Vorwort

Ein Aufruf zum digitalen Spiessertum?

«Wer die ohne Zweifel attraktiven Internetangebote verschiedener Unternehmen nutzen will, soll nicht das Recht auf Privatheit wie den Mantel an der Garderobe abgeben müssen. Wenn digitales Spiessertum bedeutet, auf diesem liberalen Grundrecht zu beharren, sind wir gerne kleinkariert», meinte die NZZ in einem Kommentar kurz vor der Gerichtsverhandlung zu Google Street View Ende Februar 2011. So gesehen, können wir gut mit diesem Prädikat leben.

Andere sprachen von einem Steinzeitdatenschutz und einem Kreuzzug gegen die Moderne, weil wir von Google die Einhaltung unserer Gesetze einfordern und nicht hinnehmen, dass ein global tätiges Unternehmen selber definieren will, welche Massnahmen zum Schutz der Privatsphäre ihm zugemutet werden dürfen. Das Verfahren in Sachen Google Street View und die dadurch lancierte Debatte haben in der Schweiz und im Ausland hohe Wellen geworfen, unterschiedliche Reaktionen ausgelöst (gemäss Umfragen sind die Meinungen ziemlich genau geteilt) und die Auseinandersetzung um den Persönlichkeitsschutz im digitalen Zeitalter zugespitzt. Das Bundesverwaltungsgericht ist unseren Überlegungen weitgehend gefolgt. Das Urteil war bei Redaktionsschluss dieses Tätigkeitsberichts noch nicht rechtskräftig. Dank seiner überzeugenden Begründung leistet es aber auf jeden Fall einen wichtigen Beitrag zur Klärung der Frage, wo die Grenzlinien bei der Abwägung der wirtschaftlichen Interessen von Anbietern neuartiger Medienformate und den Persönlichkeitsrechten der betroffenen Personen verlaufen.

Unabhängig davon steht die Frage im Zentrum, ob eine Firma, deren Datenbearbeitung nicht nur in der Schweiz stattfindet, gemäss den hier geltenden Gesetzen zur Verantwortung gezogen werden kann, wenn Bewohnerinnen und Bewohner dieses Landes in ihren Rechten verletzt werden. Google hat die Zuständigkeit der Schweiz stets verneint. Würde sich diese Rechtsauffassung durchsetzen, hätte das dramatische Folgen für den Persönlichkeitsschutz. Es wäre eine Einladung für global tätige Unternehmen, ihre Datenbearbeitung dorthin auszulagern, wo das Datenschutzniveau am Tiefsten ist. Diese Problematik hat inzwischen auch die EU auf den Plan gerufen: Viviane Reding, EU-Justiz-Kommissarin, ist klar der Meinung, dass jede Firma, die im EU-Markt operiert, oder jedes Online-Produkt, das sich an EU-Konsumenten richtet, die EU-Regeln erfüllen muss. Genau so sollte es auch für die Schweiz sein!

Neben dieser formellen Frage geht es auch darum, ob der Schutz der Privatsphäre lediglich einer vollautomatischen Software überlassen werden darf, auch wenn diese nachweislich nicht immer funktioniert. Oder darf ein zusätzlicher Aufwand für die manuelle Überprüfung verlangt werden, wenn damit die Gefahr ernst zu nehmender Persönlichkeitsverletzungen gebannt werden kann? Hängt das im Datenschutz realisierbare Mass künftig davon ab, was eine Software zu einem gegebenen Zeitpunkt leisten kann?

Egal, wie diese Punkte höchstrichterlich beantwortet werden: Das Verfahren hat auch Schwachpunkte im Gesetz und bei der internationalen Koordination offen gelegt. Es stellt sich die Frage, ob und wie diese Schwachstellen beseitigt werden können. Auf nationaler Ebene böte die kürzlich vom Bundesrat in Auftrag gegebene Evaluation der Wirksamkeit des Datenschutzgesetzes einen Anknüpfungspunkt. Gestützt auf diese Evaluation wird der Bundesrat gegen Ende des Jahres dem Parlament Bericht erstatten, ob und in welche Richtung beim Datenschutz Handlungsbedarf besteht. Das Parlament hat inzwischen selber bereits zahlreiche Vorstösse zur Verbesserung des Gesetzes eingebracht.

Aus unserer Sicht müsste auf gesetzgeberischer Ebene in erster Linie die Frage beantwortet werden, ob Produkte und Dienstleistungen mit einer grossen Einwirkung auf die Privatsphäre vor ihrer Lancierung nicht einer datenschutzrechtlichen Überprüfung zu unterziehen wären und der Anbieter damit den Nachweis erbringen müsste, dass er alles Zumutbare zum Schutz der Persönlichkeitsrechte unternommen hat. Die heutige Rechtslage führt dazu, dass solche Produkte erst gestoppt werden können, wenn die Rechtsverletzung festgestellt worden ist. Das ist weder für ein innovatives Unternehmen, das viel und möglicherweise falsch in die Entwicklung eines Produkts investierte, noch für die Betroffenen sinnvoll und zumutbar.

Die Frage der nationalen Zuständigkeit bleibt unabhängig vom Urteil der Gerichte zu Street View eine Knacknuss für die Datenschutzbeauftragten. Wie verhält es sich beispielsweise, wenn Anbieter von sozialen Netzwerken ihren Userinnen und Usern Dienstleistungen anbieten, welche die Privatsphäre von Dritten tangieren, die weder informiert wurden noch ihre Zustimmung gaben - wer ist verantwortlich? Der Nutzer, der von den Angeboten Gebrauch macht und dem Netzwerk ungefragt Informationen über Dritte weiter gibt, oder der Anbieter selbst? Und wo ist allenfalls zu klagen? Offene Fragen, die auch im internationalen Kontext noch nicht wirklich geklärt worden sind.

Ferner stellt sich in diesem Zusammenhang auch die Frage, wie die internationale Zusammenarbeit und Koordination zu verbessern wäre. Google hat unter anderem damit argumentiert, dass die Schweiz das einzige Land sei, in dem Google wegen Verletzung des Datenschutzes eingeklagt worden sei, während die Einführung von Street View in über zwei Dutzend anderen Ländern ohne Widerstände vonstatten ging. Auch wenn diese Aussage nicht zutrifft, bleibt dennoch das Faktum, dass die an Street View gestellten Anforderungen je nach Land variierten. Das ermöglicht einem agilen Unternehmen natürlich, seine Produkte zuerst in jenen Ländern einzuführen, in denen mit keinem oder wenig Widerstand zu rechnen ist. Anschliessend kann es die nachfolgenden Länder mit «vollendeten Tatsachen» unter Druck setzen.

Die Enthüllungen und Aktivitäten von Wikileaks stellten uns vor brisante Fragen. Darf ein uneingeschränktes Transparenzgebot Whistleblower auch dann schützen, wenn sie Personen zu Unrecht angreifen? Wann ist Whistleblowing überhaupt zulässig, wenn Amts- und Geschäftsgeheimnisse auf dem Spiel stehen? Die intensiv geführte Debatte in der Öffentlichkeit hat einiges geklärt. Die öffentliche Verwaltung und die Wirtschaft müssen Voraussetzungen schaffen, damit effektiv festgestellte Missstände aufgedeckt werden können und der Überbringer der schlechten Nachricht nicht «geköpft» wird. Der Bund ist damit vorangegangen und hat klare Regeln aufgestellt. Die kantonalen Verwaltungen haben Nachholbedarf, zum Teil auch die Wirtschaft. Eine anonyme Anschwärzung von Unschuldigen darf nicht akzeptiert werden. Ein Whistleblower muss sämtliche zumutbaren Schritte unternommen, insbesondere die parlamentarischen Aufsichtsgremien informiert haben, bevor er an die Öffentlichkeit gelangt.

Dass ein Öffentlichkeitsbeauftragter, der zugleich Datenschutzbeauftragter ist, zwischen dem Interesse der Öffentlichkeit an grösstmöglicher Transparenz und dem Schutz der Privatsphäre eines Betroffenen die richtige Gewichtung vornehmen kann, hat der Fall Eberle gezeigt. Ein Journalist wollte die Abgangsvereinbarung des ehemaligen Generalsekretärs von alt Bundesrat Blocher einsehen, was das EJPD und das Bundesverwaltungsgericht in einer ersten Runde entgegen unserer Empfehlung ablehnten. Nachdem das Bundesgericht moniert hatte, dass die Vorinstanz keine Güterabwägung der verschiedenen Interessen vorgenommen hatte, hat das Bundesverwaltungsgericht dies nun nachgeholt und ist unserer Einschätzung gefolgt: Im konkreten Fall überwiegen die Interessen der Öffentlichkeit an der Offenlegung der Abgangsentschädigung.

Kurz vor dem Ziel stehen wir - so scheint es - in Bezug auf die Eliminierung des indirekten Auskunftsrechts in Belangen des Staatschutzes. Seit meinem Amtsantritt vor zehn Jahren wiederhole ich regelmässig die Forderung, auch im Staatschutz sollte grundsätzlich das direkte Auskunftsrecht gelten. Das heisst, der Gesuchsteller soll im Regelfall selber Einsicht in die Akten nehmen können, wenn keine Staatschutzinteressen dagegen sprechen. Nachdem das Parlament noch 2010 einen entsprechenden Vorstoss abgelehnt hat, insistiert nun der Bundesrat im Rahmen der «BWIS-Revision reduziert» auf der Einführung eines direkten Einsichtsrechts nach den Regeln von Art. 8 und 9 DSG. Wir sind zuversichtlich, dass nun der Gesetzgeber nach dem Bericht «Datenbearbeitung im Staatsschutzinformationssystem ISIS» seiner Aufsichtskommission - der
GPDel - die Rechte der Betroffenen verbessern will. Dieser Bericht hatte nämlich einige ernst zu nehmende Mängel beim Staatschutz offen gelegt und brachte uns eine nie da gewesene Flut von Einsichtsgesuchen. Um der spürbaren Verunsicherung vieler Bürgerinnen und Bürger Rechnung zu tragen, haben wir alles Mögliche unternommen, um diese Gesuche prioritär zu behandeln. Mit einer massiven Bündelung unserer Kräfte konnten wir sie bis Ende letztes Jahr erledigen. Dabei haben wir auf Grund der speziellen Situation in zahlreichen Fällen von der Ausnahmebestimmung gemäss Art. 18 BWIS Gebrauch gemacht und den Gesuchstellern mitgeteilt, dass sie nicht eingetragen sind.

Die Sensibilisierung von Kindern und Jugendlichen war auch in diesem Jahr ein Schwerpunkt. Dabei ging es uns vor allem auch darum, private Initiativen zu unterstützen. Es kann nicht nur die Aufgabe der öffentlichen Hand sein, die heranwachsende Generation fit für den Umgang mit den neuen Medien zu machen. Wir haben deshalb sehr gerne die multimediale Kampagne «NetLa - meine Daten gehören mir!» als beispielhafte Initiative begleitet und unterstützt. NetLa wurde vom Rat für Persönlichkeitsschutz lanciert und massgeblich von der Privatwirtschaft finanziert. Gemeinsam mit dem Rat haben wir die Kampagne anlässlich des 5. Europäischen Datenschutztages der Öffentlichkeit vorgestellt. Wichtig für uns war, dass sie nicht nur als einmalige Aktion konzipiert ist, sondern das Thema über einen längeren Zeitraum mit verschiedenen Angeboten altersgerecht behandelt und am Ende auch eine Erfolgskontrolle stattfindet.

 

Hanspeter Thür

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/aeltere-berichte/18--taetigkeitsbericht-2010-2011/vorwort.html