Personendaten und vernetzte Objekte: Wer hat die Datenhoheit?

In der digitalen Gesellschaft hinterlassen die Konsumenten Spuren: Es werden Daten erhoben, zusammengefügt und wiederverwendet, um alle möglichen Arten von Dienstleistungen zu erbringen. Smartphone-Apps liefern den Anbietern Informationen über die Nutzer, und immer mehr Autos übermitteln Daten direkt an die Hersteller. Haben also die Konsumenten nach wie vor die Kontrolle über alle Daten, die sie täglich erzeugen? Sprich: Wer hat die Datenhoheit?[1]

In der Europäischen Union zielt die Datenschutz-Grundverordnung darauf ab, natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen.[2] Sofern keine übergeordneten und berechtigten privaten oder öffentlichen Interessen vorliegen, muss die Einwilligung der betroffenen Personen eingeholt werden.

In der Schweiz ist Datenschutz im Bundesgesetz über den Datenschutz (DSG) geregelt. Der Geltungsbereich des Gesetzes geht dabei über die EU-Datenschutzverordnung hinaus, da nebst natürlichen Personen auch juristische Personen geschützt werden. Damit die Datenverarbeitung rechtmässig ist, verlangt das DSG die Einwilligung des Betroffenen – oder es muss ein überwiegendes Interesse der bearbeitenden Person vorliegen. Keine Persönlichkeitsverletzung liegt hingegen in der Regel vor, wenn die betroffene Person die Daten allgemein zugänglich gemacht und eine Bearbeitung nicht ausdrücklich untersagt hat.[3] Da die europäische Datenschutzverordnung im Vergleich dazu offenkundig restriktiver ist, gleiste der Bundesrat im Jahr 2017 zu Recht die Revision des DSG auf.[4] Trotzdem gilt: Natürliche Personen sind in der Schweiz durch das DSG gut geschützt. Damit eine Verarbeitung ihrer «Personendaten» rechtmässig ist, müssen sie ihre Einwilligung geben, oder ihr Verhalten muss auf eine solche Einwilligung schliessen lassen; insbesondere müssen sie die Daten allgemein zugänglich machen.

Anonymisierte Daten?

Das DSG definiert Personendaten als «alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen».[5] Die EU-Datenschutzverordnung verfolgt einen ähnlichen Ansatz: Personenbezogene Daten umfassen hier alle Informationen, die sich auf eine natürliche Person beziehen, die direkt oder indirekt identifiziert werden kann – insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Onlinekennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.[6]

Mit einer Anonymisierung der Datenerhebung könnte somit die EU-Datenschutzverordnung umgangen werden. Viele Unternehmen lehnen eine vollständige Anonymisierung jedoch ab, da für das Data-Mining und die Verarbeitung personenbezogener Daten gerade die persönlichen Merkmale von Interesse sind.

Seit dem Inkrafttreten der EU-Datenschutzverordnung öffnet sich auf unseren Smartphones, Computern und Tablet-PCs manchmal ein Fenster, das uns die Möglichkeit gibt, der Verarbeitung aller Arten von personenbezogenen Daten zuzustimmen. Dies ist eine der Möglichkeiten, den Datenschutz zu gewährleisten. Sie kann – zumindest theoretisch – jederzeit widerrufen werden.[7] Zugleich gelten Datenschutzanforderungen, welche mit geeigneten technischen und organisatorischen Massnahmen gewährleistet werden müssen («Privacy by Design»).[8] So dürfen in der Voreinstellung einer App grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Zweck erforderlich ist. Wenn das DSG an das europäische Schutzniveau angepasst ist, wird es den Anwendern ebenfalls die Hoheit über ihre Personendaten einräumen.

Unübersichtlichkeit birgt Risiken

Mittlerweile müssen die Konsumenten immer häufiger der Verarbeitung ihrer Personendaten zustimmen, indem sie einen Vertrag abschliessen oder eine besondere Einwilligung erteilen. Dies hat zu einer besorgniserregenden Situation geführt. Denn niemand kann heute mit Sicherheit sagen, für welche Zwecke er bereits seine Einwilligung zur Nutzung seiner personenbezogenen Daten erteilt hat.

Typischerweise löst diese Unübersichtlichkeit bei den Nutzern zwei unterschiedliche Reaktionen aus: Zum einen veranlasst der Eindruck, dass sie der Nutzung ihrer Personendaten bereits auf breiter Ebene zugestimmt haben, viele Nutzer dazu, die Erteilung ihrer Einwilligung als unbedeutenden Vorgang oder sogar als unnötige Schikane zu betrachten. Zum anderen neigen sie dazu, sich in erster Linie auf die besonders schützenswerten Personendaten zu konzentrieren, für die eine ausdrückliche Einwilligung und spezifische Meldepflichten erforderlich sind.

Als Folge wird der vorgesehene Schutz der «normalen» personenbezogenen Daten stark verringert. Nehmen wir das Beispiel der vernetzten Objekte: Bis 2025 werden im Zusammenhang mit dem Internet der Dinge («Internet of Things», IOT) voraussichtlich 22 Milliarden vernetzte Objekte weltweit genutzt.^[9] Den Konsumenten bietet das IOT neue Funktionen und Vorgehensweisen im Alltag, die uns das Leben erleichtern sollen. Es vermag Güter und Dienstleistungen – etwa aus den Bereichen Alltagsgüter, Energie und Gesundheit – individuell zu gestalten. Gleichzeitig schafft es aber auch Probleme für die Konsumenten und ihre Rechte.

