob und zu welchem Zweck diese stattfindet – es begründe dies aber nicht weiter. In der Praxis relativiert sich das Recht zudem deutlich, da vielen Bearbeitungen gar nicht widersprochen werden kann, wenn dem Widerspruchsrecht die Rechte und Pflichten des Bearbeiters gegenüberstehen.
Er unterscheidet dann im Ausblick zu einem Datenschutz, der mit den nötigen Kontrollmechanismen ausgestattet ist, um die betroffenen Personen und die Gesellschaft vor Schäden zu bewahren, zwischen der Datenbearbeitung des Bundes und derer durch Private. Für die Bearbeitung von Personendaten im Sinn des Datenschutzgesetzes brauche es für den Bund zwingend eine gesetzliche Grundlage, klare Bearbeitungsgrundsätze (insbesondere Zweckbindung, Datenminimierung und Speicherbegrenzung) sowie Transparenz (insbesondere durch eine Informationspflicht und ein Auskunftsrecht). Für Private solle anstelle eines umfassenden Rechts auf informationelle Selbstbestimmung der Schutz der Persönlichkeit ins Zentrum rücken. Dies bedeutet insbesondere Schutz gegen die Bearbeitung entgegen dem Willen der betroffenen Person (Widerspruchsrecht) und Schutz gegen Nachteile aufgrund einer Bearbeitung von Personendaten (wie Diskriminierung und Manipulation).
Mit Technik anstatt Recht zum Schutz der Privatsphäre
Der IT-Security-Berater Dr. David Sommer sprach anschliessend zu Technologien zum Schutz der Privatsphäre. Privacy Enhancing Technologies (PETs) sind Hard- oder Softwarelösungen, die eine Nutzung sensibler Personendaten ermöglichen, ohne die Privatsphäre der betroffenen Personen nachhaltig zu beeinträchtigen. Im Vortrag wurden einige Technologien, deren Möglichkeiten und Limitierungen vorgestellt. Ein Beispiel ist Differential Privacy, welches Datenaggregationen «statistisches Rauschen» hinzufügt und damit ein De-Anonymisieren verhindert oder zumindest stark erschwert. Wenn Daten komplett anonymisiert sind, gelten sie nicht mehr als Personendaten und können prinzipiell als OpenData veröffentlicht werden.
Look and Feel der Datenschutz-Initiative
Parallel fand ein Workshop zum «Look and Feel der Datenschutz-Initiative» statt. Dabei stellten Daniel Graf (Campaigner und Stiftungsrat der Stiftung für direkte Demokratie), Samuel Raymann (Designer, PublicBeta) und Mia Gujer (Campaignerin, Digitale Gesellschaft) erste Ideen vor und entwickelten sie mit den Teilnehmer:innen weiter.
Rück- und Ausblick
Welche Erkenntnisse nehmen wir vom ersten Datenschutz-Festival der Schweiz mit? Wie geht es mit der Volksinitiative und der Bewegung weiter? Im Rück- und Ausblick sprachen Dr. Jörg Mäder und Erik Schönenberger mit Bettina Dürr (AlgorithmWatch Schweiz), Olga Baranova (CH++), Florin Hasler (opendata.ch) und Claudio Marti (SP), die neben vielen weiteren Organisationen dabei waren.
Im Rückblick auf das Festival wurde festgestellt, dass die informationelle Selbstbestimmung Grenzen hat, Eigenverantwortung bedeutet und nicht (mehr) dem Kern eines modernen Datenschutzes entspricht. Neben einem selbstbestimmten Datenschutz möchten wir daher einen Grundschutz auf den sich alle verlassen können. Daher müssen die datenverarbeitenden Stellen (welche im Besitz der Daten sind und überhaupt aktiv werden können) verpflichtet werden, die Interessen der Betroffenen zu wahren. Mit der Volksinitiative wollen wir dieses Grundverständnis ändern – und den Datenschutz vom Schutz und nicht mehr vom Missbrauch her denken.
Damit die Initiative Erfolg hat, muss es gelingen, die Änderung mit praktischen Auswirkungen und Nutzen in Verbindung zu bringen. Dazu gehört, dass auch der Staat, resp. der Gesetzgeber in die Pflicht genommen wird, beispielsweise indem Gesichtserkennung im öffentlichen Raum unmöglich wird und keine Chatkontrolle auf die politische Agenda in der Schweiz kommt. Neben einem guten Recht braucht es genauso gute Technik: Wenn es uns gelingt, Personendaten zu anonymisieren, dann sind wir auf einem guten Weg zur offenen Nutzung von Daten.
Die Initiative soll von einer breiten Allianz von Organisationen und Personen getragen werden. Dazu wird ein eigener Verein mit eigener Struktur geschaffen, der strategische und operative Gremien sowie das Initiativkomitee umfasst. Mit der Vereinsgründung steht auch ein Kassensturz an: Erst wenn absehbar ist, dass wir sowohl die Unterschriften wie auch das Budget zusammenbekommen, legen wir mit der Unterschriftensammlung los.
Zusammen wollen wir eine positive Vision der Digitalisierung verwirklichen.