- Der Leitfaden von EDÖB und privatim wurde aktualisiert und bietet umfassende Anweisungen zu Wahlen und Abstimmungen.
- Neue rechtliche Vorgaben betonen die gemeinsame Verantwortung bei der Datenverarbeitung durch Tracking Pixel und Social Media-Anbieter.
- Bedeutsame Fragen bleiben unklar, insbesondere zur Auftragsbearbeitung und den Pflichten von Auftragsbearbeitern.
- Der Leitfaden betont die Notwendigkeit von informierter und selbstbestimmter Einwilligung zur Verarbeitung von Personendaten.
Der EDÖB und privatim haben in gemeinsamer Arbeit den Leitfaden zu Wahlen und Abstimmungen aufdatiert. Die frühere Version stammte vom 1. Juni 2019.
Der Leitfaden will eine Hilfestellung sein, geht aber teilweise über das geltende wie auch künftige Recht hinaus. Man hat bewusst auf Hinweise auf die Gesetzesgrundlagen verzichtet, um die allgemeine Verständlichkeit zu fördern, und will vor allem “sensibilisieren” (hier konkurriert man mit den Dutzenden Anliegen, für die der Bund auch “sensibilisiert”). Dennoch beschränkt sich der Leitfaden nicht auf Grundsätze, sondern enthält detaillierte Handlungsanweisungen. Dabei ist unklar, wo sich der Leitfaden als Empfehlung und wo als Auslegung verbindlicher Regeln versteht; formuliert ist er aber meist als Anweisung. Teilweise liegt das daran, dass er nicht zwischen den Regelungen des DSG und jenen der Kantone unterscheidet. Insgesamt ist er aber kaum allgemeinverständlich und rechtlich nicht immer überzeugend. Hierzu einige Anmerkungen:
Gemeinsame Verantwortung:
- Wenn eine Partei ein Tracking Pixel eines Drittanbieters einbindet und dadurch Informationen über die Besucher der Website generiert, die anschliessend für eine gezielte Ansprache auf Social Media verwendet werden, dann seien die Partei als Betreiberin der Website und der Social Media-Anbieter gemeinsam Verantwortliche. Begründet wird diese Ansicht allerdings nicht.
- Man lehnt sich hier wohl an die Rechtsprechung des EuGH an. Im Fanpages-Entscheid sah der EuGH eine gemeinsame Verantwortung aufgrund der Beeinflussung der anschliessenden Bearbeitung durch Facebook zu statistischen Zwecken; erforderlich war hier immerhin noch eine solche Beeinflussung. Im Fashion ID-Entscheid reichte es schon aus, die Datenerhebung durch Facebook im gemeinsamen wirtschaftlichen Interesse zu veranlassen, auch ohne die weitere Beeinflussung. Die Entwicklung der Rechtsprechung geht damit zu einer Ausweitung der gemeinsamen Verantwortung, wobei wohl ein bewusstes Zusammenwirken in Kenntnis der wesentlichen Umstände der gemeinsamen Bearbeitung notwendig, aber auch hinreichend ist. Klar wird dies allerdings auch mit den entsprechenden Leitlinien des EDSA nicht. Deshalb bleibt offen, unter welchen Voraussetzungen und mit Bezug worauf der EDÖB und privatim eine gemeinsame Verantwortung sehen, weshalb ihr Hinweis der Praxis kaum hilft.
- So oder anders setzt eine gemeinsame Verantwortung voraus, dass überhaupt Personendaten bearbeitet werden, was bei Tracking Pixeln nicht der Fall sein muss (denn unique IDs sind nach dem DSG – auch dem nDSG – nicht immer Personendaten).
- Gemeinsam verantwortliche Dritte seien anzuhalten “nachzuweisen, dass sie sämtliche datenschutzrechtliche Vorgaben einhalten”. Was ist damit gemeint?
Auftragsbearbeitung:
- Der Leitfaden enthält Hinweise auf die Auftragsbearbeitung und sieht im Anhang unter C vor, dass “Datenhändler und Datenanalyse-Unternehmen”, wenn sie als Auftragsbearbeiter tätig sind,
vergewissern sie sich vor Vertragsabschluss, dass ihre Auftraggeberin oder ihr Auftraggeber willens und technisch wie organisatorisch in der Lage ist, die erhaltenen Daten gesetztes- und vertragsgemäss weiterzubearbeiten;
Weshalb hätte ein Auftragsbearbeiter diese Pflichten? Zwar kann ein Auftragsbearbeiter mithaften, wenn er bewusst zu einer Datenschutzverletzung des Verantwortlichen beiträgt, aber er hat keine Pflicht, eine entsprechende Prüfung vorzunehmen.
