Datenschutz in der Schweiz seit 1989 und Online-Shopping

Gegenstand des Blogs ist die Entwicklung des Schweizer Datenschutzrechts von Ende der 1980er Jahre bis heute, vor dem Hintergrund, welche Anpassungen an neue Technologien vorgenommen werden mussten. Es wird die Frage untersucht, ob das gegenwärtige Schweizer Datenschutzrecht ausreicht, um die Privatsphäre und den Schutz von personenbezogenen Daten zu gewährleisten.

Datenschutz ist keine neue Erscheinung. Bereits Ende des 19. Jahrhunderts sprach man von einem Recht auf Schutz der Privatsphäre (vgl. Epiney et al 2009; S. 9). Jedoch konnten die Verfasser der ersten Datenschutzrechte und Bestimmungen oder auch des ersten Datenschutzgesetzes der Schweiz, das des Kantons Luzern aus dem Jahr 1990, nicht voraussehen, welche umfassenden Veränderungen und neuen Anforderungen die Etablierung des Internets als Kommunikations- und Handelsmedium mit sich bringen würde. Täglich werden weltweit erhebliche Mengen an personenbezogenen Daten verarbeitet und gespeichert. Um die Rechte der betroffenen Personen zu schützen, war es also notwendig, die Datenschutzgesetze immer wieder anzupassen. Auch die Globalisierung und Internationalisierung stellt Gewerbetreibende, die Produkte oder Dienstleistungen im Internet anbieten, vor neue Herausforderungen. Denn sie müssen vielfach nicht nur die inländischen Gesetze und Bestimmungen befolgen, oftmals können auch ausländische Bestimmungen auf sie zutreffen, sofern ihr Angebot sich an Personen in den betreffenden Ländern richtet.

Schützenswert im Sinne des Datenschutzgesetzes sind Daten, die sich auf die Identität einer Person beziehen. In der Schweiz unterscheidet man zwischen einem allgemeinen Datenschutz und einem besonderen Datenschutz. Der allgemeine Datenschutz betrifft Daten, durch welche Rückschlüsse auf eine Person getroffen werden können, wie etwa Name, Wohnort, Alter usw. Der besondere Datenschutz bezieht sich auf Bereiche wie die medizinische Versorgung, Energie, Kommunikation und Finanzen. In diesen Bereichen müssen beispielsweise Patienten- oder Bankdaten besonders vor möglichen Angriffen geschützt werden. Die Weitergabe an oder der unbefugte Zugriff auf diese Daten durch unbefugte Dritte könnte erhebliche nachteilige Folgen für die betroffene Person haben. Aus diesem Grund werden Daten, die unter den besonderen Datenschutz fallen, gesondert und strenger behandelt.

Diese Arbeit beschäftigt sich mit dem Allgemeinen Schweizer Datenschutzrecht, das beispielsweise Online-Shops und eCommerce-Betreiber und alle anderen Unternehmen betrifft, die Daten ihrer Kunden erfassen und speichern. Die Gesetze zum Schutz von personenbezogenen Daten in der Schweiz beziehen sich außerdem auch auf Behörden und auf Einzelpersonen im geschäftlichen Kontext, beispielsweise die Mitarbeiter einer Firma, die personenbezogene Daten ihrer Kunden verarbeiten.

Diese Arbeit beleuchtet die Entwicklung der Einkaufsrealität in der Schweiz im Vergleich von 1989 und heute. Das Einkaufverhalten der Menschen hat sich in den vergangenen 30 Jahren erheblich geändert, weg vom Einkauf in physischen Ladengeschäften und hin zu einem vermehrten Trend, online einzukaufen.

 Das Schweizer Recht wurde mehrmals an die veränderten Bedingungen angepasst. Diese Arbeit gibt zunächst einen Überblick über die Entwicklung der Datenschutzgesetze in der Schweiz und überprüft anschliessend, inwieweit die Gesetze zum Datenschutz die aktuellen Entwicklungen und Gegebenheiten berücksichtigen, sei es auf technischer, geschäftlicher oder normativer Ebene, und wo es Lücken beim Schutz personenbezogener Daten Schweizer Bürger vorhanden sein können, wenn sie Artikel in einem Online-Shop kaufen.

