Update: 31.01.2017

Informationelle Selbstbestimmung - (noch) kein neues Grundrecht

Die staatspolitischen Kommissionen von National- und Ständerat haben 2014 bzw. 2015 einer parlamentarischen Initiative von Daniel Vischer zugestimmt, wonach die informationelle Selbstbestimmung als neues Grundrecht in die Bundesverfassung aufzunehmen sei. Die Kommission des Ständerats hat zudem angeregt, der Bundesrat solle dieses Anliegen in seinem Vorentwurf für die Revision des Datenschutzgesetzes berücksichtigen. Der Vorentwurf wurde am 21. Dezember 2016 veröffentlicht. Der Bundesrat verstärkt in seiner Revision zwar den Schutz der persönlichen Daten, eine gesetzliche Verankerung des Rechts auf informationelle Selbstbestimmung ist aber nicht vorgesehen.

Im Folgenden wird aufgezeigt, was informationelle Selbstbestimmung bedeutet, was ihr Verhältnis zum Datenschutz ist, wie die aktuellen Entwicklungen im Datenschutz der Europäischen Union und des Europarats dazu stehen, und wie die Diskussionslinien in der Schweiz im Hinblick auf das neue Datenschutzgesetz verlaufen.

Informationelle Selbstbestimmung und Datenschutz

Wenn wir ein Bankkonto eröffnen, ein Profil in einem Sozialen Netzwerk erstellen oder einen Flug online buchen, geben wir persönliche Daten preis. Diese Daten reichen von Namen und Adresse bis hin zu Kreditkartendetails, Beziehungsnetz, Konsumprofile und ästhetische Vorlieben. Die meisten Internetnutzer/innen haben keine Ahnung, wer diese personenbezogenen Daten zu welchem Zweck nutzt. 

Informationelle Selbstbestimmung bedeutet das Recht des Individuums, grundsätzlich selbst über die Verwendung der Daten zu bestimmen, welche sich auf seine Person beziehen. Gemeint ist also das Recht des Individuums zu entscheiden, wer seine persönlichen Daten nutzt, wem sie weitergegeben und zu welchen Zwecken sie verwendet werden. Letztlich geht es nicht nur um die Anerkennung eines Freiheitsrechts, sondern auch des Eigentumsrechts an den personenbezogenen Daten.

So wie dem Grundrecht auf eine freie Entfaltung der Persönlichkeit die staatliche Pflicht zum Schutz der Privatsphäre entspricht, so hat auch das Grundrecht auf informationelle Selbstbestimmung eine staatliche Schutzpflicht zum Gegenstück, nämlich die Pflicht des Staates, das Recht auf die personenbezogenen Daten zu schützen, also den Datenschutz. Der Datenschutz hängt systematisch gesehen vom Recht auf eine freie Verfügung über die eigenen Daten ab.

Selbstverständlich kann das Grundrecht auf informationelle Selbstbestimmung wie die meisten übrigen Grundrechte auch eingeschränkt werden, zum Beispiel in der Auskunftspflicht gegenüber den Steuerbehörden. Dies ändert aber nichts daran, dass es sich um einen Paradigmenwechsel handelt, wenn man im Datenschutz von einem Missbrauchsansatz zu einem grundrechtlichen Ansatz übergeht.

Rechtslage

In der Rechtswirklichkeit kommt der Datenschutz in der Schweiz bisher ohne ein explizites Grundrecht auf informationelle Selbstbestimmung aus. Der Datenschutz wird traditionell als Teilbereich des Grundrechts auf Schutz der Privatsphäre konzipiert, und zwar als Schutz vor dem Missbrauch persönlicher Daten durch den Staat oder private Dritte. So heisst es in der Bundesverfassung unter dem Titel «Schutz der Privatsphäre» in Absatz 2: «Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlicher Daten.»

Der Schutz vor Missbrauch personenbezogener Daten ist zwar notwendig, doch er ist enger gefasst als ein Datenschutz, der sich auf das individuelle Recht auf Selbstbestimmung über die Preisgabe und Verwendung von persönlichen Daten bezieht. Die informationelle Selbstbestimmung wurde zwar in der Schweiz vom Bundesgericht wie auch in Deutschland vom Bundesverfassungsgericht in Einzelfällen bereits anerkannt; doch es fehlt dessen systematische Anerkennung auf der Ebene der Verfassung, mit entsprechenden Konsequenzen im Datenschutzgesetz. Eine indirekte Kodifizierung der informationellen Selbstbestimmung findet sich bisher nur im Artikel 8 der Grundrechte-Charta der EU: «Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.»

