DAT218 Recht auf informationellen Systemschutz (Monika Pfaffinger, Teil 1)

00:00:00: ♪ Musik ♪

00:00:06: Guten Tag, mein Name ist Martin Steiger.

00:00:10: Herzlich willkommen zu den Datenschutz-Plaudereien.

00:00:13: Heute einmal mehr mit einem Spezialgast, und zwar eine Premiere.

00:00:16: Mein heutiger Spezialgast ist Monika Pfaffinger.

00:00:19: Ich habe sie eingeladen, sie nimmt sich Zeit,

00:00:21: weil sie eine spannende Habilitation geschrieben hat

00:00:24: mit dem Titel «Recht auf informationellen Systemschutz.

00:00:26: Bleibt für einen Paradigmenwechsel im Datenschutzrecht.»

00:00:29: Herzlich willkommen, Monika Pfaffinger.

00:00:32: Was sollte unser Publikum über Sie wissen?

00:00:35: Ich kann es schon vorwegnehmen, Sie haben eine umfangreiche Website,

00:00:37: wo man sich auch verlieren kann, mit sehr vielen Links und Informationen,

00:00:40: die ich bei der Vorbereitung gemerkt habe, auch ein LinkedIn-Profil.

00:00:43: Aber jetzt einfach zum Hören, was muss man über Sie wissen?

00:00:45: Guten Tag, Herr Steiger.

00:00:47: Grüezi miteinander, vielen Dank für die Einladung

00:00:49: und ich freue mich sehr, die Gelegenheit zu haben, zu diesem Gespräch zu haben.

00:00:52: Ich will Ihre schöne Eingangsfrage zeitgerichtet beantworten

00:00:55: und koordinieren.

00:00:56: Ich möchte nicht bei Adam und Eva anfangen

00:00:58: oder meinen Lebenslauf herunterraten.

00:01:00: Man muss also über mich wissen

00:01:02: oder vielleicht eher, was ist interessant über mich zu erfahren,

00:01:06: mit Blick auf das heute sehr interessante und bedeutsame Thema.

00:01:10: Das Kernanliegen von mir als Juristin war immer

00:01:13: der Schutz der Person in der Rechtsordnung und in der Gesellschaft.

00:01:17: Mich haben immer die besonders delikaten,

00:01:20: grundlegenden und schwierigen Angelegenheiten

00:01:22: besonders gelustet und gereizt.

00:01:24: Aktuell bin ich Vorsitzende

00:01:26: der Expertengruppe «Internationale Adoption»,

00:01:29: eingesetzt vom Bundesrat und vom Bundesamt für Justiz.

00:01:32: Mit dem Adoptionsrecht habe ich mich bereits

00:01:34: in meiner Doktorarbeit beschäftigt,

00:01:36: und zwar genauer mit informationsrechtlichen Fragen

00:01:39: im Familienkontext.

00:01:41: Und dies war zweimal mit Nachwuchsstipendien

00:01:43: gefördert von der Uni Zürich.

00:01:45: Sie trägt den Titel «Geheime und offene Formen der Adoption:

00:01:48: Wirkungen von Information und Kontakt

00:01:50: auf das Gleichgewicht im Adoptionsdreieck».

00:01:52: Die Erkenntnisse dieser These sind

00:01:54: ins Gesetz übertreibt worden,

00:01:56: und Sie sehen also, dass ich mich schon immer

00:01:58: mit informationsrechtlichen Herausforderungen beschäftigt habe.

00:02:01: 2022 erschien meine 800-seitige Habilitationsgeschrift

00:02:06: unter dem Titel «Das Recht auf informationellen Systemschutz:

00:02:09: Bladeway für einen Paralleltypenwechsel im Datenschutzrecht».

00:02:12: Darüber werden wir heute sprechen.

00:02:14: Und ich habe an der Uni Basel die Venialegende

00:02:16: für Privatrecht, Informationsrecht sowie

00:02:18: Recht und neue Technologien.

00:02:20: Das heisst auch, dass ich unterrichte,

00:02:22: mit vielen Fösschen an verschiedenen

00:02:24: Universitären und Hochschulinstitutionen,

00:02:26: zu denen ich in der Praxis erwerbstätig bin.

00:02:28: Und last but not least die Mutter einer Tochter.

00:02:31: Ja wunderbar.

00:02:32: Wie gesagt, ich empfehle wirklich,

00:02:34: einen Blick auf die Homepage zu werfen.

