Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Prinzipien des Datenschutzes – Kapitel 1

Fast jeder Aspekt des täglichen Lebens – von der Wirtschaft über die Freizeit bis hin zur Nutzung öffentlicher Dienste – ist heute zumindest teilweise auf die Verarbeitung von Daten angewiesen: ihre Erhebung, Speicherung, Nutzung und Verbreitung.

Datenschutz für Anfänger

Was ist Datenschutz?
Der Datenschutz, Gegenstand dieses Leitfadens, bezieht sich auf die Regelung der Verarbeitung einer Art von Daten, insbesondere von personenbezogenen Daten. Die Verarbeitung personenbezogener Daten hat das Potenzial, unser Leben besser und einfacher zu machen, kann aber gleichzeitig kann auch Risiken mit sich bringen.

In diesem Kapitel wird dargelegt, was wir unter personenbezogenen Daten und Datenverarbeitung verstehen und warum insbesondere die Verarbeitung personenbezogener Daten geregelt werden muss. Anschliessend betrachten wir die Ursprünge und die Geschichte des Datenschutzes und sehen, wie das Aufkommen des Internets neue Herausforderungen für seine Umsetzung geschaffen hat.

Was sind personenbezogene Daten?
Daten sind alle Arten von Informationen, die in irgendeiner Weise aufgezeichnet werden. Sie können online oder offline existieren, in Formen, die für Menschen verständlich oder nur für Computer lesbar sind.

Nicht alle Daten sind personenbezogene Daten. Ein Sensor in einer Fabrik, der die Anzahl der pro Stunde produzierten Ravioli misst, verarbeitet keine personenbezogenen Daten. Auch wenn diese Daten einen hohen wirtschaftlichen oder sozialen Wert haben können (und ihr Verlust oder ihre Beschädigung einen erheblichen Schaden verursachen könnte), gelten sie erst dann als personenbezogene Daten, wenn sich diese Daten auf eine bestimmte oder identifizierbare Person – die betroffene Person – beziehen. Die Person oder Einheit, die personenbezogene Daten sammelt und verarbeitet, wird als Datenverantwortlicher bezeichnet.

Während Informationen über Menschen oder Informationen, die zur Identifizierung einer Person führen können, während der ganzen Menschheitsgeschichte existiert haben, wurde der Begriff der personenbezogenen Daten erst in den 1970er Jahren mit dem Aufkommen der ersten digitalen Technologien formal definiert. Die Grundelemente dieser Definition sind bis heute mehr oder weniger einheitlich geblieben: Personenbezogene Daten sind einfach alle Daten, die sich auf eine identifizierte oder identifizierbare Person beziehen.

Es gibt im Wesentlichen vier Kategorien von Daten, die unter diese Definition fallen.

  • Informationen, die eine Person explizit identifizieren. Dies kann beispielsweise ein vollständiger Name, eine E-Mail-Adresse, die den vollständigen Namen des Benutzers enthält, oder Aufzeichnungen des Gesichts einer Person sein.
  • Informationen, die eine Person nicht explizit selbst identifizieren, sondern eindeutig für eine Person sind und deren Identifizierung ermöglichen, wenn weitere Informationen mit einbezogen werden. Dies kann eine Telefonnummer, eine nationale Identifikations- oder Passnummer oder ein Satz Fingerabdrücke sein.
  • Informationen, die möglicherweise nicht eindeutig für eine Person sind, sondern nur zu einem kleinen Personenkreis gehören, wie Geburtsdaten und IP-Adressen, die Personen identifizieren könnten, wenn sie mit anderen Daten kombiniert werden.
  • Informationen, die eine Person nicht als solche identifizieren, sondern Informationen über eine Person oder deren Aktivitäten liefern. Dies könnte Informationen über die Gesundheit einer Person oder ihre Beschäftigungsunterlagen umfassen. Oder es können geografische Daten, ihre Suchhistorie, Social Media-Aktivitäten oder ihre Online-Käufe sein.


WAS IST DATENVERARBEITUNG?
Im Allgemeinen bezieht sich die Datenverarbeitung auf die Erhebung, Speicherung, Nutzung oder Verbreitung von Daten. Während die Definitionen variieren, ist im Folgenden erläutert, worauf sich jede dieser Arten der Datenverarbeitung bezieht.