Herausforderungen an die Politik

Die stark gewachsenen technischen Möglichkeiten der kommerziellen und geheimdienstlichen Verarbeitung von grossen Mengen persönlicher digitaler Daten, die im Internet abgesaugt werden, stellen den Datenschutz bekanntlich vor grosse Herausforderungen. Dies betrifft sowohl den Gebrauch und Missbrauch persönlicher Daten durch staatliche Organe wie auch durch die grossen privaten Internetfirmen wie Apple, Microsoft, Facebook und Google. Die Anerkennung des Grundrechts auf informationelle Selbstbestimmung stärkt die Legitimation und die Verpflichtung des Staats, dieses Grundrecht des Individuums auch gegenüber privaten Firmen zu schützen. Ein besserer Schutz bedarf eines angepassten nationalen und internationalen rechtlichen Rahmens.

Eine besondere Herausforderung ist der Datenschutz im globalen Datentransfer. Die Unterscheidung zwischen In-und Auslandkommunikation ist aufgrund der vielen Datenverarbeitungsvorgänge von unterschiedlichen Dienstanbietern kaum mehr möglich. Das Schweizerische Kompetenzzentrum für Menschenrechte (SKMR) hat im Oktober 2016 eine Studie veröffentlicht, mit dem Ziel, die menschenrechtlichen Pflichten der Staaten zum Schutz des Rechts auf Privatsphäre bezüglich grenzüberschreitender Tätigkeiten von Informationsunternehmen zu klären.

Der Präsident des europäischen Parlaments, Martin Schulz, hat in diesem Zusammenhang eine neue «Charta der digitalen Grundrechte» gefordert. Dieser Vorschlag wurde vom deutschen Justizminister Heiko Maas aufgenommen und in 13 Artikeln einer «Internet-Charta» zur Diskussion gestellt. Darin wird ersichtlich, dass die Datenschutz-Thematik nur ein Mosaikstein einer vielgestaltigen Problematik von unzureichend garantierten individuellen Rechten in der Internet-Nutzung ausmacht.

Datenschutz-Reform der EU: Zwischen grundrechtlicher Orientierung und wirtschaftlichen Interessen

Für die EU-Datenschutz-Reform bestand die Herausforderung darin, das Grundrecht auf den Schutz personenbezogener Daten in der Grundrechte-Charta der EU durchzusetzen, egal wie lukrativ das Geschäft mit den Daten auch sein mag und unabhängig davon, mit welchen Giganten (Google, Facebook, Twitter) die Europäische Kommission es zu tun hat. Die wirtschaftlichen Interessen an der Verwendung personenbezogener Daten sind immens. Das Geschäft mit Daten generiert riesige Vermögen. Vorhersagen schätzen, dass 2020 der Wert der in Europa erzeugten Daten ungefähr 1000 Milliarden Euro, also 8% des BIP der EU beträgt.

Es verwundert daher nicht, dass die Reform des Datenschutzes in der EU den Fokus auf zwei Aspekte legte: Das Grundrecht, selbst über seine Daten zu bestimmen, und die wirtschaftlichen Interessen. Es hat Jahre gedauert, bis Ende 2015 zwischen der EU-Kommission, dem EU-Parlament und dem EU-Rat eine Einigung erzielt wurde. In einer Medienmitteilung vom Dezember 2015, welche diese Reform ankündigte, erläuterte die Europäische Kommission ihre Ziele klar und deutlich: «Wir werden weiter daran arbeiten, in der EU eine offene und dynamische Datenwirtschaft zu schaffen mit höchsten Datenschutzstandards und ohne ungerechtfertigte Schranken.»

Neue Regeln im Rahmen der EU

Das EU-Datenschutz-Reformpaket wird spätestens 2018 in Kraft treten und besteht aus zwei Instrumenten: Eine Datenschutz-Grundverordnung, die generelle Fragen zum Datenschutz klärt und eine neue Datenschutz-Richtlinie für Polizei und Strafjustiz. Die neue Richtlinie soll garantieren, dass Daten von Opfern, Zeugen und Verdächtigten während der strafrechtlichen Ermittlungen sowie im Strafverfahren ausreichend geschützt bleiben.