00:02:36: Ich verlinke euch den Show Notes.

00:02:38: Genauso übrigens die Habilitation.

00:02:40: Ich habe eine Freude festgestellt,

00:02:42: dass sie als echten Open Access erscheint.

00:02:44: Also die kann man unter der liberalsten

00:02:46: möglichen Creative Commons Lizenz abrufen.

00:02:48: Auch das verlinken wir.

00:02:50: Es ist vielleicht auch interessant, wenn jemand sagt,

00:02:52: ja, ich kann jetzt nicht alles lesen,

00:02:53: aber mal ein AI-Tool darüber laufen lassen,

00:02:55: dass ich mir die Fragen beantworte.

00:02:57: Ja, steigen wir doch gleich ein.

00:02:59: Sie haben den Titel auch gesagt:

00:03:01: «Informationeller Systemschutz»

00:03:03: oder «Das Recht auf informationellen Systemschutz».

00:03:05: Was ist das?

00:03:07: «Das Recht auf informationellen Systemschutz»

00:03:09: Also ich habe ein Plädoyer für den Paradigmenwechsel entwickelt.

00:03:11: Das war eine Ableitung.

00:03:13: Ich habe mich intensiv mit ganz vielen Quellen beschäftigt.

00:03:15: Mit Märchen, zum Einstehen,

00:03:17: mit Geheimhaltungspflichten im Mittelalter

00:03:19: und da eigentlich herausgearbeitet,

00:03:21: dass die Menschen, die sich in der Politik

00:03:23: verhalten, sich nicht mehr mit den Menschen

00:03:25: verhalten, sondern mit den Menschen,

00:03:27: die sich in der Politik verhalten.

00:03:29: Und ich habe mir gedacht,

00:03:31: das ist eine sehr wichtige Sache.

00:03:33: Und ich habe mir gedacht,

00:03:35: dass es im Datenschutzrecht

00:03:37: ganz und gar nicht so,

00:03:39: wie unser heutiges Konzept ist,

00:03:41: quasi der Schutz der Person und der Persönlichkeit,

00:03:43: der quasi vis-à-vis Daten,

00:03:45: wie so ein bisschen Objekte zugeordnet sind, geht,

00:03:47: sondern dass es um die Regelung

00:03:49: von Datenflüssen geht zwischen verschiedenen Kontexten.

00:03:51: Und das Recht auf informationellen Systemschutz

00:03:53: hat einen Vorschlag gemacht,

00:03:55: dass ich in meinen Augen klar

00:03:57: verschiedene Schutzdimensionen anerkennen sollte,

00:03:59: mehr Griffigkeit und Nachdruck verleihen kann.

00:04:01: dass ich in meinen Augen klar verschiedene Schutzdimensionen anerkennen sollte,

00:04:01: mehr Griffigkeit und Nachdruck verleihen kann.

00:04:03: Jetzt kann man sagen, wir haben ja das Datenschutzrecht.

00:04:05: Also in der Schweiz ist das Datenschutzgesetz

00:04:07: gerade revidiert worden, das DSG.

00:04:09: In Europa haben wir jetzt seit etwas mehr als

00:04:11: fünf Jahren die Datenschutzgrundverordnung DSGVO.

00:04:13: Dort ist ja sehr viel

00:04:15: hineingeflossen, politisch, wissenschaftlich.

00:04:17: Was ist denn das Problem?

00:04:19: Also wieso braucht es jetzt plötzlich

00:04:21: etwas Neues, einen Paradigmenwechsel?

00:04:23: Richtig, also schon,

00:04:24: das ist eine gute Frage.

00:04:26: Das Datenschutzrecht, und ich habe in meiner

00:04:28: Habilitationsschrift, die wirklich wissenschaftliche

00:04:30: Grundlagenforschung ist und auch nicht

00:04:32: geschäftsbezogen ist, mir erlaubt

00:04:34: einen ganzen Weitenblick

00:04:36: zu machen und einen tiefen Blick zu machen.

00:04:38: Es ist ein chronologischer Weiterblick.

00:04:40: Ich habe die Entwicklungen nachgezeichnet

00:04:42: und ich glaube, dass mit den jüngsten

00:04:44: Revisionen und Anpassungen wichtige

00:04:46: Schritte erfolgt sind.

00:04:48: Man löst den Datenschutz klar auf

00:04:50: diesem strikt persönlichkeitsrechtlichen

00:04:52: Ansatz.