  • Sammlung: Oder, mit anderen Worten, die Daten zu erhalten. Die Datenerfassung kann manuell und relativ einfach sein – zum Beispiel, wenn eine Person ein Formular oder eine Umfrage ausfüllt. Aber auch maschinell können Daten vollautomatisch erfasst werden, ohne dass die betroffene Person oder ein bestimmter menschlicher Datenverantwortlicher davon Kenntnis hat – zum Beispiel über einen Webbrowser oder eine Überwachungskamera.
  • Speicherung: Nach der Erfassung müssen personenbezogene Daten irgendwo aufbewahrt werden. Dies kann in einem Aktenschrank, in einer Datenbank oder in einer Cloud-basierten Anwendung geschehen.
  • Verwendung: Dies umfasst die verschiedenen Operationen, die mit Daten durchgeführt werden können. Zum Beispiel, indem Sie sie mit anderen Datenbanken vergleichen, Daten anonymisieren, in ein anderes Dateiformat konvertieren oder anders sortieren.
  • Verbreitung: Dies bezieht sich auf die Art und Weise, wie Daten mit anderen geteilt werden. Für jemanden, der in einem Unternehmen arbeitet, kann die Verbreitung von Daten bedeuten, dass er eine Datenbank mit Kundeninformationen in eine Tabellenkalkulation exportiert oder in einem PowerPoint präsentiert. Oder es könnte bedeuten, dass ein Social-Media-Unternehmen Informationen über das Nutzerverhalten mit Werbetreibenden teilt.

Die Verarbeitung von Daten – sowohl persönlicher als auch nicht-persönlicher Natur – hat das Potenzial, das Leben der Menschen zu verbessern. Sie kann Dienstleistungen verbessern, Durchbrüche in der Medizin und im Gesundheitswesen fördern und bessere Produkte und Dienstleistungen schaffen. Die Charakteristika, die die Verarbeitung von Daten sinnvoll machen, können aber auch Risiken mit sich bringen. Wenn die Daten verloren gehen oder gefährdet sind, kann dies zu Schäden für Personen, Systeme, Unternehmen und sogar Staaten führen.

Der Datenschutz befasst sich insbesondere mit der Verarbeitung personenbezogener Daten, die mit besonderen und spezifischen Risiken verbunden sind. Personenbezogene Daten können Aufschluss darüber geben, wer eine Person ist, ihre Beziehungen, ihren Gesundheitszustand und ihre Geschichte, finanzielle Details, sexuelle Präferenzen und Überzeugungen. Ihre Verarbeitung kann daher erhebliche Risiken für das Recht einer Person auf Privatsphäre darstellen.

Das Recht auf Privatsphäre, wie wir in Kapitel 3 sehen werden, wird auf nationaler und internationaler Ebene mit verschiedenen Rechtsinstrumenten geschützt. Die Verarbeitung nicht personenbezogener Daten, da sie das Recht auf Privatsphäre nicht beeinträchtigen kann, wird nicht durch Datenschutzregulative geregelt, obwohl sie durch verschiedene andere regulatorische und nicht regulatorische Rahmenbedingungen geregelt werden kann, wie beispielsweise Gesetze zum Schutz von Geschäftsgeheimnissen oder Cybersicherheitsrichtlinien oder -gesetze.

WARUM PERSONENBEZOGENE DATEN SCHUTZ BENÖTIGEN
Im Laufe der Geschichte wurden Daten gesammelt, gespeichert, verwendet und verbreitet. Die römische Volkszählung zum Beispiel sah vor, dass die Verwalter von Tür zu Tür gingen, um Informationen über die Bürger zu sammeln, die von der Grösse ihres Haushalts bis hin zur Höhe des Grundstücks reichten. Die Entwicklung des Computers in den 1950er Jahren und die zunehmende Nutzung desselben in den 1960er Jahren veränderten jedoch die Art der Verarbeitung personenbezogener Daten und das Ausmass der Notwendigkeit, sie zu schützen.
Schon vor dem Internet hatte der Computer die Art und Weise, wie Aufzeichnungen und Daten erhoben, gespeichert, verwendet und verbreitet wurden, revolutioniert:

  • Sammlung: In den ersten Tagen des Computersports wurden die meisten Daten noch manuell gesammelt und in den Computer eingegeben. Dies geschah über Tastaturen oder Lochkarten (eine Möglichkeit, Daten auf Karten in radikal verkürzter Form zu erfassen). Diese Fortschritte bei Tastaturen und Lochkarten machten die Datenerfassung viel schneller und einfacher.
  • Speicherung: Eine der Hauptattraktionen von Computern war, dass sie grosse Datenmengen speichern konnten. Frühe Computer taten dies durch Lochkarten oder Magnetbänder, die in der Lage waren, mehr Daten zu speichern, als es bisher auf Papier möglich war. Da Computer sich immer weiter entwickelten, konnten sie grössere Datenmengen auf immer kleinerem Raum und zu niedrigeren Kosten speichern.

