Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Prinzipien des Datenschutzes – Kapitel 4

Wie wir in Kapitel 1 gelesen haben, entstand das Konzept des Datenschutzes in den 1960er Jahren als Reaktion auf die Befürchtung, dass der schnelle Anstieg der Verarbeitung personenbezogener Daten zu Verletzungen des Rechts auf Privatsphäre führen könnte.

Datenschutz für Anfänger

Um den Bedenken (Verletzungen des Rechts auf Privatsphäre) Rechnung zu tragen, wurden eine Reihe von Leitlinien entwickelt, die sicherstellen sollen, dass personenbezogene Daten ohne Verletzung der Menschenrechte verarbeitet werden können. Bis Anfang der 1980er Jahre waren diese Grundsätze in zwei internationalen Texten kodifiziert, die im Folgenden näher erläutert werden.

WIE WÜRDE EIN MENSCHENRECHTSKONFORMES DATENSCHUTZREGIME AUSSEHEN?
Diese Grundsätze, sobald sie in nationales Recht umgesetzt sind, erlegen den für die Datenverarbeitung Verantwortlichen Verpflichtungen auf und verleihen den Nutzern Rechte in Bezug auf die Verarbeitung ihrer Daten. Daher waren Datenschutz und Menschenrechte (insbesondere das Recht auf Privatsphäre) schon immer untrennbar miteinander verbunden. Diese Grundsätze bilden die Grundlage für Datenschutzrahmenwerke auf der ganzen Welt, unabhängig davon, ob diese verbindlich (z.B. Gesetzgebung) oder nicht verbindlich (z.B. freiwillige Frameworks oder Leitlinien) sind.

Aber wenn es um den Datenschutz geht, ist es nicht nur der Inhalt eines Gesetzes oder einer Richtlinie, der darüber entscheidet, ob ein Land über ein Datenschutzsystem verfügt, das die Menschenrechte achtet. Wie wir in Kapitel 1 gesehen haben, kann ein Datenschutzsystem entweder umfassend sein, was bedeutet, dass die Gesetzgebung für den privaten und öffentlichen Sektor gilt, oder es kann sektoral sein, was bedeutet, dass es nur für einige Sektoren gilt.

Es gibt vier Schlüsselelemente, die darüber entscheiden, ob ein Land über Menschenrechte verfügt, die das Menschenrechtssystem respektieren:

  1. das Bestehen eines Datenschutzgesetzes;
  2. die Aufnahme international vereinbarter Mindestdatenschutzstandards in das Gesetz;
  3. der Umfang des Geltungsbereichs des Datenschutzgesetzes und
  4. das Vorhandensein einer Vollstreckungs- oder Regulierungsbehörde.

Nur wenn ein Land über alle vier Elemente verfügt, kann es als menschenrechtskonform angesehen werden. Im Folgenden betrachten wir jedes Element in Form von zentralen Leitfragen, die auf jedes Land angewendet werden können.

1. Gibt es ein Datenschutzgesetz?

Die Verabschiedung eines Datenschutzgesetzes ist der erste Schritt, den ein Staat in Richtung eines die Rechte respektierenden Datenschutzsystems unternehmen kann.

Aber hier stellt sich eine offensichtliche Frage. Hat ein Staat überhaupt eine Verpflichtung, diesen ersten Schritt zu tun? Die Antwort ist ja. Wenn es um den Schutz der Menschenrechte geht, haben Staaten sowohl negative als auch positive Verpflichtungen.

  • Bei den negativen Verpflichtungen geht es darum, keine Massnahmen zu ergreifen, die sich nachteilig auf die Menschenrechte auswirken.
  • Positive Verpflichtungen erfordern, dass der Staat bestimmte Schritte unternimmt, um den Schutz der Menschenrechte zu gewährleisten.

Im Falle des Datenschutzes ist diese positive Verpflichtung besonders wichtig. Wie wir in Kapitel 3 gesehen haben, haben personenbezogene Daten und ihre Erhebung, Speicherung, Verwendung und Verbreitung alle Auswirkungen auf das Recht einer Person auf Privatsphäre und stellen eine potenzielle Gefahr für sie dar. Die Staaten sind daher verpflichtet, Massnahmen zu ergreifen, um sicherzustellen, dass das Recht des Einzelnen auf Privatsphäre geschützt wird, und die Verantwortlichkeit und Haftung im Falle einer Verletzung festzustellen.