Die Datenschutz-Grundverordnung differenziert die Rechte der Personen, deren Daten verarbeitet werden, in folgende Kategorien: Das Informationsrecht, das Auskunfts-und Widerspruchsrecht, das Recht auf Löschung, sowie das Recht auf Datenübertragung. Sie ermöglicht Privatpersonen eine bessere Kontrolle über ihre Daten und sichert einen einfacheren Zugang zu den eigenen Daten. Die Verordnung verlangt von den Anbietern, dass sie den Internetnutzenden klar und verständlich mitteilen, wozu ihre Daten genutzt werden. Zudem soll das Recht auf Vergessen klarer aufgeführt werden und Internetnutzende sollen darüber informiert werden, wenn ohne Erlaubnis auf ihre Daten zugegriffen wird.

Der Europarat am Arbeiten

Der Europarat arbeitet seit Jahren an der Modernisierung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108). Dieses Übereinkommen wurde 1997 von der Schweiz ratifiziert und ist bis heute das einzige international bindende Rechtsinstrument zum Datenschutz. Da das Übereinkommen 1981 erstellt wurde, ist es inzwischen veraltet. Die Modernisierung des Übereinkommens möchte unter anderem das Grundrecht auf die informationelle Selbstbestimmung stärker in das Konzept des Datenschutzes einfliessen lassen. Die Modernisierung des Europarat-Übereinkommens erfolgt in Abstimmung mit der Datenschutzreform der EU.

Das Konsultativkomitee der Konvention 108 hat sich vom 30. November bis zum 2. Dezember 2016 zum letzten Mal getroffen. Die aktuellste veröffentlichte Version des Entwurfs des neuen Europarats-Übereinkommens stammt vom 12. September 2016. Sobald das Ministerkomitee des Europarates die revidierte Konvention angenommen hat, haben die Vertragsparteien zwei Jahre Zeit, um die modernisierte Konvention zu ratifizieren.

Entwicklungen in der Schweiz

Die Veränderungen im europäischen Raum beeinflussen das schweizerische Recht. Der Bund hat das zuvor erwähnten Abkommens des Europarates ratifiziert. Zudem hat der Bundesrat bereits im April 2015 davor gewarnt, die bevorstehende modernisierte Version nicht zu ratifizieren. In einer Medienmitteilung vom 1.4.2015 schreibt er: «Der Verzicht auf eine Ratifikation der modernisierten Europarats-Konvention hätte (…) für die Schweiz erhebliche negative Auswirkungen auf den grenzüberschreitenden Datenverkehr.» Hinzu kommt, dass seit 2010 der Schweizer Jean-Philippe Walter, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, das Konsultativkommitee der Konvention 108 des Europarates präsidiert.

Astrid Epiney betont auf Anfrage, dass die Datenschutzreform der EU Auswirkungen auf das Schengen-Dublin Abkommens haben wird, welches auch die Schweiz bindet. Die Reform betrifft somit die Schweiz wie alle anderen Länder des Schengen-Raums auch. Zudem sind die EU-Reform und die revidierte Konvention des Europarates bereits in den Vorentwurf des neuen Datenschutzgesetzes eingeflossen. Gemäss der Medienmitteilung des Bundesrates vom 21. Dezember 2016 schafft der Vorentwurf die Voraussetzungen dafür, dass die Schweiz die revidierte Europarats-Konvention ratifizieren kann und die EU-Richtlinien über den Datenschutz erfüllt. Dadurch wird garantiert, dass der grenzüberschreitende Datenverkehr mit der EU nicht erschwert wird.

Parlamentarische Initiativen

Im Parlament sind zwei Vorschläge hängig, welche in die Revision der Schweizer Gesetzesreform einfliessen könnten. Eine parlamentarische Initiative von Fathi Derder (FDP, GE) «Zum Schutz der digitalen Identität von Bürgerinnen und Bürgern», möchte in den Art. 13. Abs. 2 der Bundesverfassung einfügen, dass persönliche Daten Eigentum der betreffenden Person sind. Eine weitere parlamentarische Initiative wurde von Daniel Vischer, ehemaliger Nationalrat der Grünen in Zürich eingereicht. Die parlamentarische Initiative «Grundrecht auf informationelle Selbstbestimmung» fordert, Artikel 13 Absatz 2 der Bundesverfassung so zu ändern, dass der Datenschutz statt eines Missbrauchsschutzes zu einem Grundrecht auf informationelle Selbstbestimmung wird. Die staatspolitischen Kommisssionen der beiden Räte haben beiden parlamentarischen Initiativen Folge gegeben. Die Kommission des Ständerats hat in einer Medienmitteilung vom 20.8.2015 zudem angeregt, der Bundesrat solle die beiden Vorstösse bei der Ausarbeitung des Vorentwurfs zum neuen Datenschutzgesetz berücksichtigen.