Gebrauch: Computer – zunächst hauptsächlich für militärische Anwendungen eingesetzt – wurden in den 1960er Jahren durch bestimmte Grossunternehmen und Regierungen zunehmend zur automatischen Verarbeitung und Speicherung von Daten eingesetzt. Dieser Trend setzte sich in den 70er und 80er Jahren fort, mit radikalen Fortschritten bei der Datenspeicherung und -verarbeitung sowie der schrittweisen Einbeziehung digitaler Technologien in eine Reihe von Alltagsaktivitäten – darunter Kommunikation, Shopping, Finanzen und Gesundheitswesen.

Verbreitung: Computer machten es viel einfacher, Daten auszutauschen, auch über Grenzen hinweg. Schon vor der Vernetzung ermöglichte die Verwendung von Disketten und Festplatten die Komprimierung grosser Datenmengen in kleine Objekte, die leicht gemeinsam genutzt werden konnten.

Diese Entwicklungen – und die damit verbundenen Risiken – führten in den 1960er Jahren zu öffentlicher Besorgnis, insbesondere in den Vereinigten Staaten und in Europa, wo Computer zu dieser Zeit allmählich weit verbreitet waren. Bücher und Broschüren prophezeiten regelmässig „das Ende der Privatsphäre“. Obwohl es bereits Datenschutzgesetze gab, waren sie breit gefächert und undefiniert und boten nicht viel Anleitung, was zum Schutz des Rechts auf Privatsphäre zu tun ist, wenn so viele personenbezogene Daten verarbeitet werden.

EINE KURZE GESCHICHTE DES DATENSCHUTZES
Daraufhin stimmten die Regierungen sowohl in den Vereinigten Staaten als auch in Europa darin überein, dass die Verarbeitung personenbezogener Daten geregelt werden muss. Sie setzten „Expertenausschüsse“ ein, um die Frage zu untersuchen. Diese Experten entwickelten eine Reihe von Leitprinzipien, die später allen künftigen Datenschutzregulativen zugrunde lagen, und die auf internationaler Ebene seitdem in zwei Texten kodifiziert wurden: den Leitlinien der Organisation für wirtschaftliche Zusammenarbeit und Entwicklung (OECD) zum Schutz der Privatsphäre und des grenzüberschreitenden Datenverkehrs und dem Übereinkommen 108 des Europarates (siehe Kapitel 3).

Diese Leitprinzipien lassen sich am besten so verstehen, dass ein Gleichgewicht zwischen zwei verschiedenen Prioritäten angestrebt wird: die Achtung der Rechte der Bürger, aber auch die Möglichkeit, personenbezogene Daten für wirtschaftliche und soziale Zwecke zu verarbeiten.

Eckdaten der Entwicklung des Datenschutzes in den USA und Europa (1970-2018)

Zwei Elemente wurden als Schlüssel zur Erreichung dieses Gleichgewichts identifiziert:

  • Auferlegung von Verpflichtungen für Datenverantwortliche. Ein Beispiel ist die Verpflichtung, die Zwecke, für die die personenbezogenen Daten zum Zeitpunkt der Erhebung erhoben werden, anzugeben, Daten sicher zu speichern und zu entsorgen, sobald sie für die Zwecke, für die sie ursprünglich erhoben wurden, nicht mehr relevant sind.
  • Gewährung von Rechten an die betroffenen Personen. Dies würde es ihnen ermöglichen, die Erhebung und Verarbeitung ihrer personenbezogenen Daten zu kontrollieren.
    Diese beiden Elemente wurden in die Gesetzgebung von Ländern auf der ganzen Welt aufgenommen und bilden die Grundlage für das, was wir heute als Datenschutz kennen: die Regelung der Erhebung, Speicherung, Verwendung und Verbreitung personenbezogener Daten, sobald sie von einer betroffenen Person freiwillig erhoben oder von einem für die Datenverarbeitung Verantwortlichen erfasst wurden.

