Gastbeitrag von Matthias C. Kettemann, Leiter des Instituts für Theorie und Zukunft des Rechts an der Universität Innsbruck, in Zusammenarbeit mit Peter Szabó, Legal Counsel und Datenschutzberater bei Threema, und Danilo Bargen, CTO bei Threema
Bestimmt haben Sie schon einmal Ware im Internet bestellt, wofür eine ganze Reihe personenbezogener Daten von Ihnen verlangt wurde. Allzu oft passiert dabei, dass wir diese unumwunden angeben: Wie bin ich erreichbar, wie lautet meine Telefonnummer, und wann habe ich Geburtstag? Nur: Ist das alles notwendig, damit ich Babywindeln online bestellen kann?
Im Zeitalter von Big Data, das durch die massenhafte Erhebung und Verarbeitung personenbezogener Daten gekennzeichnet ist, stellt das Prinzip der Datensparsamkeit – das in Art 5 lit c DSGVO kodifiziert ist – einen bewussten Gegenentwurf dar, um die Verarbeitung auf ein notwendiges Mass zu reduzieren. Der Grundsatz der Datenminimierung des Art 5 (1) lit c DSGVO verpflichtet zu einer nur dem Zweck angemessenen und notwendigen Datenverarbeitung. Dieser Zweck muss gemäss dem Grundsatz der Zweckbindung nach Art 5 (1) lit b DSGVO vorher festgelegt, eindeutig und legitim sein. Dadurch soll insbesondere die Erhebung überflüssiger und irrelevanter Daten vermieden und der Schutz der Privatsphäre gewährleistet werden. Daten, die nicht erhoben werden, müssen nicht gelöscht oder richtiggestellt werden, sie können nicht missbraucht oder verkauft werden. Am besten wird Datensparsamkeit direkt in das System integriert – ein Ansatz, der als «Privacy by Default» beziehungsweise «Privacy by Design» bekannt ist. Bereits bei der Voreinstellung datenverarbeitender Systeme sollen technische sowie organisatorische Massnahmen ergriffen werden, um eine bloss für den Zweck erhebliche und notwendige Datenverarbeitung zu gewährleisten.
Das Datenschutzrecht ist massgeblich durch europäisches Recht überformt. Besonders die Datenschutzgrundverordnung (DSGVO) spielt eine zentrale Rolle. Ihre Grundsätze gelten – seit Jahren – unmittelbar in allen Mitgliedstaaten. Alle Unternehmen, Organisationen und Behörden, die entweder ihren Sitz in der EU haben oder Daten von Personen innerhalb der EU verarbeiten oder Waren oder Dienstleistungen an Personen in der EU anbieten (Art 3 DSGVO), müssen sich daran halten. Damit natürlich auch: die Universität Innsbruck.
Datensparsamkeit als Prinzip im DACH-Raum
Die Mitgliedsstaaten können darüber hinaus strengere Vorschriften für die Datenverarbeitung vorsehen. Im Bereich der Datensparsamkeit wird die DSGVO in Österreich, Deutschland sowie in der Schweiz als Nicht-EU-Mitglied wie folgt ergänzt:
Ergänzt wird die DSGVO durch das deutsche Bundesdatenschutzgesetz (BDSG). In Teil zwei, Kapitel eins des BDSG sind neben den allgemeinen Rechtsgrundlagen auch die Bestimmungen über die Datenverarbeitung besonderer Kategorien personenbezogener Daten sowie zur Datenverarbeitung in «besonderen Verarbeitungssituationen» enthalten. Im Gegensatz zum österreichischen Gesetzgeber konzentriert sich der deutsche Gesetzgeber nicht ausschliesslich auf die Datenverarbeitung im öffentlichen Interesse, sondern auch die Datenverarbeitung durch öffentliche (§ 23) sowie nichtöffentliche Stellen (§ 24) zu nicht im öffentlichen Interesse stehenden Zwecken. Zusätzlich enthält § 25 Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz (TDDDG) Regelungen für die Datenverarbeitung durch Teledienstanbieter. Teledienstanbieter iSd § 3 (2) Z2 TDDDG sind natürliche oder juristische Personen, die digitale Dienste zur Verfügung stellen, bereitstellen oder die Nutzung eigener oder fremder Inhalte ermöglichen. Diese dürfen Nutzerdaten nur im Ausmass des zur Bereitstellung des Dienstes erheblichen Zweckes verarbeiten.
