EDÖB und pri­va­tim: neu­er Leit­fa­den zu Wah­len und Abstim­mun­gen – auto­no­mer Nach­voll­zug der DSGVO

Der EDÖB und pri­va­tim haben in gemein­sa­mer Arbeit den Leit­fa­den zu Wah­len und Abstim­mun­gen auf­da­tiert. Die frü­he­re Ver­si­on stamm­te vom 1. Juni 2019.

Der Leit­fa­den will eine Hil­fe­stel­lung sein, geht aber teil­wei­se über das gel­ten­de wie auch künf­ti­ge Recht hin­aus. Man hat bewusst auf Hin­wei­se auf die Geset­zes­grund­la­gen ver­zich­tet, um die all­ge­mei­ne Ver­ständ­lich­keit zu för­dern, und will vor allem “sen­si­bi­li­sie­ren” (hier kon­kur­riert man mit den Dut­zen­den Anlie­gen, für die der Bund auch “sen­si­bi­li­siert”). Den­noch beschränkt sich der Leit­fa­den nicht auf Grund­sät­ze, son­dern ent­hält detail­lier­te Hand­lungs­an­wei­sun­gen. Dabei ist unklar, wo sich der Leit­fa­den als Emp­feh­lung und wo als Aus­le­gung ver­bind­li­cher Regeln ver­steht; for­mu­liert ist er aber meist als Anwei­sung. Teil­wei­se liegt das dar­an, dass er nicht zwi­schen den Rege­lun­gen des DSG und jenen der Kan­to­ne unter­schei­det. Ins­ge­samt ist er aber kaum all­ge­mein­ver­ständ­lich und recht­lich nicht immer über­zeu­gend. Hier­zu eini­ge Anmerkungen:

Gemein­sa­me Ver­ant­wor­tung:

  • Wenn eine Par­tei ein Track­ing Pixel eines Dritt­an­bie­ters ein­bin­det und dadurch Infor­ma­tio­nen über die Besu­cher der Web­site gene­riert, die anschlie­ssend für eine geziel­te Anspra­che auf Social Media ver­wen­det wer­den, dann sei­en die Par­tei als Betrei­be­rin der Web­site und der Social Media-Anbie­ter gemein­sam Ver­ant­wort­li­che. Begrün­det wird die­se Ansicht aller­dings nicht.
  • Man lehnt sich hier wohl an die Recht­spre­chung des EuGH an. Im Fan­pages-Ent­scheid sah der EuGH eine gemein­sa­me Ver­ant­wor­tung auf­grund der Beein­flus­sung der anschlie­ssen­den Bear­bei­tung durch Face­book zu sta­ti­sti­schen Zwecken; erfor­der­lich war hier immer­hin noch eine sol­che Beein­flus­sung. Im Fashion ID-Ent­scheid reich­te es schon aus, die Daten­er­he­bung durch Face­book im gemein­sa­men wirt­schaft­li­chen Inter­es­se zu ver­an­las­sen, auch ohne die wei­te­re Beein­flus­sung. Die Ent­wick­lung der Recht­spre­chung geht damit zu einer Aus­wei­tung der gemein­sa­men Ver­ant­wor­tung, wobei wohl ein bewuss­tes Zusam­men­wir­ken in Kennt­nis der wesent­li­chen Umstän­de der gemein­sa­men Bear­bei­tung not­wen­dig, aber auch hin­rei­chend ist. Klar wird dies aller­dings auch mit den ent­spre­chen­den Leit­li­ni­en des EDSA nicht. Des­halb bleibt offen, unter wel­chen Vor­aus­set­zun­gen und mit Bezug wor­auf der EDÖB und pri­va­tim eine gemein­sa­me Ver­ant­wor­tung sehen, wes­halb ihr Hin­weis der Pra­xis kaum hilft.
  • So oder anders setzt eine gemein­sa­me Ver­ant­wor­tung vor­aus, dass über­haupt Per­so­nen­da­ten bear­bei­tet wer­den, was bei Track­ing Pixeln nicht der Fall sein muss (denn uni­que IDs sind nach dem DSG – auch dem nDSG – nicht immer Personendaten).
  • Gemein­sam ver­ant­wort­li­che Drit­te sei­en anzu­hal­ten “nach­zu­wei­sen, dass sie sämt­li­che daten­schutz­recht­li­che Vor­ga­ben ein­hal­ten”. Was ist damit gemeint?