ARTEN VON DATENSCHUTZSYSTEMEN
Trotz der Einigung über die Grundprinzipien des Datenschutzes und die Mittel zu ihrer Umsetzung gibt es erhebliche Unterschiede in der praktischen Anwendung, was zu einer Vielzahl konkurrierender Datenschutzsysteme auf der ganzen Welt führt. Systeme können definiert werden als das Set von Standards (oder Prinzipien, Normen und Regeln) und die Entscheidungsverfahren, die das Verhalten einer Institution – einschliesslich einer Regierung – in einem bestimmten Bereich bestimmen.

Die Datenschutzbestimmungen sind von Land zu Land unterschiedlich und können entweder umfassend oder sektoral sein:

  • Umfassend: Wenn ein Land über einen „umfassenden Datenschutz“ verfügt, bedeutet dies, dass die Gesetzgebung für alle personenbezogenen Daten gilt, die von einer Organisation in diesem Land verarbeitet werden, unabhängig von der Branche oder ob es sich um öffentliche oder private Organisationen handelt.
  • Sektoral: In einigen Ländern gilt die Regulierung nur für Daten, die vom öffentlichen oder privaten Sektor verarbeitet werden. In anderen Ländern gilt die Regulierung nur für bestimmte Branchen des öffentlichen oder privaten Sektors, die Daten verarbeiten (z.B. Gesundheit oder Bildung).

Es gibt viele Gründe, warum diese Unterschiede in den Datenschutzsystemen bestehen. Einige sind auf unterschiedliche rechtliche und politische Kulturen zurückzuführen. In den USA beispielsweise wird einem umfassenden Datenschutzregime seit langem widersprochen, weil sich die Politik gegen einen Ansatz wehrt, der den Marktteilnehmern eine stärkere staatliche Kontrolle aufzwingen würde. Dies steht im Gegensatz zu den europäischen Ländern, in denen der umfassende Ansatz gefunden werden kann und die im Allgemeinen seit langem Unterstützung für regulatorische Reaktionen oder Ansätze für politische Herausforderungen finden.

In einigen Fällen können Ressourcenengpässe der entscheidende Faktor sein. Datenschutzregulative sind ein relativ neues Phänomen, das erst in den letzten 40 bis 50 Jahren aufgetreten ist und nicht als oberste Priorität in Staaten angesehen wird, in denen die politische Entscheidungsfähigkeit bereits überlastet ist. In einigen Ländern werden die bestehenden Rechtsschutzbestimmungen für das Recht auf Privatsphäre als ausreichend angesehen, um Datenschutzfragen abzudecken.

Andere spezifischere Gründe können die Einführung des Datenschutzes in bestimmten Regionen erklären. Die jüngste Einführung eines umfassenden Datenschutzes in West- und Nordafrika (von 2013 bis 2018 haben zehn Länder in diesen Regionen Datenschutz-Frameworks angenommen) ist zum Teil auf die Existenz eines Netzes von Datenschutzbehörden zurückzuführen, das Kooperations- und Ausbildungsinitiativen zwischen frankophonen Ländern im Bereich des Datenschutzes unterstützt.

DATENSCHUTZ UND INTERNET
Die rasante Verbreitung des Internets hat neue Herausforderungen rund um die Anwendung des Datenschutzes mit sich gebracht. Insbesondere hat sie die Ausübung von Nutzerrechten erschwert. Dies hat zwei Gründe:

