AGBs und Datenschutzerklärungen als Pop-ups direkt in Apps und E-Commerce

«30 Arbeitstage zum Lesen von AGBs und Datenschutzerklärungen …»

Gemäss Professor Gerd Gigerenzer zeigen Studien, dass man 30 Arbeitstage (sic!) bräuchte, wenn man alle Allgemeinen Geschäftsbedingungen (AGB) lesen würde, auf die man über das Jahr hinweg hingewiesen wird (s. Gerd Gigerenzer in Magazin «philosophie» 07.10.2021). Dies gilt natürlich auch für all die Datenschutzerklärungen. Damit sind die herkömmlichen AGBs und Datenschutzerklärungen ein untaugliches Mittel zur Information der User. Gigerenzer verlangt deshalb gesetzliche Vorschriften für kurze, verständliche AGBs, wie sogenannte «One-Pager». Eine aktuelle Untersuchung der University of Pennsylvania zum Datenschutz-Verständnis von User (Annenberg School for Communication of University of Pennsylvania, Americans can’t consent to companies use of their data, 02.2023) kommt zudem zum Schluss, dass die User, auch wenn sie Datenschutzerklärungen lesen, nicht verstehen, was die Datenerhebung und Datenverarbeitung durch die besuchten Internet-Plattformen für sie überhaupt bedeuten (s. The New York Times 07.02.2023, Americans Flunked This Test on Online Privacy).

AGBs und Datenschutzerklärungen als Pop-ups direkt in Apps und E-Commerce

Ich bin absolut der Meinung von Professor Gigerenzer. Jedoch ist davon auszugehen, dass auch die von Gigerenzer verlangten «One-Pager» von den Usern nicht gelesen werden. Damit AGBs und Datenschutzerklärungen von den Usern aktiv wahrgenommen und verstanden werden, müssen sie direkt in den Applikationen und E-Commerce an den Stellen aufpoppen, an denen Daten erhoben oder verarbeitet werden und den Usern muss z.B. über weiterführende Links deren genaue Funktion erklärt werden. Nach dem Grundsatz von Treu und Glauben (Art. 2 ZGB) braucht es dann auch den für User lästigen «Cookie- bzw. Okay-Button» nicht. Dieser gehört ebenfalls zum Nonsens im Online-Datenschutz (!).

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.hslu.ch, www.linkedin.com/in/ueli-grueter, www.digilaw.ch, www.intla.ch, www.twitter.com/juristenfutter

Tool zum Knacken von passwortgeschützten PDFs – Ist das legal?

Vermehrt erhalte ich Rechnungen, die passwortgeschützt bzw. gesperrt sind. Das Problem solcher Dokumente ist u.a., dass sie nicht in andere PDFs hineinkopiert werden können. Generell können solche Dokumente natürlich nicht bearbeitet werden. Zum Knacken dieser passwortgeschützten bzw. gesperrten Dokumente habe ich ein Online-Tool von «iLovePDF» gefunden: https://www.ilovepdf.com/de/entsperren_pdf. Die Sache ist enorm simpel. Gerade deswegen fragen man sich vielleicht auch, ob ein solches Tool überhaupt legal ist. Mindestens im schweizerischen Recht sehe ich keine Norm, die dagegen spricht. Bewusst sein muss man sich jedoch, dass die entsprechenden Daten an den Provider übermittelt werden und von diesem gelesen werden können. Immerhin handelt es sich beim Provider offenbar um einen europäischen Anbieter (Barcelona, Spanien), der den EU-Datenschutzbestimmungen unterliegt.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch, www.intla.ch

Aktualisiert am 05. April 2022

Darf man Zoom-Sitzungen aufzeichnen?

Juristische Voraussetzungen für die Aufzeichnung von Videokonferenzen

Heute hat mir ein Student erzählt, ein Professor hätte eine digitale Prüfung, bei der die Studierenden auf Zoom anwesend waren, aufgezeichnet und er hat mich gefragt, ob dies zulässig sei. Die Frage der juristischen Voraussetzungen für die Aufzeichnung von Videokonferenzen stellt sich nicht nur an Hochschulen und Schulen, sondern auch bei Unternehmen und sogar im privaten Rahmen.

Rechtliche Grundlage: Persönlichkeits- und Datenschutzrecht

Als Individuum, egal ob Student, Schülerin oder Privatmensch steht mir nach Art. 27 des Zivilgesetzbuches (ZGB), dem Persönlichkeitsrecht, auch das Recht am eigenen Bild und der eigenen Äusserungen, ob schriftlich oder mündlich zu. Bei einem Bild (Foto, Video, Zeichnung) und meinen Äusserungen handelt es sich aber auch um personenbezogene Daten nach Art. 3 lit. a Datenschutzgesetz (DSG), die unter den Schutz des DSG fallen. Nach Art. 2 DSG gilt dieses Gesetz für das Bearbeiten von Daten natürlicher und juristischer Personen durch private Personen (natürliche und juristische, als auch Unternehmen) und Bundesorgane. Auf die kantonalen Organe, d.h. auch die kantonalen Hochschulen, Schulen und die Gemeindeschulen kommen die praktisch identischen kantonalen Datenschutzgesetze zur Anwendung. Das DSG ist nicht anwendbar auf Personendaten, die eine natürliche Person ausschliesslich zum persönlichen Gebrauch bearbeitet und nicht an Aussenstehende bekannt gibt.

Einverständnis der Betroffenen

Will man eine Zoom- bzw. Videokonferenz aufzeichnen, braucht es basierend auf Persönlichkeits- und Datenschutzrecht grundsätzlich das Einverständnis jedes Teilnehmers, jeder Teilnehmerin. Bei Jugendlichen und Kinder unter 18 Jahren müssen die Eltern bzw. Erziehungsberechtigten zustimmen. Problematisch ist dies jedoch da, wo Betroffene keine wirkliche Wahl haben, weil sie sich z.B. in einem Abhängigkeitsverhältnis zu demjenigen befinden, der die Aufzeichnung machen möchte, wie z.B. Mitarbeitende oder Studierende. Wenn diese nämlich eine Aufzeichnung ablehnen, drohen ihnen einschneidende Konsequenzen. In einer solchen Situation kann m.E. ein Betroffener, eine Betroffene sein bzw. ihr Einverständnis nicht geben bzw. sind Aufzeichnungen von Videokonferenzen grundsätzlich nicht zulässig (Art. 27 ZGB). Wenn man die entsprechenden Regeln des Datenschutzes hinzuzieht (Art. 13 DSG Rechtfertigungsgründe), könnte es aber sein, dass es auch in diesem Kontext zulässig ist eine Videokonferenz aufzuzeichnen, sogar gegen den Willen der Betroffenen, und zwar dann, wenn es überwiegende private oder öffentliches Interessen desjenigen gibt, der die Aufzeichnung machen will. Jedoch kommt dann der (auch datenschutzrechtliche) Grundsatz der Verhältnismässigkeit zur Anwendung (Art. 2 ZGB, Art. 4 Abs. 2 DSG; s. dazu auch auf www.digilaw.ch «Prinzip der Verhältnismässigkeit»), der dafür verlangt, dass eine Aufzeichnung notwendig und geeignet ist, um dieses Interesse zu erfüllen. Dies wäre z.B. dann der Fall, wenn eine Hochschule eine mündliche Online-Prüfung zur Beweissicherung aufzeichnet, weil nur eine Dozentin anwesend sein kann. Sind jedoch zwei Dozentinnen anwesend, ist eine Aufzeichnung nicht mehr notwendig. Auch nicht zulässig ist z.B. die Aufzeichnung einer schriftlichen Online-Prüfung. Ich bin zwischenzeitlich sogar der Meinung, dass es auch nicht zulässig ist von Schülerinnen und Schülern bzw. von Studierenden zu verlangen während einer Prüfung ihre Kameras einzuschalten, um zu verhindern, dass jene mit Dritten kommunizieren. Denn m.E. kann dies dadurch nicht verhindert werden. Damit ist die entsprechende Massnahme nicht geeignet und widerspricht somit dem Grundsatz der Verhältnismässigkeit (s. dazu vorne, aber auch nachfolgend).

