humanrights.ch Logo Icon

Informationelle Selbstbestimmung - (noch) kein neues Grundrecht

26.10.2017

Entgegen dem Willen seiner staatspolitischen Kommission hat der Nationalrat im September 2017 eine parlamentarische Initiative verworfen, welche die informationelle Selbstbestimmung als neues Grundrecht in die Bundesverfassung aufnehmen wollte. In der Botschaft zur Revision des Datenschutzgesetzes hat der Bundesrat zwar den Schutz der persönlichen Daten verstärkt; eine gesetzliche Verankerung des Rechts auf informationelle Selbstbestimmung ist aber nicht vorgesehen.

Im Folgenden wird aufgezeigt, was informationelle Selbstbestimmung bedeutet, was ihr Verhältnis zum Datenschutz ist, wie die aktuellen Entwicklungen im Datenschutz der Europäischen Union und des Europarats dazu stehen, und wie die Diskussionslinien in der Schweiz im Hinblick auf das neue Datenschutzgesetz verlaufen.

Informationelle Selbstbestimmung und Datenschutz

Wenn wir ein Bankkonto eröffnen, ein Profil in einem Sozialen Netzwerk erstellen oder einen Flug online buchen, geben wir persönliche Daten preis. Diese Daten reichen von Namen und Adresse bis hin zu Kreditkartendetails, Beziehungsnetz, Konsumprofile und ästhetische Vorlieben. Die meisten Internetnutzer/innen haben keine Ahnung, wer diese personenbezogenen Daten zu welchem Zweck nutzt.

Informationelle Selbstbestimmung bedeutet das Recht des Individuums, grundsätzlich selbst über die Verwendung der Daten zu bestimmen, welche sich auf seine Person beziehen. Gemeint ist also das Recht des Individuums zu entscheiden, wer seine persönlichen Daten nutzt, wem sie weitergegeben und zu welchen Zwecken sie verwendet werden. Letztlich geht es nicht nur um die Anerkennung eines Freiheitsrechts, sondern auch des Eigentumsrechts an den personenbezogenen Daten.

So wie dem Grundrecht auf eine freie Entfaltung der Persönlichkeit die staatliche Pflicht zum Schutz der Privatsphäre entspricht, so hat auch das Grundrecht auf informationelle Selbstbestimmung eine staatliche Schutzpflicht zum Gegenstück, nämlich die Pflicht des Staates, das Recht auf die personenbezogenen Daten zu schützen, also den Datenschutz. Der Datenschutz hängt systematisch gesehen vom Recht auf eine freie Verfügung über die eigenen Daten ab.

Selbstverständlich kann das Grundrecht auf informationelle Selbstbestimmung wie die meisten übrigen Grundrechte auch eingeschränkt werden, zum Beispiel in der Auskunftspflicht gegenüber den Steuerbehörden.

Rechtslage

In der Rechtswirklichkeit kommt der Datenschutz in der Schweiz bisher ohne ein explizites Grundrecht auf informationelle Selbstbestimmung aus. Der Datenschutz wird traditionell als Teilbereich des Grundrechts auf Schutz der Privatsphäre konzipiert, und zwar als Schutz vor dem Missbrauch persönlicher Daten durch den Staat oder private Dritte. So heisst es in der Bundesverfassung unter dem Titel «Art. 13 Schutz der Privatsphäre» in Absatz 2: «Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.»

Da das Missbrauchs-Paradigma das schweizerische Datenschutzrecht bis heute bestimmt, ist die Position der individuellen Grundrechtsträger/innen in Datenschutzfragen entsprechend schwach. Der Schutz vor Missbrauch personenbezogener Daten ist zwar notwendig, doch er ist enger gefasst als ein Datenschutz, der sich auf das individuelle Recht auf Selbstbestimmung über die Preisgabe und Verwendung von persönlichen Daten bezieht.

Die informationelle Selbstbestimmung wurde zwar in der Schweiz vom Bundesgericht wie auch in Deutschland vom Bundesverfassungsgericht in Einzelfällen bereits anerkannt; doch es fehlt dessen systematische Anerkennung auf der Ebene der Verfassung, mit entsprechenden Konsequenzen im Datenschutzgesetz. Eine indirekte Kodifizierung der informationellen Selbstbestimmung findet sich bisher nur im Artikel 8 der Grundrechte-Charta der EU: «Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.»