  • Zunehmende Komplexität der Datenflüsse: Gemäss den Grundsätzen des Datenschutzes sollten die für die Datenverarbeitung Verantwortlichen für die Verarbeitung personenbezogener Daten verantwortlich und transparent sein. So hat der Nutzer beispielsweise das Recht zu erfahren, welche Daten über ihn gespeichert sind und diese unter bestimmten Bedingungen ändern oder löschen zu können. Die zunehmende Komplexität der Datenflüsse erschwert jedoch die Erfüllung dieser Verpflichtung. Zunehmend bewegen sich personenbezogene Daten durch mehrere Gerichtsbarkeiten, die unterschiedliche Verpflichtungen haben können. So kann beispielsweise jemand einen Taxidienst nutzen, der über eine Online-Plattform in Ghana betrieben wird, aber die personenbezogenen Daten im Zusammenhang mit seinen Reisen können von einem Unternehmen mit Sitz in den USA verarbeitet werden, das wiederum ein Unternehmen nutzt, das globale Datenspeicherdienste anbietet. Dies könnte bedeuten, dass ihre Daten von Irland über Hongkong bis Indien gespeichert werden, die alle unterschiedliche Datenschutzlegislation haben.
  • Die Schwierigkeit, eine sinnvolle Zustimmung zu erhalten: Im digitalen Zeitalter hat die automatische Generierung personenbezogener Daten stark zugenommen, und die automatisierte Erfassung und Verarbeitung personenbezogener Daten ist viel billiger und routinemässiger geworden. Das bedeutet, dass die Sicherstellung, dass die Nutzer ihre Rechte an ihren Daten ausüben können, viel schwieriger ist. Einer der Gründe dafür ist, dass sich die Verantwortlichen aufgrund des Umfangs der Datenerhebung traditionell auf „tick-box“-Dienstleistungsvereinbarungen (Terms of Service Agreements, TSAs) verlassen haben, um die Zustimmung zur Erhebung und Verarbeitung personenbezogener Daten zu erhalten. TSAs zeigen den betroffenen Personen in der Regel ein Kästchen mit den Allgemeinen Geschäftsbedingungen des für die Datenverarbeitung Verantwortlichen und der Bitte um Erlaubnis, die Daten nicht nur zu sammeln, sondern auch mit anderen Unternehmen oder „Dritten“ zu teilen. Dies wird oft in Kurzform als „Mitteilung und Zustimmung“ bezeichnet. Aber diese Mitteilungen stellen kein wirkliches Mittel für die betroffene Person dar, die keine andere Wahl hat, als die Vereinbarung zu akzeptieren, wenn sie den Dienst nutzen möchte. In der Praxis gibt diese Situation den Nutzern dann nur sehr wenig Einfluss auf die Verarbeitung ihrer Daten.

Aufgrund immer mehr billiger PCs und digitaler Geräte und der Zunahme der Datenerfassung durch digitale Sensoren und Objekte, die mit dem Internet verbunden sind (oft als Internet der Dinge bezeichnet), werden mehr persönliche Daten verarbeitet. Aber diese Verarbeitung erlaubt auch mehr Rückschlüsse. Mit der zunehmenden Digitalisierung aller Aspekte des menschlichen Lebens ist es möglich geworden, aus personenbezogenen Daten ein viel detaillierteres und komplexeres Bild von Personen zu erstellen. Heute können beliebte Verbrauchertechnologien neben den detaillierten persönlichen Informationen, die routinemässig von Arbeitgebern, Gesundheitsdiensten und Regierungsbehörden gesammelt werden, die genauen Bewegungen einer Person an einem bestimmten Tag, das, was sie gekauft hat, ihre Online-Suchhistorie und das, was ihnen in sozialen Medien „gefällt“, offenlegen. Gleichzeitig ermöglichen die Fortschritte in den digitalen Technologien, dass diese unterschiedlichen Datensätze zunehmend verglichen und sinnvoll aggregiert werden können.

Die zunehmende Datenmenge, die verarbeitet wird, und die ausgefeiltere Analyse der Daten haben zu weitreichenden Vorteilen für Einzelpersonen und Gesellschaften geführt, insbesondere zu benutzerfreundlicheren Verbraucherprodukten und -dienstleistungen, die sich heute routinemässig an den spezifischen Geschmack und die Bedürfnisse der Nutzer anpassen. Aber es bedeutet auch, dass die Risiken für die Menschenrechte, die der Datenverarbeitung innewohnen, die bereits in diesem Kapitel diskutiert wurde, zunehmen. In diesem Zusammenhang soll die Datenschutzregulierung die Menschenrechte, einschliesslich des Rechts auf Privatsphäre, schützen, indem sie Personen die Möglichkeit gibt, die Verarbeitung ihrer Daten zu kontrollieren, und denen, die die Daten verarbeiten, Verpflichtungen auferlegt.

Es besteht allgemeine Einigkeit darüber, dass die Fähigkeit der Nutzer, eine angemessene Kontrolle über ihre personenbezogenen Daten zu haben, im digitalen Zeitalter schwieriger geworden ist und dass es notwendig ist, sich damit auseinanderzusetzen. Aber, wie wir im nächsten Kapitel sehen werden, gibt es erhebliche Meinungsverschiedenheiten über „was wir dagegen tun sollen“.

Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf


© Swiss Infosec AG 2024