00:04:54: Es ist eine Compliance aufgegangen worden.

00:04:56: Risikoerwägungen spielen eine Rolle.

00:04:58: Man beginnt

00:05:00: zu adressieren, dass das Konzept

00:05:02: des Persönlichkeitsrechts, das

00:05:04: für den Datenschutz im privaten Sektor gilt,

00:05:06: irgendwie einfach nicht gleich gut funktioniert.

00:05:08: Es ist nicht das gleiche, wie wenn Sie einen

00:05:10: Autounfall haben oder einen Ohrfeigen bekommen

00:05:12: oder eine Schimpfe angehängt bekommen.

00:05:14: Das ist so die Ausgangslage.

00:05:16: Wir haben da geforscht,

00:05:18: wir haben da sehr interessante Entwicklungen.

00:05:20: Es ist aber auch so, dass

00:05:22: man in all diesen Rechtstätigen

00:05:24: Texte, aber auch Urteile

00:05:26: und weitere Texte, wenn man sie

00:05:28: ein bisschen anders liest, aus einer anderen

00:05:30: Perspektive sieht, dass es eben

00:05:32: nicht nur um den Schutz der Person

00:05:34: geht und diese

00:05:36: neuen Erlass basieren sehr

00:05:38: weitgehend auf dem Konzept, dass man

00:05:40: den Schutz des einzelnen Individuums

00:05:42: ins Zentrum rückt.

00:05:44: Das Recht auf informationellen Systemschutz

00:05:46: sagt: Nein, der Datenschutz

00:05:48: muss auch die Integrität

00:05:50: der tragenden gesellschaftlichen

00:05:52: Kontexte, das ist der Begriff

00:05:53: des Systems, absichern und garantieren.

00:05:55: Deshalb versteht man vielleicht auch,

00:05:57: dass das Datenschutzrecht

00:05:59: sehr interessant und

00:06:01: ambivalent verhandelt wird.

00:06:03: Es gibt Leute, die sagen,

00:06:05: das war lange eine Mauerblume

00:06:07: in den Debatten und hat jetzt

00:06:09: riesige Lawinen bekommen.

00:06:11: Es gibt Leute, die sagen, die Leute

00:06:13: setzen sowieso ihre Einwilligungserklärung,

00:06:15: ihr Hörglä, ein, also ist

00:06:17: der Datenschutz nicht wichtig.

00:06:19: Das ist nicht richtig, das sieht man.

00:06:21: Es gibt empirische Studien darüber,

00:06:23: dass die Menschen sagen, nein,

00:06:25: mir ist der Datenschutz wichtig.

00:06:27: Wenn ich aber ein Buch kaufen will,

00:06:29: wie bei Amazon, dann will ich ein Buch kaufen.

00:06:31: Dann will ich keine 20-seitige Privacy-Erklärung

00:06:33: lesen und studieren und

00:06:35: nachher sowieso nicht verstehen,

00:06:37: an wer die Daten alles

00:06:39: distribuiert werden.

00:06:41: Die These dieses Buches ist,

00:06:43: dass das Datenschutzrecht über

00:06:45: den Schutz des Systems

00:06:47: in dieser pluralen Gesellschaft

00:06:49: effektiv leisten muss.

00:06:51: In das eingebettete

00:06:53: System, wo der Schutz

00:06:55: der Person stattfindet.

00:06:57: Die jüngsten Revisionen haben am Schluss

00:06:59: an den grundlegenden Anknüpfungen

00:07:01: nichts verändert.

00:07:03: Was die Revision betrifft, finde ich es interessant.

00:07:05: Ich habe gesehen im Online-Kommentar

00:07:07: zum neuen Datenschutzgesetz in der Schweiz,

00:07:09: in der Kommentierung von Artikel 22,

00:07:11: geht es um datenschutzfolgeabschätzige

00:07:13: Risikobeurteilungen, wie hat Ihre

00:07:15: Habilitation unter anderem zitiert.

00:07:17: Da ist mir aufgefallen,

00:07:19: unterstützen Sie den Kontext in diesem Fall?

00:07:21: Wenn man sagt, Systemschutz und

00:07:23: datenschutzfolgeabschätzige Risikobeurteilungen?