Der allgemeine Kommentar des Menschenrechtsausschusses zum Recht auf Privatsphäre ist klar, dass es eine Gesetzgebung sein sollte – im Gegensatz zu einer anderen Massnahme –, die festlegt, wer Zugang zu Informationen über das Privatleben einer Person hat und wie diese verarbeitet und verwendet werden können.

2. Enthält das Datenschutzgesetz die Mindeststandards, die erforderlich sind, um den Schutz des Rechts auf Privatsphäre einer Person zu gewährleisten?

Die Datenschutzgesetzgebung sollte mit den festgelegten internationalen Standards im Einklang stehen. Obwohl die internationale Menschenrechtsgesetzgebung selbst keine genauen Angaben darüber enthält, wie die Rechtsvorschriften zur Wahrung der Rechte aussehen sollten, wurde diese Lücke durch die beiden folgenden Texte geschlossen.

  • OECD-Leitlinien zum Datenschutz und zum grenzüberschreitenden Datenfluss: Die OECD ist eine zwischenstaatliche Organisation von 35 Volkswirtschaften mit hohem Einkommen, die gegründet wurde, um den wirtschaftlichen Fortschritt und den Welthandel zu fördern. Im Jahr 1980 entwickelte sie eine Reihe von Datenschutzrichtlinien zur Harmonisierung der Vorschriften und zur Minimierung der Hindernisse für grenzüberschreitende Ströme personenbezogener Daten, die damals rasant zunahmen. Die Leitlinien wurden 2013 aktualisiert.
  • Übereinkommen 108 zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten: Der Europarat ist eine zwischenstaatliche Organisation, die sich aus 47 europäischen Ländern zusammensetzt. Erklärtes Ziel ist die Wahrung der Menschenrechte, der Demokratie und der Rechtsstaatlichkeit. Das Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (kurz „Übereinkommen 108“) wurde 1981angenommen und von allen 47 Mitgliedsstaaten des Europarates ratifiziert. Es steht auch Staaten, die nicht Mitglieder des Rates sind, zur Ratifizierung offen und ist das weltweit einzige rechtsverbindliche Instrument, das sich speziell auf den Datenschutz konzentriert.

Obwohl es einige kleine Unterschiede gibt, gibt es grosse Überschneidungen zwischen den beiden Normen. Wie bereits erwähnt, sind die in den OECD-Datenschutzrichtlinien und dem Übereinkommen 108 enthaltenen Standards das Minimum, das erforderlich ist, damit das Recht einer Person auf Schutz der Privatsphäre gewährleistet ist. Es gibt jedoch immer mehr Fälle, in denen Staaten das Recht des Einzelnen auf Privatsphäre in der Datenschutzgesetzgebung stärker geschützt haben, insbesondere die Mitgliedstaaten der EU durch die DSGVO

Die zehn Mindeststandards

  1. Fairness und Rechtmässigkeit: Personenbezogene Daten sollten fair und mit Zustimmung der betroffenen Person oder auf einer anderen Rechtsgrundlage erhoben (und danach gespeichert und verwendet) werden.
  2. Datenqualität: Personenbezogene Daten sollten angemessen, relevant und nicht übermässig im Verhältnis zu den Zwecken, für die sie gespeichert und verwendet werden, sein.
  3. Zweckbestimmung: Personenbezogene Daten sollten nur für legitime Zwecke erhoben, gespeichert und verwendet werden, und nicht in einer Weise, die mit diesen Zwecken unvereinbar ist.
  4. Hinweis zum Zweck: Die betroffene Person sollte über die Zwecke informiert werden, für die ihre Daten zu oder vor dem Zeitpunkt ihrer Erhebung erhoben, gespeichert und verwendet werden.
  5. Eingeschränkte Nutzung: Personenbezogene Daten dürfen nur mit Zustimmung der betroffenen Person oder durch die Autorität des Gesetzes für andere als die zum Zeitpunkt der Erhebung angegebenen Zwecke verwendet oder verbreitet werden.
  6. Sicherheit: Aufgrund der Risiken für die Privatsphäre einer Person, die entstehen können, wenn ihre personenbezogenen Daten verloren gehen, gestohlen werden oder durchsickern, sollten die Datenschutzgesetze die für die Datenverarbeitung Verantwortlichen verpflichten, geeignete Sicherheitsmassnahmen zu ergreifen.
  7. Offenheit: Da personenbezogene Daten von Einzelpersonen ohne deren Wissen erhoben werden können, sollten die Datenschutzgesetze eine Stelle – ob Behörde, Privatunternehmen oder andere – verpflichten, Einzelpersonen zu informieren, wenn sie personenbezogene Daten über sie sammelt.
  8. Zugriff: Einzelpersonen sollten auch in der Lage sein, ohne übermässige Verzögerung oder Kosten alle personenbezogenen Daten, die über sie erhoben wurden, in verständlicher Form anzufordern.
  9. Korrektur oder Löschung: Eine Person sollte in der Lage sein, unrichtige oder entgegen den oben genannten Grundsätzen verarbeitete Daten zu korrigieren oder zu löschen.
  10. Rechenschaftspflicht, Sanktionen und Rechtsbehelfe: Die für die Datenverarbeitung Verantwortlichen sollten für die Einhaltung der Anforderungen der Datenschutzgesetzgebung verantwortlich sein.