Pflicht, Kamera einzuschalten?

Darf man von Schülerinnen und Schülern, Studierenden und Mitarbeitenden verlangen, dass sie bei Videokonferenzen die Kamera einschalten? M.E. ist dies nicht zulässig, weil nicht notwendig im Sinne des Grundsatzes der Verhältnismässigkeit (s. dazu vorne). Damit ich mit meinen Studierenden in den Online-Vorlesungen kommunizieren kann, ist es nur notwendig, dass diese an den Zoom-Meetings teilnehmen und mindestens akustisch ansprechbar sind. Ich habe also m.E. keine juristische Handhabe meinen Studierenden vorzuschreiben ihre Kameras einzuschalten. Nichtsdestotrotz bin ich der Meinung, dass das Einschalten der Kamera zwischenzeitlich zur Best Practice in der Kommunikation in Videokonferenzen gehört. Es gibt zwischenzeitlich auch praktisch in allen Onlinekonferenz-Applikationen eine Möglichkeit ungünstige Hintergründe (Schlafzimmer, Keller) unscharf zu stellen oder durch tolle Bilder zu ersetzen.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.schneiderfeldmann.legal, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch

Aktualisiert am 11. März 2021

Corona: Kein Zutritt, keine Arbeit ohne Impfung – ist das rechtens?

«Corona» fordert nicht nur die Politiker, Virologinnen und Daten-Analysten, sondern auch die Juristinnen und Juristen. Es stellen sich ganz neue rechtliche Fragen. Ist eine Covid-19-Tracing-App zulässig? Ist eine Maskenpflicht gegen Covid-19 rechtens? Und nun die neueste juristische Herausforderung: dürften Private den Zutritt zu Restaurants und Veranstaltungen von einer Impfung gegen Corona abhängig machen? Aber auch: dürfen Arbeitgeber ihre Mitarbeitenden zur Impfung verpflichten?

Radio SRF 17.12.2020 Kein Zutritt ohne Impfung?

Wie ein Beitrag von Radio SRF vom 17. Dezember 2020 («Kein Zutritt ohne Impfung?») zeigt, sind sich Politikerinnen und Juristen in dieser Frage nicht nur nicht einig, sie haben aktuell im Prinzip keine Ahnung, wie man diese Frage beantworten soll.

Epidemiengesetz

Der Bundesrat kann gemäss Art. 6 Abs. 2 lit. d des Epidemiengesetz (EpG) bei Vorliegen einer «besonderen Lage» nach Anhörung der Kantone Impfungen bei gefährdeten Bevölkerungsgruppen, bei besonders exponierten Personen und bei Personen, die bestimmte Tätigkeiten ausüben, für obligatorisch erklären. Nach Art. 22 EpG können Kantone Impfungen von gefährdeten Bevölkerungsgruppen, von besonders exponierten Personen und von Personen, die bestimmte Tätigkeiten ausüben, für obligatorisch erklären, sofern eine erhebliche Gefahr besteht. Diese gesetzliche Grundlage käme z.B. bei Pflegepersonal in Spitälern und Heimen zur Anwendung. Sie bildet aber wohl keine rechtliche Grundlage für Zutrittsbeschränkungen zu Restaurants und Veranstaltungen sowie für übrige Mitarbeitende.

Vertragsfreiheit

Der im genannten Beitrag von Radio SRF interviewte Professor Roger Rudolph, Arbeitsrechtler an der Uni Zürich, meint zu einer von Privaten verlangten Impfung für den Zutritt zu Restaurants und Veranstaltungen, dass es dazu bis dato keine «rechtliche Klärung» gebe. Seiner Meinung lasse es sich aber «mindestens vertreten», dass «in einer akuten Pandemiesituation» bei Dienstleistungen, für die ein erhöhtes Ansteckungsrisiko für Dritte bestehe, private Unternehmen zur Bedingung machen könnten, dass sie «den Vertrag nur schliessen», wenn eine Impfung nachgewiesen wird. Professor Rudolph nennt jedoch dafür keine gesetzliche Grundlage. Möglicherweise hat er damit den Grundsatz der Vertragsfreiheit gemäss Obligationenrecht gemeint. Sie gibt einer Person bzw. einem Unternehmen die Freiheit, innerhalb der Schranken des Gesetzes zu entscheiden, mit wem und mit welchem Inhalt sie bzw. es einen Vertrag abschliessen will. Die Person bzw. das Unternehmen hat also auch die Freiheit, mit jemandem keinen Vertrag bzw. kein Geschäft abzuschliessen bzw. die Bedingungen dafür zu diktieren, also z.B. eben den Nachweis einer Impfung.

Weisungsrecht des Arbeitgebers

Demgegenüber hat der Arbeitgeber gegenüber seinen Arbeitnehmern ein Weisungsrecht (Art. 321d OR). Basierend darauf kann der Arbeitgeber seine Arbeitnehmer insb. verpflichten gewisse Regeln betr. Sicherheit und Hygiene einzuhalten. Gleichzeitig muss der Arbeitgeber aber auch das Persönlichkeitsrecht der Arbeitnehmenden respektieren (Art. 28 ZGB). Dazu gehört auch die körperliche Integrität. Ein Eingriff in diese kann aber u.a. durch ein überwiegendes privates oder ein öffentliches Interesse gerechtfertigt sein. Ein überwiegendes privates Interesse könnte z.B. bei einem Service-Unternehmen, z.B. einer Fluggesellschaft, gegeben sein, das ohne Impfung seiner Mitarbeitenden das Vertrauen seiner Kundschaft und damit diese selbst verliert. Je nach Pandemielage könnte der Arbeitgeber die Impfung auch basierend auf einem öffentlichen Interesse anordnen. Allenfalls wird er dazu sogar basierend auf entsprechende Vorschriften (z.B. bundesrätliche Verordnung basierend auf Epidemiengesetz, s. vorne) verpflichtet werden.