Der Vorentwurf zum neuen Datenschutzgesetz vom Bundesrat berücksichtigt die Anliegen der beiden Vorstösse jedoch nur sehr am Rande. Er erhöht zwar die Transparenz bei der Datenbearbeitung, indem er die Informationspflicht der Datenbearbeiter ausweitet und das Auskunftsrecht der betroffenen Personen präzisiert. Das Recht auf informationelle Selbstbestimmung kodifiziert die Revision aber nicht. Kurioserweise verweist der erläuternde Bericht zum Vorentwurf darauf, dass das neue Datenschutzgesetz das Recht auf informationelle Selbstbestimmung von Art. 13 Abs. 2 der Bundesverfassung konkretisiere, obwohl der Wortlaut dieses Artikels weiterhin lediglich den Schutz vor Missbrauch und nicht die informationelle Selbstbestimmung verankert.

Zur parlamentarischen Initiative «Grundrecht auf informationelle Selbstbestimmung» gibt es auch kritische Stimmen wie diejenige von Markus Schefer in der NZZ vom 11.9.2014. Er verneint den Bedarf für die Neuerung, weil das Bundesgericht den Art. 13 Abs. 2 bereits jetzt so auslege, als handle es sich um das geforderte Grundrecht. Dieses Argument ist allerdings nicht besonders stichhaltig. Denn nichts spricht dagegen, den Wortlaut der Bundesverfassung der Praxis des Bundesgerichts anzupassen.

Revision des Datenschutzgesetzes

Hans-Peter Thür war bis zum 30. November 2015 Eidgenössischer Datenschutz und Öffentlichkeitsbeauftragter und hat sich während seines letzten Amtsjahres intensiv für eine Stärkung des Datenschutzgesetzes im Sinne der informationellen Selbstbestimmung eingesetzt. Er erinnert in mehreren Interviews daran, dass Suchmaschinen und soziale Netzwerke nicht wirklich gratis sind. Es handle sich eher um ein Tauschgeschäft: Persönliche Daten gegen die Dienstleistung. Leider sei vielen Internetnutzern dieser Tausch gar nicht bewusst und das Kräfteverhältnis zwischen den Nutzern/-innen und den Internetgiganten ist klar zu deren Nachteil. Gemäss dem ehemaligen Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragten müsste das neue Datenschutzgesetz die Anbieter dazu verpflichten, ihre Software so zu gestalten, dass sie den Schutz der Privatsphäre in ihren Grundeinstellungen bereits bestmöglich garantieren.

Der Vorentwurf für die Revision des Datenschutzgesetzes sieht vor, dass bei technischen Systemen die Voreinstellungen so zu handhaben sind, dass die Datenbearbeitung nur im Rahmen des jeweiligen Verwendungszwecks möglich ist. Somit kommt der Vorentwurf des Bundesrates der Forderung von Hans-Peter Thür entgegen.

Eine weitere Neuerung des Vorentwurfs besteht darin, dass die Informationspflicht der Datenbearbeiter ausgeweitet wird. Ergänzend sollen auch die Betroffenen besser über die Nutzung ihrer Daten informiert werden. Unter anderem sollen Personen neu auch in bestimmten Fällen informiert werden, wenn eine ausschliesslich automatisierte Bearbeitung ihrer Daten vorliegt. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) soll gemäss dem Vorentwurf  zudem Empfehlungen erlassen, welche die Datenschutzvorschriften konkretisieren. Gleichzeitig soll die Aufsichtskompetenz des EDÖB gestärkt werden. Ferner werden mit dem neuen Datenschutzgesetz die Strafbestimmungen im Gesetz verschärft. Die maximale Busse wurde von CHF 10‘000.- auf CHF 50‘000.- erhöht. Eine weitere erwähnenswerte Änderung besteht darin, dass das Recht auf Löschen von persönlichen Daten explizit aufgeführt wird. Den Paradigmenwechsel zum Recht auf informationelle Selbstbestimmung hat der Bundesrat in seinem Vorentwurf zum neuen Datenschutzgesetz jedoch nicht gewagt. 

Die Totalrevision des Datenschutzgesetzes ist seit Dezember 2016 in der Vernehmlassung. Interessierte Kreise haben bis zum 4. April 2017 Zeit, sich zum Vorentwurf zu äussern.

© humanrights.ch / MERS - Hallerstr. 23 - CH-3012 Bern - Tel. +41 31 302 01 61