Da das Recht auf Privatsphäre kein absolutes Recht ist und mit anderen ausgewogen sein muss, einschliesslich des Rechts auf freie Meinungsäusserung, ist es wichtig, dass die Datenschutzgesetze auch Ausnahmen zulassen. Damit diese Ausnahmen jedoch menschenrechtskonform sind, müssen sie bestimmten Prüfungen unterzogen werden, d.h. sie dürfen nur dann zugelassen werden, wenn es eine Rechtsgrundlage für die Beschränkung gibt, wenn sie einem legitimen Ziel dient und verhältnismässig ist. Diese Prüfungen sind in Anhang 2 näher beschrieben (siehe Seite 92-4).

Über die Mindeststandards hinaus: die DSGVO der EU

Die DSGVO baut auf den bestehenden Normen auf, indem sie die Definition von personenbezogenen Daten erweitert, den Nutzern mehr Rechte zur Kontrolle der Verarbeitung ihrer Daten einräumt und den für die Datenverarbeitung Verantwortlichen mehr Verpflichtungen in Bezug auf die Verarbeitung personenbezogener Daten auferlegt.

Nachfolgend finden Sie einige Beispiele dafür, wie die DSGVO auf den Mindeststandards aufbaut und diese erweitert:

  • Einwilligung: Die Mindestnormen erfordern in der Regel die Zustimmung der betroffenen Person, bevor personenbezogene Daten erhoben (oder gespeichert, verwendet oder verbreitet werden können), geben aber nicht an, was unter „Zustimmung“ zu verstehen ist. In der Praxis, wie in Kapitel 1 erwähnt, stimmen die betroffenen Personen oft zu, indem sie am Ende langer, technischer und komplizierter Serviceverträge ein Häkchen setzen. Die DSGVO versucht, die Zustimmung besser zu informieren, indem sie verlangt, dass jeder schriftliche Antrag auf Zustimmung in „einer verständlichen und leicht zugänglichen Form, in einer klaren und klaren Sprache“ vorliegt.
  • Erweiterte Definition von Sonderkategorien: Die DSGVO enthält eine Definition von „speziellen Kategorien“ von personenbezogenen Daten, die ist breiter und umfangreicher als die des Übereinkommens 108. Es gibt grössere Einschränkungen für personenbezogene Daten, die einen Hinweis auf eine Rasse oder ethnische Herkunft der Person, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten zum Zwecke der eindeutigen Identifizierung einer natürlichen Person, Daten zur Gesundheit oder Daten zum Sexualleben oder zur sexuellen Orientierung einer Person.
  • Mehr Rechte für Benutzer, ihre Daten zu löschen: Die Mindestnormen geben der betroffenen Person nur dann das Recht auf Löschung ihrer personenbezogenen Daten, wenn sie unrichtig sind oder wenn sie entgegen den anderen Grundsätzen verarbeitet wurden. Die DSGVO erlaubt es den betroffenen Personen jedoch auch, die Löschung personenbezogener Daten zu beantragen, nur weil sie einer künftigen Verarbeitung dieser Daten nicht mehr zustimmen und es keine andere Rechtsgrundlage für ihre Verarbeitung gibt, eine Bestimmung, die als „das Recht auf Löschung“ bezeichnet wird. Wie in Kapitel 3 erwähnt, könnte dies möglicherweise mit anderen Rechten, insbesondere dem Recht auf freie Meinungsäusserung, kollidieren, so dass die DSGVO eine Ausnahme vom Recht auf Löschung enthält, wenn die Verarbeitung dieser personenbezogenen Daten „notwendig für die Ausübung des Rechts auf freie Meinungsäusserung und Informationsfreiheit“ ist.
  • Ein Recht auf Widerspruch gegen Entscheidungen über die automatisierte Verarbeitung: Die Mindestnormen sagen nichts über die Rechte der betroffenen Personen aus, wenn Entscheidungen durch Automatisierung getroffen werden, die sie betreffen. Die DSGVO gibt den betroffenen Personen das Recht, nicht einer Entscheidung zu unterliegen, die ausschliesslich auf einer automatisierten Verarbeitung (einschliesslich Profilerstellung) beruht, die Rechtswirkungen für sie hat oder sie anderweitig erheblich beeinträchtigt.
  • Meldepflichten bei Datenschutzverletzungen: Die Mindeststandards sagen nichts darüber aus, was ein für die Datenverarbeitung Verantwortlicher im Falle eines Datenverstosses tun soll. Die DSGVO stellt fest, dass der für die Verarbeitung Verantwortliche, wenn eine Datenschutzverletzung mit personenbezogenen Daten stattfindet, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen kann, die betroffene Person unverzüglich benachrichtigen muss.