Herausforderungen an die Politik

Die stark gewachsenen technischen Möglichkeiten der kommerziellen und geheimdienstlichen Verarbeitung von grossen Mengen persönlicher digitaler Daten, die im Internet abgesaugt werden, stellen den Datenschutz bekanntlich vor grosse Herausforderungen. Dies betrifft den Gebrauch und Missbrauch persönlicher Daten sowohl durch staatliche Organe wie auch durch die grossen privaten Internetfirmen wie Apple, Microsoft, Facebook und Google. Die Anerkennung des Grundrechts auf informationelle Selbstbestimmung stärkt die Legitimation und die Verpflichtung des Staats, dieses Grundrecht des Individuums auch gegenüber privaten Firmen zu schützen. Ein besserer Schutz bedarf eines angepassten nationalen und internationalen rechtlichen Rahmens.

Eine besondere Herausforderung ist der Datenschutz im globalen Datentransfer. Die Unterscheidung zwischen In-und Auslandkommunikation ist aufgrund der vielen Datenverarbeitungsvorgänge von unterschiedlichen Dienstanbietern kaum mehr möglich. Das Schweizerische Kompetenzzentrum für Menschenrechte (SKMR) hat im Oktober 2016 eine Studie veröffentlicht, mit dem Ziel, die menschenrechtlichen Pflichten der Staaten zum Schutz des Rechts auf Privatsphäre bezüglich grenzüberschreitender Tätigkeiten von Informationsunternehmen zu klären.

Der Präsident des europäischen Parlaments, Martin Schulz, hat in diesem Zusammenhang eine neue «Charta der digitalen Grundrechte» gefordert. Dieser Vorschlag wurde vom deutschen Justizminister Heiko Maas aufgenommen und in 13 Artikeln einer «Internet-Charta» zur Diskussion gestellt. Darin wird ersichtlich, dass die Datenschutz-Thematik nur ein Mosaikstein einer vielgestaltigen Problematik von unzureichend garantierten individuellen Rechten in der Internet-Nutzung ausmacht.

Datenschutz-Reform der EU: Zwischen grundrechtlicher Orientierung und wirtschaftlichen Interessen

Für die EU-Datenschutz-Reform bestand die Herausforderung darin, das Grundrecht auf den Schutz personenbezogener Daten in der Grundrechte-Charta der EU durchzusetzen, egal wie lukrativ das Geschäft mit den Daten auch sein mag und unabhängig davon, mit welchen Giganten (Google, Facebook, Twitter) die Europäische Kommission es zu tun hat. Die wirtschaftlichen Interessen an der Verwendung personenbezogener Daten sind immens. Das Geschäft mit Daten generiert riesige Vermögen. Vorhersagen schätzen, dass 2020 der Wert der in Europa erzeugten Daten ungefähr 1000 Milliarden Euro, also 8% des BIP der EU beträgt.

Es verwundert daher nicht, dass die Reform des Datenschutzes in der EU den Fokus auf zwei Aspekte legte: Das Grundrecht, selbst über seine Daten zu bestimmen, und die wirtschaftlichen Interessen. Es hat Jahre gedauert, bis Ende 2015 zwischen der EU-Kommission, dem EU-Parlament und dem EU-Rat eine Einigung erzielt wurde. In einer Medienmitteilung vom Dezember 2015, welche diese Reform ankündigte, erläuterte die Europäische Kommission ihre Ziele klar und deutlich: «Wir werden weiter daran arbeiten, in der EU eine offene und dynamische Datenwirtschaft zu schaffen mit höchsten Datenschutzstandards und ohne ungerechtfertigte Schranken.»

Neue Regeln im Rahmen der EU

Das EU-Datenschutz-Reformpaket wird 2018 in Kraft treten und besteht aus zwei Instrumenten: Eine Datenschutz-Grundverordnung (tritt am 25. Mai 2018 in Kraft), die generelle Fragen zum Datenschutz klärt und eine neue Datenschutz-Richtlinie für Polizei und Strafjustiz (tritt am 06. Mai 2018 in Kraft). Die neue Richtlinie soll garantieren, dass Daten von Opfern, Zeugen und Verdächtigten während der strafrechtlichen Ermittlungen sowie im Strafverfahren ausreichend geschützt bleiben.

Die Datenschutz-Grundverordnung differenziert die Rechte der Personen, deren Daten verarbeitet werden, in folgende Kategorien: Das Informationsrecht, das Auskunfts- und Widerspruchsrecht, das Recht auf Löschung, sowie das Recht auf Datenübertragung. Sie ermöglicht Privatpersonen eine bessere Kontrolle über ihre Daten und sichert einen einfacheren Zugang zu den eigenen Daten. Die Verordnung verlangt von den Anbietern, dass sie den Internetnutzenden klar und verständlich mitteilen, wozu ihre Daten genutzt werden. Zudem soll das Recht auf Vergessen klarer aufgeführt werden und Internetnutzende sollen darüber informiert werden, wenn ohne Erlaubnis auf ihre Daten zugegriffen wird.