00:07:25: Unbedingt. Ich glaube, dass

00:07:27: der Risikoansatz, der Compliance-Ansatz,

00:07:29: dass die Unternehmer,

00:07:31: also die Unternehmerstaaten,

00:07:33: wer immer Personendaten verarbeitet,

00:07:35: in den primären

00:07:37: Pflichtstaaten den Datenschutz

00:07:39: einzuhalten und zu gewährleisten.

00:07:41: Vor 30, 40 Jahren war es

00:07:43: wirklich noch quasi, das Individuum

00:07:45: muss sich quasi verteidigen.

00:07:47: Das Persönlichkeitsrecht, oder ZGB 28,

00:07:49: das den Datenschutz ja anknüpft,

00:07:51: ist es defensiv-rechtlich

00:07:52: und denkt das Individualrecht.

00:07:54: In der heutigen Zeit mit diesen

00:07:56: grossen Tech-Giganten, wo alles

00:07:58: vernetzt ist, wo Daten gepoolt

00:08:00: werden etc., ist das

00:08:02: eigentlich, steht so ein

00:08:04: Konzept, ein wenig auf dem verlorenen

00:08:06: Posten. Das heisst, der Ansatz

00:08:08: von antizipierend

00:08:10: die Verantwortung bei den

00:08:12: Verarbeitenden

00:08:14: anzusiedeln, mit Risiko

00:08:16: zu arbeiten, ist glaube ich

00:08:18: eine ganz wichtige Etappe in

00:08:20: der Weiterentwicklung, die wir haben.

00:08:22: Ein Punkt ist mir vielleicht noch wichtig

00:08:24: zum Anfügen, und zwar

00:08:26: die Revision des DSG hat,

00:08:28: ich habe in meiner Habilitationsschrift

00:08:30: drei Strukturmerkmale herausgearbeitet:

00:08:32: Der Dualismus. Die Schweiz

00:08:34: unterscheidet den öffentlichen Bereich

00:08:36: vom privaten Bereich.

00:08:38: Zweitens das generaloklauselartige

00:08:40: Regime und drittens die

00:08:42: persönlichkeitsrechtliche Anknüpfung.

00:08:44: Und in der EU haben wir einen Monismus.

00:08:46: Das heisst, die haben gesagt, wir machen

00:08:48: eine Dachregelung, sowohl

00:08:50: für den staatlichen wie auch für die private

00:08:52: Sektor. Da sehen Sie,

00:08:54: der Gedanke des systembezogenen

00:08:56: Rechts ist

00:08:58: durchaus angeweht, aber

00:09:00: man hat das noch nicht genügend zur Kenntnis genommen.

00:09:02: Bei dieser Gelegenheit als Publikum ein Tipp,

00:09:04: wenn man das Ganze lesen möchte:

00:09:06: Ich empfehle, von hinten anzufangen.

00:09:08: Natürlich haben Sie eine Zusammenfassung gemacht.

00:09:10: Das habe ich mich gerade an das erinnert, was Sie gesagt haben,

00:09:12: weil es ist wirklich sehr gut dargestellt.

00:09:14: Man kann wirklich mal schauen, was ist welchem

00:09:16: Kapitel. Ich glaube, es gibt auch gewisse

00:09:18: Kapitel, die, ich sage jetzt,

00:09:20: mehr informativ als

00:09:21: matschentscheidend sind, eben auch so

00:09:23: historisch etc. Also ich empfehle,

00:09:25: dass man dort von hinten anfängt.

00:09:27: Aber weil jetzt nicht alle anfangen, zu lesen,

00:09:29: finde ich noch eine wichtige Frage:

00:09:31: Ist jetzt das Ganze auch eine Kritik

00:09:33: am Recht auf informationelle Selbstbestimmung,

00:09:35: wie auch sehr auf die Einzelperson abzielt?

00:09:37: Oder wie positionieren Sie sich dort?

00:09:39: Ich möchte zum Recht auf

00:09:41: informationelle Selbstbestimmung etwas

00:09:43: vorausschicken, und zwar

00:09:45: meine Analyse des DSG

00:09:47: für den privaten Bereich führt

00:09:49: mich klar zum Schluss, dass die Schweiz kein

00:09:51: Recht auf informationelle Selbstbestimmung

00:09:53: verbürgt. Das Recht auf informationelle

00:09:55: Selbstbestimmung kommt vom Volkszählungsurteil,

00:09:57: vom Bundesverfassungsgericht,

00:09:59: und das ist konzeptionell ziemlich

00:10:01: anders aufgestellt, weil dort steht

00:10:03: am Anfang ein prinzipielles Verbot

00:10:05: von Personendatenbearbeitungen,

00:10:07: das durch Erlaubnisdatbestände

00:10:09: durchgebrochen werden kann, und dann

00:10:11: kommt die Einwilligung mit einer grossen Bedeutung.