Bundesrat: keine Stigmatisierung

Bundesrat und Gesundheitsminister Alain Berset schränkt jedoch die Meinung von Professor Rudolph zurecht ein, in dem er im genannten Radio-Beitrag sagt, die Vertragsfreiheit gelte insbesondere im Fall des Nachweises einer Corona-Impfung nicht generell. So sei z.B. zu unterscheiden, ob eine Disco den Zutritt von einem Impfnachweis abhängig mache oder ein Lebensmittelgeschäft. Obwohl Bundesrat Berset dies nicht weiter ausführt, meint er wohl damit, dass der Eingriff beim Lebensmittelgeschäft für den Betroffenen viel einschneidender sei, als bei der Disco und damit nicht zulässig, da der Betroffene beim Lebensmittelgeschäft damit von der Beschaffung von lebensnotwendigen Gütern abgeschnitten werde und es in diesem Bereich auch nicht eine unbeschränkte Auswahl von Anbietern gebe. Zudem bemerkt Berset dann aber klar: Der Impfstatus darf keine Stigmatisierung zur Folge haben. Die Zulässigkeit von Zugangsbeschränkungen aufgrund des Impfstatus sei deshalb im Einzelfall zu prüfen, da auch Grundrechte betroffen sein können.

Interessant ist übrigens, dass die Frage der Stigmatisierung schon im Zusammenhang mit der Covid-19-Tracing-App aufgepoppt ist. Auch damals befürchtete man, Clubs und Restaurants könnten von ihren Gästen verlangen, dass sie die App heruntergeladen und aktiviert hätten. Schlussendlich ist jedoch kein solcher Fall ruchbar geworden. Beim Impfstatus scheint es jedoch wahrscheinlicher zu sein, dass es solche Fälle wirklich gibt, dürfte doch die Wirksamkeit einer Impfung allgemein anerkannter sein, als die Wirkung der SwissCovid App.

Abklärungen des Bundesamtes für Justiz

Immerhin erklärt Bundesrätin und Justizministerin Karin Keller-Sutter im genannten Beitrag von Radio SRF, dass sie die Frage der Zulässigkeit von Zugangsbeschränkungen ohne Impfnachweis dem Bundesamt für Justiz zur Abklärung vorgelegt hätte.

Da der Widerstand gegen Impfung als Bedingung bzw. angeordnete Impfungen im Rahmen des Weisungsrechts bereits absehbar ist, ist eine juristische Klärung dieser heiklen Fragen dringend notwendig.

Eidg. Datenschutzbeauftragter: Verstoss gegen DSG

In einem Interview im «Blick» vom 28. Dezember 2020 vertritt der Eidg. Datenschutzbeauftragte (EDÖB), Adrian Lobsiger, die Meinung, dass das EpG (s . vorne) die Corona-Impfung klar als freiwillig taxiere. Private Unternehmen sollen nicht eigenmächtig verlangen, dass alle Kunden ein Smartphone mit Gesundheitsdaten, wie zum Beispiel einen digitalen Impfausweis, vorweisen – etwa um in einen Betrieb zu gelangen. Anders wäre es, wenn der Gesetzgeber bestimme, dass niemand in ein Flugzeug oder in ein Restaurant ohne Impfausweis komme. Dann sei dies ein politischer Entscheid. So sei es aber aktuell nicht. Eine Impfausweispflicht bei einer Fluggesellschaft oder in einem Restaurant würde ohne gesetzliche Grundlage gegen das Datenschutzgesetz (DSG) verstossen. Die Bürger dürften nicht einer Beschaffung und Bearbeitung von Gesundheitsdaten durch andere Bürger ausgesetzt werden. Umso wichtiger sei es deshalb, dass der Staat regelt, welche Impf- oder Testdaten private Unternehmen wie bearbeiten sollen. Er habe empfohlen, die Regulierung einzuleiten.

Nationale Ethikkommission im Bereich Humanmedizin

Gemäss einem Artikel in der NZZ vom 18. Februar 2021 vertritt die Nationale Ethikkommission im Bereich Humanmedizin NEK den Standpunkt, dass sowohl die Aufhebung gewisser Einschränkungen für geimpfte Personen als auch das Verlangen einer Impfbescheinigung für einzelne Aktivitäten des täglichen Lebens zu rechtfertigen seien. Dafür müssten allerdings gewisse Bedingungen erfüllt sein: Die Impfung müsste nicht nur vor einer Erkrankung schützen, sondern auch die Übertragung verhindern. Ausserdem müssten alle Impfwilligen Zugang zur Impfung haben. Die Ethikkommission hält die Privilegierung zudem nur in gewissen Situationen für zulässig. So könnten immune Personen der Quarantänepflicht entgehen und müssten sich nicht an die geltenden Obergrenzen für Gruppengrössen halten. Auch für Fluggesellschaften sei es legitim, einen Impfnachweis zu verlangen, zumal es namentlich bei langen Flügen schwierig sei, ein «ausreichend sicheres Umfeld für alle Reisenden zu gewährleisten». Nicht verhältnismässig ist es laut der Kommission hingegen, Ungeimpften den Zugang zu Theatern oder Kinos, Konzerten oder Sportveranstaltungen zu verwehren. Denn bei solchen Veranstaltungen sei es möglich, durch geringere Einschränkungen eine sichere Situation für alle Besucher zu schaffen – etwa durch die Maskenpflicht und das Einhalten des Abstands. Somit könnten sich z.B. private Veranstalter nicht einfach auf die Vertragsfreiheit berufen (s. dazu vorne). Die Ethikkommission empfiehlt deshalb nachdrücklich, die offenen Fragen rund um den Impfnachweis explizit zu regeln.

Dieser Beitrag ist ein «Work in Progress». Sobald sich in den juristischen Fragen rund um Zugangsbeschränkungen ohne Impfung Neuerungen ergeben, werde ich sie hier wieder publizieren.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.schneiderfeldmann.legal, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch

Corona-Impftermin während der Arbeitszeit

Aktualisiert am 13. Mai 2021

Was kostet die Verletzung der DSGVO?

Was kostet die Verletzung der EU-Datenschutz-Grundverordnung (DSGVO)? CMS Law Tax führt einen Online Enforcement Tracker mit bereits eindrücklichen Zahlen: GDPR Enforcement Tracker.

