Datenschutzgesetz: Privacy by Design und Privacy by Default
Mag. rer. publ. Daniel Kettiger
Daniel Kettiger ist Rechtsanwalt und Berater in Thun (www.kettiger.ch). Eines seiner Arbeitsschwergewichte liegt im Datenrecht (Datenschutz, besondere Geheimhaltungspflichten, Öffentlichkeitsprinzip, Urheberrechtsschutz, Geoinformationsrecht, etc.).
Neues Datenschutzrecht: von der DSGVO zum neuen Datenschutzgesetz
Unter dem Titel «Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen» fordert die EU-Datenschutz-Grundverordnung (DSGVO) von den Unternehmen im EU-Raum, aber auch von Schweizer Unternehmen, auf deren Verarbeitung von Personendaten das EU-Recht Anwendung findet, technische und organisatorische Massnahmen. Vollständig neu sind die gesetzlichen Anforderungen allerdings nicht, denn «Privacy by Design» entspricht in Teilen einigen herkömmlichen Datenschutzgrundsätzen und das Landgericht Berlin hat im Januar 2018 in einem nicht rechtskräftigen Urteil gegen Facebook festgehalten, dass bestimmte Voreinstellungen gegen geltendes Deutsches Verbraucherschutzrecht verstossen.
Das Schweizer Parlament hat am 25. September 2020 ein neues Bundesgesetz über den Datenschutz (nDSG) beschlossen; dieses wird voraussichtlich im Vorlauf des Jahres 2022 in Kraft treten. Mit dem neuen Gesetz werden Privacy by Design (Art. 7 Abs. 1 und 2 nDSG) und Privacy by Default (Art. 7 Abs. 3 nDSG) auch für die Bearbeitung von Personendaten in der Schweiz zu verbindlichen Grundsätzen.
Privacy by Design
Privacy by Design (Art. 25 Abs. 1 DSGVO; Art. 7 Abs. 1 und 2 nDSG) geht auf ein Konzept einer kanadischen Datenschutzbeauftragten aus den 1990er-Jahren zurück. Ziel der Konzeption ist es, das Risiko bei der Verarbeitung von Personendaten zu senken. Grundgedanke ist, den Schutz der Personendaten präventiv in der technischen und organisatorischen Konzeption von Verarbeitungs-Systemen anzulegen. Art. 25 Abs. 1 DSGVO fordert vom Verantwortlichen, d.h. vom Unternehmen, das die Daten verarbeitet, angemessene technische und organisatorische Massnahmen, um die Datenschutzgrundsätze einzuhalten. Art. 7 Abs. 1 nDSG schreibt vor, «die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden». Insgesamt erfordert Privacy by Design somit nicht alleine technische Lösungen bezogen auf die Datenverarbeitung selbst, sondern auch organisatorische Massnahmen. Adressat der Rechtsnorm ist nur der Verantwortliche (und der Auftragsbearbeiter), nicht auch der Hersteller von Hard- oder Software. Welche Massnahmen zu ergreifen sind, ist anhand des Risikos, der Wirksamkeit der Massnahme, des Stands der Technik und des Aufwands festzulegen, wobei das Kostenargument selten von Massnahmen dispensiert. Implementiert werden müssen die technischen und organisatorischen Massnahmen mit der Einrichtung eines Systems zur Verarbeitung von Personendaten. Im Folgenden sollen einige Beispiele von Massnahmen aufgeführt werden:
Passende Produkt-Empfehlungen
- Datenminimierung: Es sollen nur jene Personendaten erfasst werden können und verarbeitet werden, die für die Geschäftsabwicklung unbedingt erforderlich sind.
- Pseudonymisierung: Personendaten werden schnellstmöglich pseudonymisiert. So können beispielsweise in Einrichtungen des Gesundheitswesens die Namen von Personen von den Informationen über den Gesundheitszustand und die Behandlung getrennt gespeichert und erst beim zulässigen Abruf zusammengeführt werden.
- Datentrennung nach Zweck: Zur Einhaltung des Grundsatzes der Zweckbindung können Personendaten strikt getrennt nach dem Zweck, für den sie erhoben wurden, gespeichert werden.
- Selektiver Passwortschutz: Mit selektivem Passwortschutz kann sichergestellt werden, dass nur jene Mitarbeiter eines Unternehmens Zugriff auf bestimmte Personendaten haben, welche diese Daten für ihre Arbeit wirklich benötigen (der Lagerist und Verpacker muss keinen Zugriff auf die Buchhaltungsdaten haben).
- Löschkonzept: Es sollte ein Konzept zur Löschung der Daten bestehen. Am besten ist, wenn das System nach einem vorgegebenen Zeitablauf die Personendaten automatisch löscht. Dabei sind gesetzliche Aufbewahrungsfristen (z.B. für Berufe des Gesundheitswesens oder für Rechtsanwälte sowie aus Buchführungsvorschriften) zu berücksichtigen.
- Verpixeln von Bilddaten: Bei Bild- und Videodaten, bei denen vom Zweck her die Gesichter nicht erkennbar sein müssen (z.B. Videoüberwachungsanlagen, die nur der Verkehrsüberwachung oder der Sicherheit von technischen Abläufen dienen) sind Gesichter automatisch durch Verpixeln unkenntlich zu machen.
Für mobile Apps hat ein internationaler Anbieter-Verband «Privacy-Design»-Richtlinien geschaffen, die den Anliegen von Privacy by Design Rechnung tragen: https://www.gsma.com/publicpolicy/wp-content/uploads/2018/02/GSMA-Privacy-Design-Guidelines-for-Mobile-Application-Development.pdf (23.04.2018).
Privacy by Default
Privacy by Default bezieht sich auf die datenschutzrelevanten Voreinstellungen bei Internet-Anwendungen bzw. mobilen Apps. Art. 25 Abs. 2 DSGVO verlangt vom Verantwortlichen, d.h. vom Unternehmen, das die Daten verarbeitet, datenschutzfreundliche Voreinstellungen. Art. 7 Abs. 3 nDSG verpflichtet den Verantwortlichen in gleicher Weise «mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt.». Damit soll verhindert werden, dass eine betroffene Person, welche ihre Voreinstellungen nicht ändert, hinsichtlich des Datenschutzes benachteiligt wird. Die betroffenen Personen sollen in eine Lockerung des Datenschutzes aktiv und bewusst (im Sinne eines «opt in») durch Änderung der Voreinstellungen einwilligen. Ein «klassischer» Anwendungsfall ist die Zustimmung zur Verwendung der Personendaten für Werbezwecke: Das entsprechende Feld muss in der Voreinstellung leer sein und darf nicht schon ein Kreuzchen oder Häkchen beinhalten. In diesem Fall ist überdies das Recht zum Werbewiderspruch (Art. 21 DSGVO) zu beachten.
Nachweispflicht und Sanktionen
Ein Unternehmen, dessen Verarbeitungsvorgänge der DSGVO unterstehen, muss nachweisen können, dass es im Rahmen des Zumutbaren angemessene Massnahmen nach Art. 25 DSGVO getroffen hat. Eine erfolgte Zertifizierung im Sinne von Art. 42 DSGVO führt zu einem erleichterten Nachweis der Einhaltung der Vorschriften. Die Missachtung der Grundsätze von Privacy by Design und Privacy by Default kann zu Sanktionen, namentlich zu Geldstrafen führen. Positiv gedacht können datenschutzfreundliche Voreinstellungen aber auch das Vertrauen der Kunden in ein Unternehmen stärken, denn die jüngsten Vorfälle mit Personendaten (u.a. bei Facebook) scheinen in der Bevölkerung langsam ein Misstrauen gegenüber Daten verarbeitende Unternehmen entstehen zu lassen.
Der schweizerische Gesetzgeber hat auf eine allgemeine Dokumentationspflicht verzichtet. Mithin müssen Massnahmen von Privacy by Design und Privacy by Default nicht dokumentiert sein, soweit sie nicht im Rahmen des Verzeichnisses der Bearbeitungstätigkeiten (Art. 12 nDSG) nachgewiesen werden müssen. Die Missachtung der Grundsätze von Privacy by Design und Privacy by Default kann in der Schweiz keine strafrechtliche Folgen haben, kann aber zu Massnahmen durch den Eidg. Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) führen.
Datenschutzrecht dient dem Persönlichkeitsschutz. Führt die Missachtung der Grundsätze von Privacy by Design und Privacy by Default zu einer Persönlichkeitsverletzung, so kann dies für den Verantwortlichen Haftungsfolgen haben.