Namentlich birgt das Internet der Dinge Sicherheitsrisiken: Wenn Lücken in der IT-Sicherheit vorliegen, erhalten Hacker unter Umständen Zugriff auf wichtige Unternehmens- und Kundendaten. Eine weitere Herausforderung sind die gesetzlichen Vorgaben beim «Data Management». Denn ein Kunde muss in die Verarbeitung seiner Daten einwilligen und Kenntnisse von den Verarbeitungsprozessen haben. Um das Vertrauen in die vernetzten Objekte zu stärken, müssen die Konsumenten daher ausreichend über die Funktionsweise der Datenverarbeitung informiert sein. Mit anderen Worten: Es braucht ein angemessenes System für die Information und den Schutz der Konsumenten – und es müssen Wahlmöglichkeiten bestehen.

Mehr Wahlmöglichkeiten

Personenbezogene Daten sind für Technologieunternehmen und andere Firmen zweifellos wichtig, um die Zuverlässigkeit und Sicherheit ihrer vernetzten Produkte zu verbessern. Gleichzeitig haben diese Daten für die Unternehmen auch einen wirtschaftlichen Nutzen. So können die Konsumenten dank dem Internet der Dinge direkt mit den Produzenten verbunden werden. Dies ermöglicht ein schnelleres Feedback zur Kundenzufriedenheit und zur Automatisierung von Kontrollprozessen, zum Beispiel bei standardisierten Wartungsverträgen. Ausserdem können Konsumtrends sowie Kaufentscheide von Kunden antizipiert werden.

Die Wahl eines Produkts wird künftig auch davon abhängen, welche Art der Datenübermittlung und -verarbeitung ein Kunde bevorzugt. Damit er seine Rolle im Wettbewerb zwischen den Anbietern wahrnehmen kann, sollte er angemessen über neue Elemente informiert werden. Insbesondere im Bereich Smart Home dürfte hier ein Markt entstehen.

Für den Konsumenten ist es wichtig, zu wissen, wie der Nutzen der erhobenen und verwendeten Daten verteilt wird: Kann er von den wirtschaftlichen Vorteilen profitieren, die aus der Datenaggregation resultieren? Wird er wirksam vor Missbrauch geschützt? Diesbezüglich ist in der Schweiz die laufende Revision des Datenschutzgesetzes zentral. Sie wird jedoch nicht vor 2020 erfolgen. Es ist allerdings fraglich, ob die rasante technologische Entwicklung genügend berücksichtigt werden kann.

Unabhängig davon ist es unerlässlich, Überlegungen zur Frage anzustellen, wie die Wahlmöglichkeiten des Konsumenten im Zusammenhang mit vernetzten Objekten am besten organisiert werden können: Soll der Kunde darüber entscheiden können, an wen die Daten übermittelt werden? Müssen ihm mehrere Modelle zur Verfügung stehen? Soll ein Besitzer eines vernetzten Fahrzeugs beispielsweise verlangen können, dass die Daten nicht nur an den Hersteller, sondern auch an private Vereine wie den Touring-Club Schweiz (TCS) oder den Automobil-Club der Schweiz (ACS) übermittelt werden?

Wichtig sind auch technische Vorkehrungen und gesetzliche Regelungen. Diese müssen sicherstellen, dass Daten nur zeitlich begrenzt gespeichert werden. Zudem sollten nur so viele Daten wie nötig erhoben werden. Von Bedeutung ist in diesem Zusammenhang der Ausbau des kollektiven Rechtsschutzes durch Sammelklagen und die kollektive einvernehmliche Streiterledigung, wie dies im Vorentwurf zur Revision der Zivilprozessordnung vorgeschlagen wird.[10]

Kollektiver Rechtsschutz

Somit gilt: Wenn Konsumenten eine aktive Rolle im Anbieterwettbewerb spielen sollen, sind die kollektive Dimension und ein kollektiver Rechtsschutz bei personenbezogenen Daten wichtig – dieser muss aber noch klar umrissen werden. So müssen Massnahmen ergriffen werden, um die Wahlmöglichkeiten der Konsumenten zu fördern – insbesondere im Zusammenhang mit Daten, die zu einem vernetzten Objekt erhoben und Dritten zur Verfügung gestellt werden. Auf diese Weise kann vermieden werden, dass die Konsumenten die Hoheit über ihre Daten verlieren.

Denn mit der punktuellen und binären Einwilligung («Ja» oder «Nein») ist es nicht mehr möglich, ein Gleichgewicht zwischen dem Nutzen der Daten, der Aneignung von Gewinnen und dem Aufbau eines Systems zu gewährleisten, das auf dem Vertrauen der Nutzer beruht. Es ist an der Zeit, die kollektive Dimension der Daten stärker zu berücksichtigen.

1. Vgl. EKK (2017). []
2. ABl. L 119 vom 4. 5. 2016, S. 1. []
3. Art. 12 Abs. 3 DSG. []
4. Bundesrat (2017). []
5. Art. 3 Bst. a DSG. []
6. Art. 4 DSGVO. []
7. Art. 7. Abs. 3 DSGVO. []
8. Art. 25 DSGVO. []
9. IOT Analytics (2018). []
10. Vgl. EKK (2015) und EKK (2018). Der Entwurf, der erläuternde Bericht und das Ergebnis des Vernehmlassungsverfahrens können auf der Website des Bundesamtes für Justiz abgerufen werden. []