00:10:13: In der Schweiz ist das Konzept für den

00:10:15: privaten Bereich anders. Wir haben

00:10:17: eine prinzipielle freie Bearbeitung,

00:10:19: die Möglichkeit,

00:10:21: die aber durch die grossen

00:10:23: Bearbeitungsgrundsätze beschränkt wird,

00:10:25: und das Datensubjekt hat nur

00:10:27: ein Widerspruchsrecht. Das ist ein ganz

00:10:29: anderes Konzept, das bei diesem Ausgangspunkt

00:10:31: Freiheit der Personendatenbearbeitung

00:10:33: im Grundsatz nahm,

00:10:35: oder Verbot. Und das war

00:10:37: unglücklich in meinen Augen in der

00:10:39: Schweizer Debatte, dass man

00:10:41: nicht genügend tiefe Auseinandersetzungen

00:10:43: gemacht hat mit dem, was

00:10:45: überhaupt das Recht ist, was es beinhaltet.

00:10:47: Ich glaube, es ist wichtig, dass wir

00:10:49: klar sind, was die

00:10:50: Rechtsrechte beinhalten.

00:10:52: Das ist die erste Kritik, die ich

00:10:54: klar anbringe. Ich taxiere

00:10:56: das Regime im Datenschutz

00:10:58: für den privaten Bereich als

00:11:00: Missbrauchsgesetzgebung. Sie müssen

00:11:02: die grossen Grundsätze, Treu und Glauben,

00:11:04: Verhältnismässigkeit etc. einhalten,

00:11:06: aber sie müssen nicht jedes Mal eine

00:11:08: Einwilligung einholen. Und da gibt es ganz

00:11:10: viel Irrglauben insofern.

00:11:12: Das ist eher eine Kritik an der Rezeption

00:11:14: von unserem Rechtsregime, von der

00:11:16: BV und vom DSG. Dann hat man

00:11:18: einfach das festgestellt, dass die

00:11:20: Selbstbestimmung, wenn wir sie

00:11:22: assoziieren mit dem Willen, mit

00:11:24: der Einwilligung, mit der informierten

00:11:26: Einwilligung, mit einer Verfügung,

00:11:28: einer Handlungsaktivität,

00:11:30: die funktioniert einfach in der Realität

00:11:32: nicht. Also weder die Informiertheit

00:11:34: funktioniert, noch die Freiwilligkeit

00:11:36: funktioniert. Sie sind eigentlich

00:11:38: gezwungen. Sie lesen seitenweise

00:11:40: Privacy-Erklärungen

00:11:42: und sie sagen einfach: «Ich will das Buch bestellen.»

00:11:44: Dann machen sie den Haken,

00:11:46: aber trotzdem möchten sie vielleicht nicht,

00:11:48: dass das hinten an x

00:11:50: andere Unternehmen

00:11:52: transferiert wird und für andere Zwecke

00:11:54: verarbeitet wird.

00:11:56: Sie können vielleicht akzeptieren, dass

00:11:58: der Online-Buchhändler das

00:12:00: verwertet, um ihnen schöne Buchempfehlungen

00:12:02: zu machen. Aber sie möchten nicht, dass

00:12:04: das zum Beispiel dann in

00:12:06: diverse weitere Kontexte transferiert

00:12:08: wird. Also es funktionieren viele

00:12:10: Konzepte und die informationelle Selbstbestimmung

00:12:12: das ist etwas, das nicht gut

00:12:14: funktioniert. Und es ist auch so ein bisschen

00:12:16: eine Massnahme, wo man festgestellt hat: Ich glaube,

00:12:18: der Mensch ist so oft auch so ein bisschen

00:12:20: ein Narrativ aufgehoben.

00:12:22: Der Mensch wird von der Maschine quasi

00:12:24: zum Objekt degeneriert

00:12:26: und dann emanzipiert man ihn

00:12:28: mit einer Selbstbestimmung, einer individuellen,

00:12:30: die aber einfach in der Realität so

00:12:32: nicht genügend griffig wird.

00:12:34: ♪ Musik ♪