Besonders schützenswerte Personendaten:
- Es soll ein ausgesprochen weites Verständnis der besonders schützenswerten Personendaten gelten:
Daten, die Rückschlüsse auf politische oder weltanschauliche Ansichten zulassen, gelten als besonders schützenswert
Dass Daten Rückschlüsse “zulassen”, kann kaum genügen, zumal es schon bei der Frage des Personenenbezugs selbst nicht nur auf die abstrakten Möglichkeiten, sondern die realistischerweise verfügbaren Mittel und auch die Motivation der Stelle ankommt, die Zugriff auf Personendaten hat. Bei der Qualifikation als besonders schützenswert kann es kaum anders sein. Auch hier scheint man der Rechtsprechung des EuGH zu folgen, was jedenfalls nach dem DSG abzulehnen ist (die neueren kantonalen Gesetze arbeiten mit einer Generalklausel, die nach Umständen entsprechend ausgelegt werden könnte).
- Der EDÖB und privatim weiter:
Obwohl dazu noch keine umfassende Rechtsprechung vorliegt, ist davon auszugehen, dass digitale Datenbearbeitungen im Zusammenhang mit dem politischen Prozess allein schon aufgrund ihrer Zweckausrichtung, weltanschauliche Ansichten von vielen Menschen zu beeinflussen, in der Regel dem für besonders schützenswerte Personendaten geltenden Schutzniveau unterliegen.
Auch diese Aussage ist so nicht richtig. Nicht alle Daten “im Zusammenhang mit dem politischen Prozess” sind besonders a priori besonders schützenswert. Massgebend ist auch nicht die Absicht, Ansichten zu beeinflussen, sondern die Aussagekraft eines Datums im Kontext seiner Bearbeitung.
Einwilligung:
- Eine Einwilligung müsse “selbstbestimmt” sein. Vermutlich ist damit die Freiwilligkeit der Einwilligung gemeint. Dies setze voraus, dass Betroffene “differenziert” einwilligen können:
Selbstbestimmt ist die Einwilligung, wenn die Betroffenen hinsichtlich der Aktivierung oder Deaktivierung einzelner Aspekte und Funktionalitäten der digitalen Applikationen (z.B. durch setzen entsprechender Häkchen) differenziert einwilligen können und dadurch eine echte Wahl haben, nicht nur ob, sondern auch in welchem Mass sie ihre Daten zur Verfügung stellen.
Und weiter unten:
Können Besucherinnen und Besucher einzeln («granular») wählen, ob bzw. welche der eingesetzten Instrumente des Webtracking sie zulassen wollen?
Das liest sich so, als sei erstens eine Einwilligung erforderlich für ein Tracking, was nach schweizerischem Recht nicht der Fall ist, und als müsse man in Trackingmassnahmen einzeln einwilligen, was nicht einmal die deutschen oder französischen Behörden unter Geltung der DSGVO und der lokalen Regelungen für Cookies usw. verlangen.
- Zudem
müssen die Betroffenen jederzeit die Möglichkeit haben, ihre Einwilligung zu widerrufen und die Löschung ihrer Daten zu verlangen. Die Erfüllung dieser Ansprüche setzt seitens der Akteure Investitionen in datenschutzfreundliche Technologien voraus,
Das trifft nicht zu. Betroffene haben grundsätzlich das Recht, ihre Einwilligung zu widerrufen, aber es gibt im schweizerischem Recht keine Vorgabe, den Widerruf so einfach wie die Einwilligung zu machen, auch kein allgemeines Erleichterungsgebot bei Betroffenenrechten wie nach der DSGVO. Und der Grundsatz von Privacy by Design verlangt nur, den Datenschutz proaktiv einzuhalten; zusätzliche Pflichten sieht er nicht vor.
- Die Einwilligung muss zudem informiert sein. Dies soll nach dem Leitfaden u.a. voraussetzen, dass die Betroffenen “auch über ihre Rechte” wie beispielsweise “jenes des jederzeitigen Widerrufs” informiert werden. Auch das ist eins zu eins der DSGVO entnommen. Eine Einwilligung wird nach schweizerischem Recht nicht unwirksam, wenn nicht über den Widerruf informiert wird, und zwar auch nicht unter Geltung der kantonalen Gesetze, die bei der Informationspflicht eine entsprechende Information verlangen können (z.B. § 12 des IDG ZH).