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.schneiderfeldmann.legal, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch

Aktualisiert am 21. Dezember 2020

Parlament ergänzt Epidemiengesetz mit Artikel zum Corona-Tracing

Das schweizerische Parlament hat mit Beschluss vom 19. Juni 2020 das Bundesgesetz über die Bekämpfung übertragbarer Krankheiten des Menschen (Epidemiengesetz, EpG) mit einem speziellen Art. 60a zum Proximity-Tracing-System für das Coronavirus ergänzt. Die rechtlichen Hotspots zum Einsatz der Corona-Tracing App (SwissCovid App) werden auf «Juristenfutter» in einem speziellen Artikel erläutert: «Swiss Corona Tracing App – Orwell lässt grüssen?».

Prinzip der Zweckbindung

Das System der SwissCovid App und die damit erhobenen Daten dürfen nicht zu anderen Zwecken verwendet werden, insbesondere nicht zur Anordnung und Durchsetzung von Massnahmen nach den Artikeln 33 -38 EpG durch kantonale Behörden, insb. nicht zur Verfügung einer Quarantäne, oder zur polizeilichen, strafrechtlichen oder nachrichtendienstlichen Verwertung.

Freiwilligkeit und Nichtdiskriminierung

Die Benutzung der SwissCovid App ist für alle Personen freiwillig. Behörden, Unternehmen und Einzelpersonen dürfen keine Person aufgrund ihrer Teilnahme oder Nichtteilnahme bevorzugen oder benachteiligen; abweichende Vereinbarungen sind unwirksam.

Kostenloser, freiwilliger Corona-Test

Eine Person, die über die SwissCovid App darüber benachrichtigt wurde, dass sie potenziell dem Coronavirus ausgesetzt war, kann gegen Nachweis der Benachrichtigung kostenlos Tests auf Infektion mit dem Coronavirus und auf Antikörper gegen das Coronavirus durchführen lassen.

Datenschutzrechtliche Grundsätze

Art. 60a EpG bestimmt explizit, dass

Bei der Datenbearbeitung sind alle angemessenen technischen und organisatorischen Massnahmen zu treffen, um zu verhindern, dass die teilnehmenden Personen bestimmbar sind.
Die Daten werden so weit wie möglich auf dezentralen Komponenten, die von den teilnehmenden Personen auf ihren Mobiltelefonen installiert werden, bearbeitet. Insbesondere dürfen Daten, die auf dem Mobiltelefon einer teilnehmenden Person über andere Personen erfasst werden, ausschliesslich auf diesem Mobiltelefon bearbeitet und gespeichert werden.
Es werden nur Daten beschafft oder in anderer Art und Weise bearbeitet, die zur Bestimmung der Distanz und der Zeit der Annäherungen und zur Ausgabe der Benachrichtigungen erforderlich sind, nicht aber Standortdaten.
Die Daten werden vernichtet, sobald sie für die Benachrichtigung nicht mehr erforderlich sind.

Art. 60a EpG erklärt zudem explizit, dass die SwissCovid App und die damit erhobenen Daten dem Datenschutzgesetz und dessen Prinzipien unterliegen (s. dazu «Swiss Corona Tracing App – Orwell lässt grüssen?»).

Art. 60a EpG verpflichtet den Bundesrat, die SwissCovid App einzustellen, namentlich die Deaktivierung oder Deinstallation aller auf den Mobiltelefonen installierten Komponenten vor, sobald die SwissCovid App zur Bewältigung der durch das Coronavirus verursachten Epidemie nicht mehr erforderlich ist oder sich als ungenügend wirksam erweist. Dies ist anerkanntermassen dann der Fall, wenn die SwissCovid App nicht mindestens von 60 % der Schweizer Bevölkerung, also rund 5 Mio. mal heruntergeladen und aktiviert wird (s. dazu «Swiss Corona Tracing App – Orwell lässt grüssen?»).

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch, www.hslu.ch, https://twitter.com/juristenfutter, https://www.linkedin.com/in/ueli-grueter, www.digilaw.ch

Swiss Corona Tracing App – Orwell lässt grüssen?

Hätte der Bund vor einigen Monaten eine Tracing-App lanciert, wäre der Aufschrei gross gewesen. Nun steht die SwissCovid App kurz vor ihrer breiten Lancierung. Eine juristische Prüfung des damit zusammenhängenden Systems zeigt, dass dieses sehr wohl datenschutzkonform ausgestaltet werden kann. Ein juristischer Haken gibt es aber. Die App kommt zu einer Zeit, in der sie wegen kleiner Fallzahlen und wohl wenig motivierten Usern ihren Zweck nicht mehr erfüllen kann. Damit könnte die App gegen das Datenschutzgesetz verstossen und das BAG müsste vom Eidg. Datenschutzbeauftragten zurückgebunden werden. Das hat dieser in einer Stellungnahme sogar explizit vorbehalten.

von Ueli Grüter, LL.M., Rechtsanwalt, Dozent Hochschule Luzern – Informatik

Orwell lässt grüssen?

Hätte der Bund im Januar dieses Jahres angekündigt, eine App zu lancieren, mit dem er seine Einwohnerinnen und Einwohner verfolgen wolle, wäre der Aufschrei enorm gewesen. Man hätte gesagt, es käme für die Schweiz niemals in Frage, Methoden von totalitären Staaten anzuwenden. 1984 von George Orwell würde damit Realität. Nur Monate später lanciert der Bund die SwissCovid Tracing App auf Android und iOS und die drittgrösste Tageszeitung der Schweiz promoted die App sogar aktiv.

Als Jurist, der sich mit rechtlichen Aspekten der digitalen Welt befasst, bin ich technikaffin und werfe dem Bund sogar vor, bei der Bekämpfung des Corona-Virus smarte Möglichkeiten der Datenbeschaffung und Datenanalyse nicht früh und nicht umfassend genug angewendet zu haben. Ich habe die App denn auch bereits als Test-Version heruntergeladen und aktiviert. Aber auch bei mir leuchten bei diesem Projekt die roten Lampen.

Nur noch geringe Anzahl Neuinfektionen

Beim Verfassen dieses Artikels gibt es in der Schweiz lediglich noch etwas mehr als ein Dutzend Neuinfektionen. Prof. Beda Stadler, Biologe und ehemaliger Direktor des Instituts für Immunologie der Uni Bern, meinte dazu in den Medien, es sei nun wahrscheinlicher, einen Fünfer im Lotto zu haben, als mit Corona angesteckt zu werden. Sollte sich dieser Zustand die nächsten Wochen halten oder sogar noch verbessern, ist davon auszugehen, dass niemand mehr daran interessiert sein wird, die App herunterzuladen, wenn diese nach einem Beschluss des Parlaments im Laufe des Junis offiziell und für jedermann lanciert werden soll. Nichtsdestotrotz ist davon auszugehen, dass Covid19 nicht der letzte Virus gewesen ist, der uns bedroht. Es macht also durchaus Sinn, die SwissCovid App zu testen und damit auch zu prüfen, ob die App insbesondere die Prinzipien des Datenschutzes erfüllt.