Der Europarat am Arbeiten

Der Europarat arbeitet seit Jahren an der Modernisierung des Übereinkommens zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (Konvention 108). Dieses Übereinkommen wurde 1997 von der Schweiz ratifiziert und ist bis heute das einzige international bindende Rechtsinstrument zum Datenschutz. Da das Übereinkommen 1981 erstellt wurde, ist es inzwischen veraltet. Die Modernisierung des Übereinkommens möchte unter anderem das Grundrecht auf die informationelle Selbstbestimmung stärker in das Konzept des Datenschutzes einfliessen lassen. Die Modernisierung des Europarat-Übereinkommens erfolgt in Abstimmung mit der Datenschutzreform der EU.

Das Konsultativkomitee der Konvention 108 hat sich vom 11. September bis zum 13. September 2017 zum letzten Mal getroffen. Die aktuellste veröffentlichte Version des Entwurfs des neuen Europarats-Übereinkommens stammt vom 12. September 2016. Sobald das Ministerkomitee des Europarates die revidierte Konvention angenommen hat, haben die Vertragsparteien zwei Jahre Zeit, um die modernisierte Konvention zu ratifizieren.

Entwicklungen in der Schweiz

Die Veränderungen im europäischen Raum beeinflussen das schweizerische Recht. Der Bund hat das zuvor erwähnten Abkommens des Europarates ratifiziert. Zudem hat der Bundesrat bereits im April 2015 davor gewarnt, die bevorstehende modernisierte Version nicht zu ratifizieren. In einer Medienmitteilung vom 1. April 2015 schreibt er: «Der Verzicht auf eine Ratifikation der modernisierten Europarats-Konvention hätte (…) für die Schweiz erhebliche negative Auswirkungen auf den grenzüberschreitenden Datenverkehr.»

Astrid Epiney betont auf Anfrage, dass die Datenschutzreform der EU Auswirkungen auf das Schengen-Dublin Abkommens haben wird, welches auch die Schweiz bindet. Die Reform betrifft somit die Schweiz wie alle anderen Länder des Schengen-Raums auch. Zudem sind die EU-Reform und die revidierte Konvention des Europarates bereits in den Vorentwurf des neuen Datenschutzgesetzes eingeflossen. Gemäss der Medienmitteilung des Bundesrates vom 21. Dezember 2016 schafft der Vorentwurf die Voraussetzungen dafür, dass die Schweiz die revidierte Europarats-Konvention ratifizieren kann und die EU-Richtlinien über den Datenschutz erfüllt. Dadurch wird garantiert, dass der grenzüberschreitende Datenverkehr mit der EU nicht erschwert wird.

Kein explizites Recht auf informationelle Selbstbestimmung

In den Jahren 2014 und 2015 wurden im Parlament zwei Vorschläge lanciert, welche das Ziel hatten, in die Refom des Datenschutzgesetzes einzufliessen. Eine parlamentarische Initiative von Fathi Derder (FDP, GE) «Zum Schutz der digitalen Identität von Bürgerinnen und Bürgern», wollte in den Art. 13. Abs. 2 der Bundesverfassung einfügen, dass persönliche Daten Eigentum der betreffenden Person sind. Eine weitere parlamentarische Initiative war von Daniel Vischer, ehemaliger Nationalrat der Grünen in Zürich, eingereicht worden. Die parlamentarische Initiative «Grundrecht auf informationelle Selbstbestimmung» forderte, Artikel 13 Absatz 2 der Bundesverfassung so zu ändern, dass der Datenschutz statt eines Missbrauchsschutzes zu einem Grundrecht auf informationelle Selbstbestimmung wird.

Die staatspolitischen Kommissionen der beiden Räte haben beiden parlamentarischen Initiativen Folge gegeben. Die Kommission des Ständerats hat in einer Medienmitteilung vom 20. August 2015 zudem angeregt, der Bundesrat solle die beiden Vorstösse bei der Ausarbeitung des Vorentwurfs zum neuen Datenschutzgesetz berücksichtigen. Trotzdem schrieb der Nationalrat beide Initiativen am 29. September 2017 mit 118 zu 76 Stimmen ab. FDP Nationalrat Philippe Nantermod begründet den Entscheid damit, dass die Bundesverfassung in Art.13 «Schutz der Privatsphäre» das Recht auf informationelle Selbstbestimmung bereits enthalte. Der Wortlaut von Art. 13 Abs. 2 der Bundesverfassung steht dieser Auffassung jedoch entgegen (Art. 13 Abs. 2 BV: «Jede Person hat Anspruch auf Schutz vor Missbrauch ihrer persönlichen Daten.»).

