Dem Vertrauen in den Staat auf der Spur

Im Laufe des nächsten Jahres tritt das revidierte Schweizer Datenschutzgesetz in Kraft. Bereits haben viele Kantone und Gemeinden einige der neuen Massnahmen vorweggenommen. Eine Übersicht der Änderungen – und eine Auslegeordnung zum Nutzen eines konsequenten Datenschutzes für den Staat.

Von Bruno Habegger · 5. Oktober 2021

Neural Hash. Klingt harmlos, auch das Ziel wäre löblich: Die neue Technologie von Apple durchsucht die Smartphones der Kunden nach Kinderpornografie, meldet Fundstücke an Apple, wo Menschen beurteilen, ob die Maschine richtig funktioniert, und allenfalls die Polizei rufen. Apple stellt sich auf den Standpunkt, alle Informationen seien verschlüsselt auf dem Telefon gespeichert. Datenschützer laufen Sturm, auch Edward Snowden hat sich aus seinem Exil gemeldet und verurteilt die Technologie. Die Open Privacy Research Society beklagt die Langzeiteffekte für jede Bürgerin und jeden Bürger: «Jeder iPhone-Nutzer wird ohne Verdachtsmomente als Krimineller behandelt.»

Häufig wird der Datenschutz als Mehraufwand und Verhinderer wahrgenommen – anstatt die Chancen zu sehen. Corinne Suter Hellstern

Die Technologie könne leicht auf andere Themen ausgeweitet werden, schliesslich habe zum ersten Mal ein Konzern dauerhaften Zugriff auf Geräte seiner Kunden. Die Proteste haben gewirkt: Apple hat die Einführung der Technologie vorerst zurückgestellt.

Datenschutz schafft Vertrauen
Das Beispiel – eines von vielen – zeigt die Auswirkungen des unkontrollierten Einsatzes von Technologie. Bereits 2018 hat eine Expertengruppe des Bundes festgestellt, dass der digitale Raum als erweiterter privater und öffentlicher Raum angesehen wird, «darum kommen dem Staat dieselben Schutzaufgaben zu». Bereits sind einige der damals ausgesprochenen Empfehlungen in die Revision des Datenschutzgesetzes eingeflossen. Auf Bundesebene wird es im Laufe des nächsten Jahres in Kraft treten; bereits haben einige Gemeinden und Kantone unabhängig voneinander und vom Bund Bestimmungen aus einer Richtlinie des Europäischen Parlaments von 2016 in Kraft gesetzt. Die wichtigsten Neuerungen finden Sie im Kasten «Das ist neu». «Auch in der Krise muss der Staat dem Vertrauen der Bevölkerung in den Umgang mit ihren Personendaten gerecht werden», beschreibt Dominika Blonski, die Datenschutzbeauftragte des Kantons Zürich, die Aufgabe. Gerade die Corona-Krise hat die Digitalisierung stark beschleunigt und neue Datensammlungen hervorgebracht. Das hat dafür aber auch hier und da Verwerfungen beim Datenschutz offengelegt, wie ein Blick in die aktuellen Datenschutzberichte der Kantone belegt. Blonski stellt im eigenen Bericht klar: «Datenschutz ist ein Grundrecht. Jede Bearbeitung von Personendaten ist ein Eingriff in dieses Grundrecht.»

Auch der Kanton Zürich hat jüngst sein eigenes Datenschutzgesetz revidiert und neue Instrumente geschaffen, die nächstes Jahr auch auf Bundesebene eingeführt werden. So etwa die Datenschutz-Folgenabschätzung (Kasten) oder eine umfassende Meldepflicht für Sicherheitsverstösse. Neu kann die Datenschutzbeauftragte Verfügungen aussprechen, etwa auf diese Weise das Löschen von Daten veranlassen.

Datenschutz ist die verwischte Spur im Schnee. Sich sicher bewegen können, unauffindbar für die Augen von Jägern und Datensammlern (Bild: istock)
Der Staat muss dem Vertrauen der Bevölkerung in den Umgang mit ihren Personendaten gerecht werden. Dominika Blonski, Datenschutzbeauftragte Kanton Zürich

Blick nach St. Gallen
«Die Corona-Krise hat gezeigt: Der Schweizer Bevölkerung ist der Datenschutz wichtig, und das Bewusstsein dafür ist gewachsen», sagt Corinne Suter Hellstern, Datenschutzbeauftragte des Kantons St. Gallen. Sie weist auf die Diskussionen rund um die Contact Tracing-App hin. Für die St. Galler Gemeinden gilt seit 2019 das revidierte sankt-gallische Datenschutzgesetz. Jedoch seien die neuen Instrumente wie die Datenschutz Folgenabschätzung bei den Gemeinden noch zu wenig angekommen, mahnt die oberste Datenschützerin des Kantons. «Häufig wird der Datenschutz vor allem als Mehraufwand und Verhinderer von Projekten wahrgenommen», sagt sie, «anstatt die Chance zu sehen, damit das Vertrauen der Bürgerinnen und Bürger für die Digitalisierung zu gewinnen.»