Ein weiterer wichtiger Punkt, der sich durch die Verbreitung von Online-Käufen verändert hat, ist, dass viele Käufe heute über die Landesgrenzen hinweg stattfinden und Konsumenten ihre Daten auch internationalen Anbietern zur Verfügung stellen, die möglicherweise anderen Datenschutznormen unterliegen als denjenigen, die vom Schweizer Datenschutzgesetz erfasst werden. Durch den internationalen Charakter des Internets sind heute umfangreiche Kenntnisse von Datenschutzbestimmungen notwendig, da sonst erhebliche Geldbußen durch die zuständigen Aufsichtsbehörden drohen können. Beispielsweise können Online-Shops Bestellungen über Landesgrenzen hinweg verarbeiten. Auch werden möglicherweise Daten von Personen aus anderen Rechtsprechungsbereichen mit anderen Datenschutzbestimmungen, die in vielen Fällen strenger sind als das Schweizer Datenschutzgesetz verarbeitet. Auch solchen Fällen muss diejenige Person oder Stelle, die personenbezogene Daten verarbeitet, Rechnung tragen. Verschiedene Bestimmungen und internationale Regelungen geben an, welchen Gesetzen internationale natürliche und juristische Personen unterliegen, die Daten von Personen aus der Schweiz erfassen und verarbeiten, oder umgekehrt, Schweizer Unternehmen unterliegen, die Daten ausländischer Personen verarbeiten.

Veränderung des Kaufverhaltens und gesetzliche Anpassungen

Das Einkaufverhalten hat sich seit 1989 bis heute so gravierend verändert, dass heute der Kauf von Waren über das Internet in den meisten Fällen selbstverständlich geworden ist, wohingegen vor wenigen Jahrzehnten noch der Gang zum Ladengeschäft oder Fachhändler der übliche Weg war. In den wenigsten Fällen ist der Händler oder Verkäufer heute dem Kunden oder Verkäufer persönlich bekannt und der Kontakt sowie die Übermittlung von Daten finden auf rein elektronischem Wege statt. Zu diesem Zweck muss der Kunde dem Händler Daten übermitteln, damit dieser die getätigte Bestellung bearbeiten und ausführen kann. Die Kundendaten werden zu verschiedenen Zwecken beim Händler gespeichert, beispielsweise für die Bearbeitung von Garantiefällen, für Folgebestellungen oder zum Anlegen einer Kundendatei.

Das Datenschutzgesetz regelt die Speicherung und Aufbewahrung dieser Kundendaten durch den Händler. Im Lauf der Jahre musste das Datenschutzgesetz in der Schweiz mehrmals an die aktuellen Gegebenheiten angepasst werden und unterliegt auch gegenwärtig einer Bearbeitung, die voraussichtlich 2021 in Kraft tritt.

Festzuhalten ist also eine Veränderung des Verhältnisses zwischen Kunden und Händler und eine immer stärkere Verlagerung hin zu Online-Bestellungen.

Bedeutung dieser Entwicklung für den Datenschutz

Wenn man die Entwicklung weg vom physischen Ladengeschäft hin zum Online-Shop betrachtet, hat dies selbstverständlich gravierende Auswirkungen auf den Schutz von Kundendaten. Sowohl die Erfassung als auch die Archivierung und Speicherung von Kundendaten hat sich im Lauf der letzten Jahrzehnte bedeutend verändert.

Nehmen wir an, ein Kunde kauft im Jahr 1989 einen Fernseher. Er würde in das Geschäft eines Fachhändlers oder in einen Elektronikfachhandel gehen, sich, evtl. nach einer fachlichen Beratung, das gewünschte Gerät aussuchen und kaufen. Zu Garantiezwecken hinterlässt er seinen Namen, seine Anschrift, sein Geburtsdatum und seine Telefonnummer beim Händler, der diese Daten in einer Kartei speichert.

Um Datenschutz macht sich in dieser Zeit niemand grosse Sorgen, der Händler bewahrt die Kundendateien in einer physischen Akte auf, da es 1989 noch nicht üblich ist, elektronische Kundendateien anzulegen. Trotz des im Grunde genommen völlig fehlenden Datenschutzes sind die Kundendaten jedoch relativ sicher, da es nur in zwei Fällen zu Konflikten komme könnte: entweder verkauft der Händler die Kundendaten wissentlich, etwa an einen Konkurrenten oder Werbetreibenden, was datenschutzrechtliche Konsequenzen für den Händler bedeuten würde. Oder die Kundendaten werden bei einem Einbruch oder physischen Diebstahl im Laden gestohlen.