- Zudem sei die Information nur ausreichend, wenn sie
die Zwecke und Wirkungsweisen der digitalen Bearbeitungsmethoden […] in mehreren adressatengerechten Erklärungstiefen zugänglich machen und insbesondere über die Dauer der Bearbeitung und die allfällige Weitergabe der Daten Auskunft geben. Die Kaskade der Informationen beginnt mit einer gut sichtbaren Kurzinformation auf der Registrierungsseite, welche die wichtigsten Punkte der Datenbearbeitung erklärt. Jeder dieser Punkte enthält weiterführende Links, welche die Leserin oder den Leser auf die jeweils relevanten Passagen der einschlägigen Bearbeitungsreglemente und Datenschutzbestimmungen führen.
Dass das rechtlich nicht zwingend ist, liegt auf der Hand.
- Ausdrückliche Einwilligung:
“Für eine ausdrückliche Einwilligung ist eine aktive Zustimmungshandlung der Betroffenen notwendig. […] Erklärungen, mit denen Personen lediglich in genereller Weise Nutzungsbedingungen annehmen, sind hingegen keine ausdrücklichen Einwilligungen.
Das ist so allgemein nicht richtig. Wenn Nutzungsbedingungen eine Bearbeitung besonders schützenswerter Daten ausdrücklich vorsehen und der Nutzer den Bedingungen aktiv zustimmt, ist diese Einwilligung ausdrücklich. Ob sie auch freiwillig ist, ist eine andere Frage.
Information und Transparenz:
- Auf einer Website verlange die Transparenz mindestens folgende Informationen, was sicher nur unter den kantonalen Datenschutzgesetzen gelten kann und auch hier weit ginge, bspw. was eine Information über “künstliche Intelligenz” betrifft:
- die Identität der verantwortlichen Inhaberinnen oder Inhaber der
Sammlung - die Kategorien der bearbeiteten Daten
- die Datenbeschaffung mit Hinweis auf Drittquellen
- den aktuellen Zweck und, falls notwendig den, Rechtfertigungsgrund der Bearbeitung
- die Bearbeitungsmethoden unter Einschluss des Zwecks und der Funktionsweise der zum Einsatz gelangenden Analysemethoden inkl. künstlicher Intelligenz
- die Kategorien allfälliger Datenempfänger
- die Rollen, Pflichten und Verantwortlichkeiten von Datenlieferanten, Datenanalyseunternehmen oder Datenplattformen
- die massgebenden Nutzungsbedingungen Dritter und deren
Fundstellen.
- die Identität der verantwortlichen Inhaberinnen oder Inhaber der
- Beim Erstkontakt nach einer indirekten Datenbeschaffung sei den Betroffenen
mitzuteilen, wer für die erhaltene Mitteilung verantwortlich ist, wo weiterführende Informationen zu den damit verbundenen Datenbearbeitungen erhältlich sind und wie die Betroffenenrechte geltend gemacht werden können.
Falls damit gemeint ist, dass diese Erstinformation nicht nur einen Hinweis auf eine Datenschutzerklärung enthalten kann, sondern auch Angaben zu den Betroffenenrechten notwendig seien, ist das ein Versuch, sich den entsprechenden Ausführungen des EDSA zu Mindestinformationen erster Stufe bei gestaffelter Information (sog. “Basisinformationen”) anzunähern. Es gibt aber keine Grundlage für diese Auslegung der Informationspflicht; eine Verweisung auf die Datenschutzerklärung reicht vermutungsweise aus.
-
Daher müssen alle Betroffenen in geeigneter Weise ihr Auskunfts‑, Berichtigungs- und Löschrecht wahrnehmen können. Dies beginnt damit, dass sie über ihre Rechte informiert werden sowie darüber, wie und wo sie diese geltend machen können.
Das nDSG jedenfalls sieht nicht vor, dass Betroffene über ihre Rechte aktiv informiert werden müssen. Die kantonalen Datenschutzgesetze können aber solche Informationspflichten enthalten.
Rolle der Einzelpersonen:
- Bevor eine Person Informationen über Dritte an Parteien, Interessengruppen, Datenhändler, Datenanalyseunternehmen oder Datenplattformen weitergeben, müssen sie dafür “vorgängig deren ausdrückliche Einwilligung” einholen und sich vergewissern, dass “Software auf diese Daten greift, die aus verlässlichen Quellen stammt”. Der letzte Satz ist etwas omniös, und vor der Weitergabe muss die betreffende Person auch nicht grundsätzlich eine Einwilligung einholen, aber sie muss die Betroffenen über die Weitergabe informieren. Entsprechend darf der Empfänger auch davon ausgehen, dass diese Information erfolgt ist.