Während die Kantone bereits erste Erfahrungen sammeln und der Bund im Jahr 2022 mit einem revidierten Datenschutzgesetz kommt, ist für beide Ebenen für die eigene Datenschutzgesetzgebung schon immer das Völker- und Europarecht entscheidend. «Die EU-Richtlinie ist für Bund und Kantone von Bedeutung», heisst es beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Die Schweiz vollzieht nach, um stets dasselbe Datenschutzniveau wie Europa zu haben, um im Schengen-Raum weiter Daten austauschen zu können. Dass bereits einige Kantone neue Instrumente eingeführt haben, hängt mit dem Bestreben nach einer nationalen Harmonisierung des Datenschutzes zusammen.

Datenschutz & Datensicherheit - oft verwechselt: Datenschutz bezeichnet als universelles Grundrecht den Schutz der Privatsphäre jedes Menschen. Datensicherheit meint den technischen Schutz jeder Art von digitalen Informationen. Die beiden Begriffe werden oft verwechselt, gehören aber zusammen. Ohne Datensicherheit ist nämlich der Datenschutz gefährdet. Darum müssen mit dem revidierten Gesetz Sicherheitsbrüche von IT-Systemen gemeldet und die Risiken abgeschätzt werden.
Der Bürger hat einen voraussetzungslosen Anspruch auf Transparenz. Adrian Lobsiger, eidg. Datenschützer

IT muss ihren Blick erweitern
«Für mich ist klar, dass der Bürger einen voraussetzungslosen Anspruch auf Transparenz hat. Das liegt im Interesse des Rechtsstaats», sagte der eidgenössische Datenschützer Adrian Lobsiger bereits 2017. Das war kurz vor Einführung der DSGVO in Europa, des europäischen Datenschutzsystems. An seiner Aussage hat sich für Corinne Suter Hellstern bis heute nichts geändert. «Ohne Vertrauen der Bürgerinnen und Bürger keine Digitalisierung.» Ihrer Meinung nach müssten alle noch enger zusammenarbeiten, auch IT und Recht. In der IT sehe man nämlich oft nur die Möglichkeiten, ohne zu bedenken, dass der Staat für jede Datenbearbeitung eine Rechtsgrundlage brauche. «Was so trocken tönt, ist die rechtsstaatliche und demokratische Legitimation – wir wollen nämlich keinen totalitären Überwachungsstaat.»

Datenschutz ist die Eintracht der Herde. Ein Staat beruht auf dem Konsens von Menschen, ihre individuelle Freiheit zu schützen (Bild: istock)

Schweizer Datenschutzgesetz: Das ist neu.

  • Schutz der Daten natürlicher Personen
    Das revidierte Gesetz schützt Persönlichkeit und Grundrechte von Menschen, über die Daten bearbeitet werden. Juristische Personen sind nicht mehr enthalten.
  • Erweiterter Schutz von Daten
    Neu zählen auch genetische Daten (sofern damit Personen identifiziert werden) und biometrische Daten zu den «besonders schützenswerten Daten». Wie heute schon beispielsweise Gesundheitsdaten.
  • Datenschutz zuerst
    Im revidierten Gesetz sind die neuen Grundsätze «Privacy by Design» (Datenschutz schon bei der Entwicklung mitgedacht) und «Privacy bei Default» (datenschutz-freundliche Voreinstellungen).
  • Datenschutz-Folgeabschätzung
    Neu müssen auch Private eine Datenschutz-Folgeabschätzung durchführen, wenn die Bearbeitung der Daten ein hohes Risiko beinhaltet.
  • Mehr Selbstregulierung
    Berufs-, Branchen- und Wirtschaftsverbände erhalten Anreize, eigene Verhaltenskodizes zu entwickeln und diese dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zur Stellungnahme vorzulegen.
  • Datenschutzberatung
    Private dürfen einen Datenschutzberater oder eine -beraterin ernennen. Bundesorgane sind gesetzlich verpflichtet.
  • Verzeichnis der Bearbeitungstätigkeiten
    Verantwortliche sowie die Auftragsbearbeiter müssen je ein stets aktuelles Verzeichnis sämtlicher Datenbearbeitungen führen. Entlastungen sind für kleine Unternehmen vorgesehen und für solche mit Datenbearbeitungen, die ein geringes Risiko von Persönlichkeitsverletzungen bergen.
  • Ausbau von Informationspflichten und Auskunftsrecht
    Neu gilt, dass ein privater Verantwortlicher bei grundsätzlich jeder beabsichtigten Beschaffung von Personendaten die betroffene Person vorgängig angemessen informieren muss, selbst wenn die Daten nicht direkt bei ihr beschafft werden. Konkret sollen die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungs-zweck und gegebenenfalls die Empfänger von Personen-daten bekannt gegeben werden. Es gibt Ausnahmen. Unter anderem sind gesetzlich vorgesehene Bearbeitungen von der Informationspflicht ausgenommen. Neu müssen zudem im Auskunftsrecht mehr Daten herausgegeben werden.
  • Verfügungen und Untersuchungen
    Der eidgenössische Datenschützer EDÖB kann neu anstelle einer Empfehlung auch eine rechtlich bindende Verfügung aussprechen. Diese kann beim Bundesverwaltungsgericht bzw. beim Bundesgericht angefochten werden. Weiter muss der EDÖB künftig alle Verstösse gegen das Datenschutzgesetz von Amtes wegen untersuchen.