Rechtliche Grundlage der SwissCovid App

Am 13. Mai 2020 hat der Bundesrat eine Verordnung über den Pilotversuch mit der SwissCovid App erlassen, worin er die Rahmenbedingungen, insbesondere zum Schutz der Persönlichkeit, relativ eng umschreibt. Zudem stützt sich der Betrieb des SwissCovid App Systems während des Pilotversuchs auf Art. 17a Datenschutzgesetz (DSG) und das Epidemiengesetz (EpG). Für den aktiven Einsatz der SwissCovid App ab dem 25. Juni 2020 hat das schweizerische Parlament das EpG mit einem Art. 60a Proximity-Tracing-System für das Coronavirus ergänzt. In einem separaten Artikel wird diese gesetzliche Grundlage auf «Juristenfutter» erläutert:

Parlament ergänzt Epidemiengesetz mit Artikel zum Corona-Tracing

Dokumentation der SwissCovid App

In einem Faktenblatt beschreibt das Bundesamt für Gesundheit BAG die Funktionsweise der SwissCovid App und publiziert dazu auch eine Datenschutzerklärung. Unter folgenden Links werden die SwissCovid App und deren Grundlagen auf GitHub ausführlich dokumentiert: https://github.com/DP-3T/, https://github.com/DP-3T/documents, https://github.com/admin-ch. Zudem beantwortet das BAG unter folgendem Link häufig gestellte Fragen zur SwissCovid App: https://www.bag.admin.ch/dam/bag/de/dokumente/cc/kom/covid-19-faq-tracing-app.pdf.download.pdf/200513_BAG_FAQ_SwissCovid_App.pdf

So funktioniert die SwissCovid App

Austausch von anonymen Identifizierungscodes

Gemäss Information des BAG sendet die SwissCovid App nach deren Installation und Registrierung durch den User über Bluetooth verschlüsselte Identifizierungscodes in Form von sogenannten Prüfsummen aus. Das sind im Fall der SwissCovid App lange, zufällige Zeichenketten. Wenn sich ein anderes Smartphone, auf dem dieselbe App installiert ist, für insgesamt mehr als 15 Minuten täglich in weniger als zwei Metern Abstand befindet, tauschen die Geräte ihre Prüfsummen aus. Die Prüfsummen enthalten keine Informationen zur Person des App-Users, zum Standort oder zum verwendeten Gerät. Hingegen registrieren die Geräte die Signalstärke des jeweils anderen Geräts, Datum und geschätzte Dauer der Annäherung. So entsteht eine lokale Liste mit Prüfsummen, empfangen von Geräten, denen man für eine längere Zeit nahe war. Damit sind die epidemiologisch relevanten Begegnungen registriert. Als User muss man weiter nichts unternehmen, als das Smartphone bei eingeschalteter Bluetooth-Funktion bei sich haben. Nach drei Wochen werden die Prüfsummen automatisch wieder vom Gerät gelöscht.

Alarm nach Kontakt mit positiv getestetem User

Wenn ein User der SwissCovid App positiv auf das Coronavirus getestet wird, erhält er vom kantonsärztlichen Dienst einen sogenannten Covidcode. Damit kann er die Benachrichtigungsfunktion der App aktivieren. Ob er dies tun will oder nicht, kann der Betroffene auch zu diesem Zeitpunkt frei entscheiden. Solange keine Meldung durch eine verifizierte, infizierte Person erfolgt, werden keine Daten auf den Server des BAG hochgeladen. Aktiviert der betroffene User die Benachrichtigungsfunktion, wird ein «temporärer Schlüssel», d.h. eine anonyme Identifikation der SwissCovid App des infizierten Users an den Server des BAG gesandt. Die Apps der übrigen User fragen den Server regelmässig nach Identifikationen von infizierten Usern ab. Befindet sich auf dem Server eine Identifikation eines infizierten Users, mit dem andere User einen für eine Infizierung relevante Begegnung hatten, erhalten diese von ihrer eigenen App einen entsprechenden Alarm. Die Information erfolgt wiederum anonym. In der Folge können sich die Alarmierten wiederum frei entscheiden, ob sie die in der App genannte Hotline anrufen und die weiteren Schritte, insbesondere die Notwendigkeit eines Tests abklären.

Daten im Codeverwaltungssystem des BAG

Im Falle einer Infektion eines Users werden im Codeverwaltungssystem des BAG neben dem Freischaltcode auch das Datum, an dem die ersten Symptome aufgetreten sind, oder, falls die infizierte Person keine Symptome zeigt, das Testdatum sowie der Zeitpunkt der Vernichtung dieser Daten erfasst. Die Daten des Codeverwaltungssystems werden innert 24 Stunden nach ihrer Erfassung gelöscht.

Garantien des BAG

Das BAG versichert, es würden im Zusammenhang mit der SwissCovid App keine persönlichen Daten oder Bewegungsdaten der App-User gesammelt. Ausserdem würden keine Daten bezüglich der beschriebenen Kontakte zentral gespeichert. Diese verbleiben auf dem Smartphone, sie verlassen das Gerät des App-Users nicht. Es gibt auch keine Verbindung zwischen den ausgesandten Prüfsummen und den Usern der Geräte. Der Einsatz des Systems ist auf die Dauer der Pandemie begrenzt.

Prüfung des Systems durch andere Bundesorgane

Das BAG weist zudem darauf hin, dass die SwissCovid App vom Eidg. Datenschutzbeauftragten, dem Nationale Zentrum für Cybersicherheit und der Nationale Ethikkommission geprüft worden sei.

BAG und seine Partner

Die SwissCovid App wurde im Auftrag des BAG, unterstützt vom Bundesamt für Informatik und Telekommunikation (BIT) und den beiden Eidg. Technischen Hochschulen Zürich und Lausanne sowie der Schweizer Firma Ubique entwickelt.

Dezentralisiertes System

Ein Tracing-System, wie dem vorliegenden, benötigt eine Infrastruktur im Hintergrund. Dafür werden zentralisierte oder dezentralisierte Systeme angewendet. Das bei der SwissCovid App eingesetzte dezentralisierte System folgt dem datenschutzrechtlichen Prinzip der Verhältnismässigkeit. D.h. es werden nur solche und so viele Daten erhoben und bearbeitet, die technisch unbedingt notwendig sind (Datenminimierung). Beim dezentralisierten System der SwissCovid App verbleiben so viele Daten wie möglich auf den Geräten der User. Daten über stattgefundene Begegnungen werden zu keiner Zeit auf einem zentralen Server gesammelt. Ein Server existiert nur, um den Usern zu ermöglichen, mit ihren eigenen Geräten festzustellen, ob es zu relevanten Begegnungen kam. Der Server nimmt keine Informationen auf, die Personen zugeordnet werden können, und vergibt keine Identifikationscodes. Dadurch kann eine zentrale Profilbildung ausgeschlossen werden. Auch sind beim dezentralen Ansatz die Risiken von Zweckänderungen und Angriffen auf den Server geringer.