Beide Fälle sind zwar möglich, in der Praxis jedoch so geringfügig, dass das Thema Datenschutz 1989 praktisch noch keines ist. Erst mit zunehmender Computerisierung und elektronischer Speicherung von Kundendaten wird der Schutz von personenbezogenen Daten relevant. Denn auf einmal ist es möglich, dass beispielsweise Hacker über das Internet auf die Computer des Händlers zugreifen und die Kundendaten stehlen. Durch den Einsatz von externen Servern, auf denen personenbezogene Daten extern gespeichert werden, sich also nicht mehr in den Räumlichkeiten und im Computersystem des Händlers befinden, wurde diese Gefahr noch grösser. Daten von Konsumenten sind heute zu einem teuer gehandelten Gut im Internet geworden. Dritte könnten sich bei Kenntnis der personenbezogenen Daten einer Person Kenntnis und Zugang zu Informationen verschaffen, die dieser Person schaden können. Dazu gehören zum Beispiel Finanz- und Kontoinformationen oder auch einfach die Wohnadresse der Person. Aus diesem Grund wurde es notwendig, entsprechende Regelungen und Gesetze zu erlassen, um den Schutz der gespeicherten und verarbeiteten Kundendaten zu gewährleisten.  

Warum gewinnt Datenschutz für Konsumenten an Bedeutung?

Im Gegensatz zu früher, wir nehmen als Ausgangspunkt das Jahr 1989, werden Kundendaten heute in Systemen abgelegt, auf die Dritte unter Umständen Zugriff erlangen können. Da es sich bei personenbezogenen Daten um Inhalte handelt, die aufgrund des Persönlichkeitsrechts relevant und schützenswert ist, musste sich gleichzeitig mit der elektronischen Entwicklung und der Entstehung und Verbreitung des Online-Shoppings auch eine Reglementierung des Datenschutzes entwickeln. Beim Online-Shopping geben Benutzer und Kunden Daten an, wenn sie eine Bestellung tätigen. Diese werden auf Servern des Online-Händlers gespeichert. Auch wenn keine Bestellung getätigt wird, sondern sich Benutzer nur auf der Website eines Unternehmens aufhalten, werden möglicherweise personenbezogene Daten erhoben, die unter das Datenschutzgesetz fallen. Beispielsweise verfolgen Websites das Surfverhalten auf ihren Seiten und zeichnen dieses auf.

Die Nutzung personenbezogener Daten hat sich im Vergleich zu 1989 also deutlich verändert. Damals wurden die Daten aufgrund des nur in Ausnahmefällen vorhandenen EDV-Wesens bei Händlern in physischen Akten gespeichert, heute erfolgt die Speicherung elektronisch und macht die Daten theoretisch verletzlicher.

Nutzung personenbezogener Daten

Personenbezogene Daten wurden bzw. werden von Händlern folgendermassen verwendet, wenn man 1989 mit der heutigen Nutzung gegenüberstellt:

Tabelle 1: Nutzung von personenbezogenen Daten

Aus der obigen Tabelle wird ersichtlich, dass sich nicht nur die Art und Weise, sondern auch der Zweck der Speicherung von Kundendaten geändert hat. Erst mit dem Aufkommen des Internets und des Online-Einkaufens war die Erfassung und Speicherung von Kundendaten auf elektronischem Wege überhaupt relevant und es mussten Regelungen gefunden werden, wie Kundendaten, die oft auf externen Servern abgelegt werden, vor dem Zugriff von unbefugten Dritten geschützt werden können.

Besonderes Augenmerk kommt bei allen Datenschutzüberlegungen dem Punkt zu, dass die Daten heute elektronisch auf Computern und Servern gespeichert werden, was eine höhere Angreifbarkeit der gespeicherten Daten zur Folge hat. Aus diesem Grund war es notwendig, das Gesetz zum Datenschutz entsprechend anzupassen.