In Österreich wird die DSGVO durch das Datenschutzgesetz (DSG) ergänzt. Insbesondere in seinem § 7 DSG legt der nationale Gesetzgeber fest, unter welchen Voraussetzungen Datenverarbeitungen zu spezifischen Zwecken erfolgen dürfen. Dabei handelt es sich um Datenverarbeitungen im öffentlichen Interesse, die keine personenbezogenen Ergebnisse zum Ziel haben. Zu den spezifischen Zwecken zählen die Datenverarbeitung zu Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken sowie statistischen Zwecken (§ 7(1) und (2) DSG). Unter Umständen kann auch die Genehmigung der Datenschutzbehörde für die Datenverarbeitung (3) vorausgesetzt werden. Ausserdem muss für die Verarbeitung sensibler Daten (Art 9 DSGVO) ein wichtiges öffentliches Interesse vorliegen, wobei der Gesetzgeber nicht ausführt, was ein wichtiges öffentliches Interesse darstellt. Dies muss kontextabhängig beurteilt werden. Infrage kommen etwa Datenverarbeitungen im Zusammenhang mit der Bekämpfung von Pandemien.
Die Schweiz hat ihr ursprüngliches Bundesgesetz über den Datenschutz (DSG) von 1992 nach knapp 30 Jahren einer umfangreichen Revision unterzogen und das revidierte Gesetz 2023 in Kraft gesetzt. Mit dem revidierten DSG wurde insbesondere die von der Schweiz ratifizierte Revision der Konvention 108 des Europarats umgesetzt; die zwischenzeitlich erfolgte Erneuerung des Angemessenheitsbeschlusses der EU-Kommission spielte bei der Revision ebenfalls eine Rolle. Bereits das alte Recht verlangte unter seinem Art 4 die Beachtung der Grundsätze der Transparenz (Treu und Glauben sowie Erkennbarkeit) und der Datensparsamkeit (Verhältnismässigkeit). Inhaltlich ähneln die Pflichten für Datenverarbeiter im Grunde jenen der DSGVO, sind jedoch nicht so umfassend wie jene der EU-Verordnung und auch der nationalen Datenschutzgesetze Österreichs sowie Deutschlands. In seinem Art 6 (3) und (4) – auch Art 7, der im Wesentlichen den gleichen Inhalt wie Art 25 DSGVO hat – enthält das revidierte DSG Bestimmungen zur Verhältnismässigkeit (Datensparsamkeit) und Zweckbindung der Datenverarbeitung, während die Transparenz weiterhin im Grundsatz von Treu und Glauben sowie neu in einer strafbewehrten Informationspflicht verankert wurde. Personenbezogene Daten dürfen nur für einen festgelegten Zweck verarbeitet werden, die Datenbearbeitung muss zur Erreichung dieses Zwecks verhältnismässig (geeignet, erforderlich und zumutbar) sein, und sobald dieser Zweck wegfällt, müssen die Daten gelöscht werden.
Datensparsamkeit ernst nehmen
Trotz der klaren rechtlichen Vorgaben zeigt sich in der Praxis häufig ein anderes Bild: Kommunikationsplattformen betreiben Datenextraktivismus, also die maximale Gewinnung und Verarbeitung von Daten, und haben datenökonomische Betriebsmodelle aufgebaut; Datensammlung, -auswertung und -verkauf ist für sie Geld wert. Auch andere Unternehmen und (teils) Behörden speichern mehr Daten als nötig, um künftige Auswertungen oder personalisierte Dienstleistungen zu ermöglichen. Zudem führt der weitverbreitete Einsatz externer Dienstleister und Cloud-Lösungen dazu, dass Daten an zahlreiche Akteure weitergegeben werden. Zustimmen zu müssen, dass die eigenen Daten mit 200 oder mehr «Partnern» geteilt werden, ist nicht unüblich.
Diese Missachtung des Primats der Datensparsamkeit in der Praxis birgt erhebliche Risiken, denn wer Daten sammelt, macht sich angreifbar. Je mehr Daten gespeichert werden, desto attraktiver sind diese für Cyberkriminelle und desto gravierender können Datenlecks sein. Zu viele Daten zu speichern, ist schlicht datenschutzrechtswidrig, und Verstösse gegen die DSGVO können hohe Bussgelder nach sich ziehen. Wer zu viele Daten speichert, geht auch nicht mit der Zeit: Nutzerinnen und Nutzer erwarten zunehmend datenschutzfreundliche Angebote und sind bereit, Unternehmen zu meiden, die mit ihren Daten nicht verantwortungsvoll umgehen. Das beginnt mit europäischen oder nationalen Cloud-Lösungen, offengelegten algorithmischen Werkzeugen – und eben mit einem klaren Bekenntnis zu Datensparsamkeit.