Anpassung der Betriebssoftware Android und iOS durch Google und Apple

Damit Tracing-Apps, wie die SwissCovid App überhaupt funktionieren, müssen die Betreiber der zugrundeliegenden Betriebssoftware Android und iOS, also Google und Apple, die entsprechenden technischen Voraussetzungen schaffen. Dies ist mit einem Update von Android und iOS im Mai 2020 erfolgt. Die zur Verfügung gestellte Schnittstelle (API) soll die Nutzung vom Bluetooth zur ständigen Messung der Nähe zwischen autorisierten Mobile Apps sicherer, präziser und effizienter machen. Die Verwendung des API soll prinzipiell nur auf eine Mobile App pro Land beschränkt werden. Nach eigenen Angaben werden Apple und Google keine identifizierenden Informationen über User, Ortungsdaten oder Informationen über andere Geräte in der Nähe des Users erhalten. Weiter werde das Projekt nicht kommerzialisiert.

Risikofolgeabschätzung durch BAG und externem Beratungsunternehmen

Im Rahmen des Projekts der SwissCovid App wurde von den Verantwortlichen und von einem externen Beratungsunternehmen eine Risikofolgenabschätzung sowie ein Data Protection Impact Assessment Report erstellt. Dort werden Risiken benannt und entsprechende Massnahmen aufgezeigt. Basierend darauf kommt der Eidg. Datenschutzbeauftragte zum Schluss, dass die Applikation die für die Privatsphäre der User der App bestehenden Gefahren hinreichend aufzeigt und diesen mit angemessenen Massnahmen begegnet.

Prüfung durch Eidg. Datenschutzbeauftragten

Gemäss einer Stellungnahme vom 11. Mai 2020 erachtet der Eidg. Datenschutzbeauftragte (EDÖB) den Versuchsbetrieb mit der App nach Art. 17a Datenschutzgesetz (DSG) als datenschutzrechtlich zulässig. Er verlangt jedoch eine weitere Dokumentation und behält sich aufsichtsrechtliche Massnahmen und Empfehlungen während des Versuchsbetriebs und im späteren regulären Betrieb vor.

Persönliche Identifikation trotz anonymem System nicht ausgeschlossen

Auch wenn das notabene dezentrale System der SwissCovid App technisch anonym funktioniert, ist gemäss einer Feststellung des Eidg. Datenschutzbeauftragten eine persönliche Identifikation von Betroffenen nicht auszuschliessen. So besteht eine gewisse Wahrscheinlichkeit, dass bei der Benachrichtigung einer möglicherweise gefährdeten Person, diese aufgrund ihrer Erinnerung an ihre Sozialkontakte der letzten Tage allenfalls Rückschlüsse auf die Identität der infizierten Person ziehen kann.

Juristische Bewertung der SwissCovid App

Bei der rechtlichen Beurteilung der SwissCovid App geht es primär um datenschutzrechtliche Aspekte, wobei sich fragt, ob die Prinzipien des Datenschutzgesetzes (DSG) eingehalten werden.

Personendaten gemäss Datenschutzgesetz?

Gemäss Art. 3 lit. a DSG fallen unter den Schutz des Datenschutzgesetzes lediglich Personendaten, d.h. Daten, die sich auf eine bestimmte oder mindestens bestimmbare Person beziehen. Da das System der SwissCovid App mindestens technisch völlig anonym funktioniert, könnte man sich auf den Standpunkt stellen, dass das System per se nicht unter das Datenschutzgesetz fällt und damit auch nicht die Einhaltung der datenschutzrechtlichen Prinzipien geprüft werden muss. Der Eidg. Datenschutzbeauftragte ist jedoch in seiner Stellungnahme vom 11. Mai 2020 der Meinung, dass es sich beim Projekt der SwissCovid App um komplexe, automatisierte Bearbeitung grosser Mengen von Daten aus Mobiltelefonen und anderen Smart-Device Quellen der Bevölkerung handelt, die mit Meldungen und Code-Generierungen durch schweigepflichtige Medizinalpersonen ergänzt werden. Aufgrund des Bezugs dieser Datenquellen auf Personen und deren Gesundheit würden auch der Personenbezug und die datenschutzrechtliche Sensibilität des Vorhabens als Ganzes offensichtlich. Obgleich die Teilnehmer nicht identifiziert werden dürften, bleibe das System der SwissCovid App namentlich mit Re-Identifikationsrisiken verbunden, denen mit technischen Vorkehren zum Schutz der Privatsphäre und informationellen Selbstbestimmung der Betroffenen entgegengetreten werden muss. Der Eidg. Datenschutzbeauftragte unterstellt das Projekt also dem Datenschutzgesetz und prüft die Einhaltung der entsprechenden Prinzipien.

Genügende rechtliche Grundlage?

Art. 13 Abs. 1 DSG verlangt für die Erfassung und Bearbeitung von personenbezogenen Daten entweder die Einwilligung des Betroffenen, ein überwiegendes privates oder öffentliches Interesse oder eine gesetzliche Grundlage. Die Anwendung der SwissCovid App ist freiwillig. Der User wird in der App und auf der Homepage des BAG umfassend über die Funktion der App und die Bearbeitung der Daten informiert. Schlussendlich kann er sowohl bei der Aktivierung der App als auch bei der Auslösung und beim Empfang einer Alarmierung frei und explizit zustimmen. Zudem basiert der Betrieb der SwissCovid App auf einem neuen Artikel 60a des Epidemiengesetzes (EpG) (s. dazu im Detail «Parlament ergänzt Epidemiengesetz mit Artikel zum Corona-Tracing») sowie auf einer Bundesrats-Verordnung. Damit ist zweifelsohne eine genügende rechtliche Grundlage gegeben.

Einhaltung der Prinzipien des Datenschutzgesetzes?

Auch der Eidg. Datenschutzbeauftragte geht in seiner Stellungnahme vom 11. Mai 2020 davon aus, dass beim Projekt der SwissCovid App vor allem die datenschutzrechtlichen Prinzipien der Verhältnismässigkeit, der Zweckgebundenheit sowie der Datensicherheit relevant sind.

Einhaltung des Prinzips der Verhältnismässigkeit?

