Warum es sich lohnt, den Datenschutz zu wahren

Es gibt etwas, worüber sich Datenschutzexperten derzeit einig zu sein scheinen: Vieles bleibt ungeklärt; Wir müssen die Rechtsprechung abwarten, denn alles ist Auslegungssache.

Natürlich haben Juristen Recht, wenn sie sagen, die Sachlage sei komplex – um nicht zu sagen: kompliziert. Wer sich aber als Laie um Compliance bemüht, will wissen, was Sache ist. Was muss ein KMU tun, um die Anforderungen zu erfüllen? Was passiert tatsächlich, wenn jemand die Vorschriften verletzt und dabei auffliegt? Und was kommt mit der Revision des Datenschutzgesetzes (DSG) auf uns zu?

Über solche Fragen diskutierten Rechtsanwälte und Juristen an der 12. Tagung zum Datenschutz im "Lakeside" am Zürichhorn. Rund 200 Gäste folgten der Einladung des Europa-Instituts.

Datenschutz als Chance

Mythen entzaubern, mit Ängsten aufräumen – das war das erklärte Ziel von Sandra Husi, Datenschutzbeauftragte des EJPD. Einer dieser Mythen laute: Datenschutz-Folgeabschätzungen machen alles kompliziert. "Solche Abklärungen bedeuten aber keinen Mehraufwand sondergleichen", sagte Husi. Aufwändig sei dies höchstens bei Unternehmen, die besonders schützenswerte Daten verarbeiten, die also beispielsweise Lernsoftware an Schulen verkaufen oder Daten von Fitnesstrackern verarbeiten. "In solchen Fällen muss die Folgeabschätzung bereits im Projekt angelegt sein, sonst kann es teuer werden".

Ein weiterer Mythos: Mit dem Datenschutzberater wird alles kompliziert. Zum einen "haben wir in der Schweiz derzeit eine 'Kann'-Bestimmung", sagte Husi. Nur wenn die Kerntätigkeit eine systematische Überwachung von Personendaten erfordert, ist die Bestimmung eines Datenschutzberaters Pflicht. "Man nimmt also Rücksicht auf KMUs, die Personendaten nur am Rande bearbeiten", sagte Husi.

Sandra Husi, Datenschutzbeauftragte des EJPD. (Source: Netzmedien)

Zum anderen könne eine Organisation von einem Datenschutzberater profitieren: Ein hohes Compliance-Niveau sei schliesslich ein Marktvorteil. Zudem liesse sich dies auch als Argument für Marketingzwecke einsetzen. Grundsätzlich gelte die Devise: "Datenschutz ist also kein Bremsklotz, sondern eine Chance", sagte Husi.

Von Anfang an mitdenken

Diese Ansicht teilte Rechtsanwältin Daniela Fábián Masoch von der Kanzlei Fabian Privacy Legal. "Datenschutz ist heute ein entscheidender Erfolgsfaktor für jedes Unternehmen", sagte sie. Allerdings bestünden im Umkehrschluss hohe Risiken im Falle von Datenschutzverletzungen. Bussgeldforderungen wögen noch nicht einmal am schwersten. "Langfristig können Reputationsschäden, Vertrauensverlust und Wettbewerbsnachteile viel gravierender sein."

Wer dies alles ernst nehme, müsse das Prinzip "Privacy by Design" anwenden: Datenschutz muss demnach von Beginn weg in der Konzeption von Datenverarbeitungssystemen und Geschäftsprozessen integrieren. Zudem müsse man die Datenschutzgrundsätze wie etwa Transparenz, Vertraulichkeit und Datensicherheit nicht nur einhalten. Sondern man müsse auch nachweisen können, dass man sich an diese Prinzipien halte.

Das alles ist allerdings nichts Neues: "Privacy by Design" gilt seit Jahren als Best Practice. Neu ist nur, dass dieses Prinzip in der DSGVO festgeschrieben und damit für Verantwortliche rechtlich verpflichtend ist", sagte Fábián Masoch. Und verantwortlich sei nicht nur der Datenschutzberater, auch die Geschäftsleitungen seien in der Pflicht. "Das Business muss das Thema anpacken."

Daniela Fábián Masoch, Fabian Privacy Legal. (Source: Netzmedien)

Das Datenschutz-Dilemma im Gesundheitswesen

Im Gesundheitswesen zeigt sich besonders deutlich, dass der Datenschutz auch zum Dilemma werden kann. Einerseits sind Patientendaten besonders schützenswert, andererseits bilden Daten die Grundlage für die moderne medizinische Forschung. Es sei nicht immer einfach, wissenschaftliche Motive von partikularen Interessen zu trennen, sagte Rechtsanwalt Philipp do Canto, Public Sector Law.

"Big Data ist in der Medizin ein riesiges Geschäft". Und dies berge auch Gefahren, was sich etwa am Beispiel der genom-editierten Babys zeige, die im vergangenen November in China geboren sein sollen. "Die Überwachungsökonomie, die wir als Datenschutzrechtler kritisieren, die hat hier System", sagte er. Die Gesetzgebung müsse für solche Konflikte Lösungen finden.

Dies beginne bereits bei der Frage, welche Daten als personenbezogene Gesundheitsdaten qualifiziert werden und welche nicht, sagte Rechtsanwalt Thomas Steiner von der Kanzlei Vischer. Im Schweizer Datenschutzrecht seien Gesundheitsdaten vergleichsweise eng definiert. Die EU-DSGVO gehe hingegen weiter: "Dort zählen auch jene Daten dazu, die einen Rückschluss auf einen zukünftigen Gesundheitszustand ermöglichen." Also auch sozio-ökonomische Daten etwa zum Ausbildungsniveau, Informationen zum Lebensstil oder Quantified-Self-Daten von Fitnesstrackern. "Um den Begriff justiziabel zu halten, müssen wir ihn eingrenzen", sagte Steiner.

Thomas Steiner (l.), Vischer, und Philipp do Canto, Public Sector Law. (Source: Netzmedien)

Nichts geht ohne Vertrauen

Zudem solle die Qualifikation als personenbezogene Gesundheitsdaten– gemäss dem Privacy-by-Design-Prinzip – schon beim Produktedesign berücksichtigt werden. Dasselbe gelte für die technische Möglichkeit der Pseudonymisierung. "Wenn dann etwas verloren geht, ist immerhin der Schaden nicht allzu gross", sagte Steiner.

Die Leistungserbringer im Gesundheitswesen, Forscher wie auch E-Health-Anbieter seien ihrerseits in der Pflicht, transparent zu sein, wenn sie Gesundheitsdaten erfassen und bearbeiten. "Das Informationsbedürfnis der Patienten ist zentral", sagte Steiner. Deswegen müssten Datenschutzerklärungen und Patienteninformationen verständlich sein. Nur so liesse sich zumindest eine Illusion von Sicherheit herstellen. "Vertrauen ist hier das wichtigste Kapital", sagte Steiner.