Content
Web 2.0 / HR 2.0
Meine Daten – deine Daten: Schutz persönlicher Spuren im Web 2.0
Das Datenschutzgesetz bestimmt ausdrücklich, dass in der Regel keine Persönlichkeitsverletzung vorliegt, wenn die betroffene Person selber die Daten allgemein zugänglich macht und eine Bearbeitung nicht ausdrücklich untersagt. Daraus lässt sich allerdings kein Freipass zum Sammeln persönlicher – im Internet publizierter – Daten ableiten.
In Folge der weiten Verbreitung elektronischer Datenverarbeitung werden täglich persönliche Daten elektronisch erfasst und verarbeitet. Herkömmlicherweise ist dabei an Daten zu denken, welche von Privaten oder Unternehmen (Arzt, Arbeitgeber, Bank) elektronisch aufbewahrt werden und grundsätzlich vertraulich zu behandeln sind.
Insbesondere das Web 2.0 führt nun aber auch dazu, dass viele Menschen auf öffentlichen Internet-Plattformen wie beispielsweise Xing oder Facebook aufschlussreiche persönliche Datenspuren hinterlassen. Da diese persönlichen Daten für sich allein oder erst recht kombiniert mit herkömmlichen Datenbanken von ungeahntem Interesse sein können, stellt sich die Frage, welchem Schutz unsere persönlichen Daten grundsätzlich unterliegen und insbesondere welche Bedeutung dem Persönlichkeits- und Datenschutz in der schönen neuen Welt des Web 2.0 zukommt.
Die erwähnte Problematik ist nach schweizerischem Recht vor allem unter dem Aspekt des Persönlichkeitsschutzes zu betrachten, welcher allgemein in den Art. 27ff. des Schweizerischen Zivilgesetzbuches (ZGB) und spezifischer im Bundesgesetz über den Schutz von Personendaten (Datenschutzgesetz) sowie den kantonalen Datenschutzgesetzen geregelt ist.
Die Persönlichkeitsrechte dürfen nicht verletzt werden
Im Rahmen des Datenschutzes geschützt sind zunächst grundsätzlich alle Angaben, welche sich auf eine juristische oder natürliche Person beziehen. Personendaten dürfen grundsätzlich bearbeitet werden, solange dies die Persönlichkeitsrechte der betroffenen Person nicht verletzt. Das «Bearbeiten» im Sinne des Datenschutzgesetzes umfasst jeden Umgang mit Personendaten, unabhängig von den dabei konkret angewandten Mitteln und Verfahren, also auch das Sammeln und Auswerten von Daten.
Eine Persönlichkeitsverletzung erfolgt, wenn die Bearbeitungsgrundsätze des Datenschutzgesetzes verletzt werden. Die Bearbeitung muss insbesondere nach Treu und Glauben erfolgen, verhältnismässig sein und darf gegen kein Gesetz verstossen. Ausserdem muss die Beschaffung der Daten und ihr Zweck für die betroffene Person ersichtlich sein. Nur bei Vorliegen eines besonderen Rechtfertigungsgrundes dürfen Personendaten gegen den ausdrücklichen Willen einer Person bearbeitet werden.
Besonders schützenswerte Daten und Persönlichkeitsprofile
In Art. 3 lit. c führt das Datenschutzgesetz überdies abschliessend Daten auf, welche naturgemäss als besonders schützenswert gelten. Es sind dies beispielsweise Daten über die religiösen Ansichten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit. Unter Berücksichtigung der Tatsache, dass auch eine Vielzahl von für sich allein nicht besonders schützenswerten Daten sich zu einem Gesamtbild verdichten lassen, welches Rückschlüsse auf wesentliche Aspekte der Persönlichkeit einer Person ermöglicht, werden auch so genannte Persönlichkeitsprofile im Datenschutzgesetz durchwegs den besonders schützenswerten Daten gleichgestellt. Solche besonders schützenswerten Personendaten oder Persönlichkeitsprofile dürfen nur bei Vorliegen eines Rechtfertigungsgrundes überhaupt erst bearbeitet, d.h. beispielsweise gesammelt werden.
Als praktisch wichtigster Rechtfertigungsgrund kommt die Einwilligung der betroffenen Person in Frage, welche allerdings nur Gültigkeit hat, wenn diese Person urteilsfähig sowie über Art und Zweck der Datenbearbeitung genügend informiert war. Ändert der Zweck einer Datenbearbeitung nachträglich, so muss eine neue Einwilligung eingeholt werden. Andere Rechtfertigungsgründe können in einer Ermächtigung durch ein Gesetz oder im deutlich überwiegenden Interesse der bearbeitenden Person liegen.
Das Datenschutzgesetz bestimmt ausdrücklich, dass in der Regel keine Persönlichkeitsverletzung vorliegt, wenn die betroffene Person selber die Daten allgemein zugänglich macht und eine Bearbeitung nicht ausdrücklich untersagt. Daraus lässt sich allerdings kein Freipass zum Sammeln persönlicher – im Internet publizierter – Daten ableiten. Die Bearbeitung solcher Daten darf grundsätzlich nur im Rahmen des aus den Umständen ersichtlichen Veröffentlichungszwecks erfolgen. Das systematische Zusammentragen aller Informationen über eine Person kann daher persönlichkeitsverletzend sein, auch wenn diese die Daten selber im Internet veröffentlicht hat. Sammelt also ein Arbeitgeber die Facebook-Daten seiner Mitarbeitenden, um Leistungsprofile zu erstellen, so ist dies ohne die Einwilligung der Betroffenen wohl kaum zulässig.
Das Datenschutzgesetz sieht im Weiteren vor allem zwei zentrale Verpflichtungen des Datenbearbeiters, also beispielsweise des Sammlers, vor. Einerseits muss dieser bei der Beschaffung von besonders schützenswerten Daten oder von Persönlichkeitsprofilen die betroffene Person darüber informieren. Und andererseits ist er als Inhaber einer Datensammlung immer verpflichtet, der betroffenen Person darüber Auskunft zu erteilen, ob über sie Daten bearbeitet werden.
Der Rechtsschutz stösst im Internet an seine Grenzen
Eine in ihren datenschutzrechtlichen Ansprüchen verletzte Person kann auf Beseitigung oder Unterlassung der Verletzung klagen und gegebenenfalls Ersatz des erlittenen Schadens verlangen. Problematisch ist dabei gerade im Bereich des Internets allerdings, dass häufig der verantwortliche Bearbeiter entweder aus technischen Gründen nicht ermittelt oder, da er im Ausland wohnhaft ist, nicht belangt werden kann. Ausserdem ist eine Veröffentlichung im Internet oft gar nicht mehr rückgängig zu machen. Wer persönliche Informationen ins Internet stellt, sollte sich daher genau überlegen, wie viel er dort von sich preisgeben will und wer zu diesen Daten Zugang hat.