Zur parlamentarischen Initiative «Grundrecht auf informationelle Selbstbestimmung» gab es auch zuvor schon kritische Stimmen wie diejenige von Markus Schefer in der NZZ vom 11.9.2014. Er verneinte den Bedarf für die Neuerung, weil das Bundesgericht den Art. 13 Abs. 2 bereits jetzt so auslege, als handle es sich um das geforderte Grundrecht. Dieses Argument ist allerdings nicht besonders stichhaltig. Denn nichts spricht dagegen, den Wortlaut der Bundesverfassung der Praxis des Bundesgerichts anzupassen.

Es bleibt nun also beim «Als-ob-Grundrecht». Der Nationalrat hat sich Sand in die Augen streuen lassen und eine einmalige Chance verpasst.

Botschaft zur Datenschutzrevision

Bereits kurz vor dieser Abfuhr, am 15. Sept. 2017, hat der Bundesrat seine Botschaft zur Datenschutzrevision veröffentlicht. Der Entwurf zum neuen Datenschutzgesetz berücksichtigt die Anliegen der informationellen Selbstbestimmung nur am Rande. Er erhöht zwar die Transparenz bei der Datenbearbeitung, indem er die Informationspflicht der Datenbearbeiter ausweitet und das Auskunftsrecht der betroffenen Personen präzisiert. Das Paradigma des Schutzes vor Missbrauch bleibt bestehen, und damit ist die grundrechtliche Position der betroffenen Individuen in diesem Bereich weiterhin schwach.

Der Datenschützer zur Revision des Datenschutzgesetzes

Hans-Peter Thür war bis zum 30. November 2015 Eidgenössischer Datenschutz und Öffentlichkeitsbeauftragter (EDÖB) und hatte sich während seines letzten Amtsjahres intensiv für eine Stärkung des Datenschutzgesetzes im Sinne der informationellen Selbstbestimmung eingesetzt. Er erinnerte in mehreren Interviews daran, dass Suchmaschinen und soziale Netzwerke nicht wirklich gratis sind. Es handle sich eher um ein Tauschgeschäft: Persönliche Daten gegen die Dienstleistung. Leider sei vielen Internetnutzern dieser Tausch gar nicht bewusst und das Kräfteverhältnis zwischen den Nutzern/-innen und den Internetgiganten ist klar zu deren Nachteil. Gemäss dem ehemaligen Eidgenössischen Datenschutz und Öffentlichkeitsbeauftragten müsste das neue Datenschutzgesetz die Anbieter dazu verpflichten, ihre Software so zu gestalten, dass sie den Schutz der Privatsphäre in ihren Grundeinstellungen bereits bestmöglich garantieren.

Der Entwurf zum neuen Datenschutzgesetzes sieht vor, dass bei technischen Systemen die Voreinstellungen so zu handhaben sind, dass die Datenbearbeitung nur im Rahmen des jeweiligen Verwendungszwecks möglich ist. Somit kommt der Entwurf des Bundesrates der Forderung von Hans-Peter Thür entgegen.

Eine weitere Neuerung des Entwurfs besteht darin, dass die Informationspflicht der Datenbearbeiter ausgeweitet wird. Ergänzend sollen auch die Betroffenen besser über die Nutzung ihrer Daten informiert werden. Unter anderem sollen Personen neu auch in bestimmten Fällen informiert werden, wenn eine ausschliesslich automatisierte Bearbeitung ihrer Daten vorliegt. Gleichzeitig soll die Aufsichtskompetenz des EDÖB gestärkt werden. Ferner werden mit dem neuen Datenschutzgesetz die Strafbestimmungen im Gesetz verschärft. Die maximale Busse wurde von CHF 10‘000.- auf CHF 250‘000.- erhöht. Eine weitere erwähnenswerte Änderung besteht darin, dass das Recht auf Löschen von persönlichen Daten explizit aufgeführt wird. Den Paradigmenwechsel zum Recht auf informationelle Selbstbestimmung hat der Bundesrat in seinem Entwurf zum neuen Datenschutzgesetz jedoch nicht gewagt. 

Der neue Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Adrian Lobsiger beurteilt den Entwurf des neuen Datenschutzgesetzes grundsätzlich als positiv. Er weist jedoch in seiner Medienmitteilung vom 15. September 2017 auf einige verpasste Chancen hin, beispielsweise die fehlenden verwaltungsstrafrechtlichen Sanktionen.

Der Entwurf zum neuen Datenschutzgesetz wird nun im Nationalrat behandelt werden.