Privacy by Design als Lösung
Ein wirksamer Ansatz, um dem exzessiven Datensammeln entgegenzuwirken, ist Privacy by Design. Dabei werden Datenschutzmassnahmen bereits in der Entwicklungsphase von Systemen, Produkten und Dienstleistungen integriert. Vorteile für Unternehmen sind dabei die Minimierung von Haftungs- und Compliance-Risiken, die Verringerung der Angriffsfläche für Cyberangriffe, die Erhöhung des Kundenvertrauens und der Kundenbindung durch Vertrauen in datenschutzkonformes Unternehmerhandeln sowie Effizienzsteigerungen und Einsparungspotenziale durch Vermeidung unnötiger Datenspeicherung. Die ökologischen und ökonomischen Zielsetzungen im Kontext von ESG-Prozessen sprechen eine klare Sprache; für diese umweltbezogenen, sozialen und Governance-Themen wurde im europäischen Recht inzwischen ein zunehmend dichteres Berichtspflichtenprogramm ausbuchstabiert und Due-Diligence-Pflichten verstärkt.
Mit gutem Beispiel vorangehen: Universität Innsbruck und Threema
Die Universität Innsbruck setzt sowohl in der Studierenden- und Mitarbeitenden-Datengovernance als auch bei Forschungsprojekten auf Datenschutz durch Technikgestaltung. In verschiedenen Projekten wird darauf geachtet, dass nur pseudonymisierte oder anonymisierte Daten verarbeitet werden. Die Forschungsinfrastruktur ist darauf ausgelegt, personenbezogene Informationen so früh wie möglich zu eliminieren. Die Mitarbeitenden- und Studierendendaten werden datensparsam erhoben und verwaltet.
Ein Massstab setzendes Projekt ist dabei die Kooperation mit einem Vorreiter im Bereich Datensparsamkeit: Der Schweizer Kommunikationsdienst Threema gilt als Vorbild für Privacy by Design und höchste Sicherheitsstandards. Im Gegensatz zu Gratis-Messengern wie WhatsApp oder Telegram verfolgt Threema ein konsequent datensparendes Konzept, das sich vielfältig widerspiegelt: So laden Nutzer ihre Profilbilder nicht auf zentrale Server hoch, sondern teilen sie über für den Server nicht lesbare Steuernachrichten direkt mit ihren Kontakten. Threema speichert auch keine Kommunikationsverläufe oder Adressbücher auf seinen Servern. Im B2B-Bereich nutzt Threema temporäre Speicherung, wenn Unternehmen automatisch Zugangsdaten an Nutzerinnen und Nutzer senden. Nach der Verarbeitung werden diese Daten gelöscht.
Die Rechtswissenschaftliche Fakultät der Universität Innsbruck setzt im Bereich der mobilen Kommunikation auf eine Kooperation mit Threema, um mit gutem Beispiel voranzugehen und Datensparsamkeit vorzuleben. In der ersten Ausbaustufe wird Threema bereits als Instrument der datenschutzkonformen Mitarbeiterkommunikation am Dekanat der Rechtswissenschaftlichen Fakultät eingesetzt. Die Mitarbeiter schätzen dabei insbesondere die einfach und intuitiv zu bedienende App sowie die Möglichkeit, stringent zwischen privater und dienstlicher Kommunikation trennen zu können und bei Bedarf auch zeitliche Schranken für die dienstliche Erreichbarkeit setzen zu können. Erwogen wird ferner der Einsatz von Threema als flexibles Kommunikations- und Informationsmedium in der fakultären Kommunikation zwischen Lehrenden, Studierenden und Verwaltung. So könnten künftig etwa Studierende auf einfache und zeitgemässe Weise wichtige Informationen, die ihr Studium betreffen – etwa geänderte Vorlesungszeiten, Raumänderungen etc. – direkt auf ihr Smartphone erhalten.
Datensparsamkeit als nachhaltiges Geschäftsmodell
Datensparsamkeit und Privacy by Design sind nicht nur rechtliche Pflichten, sondern auch ein strategischer Vorteil. Unternehmen, die sich an diese Prinzipien halten, minimieren Haftungsrisiken, vermeiden negative Schlagzeilen und gewinnen das Vertrauen der Mitarbeitenden und – im Falle von Universitäten – der Studierenden. Gerade Universitäten sollen mit gutem Beispiel vorangehen.
Datenschutz, richtig verstanden, ist nicht nur eine regulatorische Hürde und unternehmerische Bürde, sondern eine Chance zur Etablierung nachhaltiger digitaler Geschäftsmodelle und datensparsamer Nutzungspraxen, von denen schlussendlich alle profitieren.