Das Prinzip der Verhältnismässigkeit gemäss Art. 4 Abs. 2 DSG verlangt, dass die Erfassung und Bearbeitung für den dem Betroffenen klar und transparent kommunizierten Zweck notwendig und geeignet ist. Grundsätzlich kann man sicherlich feststellen, dass die im Zusammenhang mit der SwissCovid App erfassten Daten sowohl notwendig wie auch geeignet für den Zweck der App sind. Auch ist die Erfassung und Bearbeitung verhältnismässig im engeren Sinne, als das Prinzip der Datenminimierung angewandt wird. Schlussendlich werden die Daten nach relativ kurzer Zeit gelöscht, nachdem sie für das Tracing-System nicht mehr gebraucht werden. Hingegen gibt es beim Prinzip der Verhältnismässigkeit auch den grössten juristischen Haken. Wie Experten und Medien im In- und Ausland festhalten, erfüllt eine Tracing-App ihren Zweck nur dann, wenn mindestens 60 % der Bevölkerung die App auf ihr Smartphone herunterladen und aktivieren*. Die Zürcher Hochschule für Angewandte Wissenschaften ZHAW hat in einer repräsentativen Umfrage vom 17. bis 26. April 2020 ermittelt, dass in dieser Zeit effektiv 60 % der befragten Personen bereit gewesen wären, die SwissCovid App anzuwenden. In dieser Zeit gab es jedoch über 200 Neuinfektionen und über 30 Todesfälle pro Tag. Zwischenzeitlich sind diese Zahlen stark gefallen. Sollte dieser Trend anhalten, ist äusserst fraglich, ob effektiv noch 60 % der Bevölkerung bereit sind, die SwissCovid App herunterzuladen und zu aktivieren. Sollte der Prozentsatz deutlich unter 60 % liegen, kann somit der Zweck der App nicht mehr erfüllt werden und damit ist der Einsatz der App im Sinne von Art. 4 Abs. 2 DSG nicht mehr verhältnismässig, d.h. insbesondere nicht mehr geeignet. Der Eidg. Datenschutzbeauftragte behält sich denn auch in seiner Stellungnahme vom 11. Mai 2020 explizit vor, dem BAG zu empfehlen, auf die Aufnahme des Vollbetriebs oder dessen Fortführung zu verzichten, sollte sich im Rahmen des Pilot- oder Vollbetriebs abzeichnen, dass die Applikation die in sie gesetzten Erwartungen nicht erfüllen kann (sic!).

*Bundesamt für Statistik publiziert täglich die Anzahl aktiver SwissCovid Apps

Einhaltung des Prinzips der Zweckbindung

Das Prinzip der Zweckbindung nach Art. 4 Abs. 3 DSG besagt, dass Daten nur zu dem Zweck verwendet werden dürfen, der den Betroffenen bei deren Erhebung klar und transparent kommuniziert wurde. Das BAG zeigt in seiner Dokumentation ausführlich auf, dass die von den App-Usern erhobenen Daten, sogar anonymisiert, ausschliesslich für den Betrieb eines Tracing-Systems verwendet und lediglich an Partner übermittelt werden, die das System notwendigerweise unterstützen. Zudem werden die Daten nach dem notwendigen Gebrauch nach relativ kurzer Zeit gelöscht. Damit kann festgestellt werden, dass das datenschutzrechtliche Prinzip der Zweckbindung bei der SwissCovid App mit grosser Wahrscheinlichkeit eingehalten wird.

Einhaltung des Prinzips der Datensicherheit

Nach Art. 7 DSG müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Aus den Unterlagen, die das BAG dem Eidg. Datenschutzbeauftragten vorgelegt hat, geht hervor, dass das Tracing-System der SwissCovid App von jenem, dem Bundesamt für Informatik und Telekommunikation (BIT), dem Nationale Zentrum für Cybersicherheit sowie einem entsprechenden externen Partner einer umfangreichen technischen und organisatorischen Prüfung unterzogen worden ist. Dazu gehört auch eine Risikofolgenabschätzung sowie ein Data Protection Impact Assessment Report. Schlussendlich hat der Eidg. Datenschutzbeauftragte bei seiner Prüfung des Systems festgestellt, dass dessen Architektur der auch unter der EU-Datenschutz-Grundverordnung (DSGVO) wichtigen «Privacy by Design» folgt und somit per se datenschutzfreundlich ist.

Aktualisiert am 26. Juli 2020

Facebook, Swisscom, Migrolino & Co.

Big Data und Datenschutz in Kommunikation, Marketing und Werbung

Alles spricht über die «Datenkrake» Facebook im fernen Silicon Valley. Im Schatten von Facebook segeln aber auch Schweizer Unternehmen, deren Datenhunger gerade so gross ist. «Swiss Big Data» ist nicht per se illegal. Für Marketing- und Kommunikationsleuten ist es aber entscheidend, die rechtlichen roten Linien zu kennen, um nicht in einen juristischen Hammer zu laufen und Reputationsschäden zu vermeiden.

Bisher haben Swisscom und Migros vor allem unsere Daten in Bezug auf Dienstleistungen und Käufe gesammelt. In neuster Zeit gehen sie dazu über, uns zu fotografieren. Swisscom tut dies im Shop, um wartende Kunden für die Berater zu identifizieren. Migros plant Migrolino-Shops ohne Personal und will darum die Gesichter ihrer Kunden ebenfalls scannen. Auch wenn die Betroffenen, abgestumpft durch den Datenhunger ihrer Lieblingstools Facebook, WhatsApp und Instagram, bei ihren persönlichen Daten recht freigiebig geworden sind, stutzen sie nun doch bei den Berichten über Praxis und Absichten von Swisscom und Migrolino, ihre Gesichter zu scannen.

Rote juristische Linie im Datenmarketing

Datensammeln zu Marketing-Zwecken ist nicht verboten. Vielfach dient das Datenmarketing auch den Betroffenen selbst. Die rote juristische Linie findet sich in Artikel 4 des Datenschutzgesetzes (DSG), den Grundsätzen des schweizerischen Datenschutzes. Für Marketing und Kommunikation sind dabei vor allem der Grundsatz der Verhältnismässigkeit und der Zweckgebundenheit von besonderer Relevanz. Nach dem Grundsatz der Verhältnismässigkeit dürfen Daten von Usern und von Kunden nur dann gesammelt werden, wenn sie für den dem Betroffenen vom Sammler kommunizierten Zweck notwendig und geeignet sind. Nimmt jemand z.B. an einem Wettbewerb teil, ist es lediglich notwendig, dass der Teilnehmer eine Offline- oder Online-Adresse angibt, damit man ihn über einen allfälligen Gewinn informieren kann. Weitere Informationen, wie z.B. Geburtstag, Geschlecht oder Zivilstand sind für diesen Zweck weder notwendig noch geeignet und damit deren Erfragung unverhältnismässig. Bei der weiteren Verwendung dieser Wettbewerbs-Daten muss der Grundsatz der Zweckgebundenheit eingehalten werden. D.h., dass Daten nur für den dem Betroffenen bei der Erhebung kommunizierten Zweck verwendet werden dürfen. In Bezug auf die Wettbewerbs-Daten bedeutet dies, dass diese Daten z.B. nicht für künftige Werbung verwendet werden dürfen. Dies wäre ein klarer Verstoss gegen das Datenschutzgesetz. Will man dies trotzdem tun, muss beim Wettbewerb eine separate Box gesetzt werden, die von den Teilnehmenden angekreuzt werden kann, wenn sie über den Wettbewerb hinaus Werbung wünschen.

Gesichts-Scanning legal?

Unser Gesicht ist Teil unserer Persönlichkeit gemäss Zivilgesetzbuch (ZGB) und damit gemäss Artikel 28 ff. ZGB geschützt. Erfolgt eine Aufnahme bzw. ein Scanning ohne Einverständnis des Betroffenen verletzt bereits die Aufnahme bzw. das Scanning an sich die Persönlichkeit; d.h. also nicht erst deren Verwendung. Erhebung und Bearbeitung dieser personenbezogenen Daten fallen aber auch unter die genannten datenschutzrechtlichen Grundsätze der Verhältnismässigkeit und der Zweckgebundenheit. Wenn nun Swisscom und Migrolino ihre Kunden zur Identifizierung in ihren Shops fotografieren, verlangt dies vorab deren explizites Einverständnis. Ein Gesichts-Scanning darf zudem nur gemacht werden, wenn dies für den entsprechenden Zweck notwendig und geeignet ist. Dabei verlangt der Grundsatz der Verhältnismässigkeit auch, dass für die Erreichung des Zwecks immer das Mittel angewendet wird, das am wenigsten in die Persönlichkeit der Betroffenen eingreift. Bis anhin hat Swisscom offenbar für ihre Berater jeweils besondere Kennzeichen ihrer Kunden notiert («Mann, grüne Jacke, Brille» o.ä.). Offenbar hat dies funktioniert. Die Post sowie die Apotheken-Gruppe BENU setzen auf das System «Take a Number». Auch dies scheint praktikabel zu sein. Die Valora-Gruppe hat soeben einen Test mit einem Shop ohne Personal durchgeführt. Dort haben sich die User bei Eintritt ins Geschäft mit einer App identifiziert. Auch dies schein funktioniert zu haben. Das bedeutet, dass es offensichtlich Identifikations-Methoden im stationären Handel gibt, die bedeutend weniger in die Persönlichkeit der betroffenen eingreifen. Damit muss davon ausgegangen werden, dass das Fotografieren bzw. Scannen der Gesichter der Kunden als schwerer Eingriff in deren Persönlichkeit unverhältnismässig sind. Fragt sich noch, ob das Einverständnis der Kunden die Sache legal macht. Nein. Art. 27 Abs. 2 ZGB als Teil des Persönlichkeitsrechts schützt die Personen vor der «Entäusserung ihrer Freiheit». Dieser Artikel, der schon seit Jahrzehnten Teil des Schweizer Persönlichkeitsrechts ist, erlebt im Zeitalter der Digitalisierung, in dem die User bereit sind, ihr letztes «Daten-Hemd» für eine unwiderstehliche App hinzugeben, eine eigentliche Renaissance. Mit dieser gesetzlichen Bestimmung schützt der Staat die Leute vor sich selbst.

Risiken des Datenhungers

Das schweizerische Datenschutzgesetz ist nach wie vor ein «Tiger ohne Zähne». Die Verletzung der Datenschutzgrundsätze hat praktisch keine juristischen Konsequenzen. Biss haben lediglich Verfügungen des Eidg. Datenschutz- und Öffentlichkeitsbeauftragt (EDÖB). Dieser kann von sich aus oder auf Anzeige hin auf den Plan treten. Hingegen sind die Reputationsrisiken nicht zu unterschätzen. Die Medien messen Unternehmen an den Datenschutz-Grundsätzen. Datenschutz ist ein Key Issue des E-Commerce. Die Fälle von Facebook haben gezeigt, dass die Thematik geeignet ist, sogar einen «Big Player» ins Wanken zu bringen.

High Risk beim Daten-Fischen in der EU

Seit Mai letzten Jahres gilt in der EU die neue Datenschutz-Grundverordnung (EU DSGVO). Grundsätzlich gelten in der EU nach wie vor die ähnlichen Datenschutzgrundsätze, wie in der Schweiz. Die EU DSGVO ist aber ein eigentlicher «Game Changer». Denn neben Schadenersatzforderungen der Betroffenen drohen Unternehmen bei Verstössen Bussen von bis zu 4 % des globalen (!) Umsatzes (!) und fehlbare Manager, Datenschutzbeauftragte und übrige Entscheidungsträger können mit Bussen bis zu 20 Mio. Euro bestraft werden. Schweizer Unternehmen sind davon nicht gefeit. Denn nach dem sogenannten Marktort- oder auch Auswirkungsprinzip kommt die Verordnung auch auf Schweizer Unternehmen zur Anwendung, wenn ihre Datenverarbeitung dazu dient, betroffene Personen in der EU Waren oder Dienstleistungen – entgeltlich oder unentgeltlich – anzubieten. Die Verordnung kommt zudem auch dann auf Schweizer Unternehmen zur Anwendung, wenn diese oder ihre Beauftragten betroffene Personen in der EU beobachten.

Hilfreiche Online-Quellen des Datenschutzes

Übersicht über den Datenschutz der Schweiz und der EU: www.digilaw.ch («Data Protection»)

Detaillierte Informationen des EDÖB: www.edoeb.admin.ch («Datenschutz»)

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch, www.hslu.ch, www.digilaw.ch, www.twitter.com/juristenfutter, www.linkedin.com/in/ueli-grueter

Aktualisiert am 14. Juli 2020

Datenhunger von Swisscom abstellen

Mit über 6 Millionen Mobilfunkkunden ist Swisscom aus schweizerischer Sicht zu einer „Datenkrake“, wie die Big-Players aus den Silicon Valley geworden. Kommt dazu, dass Swisscom ihre Kundendaten sogar ohne explizites Einverständnis der Betroffenen an Dritte weitergibt (sic!). Dies wurde vor kurzem auch durch die Stiftung für Konsumentenschutz (SKS) gerügt.

Als Kunde kann man unter folgendem direkten Link den Datenhunger von Swisscom abstellen. Man muss einfach alle Buttons ausschalten. Einen Nachteil hat man dadurch nicht. Im Gegenteil.

https://login.sso.bluewin.ch/login?SNA=sam&keepLogin=true&RURL=https%3A%2F%2Fwww.swisscom.ch%2Fcustomer%2Fonline%2Fapp%2FPrivacySettings%3Flogin%26mode%3Doverview%26tab%3DthirdParty%26bundle%3D2084605043%26nevistokenconsume&L=de&pps=desktop#/advanced-settings

Detaillierte Infos zum Datenschutz auf digilaw.ch: https://digilaw.ch/06-data-protection-2/

Ueli Grüter, LL.M., Rechtsanwalt, Hochschuldozent, www.gsplaw.ch www.hslu.ch
www.twitter.com/juristenfutter linkedin.com/in/ueli-grueter/ digilaw.ch