Der EDÖB in Person von Dr. Adrian Lobsiger kritisiert in einem Interview mit der französischsprachigen Zeitung «Le Temps», dass Unternehmen überschiessende Datenschutzbestimmungen verwenden. Der EDÖB schilderte im Interview aber auch, wie grosse Unternehmen seine Verfahren erschweren.
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), der Leiter der gleichnamigen schweizerischen Datenschutz-Aufsichtsbehörde für Bundesbehörden und private Verantwortliche, wurde vom Tech-Journalisten Grégoire Barbey zu seinem Fazit nach sechs Monaten mit dem neuen Datenschutzgesetz (DSG) befragt.
Der EDÖB kündigt im Interview an, Entscheidungen gegen überschiessende Datenschutzbestimmungen und zur Pflicht, online mit einem Nutzerkonto einkaufen zu müssen, zu veröffentlichen:
«Nous allons rendre des décisions concernant la nécessité d’ouvrir un compte pour effectuer des achats et la façon dont les conditions générales sont rédigées. Certaines entreprises mentionnent dans ces documents des traitements de données qui n’ont pas lieu, de manière à se protéger en cas de problème. La pratique doit évoluer.»
Übersetzt auf Deutsch:
«Wir werden Entscheidungen über die Notwendigkeit treffen, ein Konto zu eröffnen, um Einkäufe zu tätigen, und über die Art und Weise, wie die Allgemeinen Geschäftsbedingungen verfasst sind. Einige Unternehmen erwähnen in diesen Dokumenten eine Datenbearbeitung, die nicht stattfindet, um sich im Falle eines Problems zu schützen. Die Praxis muss sich ändern.»
Der EDÖB kritisiert, dass sich Unternehmen in ihren Allgemeinen Geschäftsbedingungen (AGB) die vorsorgliche Einwilligung für die einzelne Bearbeitungen von Personendaten geben lassen, auch wenn diese (noch) gar nicht erfolgen. Unternehmen versuchen mit solchen überschiessenden AGB, auf Nummer sicher zu gehen.
Das Gleiche ist – als Information – bei Datenschutzerklärungen üblich. Im Onlinekommentar zum Datenschutzgesetz werden die Anreize für Unternehmen wie folgt beschrieben:
«Dabei hilft auch nicht, dass das Datenschutzrecht Anreize setzt, Datenschutzhinweise in erster Linie als defensives Instrument zu sehen und nicht als kundenzentrierte Kommunikation: Zum einen sind Unternehmen angesichts verschärfter aufsichtsrechtlicher Mittel und Sanktionen bestrebt, öffnende Formulierungen und Generalklauseln einzubauen und sich so gegen den Vorwurf unrichtiger oder unvollständiger Datenschutzhinweise zu schützen. Zum anderen möchten sich Unternehmen mit Blick auf den Grundsatz der Zweckbindung keine Handlungsspielräume verbauen und in Datenschutzhinweisen auch bloss mögliche, künftige Bearbeitungszwecke aufführen.»
OK-Glatthaar / Schröder, N. 62 zu Art. 19 DSG
Die Haltung, Onlineshops müssten einen Gastzugang anbieten, vertreten beispielsweise die deutschen Datenschutz-Aufsichtsbehörden schon seit einiger Zeit. Sie verweisen auf den Grundsatz der Datenminimierung gemäss Art. 5 Abs. 1 lit. c DSGVO. Im neuen DSG soll sich das Prinzip der Datenminimierung gemäss einigen Bemerkungen in der Botschaft zum neuen DSG insbesondere aus den allgemeinen Grundsätzen gemäss Art. 6 DSG ergeben.
EDÖB: Regelmässige Änderungen von AGB und Datenschutzerklärungen erschweren Verfahren
Interessant ist, wie Unternehmen nach Angaben des EDÖB seine Verfahren erschweren:
«Avec plus de ressources, nous pourrions réaliser plus d’enquêtes en même temps, mais elles seraient toujours tributaires du code de procédure administrative. Certaines entreprises en jouent d’ailleurs…
De quelle manière ?