3. Ist das Datenschutzgesetz umfassend?

Das Recht auf Privatsphäre in Artikel 17 des UNO-Pakts II unterscheidet nicht zwischen den Auswirkungen auf die Privatsphäre, die von Akteuren des öffentlichen Sektors, des Privatsektors oder anderswo ausgehen, während die allgemeine Stellungnahme des Menschenrechtsausschusses zum Recht auf Privatsphäre klarstellt, dass diese Datenschutzvorschriften für alle personenbezogenen Daten gelten müssen, unabhängig davon, ob sie von „Behörden oder Privatpersonen oder Einrichtungen“ erhoben, gespeichert oder verwendet werden. Das bedeutet eine umfassende Datenschutzgesetzgebung.

Die Anforderung an eine umfassende Datenschutzgesetzgebung findet sich auch in zwei wichtigen internationalen Standards, die in Übereinkommen 108 und den OECD-Datenschutzrichtlinien entwickelt wurden. Wir werden diese im nächsten Kapitel näher betrachten, aber die Konvention 108 verlangt von allen Staaten, die sie ratifiziert haben, „die notwendigen Massnahmen in ihrem nationalen Recht zu ergreifen“, um ihre Bestimmungen umzusetzen, und die OECD-Datenschutzrichtlinien besagen, dass Staaten „nationale Gesetze oder Vorschriften erlassen sollten, deren Durchsetzung den Schutz personenbezogener Daten im Einklang mit diesen Richtlinien bewirkt“.

Während die Staaten theoretisch ihrer Verpflichtung zur Entwicklung und Umsetzung umfassender Datenschutzgesetze nachkommen könnten, indem sie mehrere Gesetze erlassen, die den Datenschutz in verschiedenen Lebensbereichen regeln, oder verschiedene Gesetze für verschiedene Aspekte des Datenschutzes, besteht die anerkannte bewährte Praxis darin, eine einzige Gesetzgebung mit einem einheitlichen Schutzniveau zu haben. Es gibt keine endgültige Liste, welche Staaten über solche Datenschutzgesetze verfügen, aber es ist eine beträchtliche Zahl. Professor Graham Greenleaf von der University of New South Wales, der die Datenschutzgesetze weltweit überwacht, schätzt, dass bis 2017 120 Staaten über eine Art umfassende Datenschutzgesetzgebung verfügen.

4. Gibt es eine Vollstreckungsbehörde mit den Befugnissen zur Durchsetzung der Rechtsvorschriften?

Neben der Sicherstellung der Datenschutzgesetzgebung, die die Erhebung, Speicherung und Verarbeitung personenbezogener Daten regelt, erfordern internationale Normen auch die Einrichtung einer Vollzugsbehörde. Die Behörde sollte befugt sein, die Datenschutzvorschriften durchzusetzen, Ermittlungen durchzuführen oder Vollstreckungsverfahren durchzuführen, wenn ein Verstoss gegen diese Vorschriften vorliegt. Sie sollte von der Regierung unabhängig sein, aber mit ausreichenden Mitteln ausgestattet sein, um ihre Befugnisse wirksam ausüben und Entscheidungen auf einer objektiven, unparteiischen und kohärenten Grundlage treffen zu können.

Global Partners Digital
Creative Commons BY-NC-SA
https://www.gp-digital.org/wp-content/uploads/2018/07/travelguidetodataprotection.pdf


© Swiss Infosec AG 2024