Auf­trags­be­ar­bei­tung:

  • Der Leit­fa­den ent­hält Hin­wei­se auf die Auf­trags­be­ar­bei­tung und sieht im Anhang unter C vor, dass “Daten­händ­ler und Daten­ana­ly­se-Unter­neh­men”, wenn sie als Auf­trags­be­ar­bei­ter tätig sind,

    ver­ge­wis­sern sie sich vor Ver­trags­ab­schluss, dass ihre Auf­trag­ge­be­rin oder ihr Auf­trag­ge­ber wil­lens und tech­nisch wie orga­ni­sa­to­risch in der Lage ist, die erhal­te­nen Daten gesetz­tes- und ver­trags­ge­mäss weiterzubearbeiten;

    Wes­halb hät­te ein Auf­trags­be­ar­bei­ter die­se Pflich­ten? Zwar kann ein Auf­trags­be­ar­bei­ter mit­haf­ten, wenn er bewusst zu einer Daten­schutz­ver­let­zung des Ver­ant­wort­li­chen bei­trägt, aber er hat kei­ne Pflicht, eine ent­spre­chen­de Prü­fung vorzunehmen.

Beson­ders schüt­zens­wer­te Per­so­nen­da­ten:

  • Es soll ein aus­ge­spro­chen wei­tes Ver­ständ­nis der beson­ders schüt­zens­wer­ten Per­so­nen­da­ten gelten:

    Daten, die Rück­schlüs­se auf poli­ti­sche oder welt­an­schau­li­che Ansich­ten zulas­sen, gel­ten als beson­ders schützenswert

    Dass Daten Rück­schlüs­se “zulas­sen”, kann kaum genü­gen, zumal es schon bei der Fra­ge des Per­so­nenen­be­zugs selbst nicht nur auf die abstrak­ten Mög­lich­kei­ten, son­dern die rea­li­sti­scher­wei­se ver­füg­ba­ren Mit­tel und auch die Moti­va­ti­on der Stel­le ankommt, die Zugriff auf Per­so­nen­da­ten hat. Bei der Qua­li­fi­ka­ti­on als beson­ders schüt­zens­wert kann es kaum anders sein. Auch hier scheint man der Recht­spre­chung des EuGH zu fol­gen, was jeden­falls nach dem DSG abzu­leh­nen ist (die neue­ren kan­to­na­len Geset­ze arbei­ten mit einer Gene­ral­klau­sel, die nach Umstän­den ent­spre­chend aus­ge­legt wer­den könnte).

  • Der EDÖB und pri­va­tim weiter:

    Obwohl dazu noch kei­ne umfas­sen­de Recht­spre­chung vor­liegt, ist davon aus­zu­ge­hen, dass digi­ta­le Daten­be­ar­bei­tun­gen im Zusam­men­hang mit dem poli­ti­schen Pro­zess allein schon auf­grund ihrer Zweck­aus­rich­tung, welt­an­schau­li­che Ansich­ten von vie­len Men­schen zu beein­flus­sen, in der Regel dem für beson­ders schüt­zens­wer­te Per­so­nen­da­ten gel­ten­den Schutz­ni­veau unterliegen.

    Auch die­se Aus­sa­ge ist so nicht rich­tig. Nicht alle Daten “im Zusam­men­hang mit dem poli­ti­schen Pro­zess” sind beson­ders a prio­ri beson­ders schüt­zens­wert. Mass­ge­bend ist auch nicht die Absicht, Ansich­ten zu beein­flus­sen, son­dern die Aus­sa­ge­kraft eines Datums im Kon­text sei­ner Bearbeitung.

Ein­wil­li­gung:

  • Eine Ein­wil­li­gung müs­se “selbst­be­stimmt” sein. Ver­mut­lich ist damit die Frei­wil­lig­keit der Ein­wil­li­gung gemeint. Dies set­ze vor­aus, dass Betrof­fe­ne “dif­fe­ren­ziert” ein­wil­li­gen können:

    Selbst­be­stimmt ist die Ein­wil­li­gung, wenn die Betrof­fe­nen hin­sicht­lich der Akti­vie­rung oder Deak­ti­vie­rung ein­zel­ner Aspek­te und Funk­tio­na­li­tä­ten der digi­ta­len Appli­ka­tio­nen (z.B. durch set­zen ent­spre­chen­der Häk­chen) dif­fe­ren­ziert ein­wil­li­gen kön­nen und dadurch eine ech­te Wahl haben, nicht nur ob, son­dern auch in wel­chem Mass sie ihre Daten zur Ver­fü­gung stellen.

    Und wei­ter unten: 

    Kön­nen Besu­che­rin­nen und Besu­cher ein­zeln («gra­nu­lar») wäh­len, ob bzw. wel­che der ein­ge­setz­ten Instru­men­te des Web­track­ing sie zulas­sen wollen? 

    Das liest sich so, als sei erstens eine Ein­wil­li­gung erfor­der­lich für ein Track­ing, was nach schwei­ze­ri­schem Recht nicht der Fall ist, und als müs­se man in Track­ing­mass­nah­men ein­zeln ein­wil­li­gen, was nicht ein­mal die deut­schen oder fran­zö­si­schen Behör­den unter Gel­tung der DSGVO und der loka­len Rege­lun­gen für Coo­kies usw. verlangen.

  • Zudem

    müs­sen die Betrof­fe­nen jeder­zeit die Mög­lich­keit haben, ihre Ein­wil­li­gung zu wider­ru­fen und die Löschung ihrer Daten zu ver­lan­gen. Die Erfül­lung die­ser Ansprü­che setzt sei­tens der Akteu­re Inve­sti­tio­nen in daten­schutz­freund­li­che Tech­no­lo­gien voraus,

    Das trifft nicht zu. Betrof­fe­ne haben grund­sätz­lich das Recht, ihre Ein­wil­li­gung zu wider­ru­fen, aber es gibt im schwei­ze­ri­schem Recht kei­ne Vor­ga­be, den Wider­ruf so ein­fach wie die Ein­wil­li­gung zu machen, auch kein all­ge­mei­nes Erleich­te­rungs­ge­bot bei Betrof­fe­nen­rech­ten wie nach der DSGVO. Und der Grund­satz von Pri­va­cy by Design ver­langt nur, den Daten­schutz pro­ak­tiv ein­zu­hal­ten; zusätz­li­che Pflich­ten sieht er nicht vor.

  • Die Ein­wil­li­gung muss zudem infor­miert sein. Dies soll nach dem Leit­fa­den u.a. vor­aus­set­zen, dass die Betrof­fe­nen “auch über ihre Rech­te” wie bei­spiels­wei­se “jenes des jeder­zei­ti­gen Wider­rufs” infor­miert wer­den. Auch das ist eins zu eins der DSGVO ent­nom­men. Eine Ein­wil­li­gung wird nach schwei­ze­ri­schem Recht nicht unwirk­sam, wenn nicht über den Wider­ruf infor­miert wird, und zwar auch nicht unter Gel­tung der kan­to­na­len Geset­ze, die bei der Infor­ma­ti­ons­pflicht eine ent­spre­chen­de Infor­ma­ti­on ver­lan­gen kön­nen (z.B. § 12 des IDG ZH).
  • Zudem sei die Infor­ma­ti­on nur aus­rei­chend, wenn sie

    die Zwecke und Wir­kungs­wei­sen der digi­ta­len Bear­bei­tungs­me­tho­den […] in meh­re­ren adres­sa­ten­ge­rech­ten Erklä­rungs­tie­fen zugäng­lich machen und ins­be­son­de­re über die Dau­er der Bear­bei­tung und die all­fäl­li­ge Wei­ter­ga­be der Daten Aus­kunft geben. Die Kas­ka­de der Infor­ma­tio­nen beginnt mit einer gut sicht­ba­ren Kurz­in­for­ma­ti­on auf der Regi­strie­rungs­sei­te, wel­che die wich­tig­sten Punk­te der Daten­be­ar­bei­tung erklärt. Jeder die­ser Punk­te ent­hält wei­ter­füh­ren­de Links, wel­che die Lese­rin oder den Leser auf die jeweils rele­van­ten Pas­sa­gen der ein­schlä­gi­gen Bear­bei­tungs­re­gle­men­te und Daten­schutz­be­stim­mun­gen führen.

    Dass das recht­lich nicht zwin­gend ist, liegt auf der Hand.

  • Aus­drück­li­che Ein­wil­li­gung:

    Für eine aus­drück­li­che Ein­wil­li­gung ist eine akti­ve Zustim­mungs­hand­lung der Betrof­fe­nen not­wen­dig. […] Erklä­run­gen, mit denen Per­so­nen ledig­lich in gene­rel­ler Wei­se Nut­zungs­be­din­gun­gen anneh­men, sind hin­ge­gen kei­ne aus­drück­li­chen Einwilligungen.

    Das ist so all­ge­mein nicht rich­tig. Wenn Nut­zungs­be­din­gun­gen eine Bear­bei­tung beson­ders schüt­zens­wer­ter Daten aus­drück­lich vor­se­hen und der Nut­zer den Bedin­gun­gen aktiv zustimmt, ist die­se Ein­wil­li­gung aus­drück­lich. Ob sie auch frei­wil­lig ist, ist eine ande­re Frage.

Infor­ma­ti­on und Trans­pa­renz:

  • Auf einer Web­site ver­lan­ge die Trans­pa­renz min­de­stens fol­gen­de Infor­ma­tio­nen, was sicher nur unter den kan­to­na­len Daten­schutz­ge­set­zen gel­ten kann und auch hier weit gin­ge, bspw. was eine Infor­ma­ti­on über “künst­li­che Intel­li­genz” betrifft:
    • die Iden­ti­tät der ver­ant­wort­li­chen Inha­be­rin­nen oder Inha­ber der
      Sammlung
    • die Kate­go­rien der bear­bei­te­ten Daten
    • die Daten­be­schaf­fung mit Hin­weis auf Drittquellen
    • den aktu­el­len Zweck und, falls not­wen­dig den, Recht­fer­ti­gungs­grund der Bearbeitung
    • die Bear­bei­tungs­me­tho­den unter Ein­schluss des Zwecks und der Funk­ti­ons­wei­se der zum Ein­satz gelan­gen­den Ana­ly­se­me­tho­den inkl. künst­li­cher Intelligenz
    • die Kate­go­rien all­fäl­li­ger Datenempfänger
    • die Rol­len, Pflich­ten und Ver­ant­wort­lich­kei­ten von Daten­lie­fe­ran­ten, Daten­ana­ly­se­un­ter­neh­men oder Datenplattformen
    • die mass­ge­ben­den Nut­zungs­be­din­gun­gen Drit­ter und deren
      Fundstellen.
  • Beim Erst­kon­takt nach einer indi­rek­ten Daten­be­schaf­fung sei den Betroffenen

    mit­zu­tei­len, wer für die erhal­te­ne Mit­tei­lung ver­ant­wort­lich ist, wo wei­ter­füh­ren­de Infor­ma­tio­nen zu den damit ver­bun­de­nen Daten­be­ar­bei­tun­gen erhält­lich sind und wie die Betrof­fe­nen­rech­te gel­tend gemacht wer­den können.

    Falls damit gemeint ist, dass die­se Erst­in­for­ma­ti­on nicht nur einen Hin­weis auf eine Daten­schutz­er­klä­rung ent­hal­ten kann, son­dern auch Anga­ben zu den Betrof­fe­nen­rech­ten not­wen­dig sei­en, ist das ein Ver­such, sich den ent­spre­chen­den Aus­füh­run­gen des EDSA zu Min­dest­in­for­ma­tio­nen erster Stu­fe bei gestaf­fel­ter Infor­ma­ti­on (sog. “Basis­in­for­ma­tio­nen”) anzu­nä­hern. Es gibt aber kei­ne Grund­la­ge für die­se Aus­le­gung der Infor­ma­ti­ons­pflicht; eine Ver­wei­sung auf die Daten­schutz­er­klä­rung reicht ver­mu­tungs­wei­se aus.

  • Daher müs­sen alle Betrof­fe­nen in geeig­ne­ter Wei­se ihr Auskunfts‑, Berich­ti­gungs- und Lösch­recht wahr­neh­men kön­nen. Dies beginnt damit, dass sie über ihre Rech­te infor­miert wer­den sowie dar­über, wie und wo sie die­se gel­tend machen können.

    Das nDSG jeden­falls sieht nicht vor, dass Betrof­fe­ne über ihre Rech­te aktiv infor­miert wer­den müs­sen. Die kan­to­na­len Daten­schutz­ge­set­ze kön­nen aber sol­che Infor­ma­ti­ons­pflich­ten enthalten.

Rol­le der Ein­zel­per­so­nen:

  • Bevor eine Per­son Infor­ma­tio­nen über Drit­te an Par­tei­en, Inter­es­sen­grup­pen, Daten­händ­ler, Daten­ana­ly­se­un­ter­neh­men oder Daten­platt­for­men wei­ter­ge­ben, müs­sen sie dafür “vor­gän­gig deren aus­drück­li­che Ein­wil­li­gung” ein­ho­len und sich ver­ge­wis­sern, dass “Soft­ware auf die­se Daten greift, die aus ver­läss­li­chen Quel­len stammt”. Der letz­te Satz ist etwas omni­ös, und vor der Wei­ter­ga­be muss die betref­fen­de Per­son auch nicht grund­sätz­lich eine Ein­wil­li­gung ein­ho­len, aber sie muss die Betrof­fe­nen über die Wei­ter­ga­be infor­mie­ren. Ent­spre­chend darf der Emp­fän­ger auch davon aus­ge­hen, dass die­se Infor­ma­ti­on erfolgt ist.