Leurs conditions générales et leurs déclarations des données sont mises à jour régulièrement. Or, en tant qu’autorité de surveillance, nous devons établir les faits de manière formelle. C’est difficile lorsque ces documents changent plusieurs fois pendent une procédure en cours. Cela ralentit grandement notre travail. Certaines grandes entreprises en ont conscience et ont adopté cette stratégie.»
Übersetzt auf Deutsch:
«Mit mehr Ressourcen könnten wir mehr Untersuchungen zur gleichen Zeit durchführen, aber sie wären immer noch vom Verwaltungsverfahrensgesetz abhängig. Einige Unternehmen spielen damit …
Auf welche Weise?
Ihre Allgemeinen Geschäftsbedingungen und Datenerklärungen werden regelmässig aktualisiert. Als Aufsichtsbehörde müssen wir den Sachverhalt formell feststellen. Dies ist schwierig, wenn sich diese Dokumente während eines laufenden Verfahrens mehrmals ändern. Dies verlangsamt unsere Arbeit erheblich. Einige grosse Unternehmen sind sich dessen bewusst und haben diese Strategie übernommen.»
Die Sachverhaltsfeststellung in Verwaltungsverfahren ist in Art. 12 f. VwVG geregelt.
Wunschzettel: KI-Regulierung, Recht auf digitale Integrität, Sanktionen, …
Im Interview äussert der EDÖB schliesslich verschiedene Wünsche, unter anderem:
- Die Möglichkeit, Sanktionen verhängen zu können («[…] tôt ou tard, la question des sanctions reviendra sur la table, pour une prochaine révision.»)
- Die Ergänzung des DSG mit Bestimmungen über die sekundäre Nutzung von (anonymisierten) Daten («Nous devrons aussi évaluer le fait de compléter la loi concernant l’utilisation secondaire des données. Il s’agit en général d’informations anonymisées qui servent dans la recherche.»)
- Die Einführung eines Rechts auf digitale Unversehrtheit auf Bundesebene («J’observe avec intérêt l’introduction à Genève d’un droit à l’intégrité numérique dans la constitution cantonale. […] Un nouveau droit fondamental permettrait pourtant de mettre fin au malentendu qui pousse les entreprises et les autorités à n’envisager la protection des données que du point de vue des violations et des abus.»)
- Die Regulierung von Künstlicher Intelligenz («Oui, je suis régulièrement informé sur les travaux menés par le groupe de travail de la Confédération […]. Je prends toutefois position à chaque étape intermédiaire. L’intelligence artificielle représente un risque supplémentaire d’atteinte à l’égard des libertés individuelles.»)
- Die Gewährleistung der Datensicherheit bei privaten Anbietern («Nous avons ouvert quatre procédures à l’égard de la Confédération et de ces prestataires, dont le plus important est Xplain. C’est une catastrophe. […] En matière d’informatique, les dépendances à l’égard de tiers privés sont nombreuses, et elles doivent toujours être prises en compte dans les analyses de risque.»)
40 Jahre Volkszählungsurteil: Ist das Recht auf informationelle Selbstbestimmung nur eine Illusion?
Zukunft: Verstärkte Aufsichtstätigkeit, insbesondere mit eigenen Untersuchungen
Das Interview endet mit den Plänen des EDÖB für seine dritte und letzte Amtszeit:
«Je veux renforcer notre activité de surveillance, notamment en lançant nos propres enquêtes […] Par ailleurs, je veux vraiment que l’administration fédérale, y compris dans ses relations avec les cantons, mène systématiquement des analyses concernant les risques systémiques à l’égard des libertés individuelles. Je tiens à ce que les responsables politiques prennent leurs décisions en connaissance de cause.»
Übersetzt auf Deutsch:
«Ich möchte unsere Aufsichtstätigkeit verstärken, insbesondere durch die Durchführung eigener Untersuchungen. […] Darüber hinaus möchte ich wirklich, dass die Bundesverwaltung, auch in ihren Beziehungen zu den Kantonen, systematisch Analysen über systemische Risiken für die persönlichen Freiheiten durchführt. Ich möchte, dass die Politiker ihre Entscheidungen in Kenntnis der Sachlage treffen.»
Bild: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB).