Die Herausforderung Daten: Zwischen Wirtschaft, Forschung und Datenschutz

Digitale Selbstbestimmung 08:24

Das erste Schweizer Datenschutzgesetz wird nach 30 Jahren durch eine Totalrevision ersetzt. Globale Player nutzen unsere Daten für ihre Angebote, während nur Wenige davon profitieren. Gesellschaft und Staat haben ein Interesse an der Nutzung dieser Daten für wichtige Bereiche. Auch private Akteure können effizienter agieren, wenn sie Daten nutzen können. Gemeinsame Datenräume statt isolierter Silos sind notwendig. Der vorliegende Bericht, unterstützt von Vertretern aus verschiedenen Bereichen, zeigt den Weg. Das Schweizer Modell schafft Vertrauen und ist tragfähig. Vertrauen ist die Basis für das Teilen und Nutzen unserer Daten und ermöglicht das volle Potenzial der Data Sharing Economy.

Vorwort: Data Sharing Economy – Zusammenwirken aller Kräfte als Vertrauensbasis

Nach genau 30 Jahren hat das erste Schweizer Datenschutzgesetz ausgedient. Es wird ab 1. September 2023 durch eine Totalrevision abgelöst, was die Dynamik der digitalisierten Welt der letzten Jahrzehnte widerspiegelt. Globale Players, die inzwischen weit mehr als nur Kommunikation anbieten, nutzen unsere Daten, die wir ihnen mit jedem Einkauf per Internet oder an der Scan-Kasse freiwillig übermitteln, für die Bewirtschaftung ihrer breiten Angebote. Es kann nicht sein, dass die reine Marktmacht, rechtliche Freiräume und Grauzonen dazu führen, dass nur einige wenige von unseren Daten profitieren. Gerade Gesellschaft und Staat haben ein zentrales Interesse daran, solche Daten zu verwerten, um wichtige Bereiche wie Gesundheit, Verkehr, Energie und Bildung zu steuern und zu gestalten.

Auch private Akteure können ihre Produkte und Dienstleistungen effizienter und damit auch nachhaltiger ausrichten, wenn sie vorhandene Daten nutzen können. Und Individuen sollen erkennen, dass sie Nutzen ziehen von der Bewirtschaftung von Daten, die auch sie selber produzieren. Die Vorteile der Sharing Economy beschränken sich nicht auf Güter, sondern dürften bei Daten sogar noch grösser sein.

Gemeinsame Datenräume statt Einzelsilos sind angesagt. Entsprechend erfrischend ist es, dass der vorliegende Bericht von Verantwortlichen aus Wissenschaft, Wirtschaft, Verwaltung und Gesellschaft erarbeitet und getragen wird. Das ist denn auch das Schweizer Modell, das tragfähig ist und Vertrauen schenkt. Dieses ist schliesslich unabdingbare Basis gerade im Teilen und Nutzen unserer Daten.

Empfehlungen der SATW zusammengefasst

Die SATW empfiehlt, dass der Bund einen gesetzlichen Rahmen schafft, um die übergeordneten Herausforderungen beim Aufbau vertrauenswürdiger Datenräume in der Schweiz zu adressieren und somit eine bessere Nutzung von Personendaten zu fördern. Dabei sollen die digitalen Selbstbestimmungsrechte der Bürger:innen berücksichtigt werden, um Vorbehalten entgegenzuwirken. Die Interessen der Wirtschaft sollen angemessen berücksichtigt werden und es soll ein inklusiver Ansatz verfolgt werden, um eine gemeinsame Vision zu finden. Es wird auch empfohlen, die internationale Interoperabilität zu berücksichtigen, um den Austausch zwischen verschiedenen Datenräumen zu gewährleisten.

Die wachsende Bedeutung von Daten: Herausforderungen und Chancen für die digitale Transformation

In allen Lebensbereichen werden zunehmend Daten erhoben und erfasst. Diese Daten haben einen grossen wirtschaftlichen und gesellschaftlichen Wert: Immer mehr Geschäftsmodelle basieren auf deren Verarbeitung und die Forschung braucht sie, um wissenschaftliche Erkenntnisse zu generieren. Die Digitalwirtschaft hat internationale Grosskonzerne entstehen lassen, die auch in Ländern, in denen sie nicht ansässig sind, grosse Auswirkungen auf den Alltag haben. Daraus resultierende Abhängigkeiten können die freie Ausgestaltung der digitalen Transformation von Individuen, Politik und Unternehmen behindern und die Handlungskompetenz von Staaten infrage stellen.

Daten könnten über den vorgesehenen Verwendungszweck hinaus für beliebig viele weitere Zwecke genutzt werden. Dafür muss der Zugang zu den Daten durch fortschrittliche Ansätze erschlossen werden. Insbesondere bei Personendaten sind in Ergänzung zum Datenschutzgesetz auch Nutzungsbedingungen zu definieren. Als technischer Lösungsansatz für die Zweitnutzung von Daten stehen dafür Datenräume im Vordergrund. Bei der Ausgestaltung der darin geltenden Grundregeln sind Aspekte wie die digitale Selbstbestimmung und der Schutz von Bürger:innen, Forschungsbedürfnisse sowie wirtschaftliche Interessen zu berücksichtigen und in Einklang zu bringen.

Warum sollen Personendaten in der Schweiz besser genutzt werden?

Personendaten sollten in der Schweiz besser genutzt werden, damit:

in der Mobilität

… Bürger:innen sensibilisiert und motiviert werden, ihr Mobilitätsverhalten nachhaltiger zu gestalten und damit zur Entlastung des Gesamtmobilitätsystems beitragen.

… Mobilitätsanbieter bestehende Angebote optimieren, effizienter weiterentwickeln oder gar individualisieren sowie neue Angebote entwickeln können.

… Bund, Kantone und andere Akteur:innen die Verkehrsinfrastrukturen und das Gesamtmobilitätssystem effizienter planen und gestalten können.

im Gesundheitswesen

… Bürger:innen ihre Gesundheit individuell fördern oder aufrechterhalten können.

… die Forschung gestützt auf diese Daten neue Erkenntnisse gewinnen und neue Ansätze für Prävention, Diagnostik und Therapie entwickeln kann.

… Akteur:innen des Gesundheitssystems bessere Versorgungsqualität und effizientere Prozesse sicherstellen und digitale Gesundheitsanwendungen mit hoher Qualität entwickeln können.

… Bund, Kantone und weitere Akteur:innen das Krankheitsgeschehen in der Bevölkerung und die Nutzung des Gesundheitssystems besser und zeitnah überwachen können.

im Bildungswesen

… Bürger:innen Zugang zu verbesserten Lernumgebungen haben, die eine Flexibilisierung und Individualisierung des Lernens hinsichtlich Zeit, Ort, Tempo und Inhalte  ermöglchen.

… Lehrpersonen persönliche Talente der Auszubildenden durch individualisierten Unterricht und personalisiertes, kollaboratives Lernen fördern können.

… Anbieter:innen von Bildungsdiensten einen verbesserten, individualisierten Zugang zu Wissensressourcen bereitstellen können.

… Bund, Kantone und weitere Akteur:innen digitale Kompetenzen aller Beteiligten gezielt fördern und die Mündigkeit der Schweizer Bürger:innen erhöhen können.

Was ist ein Datenraum?

Ein Datenraum ermöglicht die gemeinsame Nutzung dezentral gespeicherter Daten durch unterschiedliche Akteur:innen für beliebig viele Anwendungen. Grundlage dafür ist gegenseitiges Vertrauen, das durch ein verbindliches Regelwerk basierend auf grundlegenden Prinzipien und gemeinsamen Werten sichergestellt wird. Ein Datenraum bezieht sich typischerweise auf einen Anwendungsbereich – z. B. Mobilität, Gesundheit oder Bildung – innerhalb dessen einheitliche Regeln und Richtlinien definierbar sind.

Unternehmen, Forschungsinstitutionen, die öffentliche Verwaltung oder auch Privatpersonen interagieren in Datenräumen und können dabei verschiedene Rollen einnehmen:

  • Datensubjekte sind natürliche oder juristische Personen, auf die sich bestimmte Daten beziehen.
  • Datenproduzent:innen erheben Daten und können deren Qualität und Zugänglichkeit steuern.
  • Betreiber:innen von Dateninfrastrukturen ermöglichen die Datennutzung z. B. über Datenaustausch-Plattformen.
  • Datennutzende greifen auf Daten eines Datenraumes zu und nutzen diese für datenbasierte Dienstleistungen.
  • Konsument:innen von datenbasierten Dienstleistungen sind die Endnutzer:innen der Datenwertschöpfungskette.

Schutz von Personendaten

Personendaten sind im Datenschutzgesetz definiert als «Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen». Besonders schützenswert sind u.a. Personendaten über die religiösen oder politischen Ansichten, die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit.

Für Forschung, Planung und Statistik dürfen Personendaten bearbeitet werden. Betroffene Personen dürfen in veröffentlichten Ergebnissen aber nicht mehr bestimmbar sein. Dafür lassen sich Personendaten durch verschiedene Massnahmen schützen:

  • Zugriffskontrolle, Verschlüsselung, Audit-Trail, Datensicherheit und vertragliche Regelungen sind wesentliche Grundmassnahmen. Klare vertragliche Regelungen zwischen den beteiligten Parteien regeln den Umgang mit personenbezogenen Daten im Datenraum. Verantwortlichkeiten, Haftungsfragen und die Dauer der Datenverarbeitung sollten darin festgelegt werden.
  • Pseudonymisierung: In pseudonymisierten Daten lassen sich Personen nur mithilfe eines eindeutigen Schlüssels identifizieren.
  • Anonymisierung: Anonymisierte Daten gelten nicht mehr als Personendaten, weil bei der Anonymisierung primäre (z. B. der Name) und sekundäre Identifikatoren (z. B. eine AHV-Nummer) irreversibel aus dem Datensatz entfernt werden.

Konzepte, die sicherstellen, dass personenbezogene Daten bestmöglich geschützt werden:

  • Privacy-by-Design berücksichtigt Datenschutzmassnahmen von Anfang an bei der Entwicklung von Produkten und Dienstleistungen, anstatt sie nachträglich zu implementieren.
  • Privacy-by-Default stellt sicher, dass hohe Datenschutzstandards standardmässig eingehalten werden. Der Datenschutz muss nicht manuell durch Benutzer:innen aktiviert werden.

Herausforderungen und zu wenig adressierte Bereiche

In den Anwendungsbereichen Mobilität, Gesundheit und Bildung ergeben sich ähnlicher Handlungsbedarf.

Mangelnde Data Literacy

Data Literacy umschreibt das Verständnis von Bürger:innen, welche Bedeutung ihre Daten haben und welche Chancen und Risiken mit deren Nutzung verbunden sind. Die öffentliche Debatte über die Sekundärnutzung von Personendaten und digitale Selbstbestimmung ist jedoch kaum existent oder aber es überwiegt die Diskussion um Risiken. Wir gehen daher von einer tiefen Literacy aus.

Gesundheit

Patient:innen sind in der Regel bereit, ihre Gesundheitsdaten für Forschungszwecke zur Verfügung zu stellen. Eine aktuelle Befragung zeigt, dass 71 Prozent der (gesunden) Bevölkerung ihre Gesundheitsdaten teilen würde, eine Mehrheit sich aber auch mehr Transparenz und Informationen zu diesem Thema wünscht. Es sind daher Mechanismen zu diskutieren, wie Personendaten in transparenter Form zur Zweitnutzung zugänglich gemacht werden können, etwa durch Opt-in- oder Opt-out-Lösungen.

Fehlender übergeordneter Rahmen

Es ist noch unklar, wie Datenräume in der Schweiz ausgestaltet sein sollen und wer deren Aufbau vorantreiben soll. Viele Aktivitäten laufen, doch ein übergreifender Abgleich fehlt ebenso wie ein übergeordneter Rahmen mit einer gemeinsamen Zielsetzung.

Bildung

Ein digitales Bildungssystem kann nicht ohne IT-Infrastrukturen funktionieren. Diese müssen in organisatorische Strukturen eingebunden sein, die sich um deren Betrieb und Weiterentwicklung kümmern. Diese technischen und organisatorischen Aspekte werden heute noch zu oft übersehen oder ignoriert.

Gesundheit

Die Vorstellungen über die Gouvernanz und die Finanzierung einer Gesundheitsdateninfrastruktur gehen bei den Akteur:innen weit auseinander und noch immer wird ein grosser Teil der Daten nicht digital erfasst oder uneinheitlich und mit unterschiedlicher Qualität erhoben.

Globalisierung und Plattformökonomie

Ergreift die Schweiz in strategisch wichtigen Bereichen – wie der Mobilität, der Gesundheit oder der Bildung – keine Initiative, werden es früher oder später grosse ausländische Akteur:innen tun und Abhängigkeiten zu ihren Ökosystemen schaffen. So würden noch mehr Daten der Einwohner:innen der Schweiz zu einem grossen Teil im Ausland monetarisiert.

Mobilität

Initiativen privater Akteur:innen für einen Datenaustausch zwischen Unternehmen in der Mobilität – wie z. B. die Genossenschaft openmobility – sind angewiesen auf Daten und Zugang zu den Vertriebssystemen des öffentlichen Verkehrs, der heute nicht gegeben ist. Es braucht daher staatliche Bestrebungen zur Offenlegung von Mobilitätsdaten.

Empfehlungen

Einen übergeordneten Rahmen für vertrauenswürdige Datenräume schaffen

Der Bund sollte einen gesetzlichen Rahmen schaffen, der die übergeordneten Herausforderungen adressiert, die sich beim Aufbau vertrauenswürdiger Datenräume in unterschiedlichen Anwendungsbereichen zeigen, und damit eine bessere Nutzung von Personendaten fördern. Ein Rahmengesetz für die Sekundärnutzung von Daten könnte dies leisten. Der erwähnte Verhaltenskodex liefert wichtige Aspekte, die darin einfliessen sollten. Zudem sind die beiden Konzepte Privacy-by-Design und Privacy-by-Default bei der Planung und Konzeption von Datenräumen zu berücksichtigen.

Bürger:innen befähigen, ihre Daten selbstbestimmt teilen zu können

Um Vorbehalten entgegenzuwirken, ist der digitalen Selbstbestimmung von Bürger:innen grosse Beachtung zu schenken. Dafür gilt es, in die Data Literacy aller Akteur:innen zu investieren. Der Bund und weitere Akteur:innen aus Wissenschaft, Wirtschaft und Zivilgesellschaft sollten dies gemeinsam verfolgen. Bürger:innen brauchen Transparenz darüber, welche Daten über sie erhoben und wie diese genutzt werden. Dieser Aspekt ist in einem Rahmengesetz zu verankern. Darüber hinaus sollten sie möglichst effektiven Zugang zu und die Kontrolle über die sie betreffenden Daten erhalten. Die Politik sollte prüfen, ob hierzu eine weiterführende Gesetzgebung angezeigt oder dies anderweitig realisierbar ist.

Die Interessen der Wirtschaft angemessen berücksichtigen

Um zu verhindern, dass sie in Bereichen von nationaler Bedeutung in die Abhängigkeit ausländischer Unternehmen gerät, muss die Schweiz geeignete Rahmenbedingungen schaffen. Damit alle Akteur:innen aktiv an Datenräumen partizipieren und davon profitieren können, müssen sie gemeinsam Anforderungen an Datenräume definieren. Dabei soll die Wirtschaftsfreiheit berücksichtigt werden. Entschädigungen für Aufwände wie z. B. die Erfassung von Daten oder die Sicherstellung von deren Qualität sind dabei zu berücksichtigen. Ungeachtet dessen braucht es Infrastrukturen, die auf eine Anschubfinanzierung durch die öffentliche Hand angewiesen sind.

In einem inklusiven Ansatz eine gemeinsame Vision verfolgen

Um ein breit gestütztes Rahmengesetz zu formulieren, braucht es geeignete Gefässe, die einen regelmässigen Wissensaustausch und einen fortwährenden Dialog während des gesamten Gesetzgebungsprozesses zwischen den verschiedenen Akteur:innen unterstützen. Nur wenn der Prozess inklusiv und unter Mitwirkung aller Interessensgruppen realisiert wird, kann eine gemeinsame Vision gefunden und verfolgt werden.

Der Bund sollte im Rahmen der «Strategie Digitale Schweiz» eine fortwährende Diskussion anstossen mit dem Ziel, in der Schweiz eine Datennutzungskultur zu etablieren, wie sich in skandinavischen Ländern bereits bewährt hat. Bei einem entsprechenden Mandat könnte das Netzwerk Digitale Selbstbestimmung in Zusammenarbeit mit sektoriellen Akteur:innen und weiteren bestehenden Netzwerken dies leisten.

Internationale Interoperabilität sicherstellen

Die Interoperabilität zwischen verschiedenen Datenräumen auf Schweizer wie auch auf internationaler Ebene ist zentral und zwingend sicherzustellen. Insofern gilt es, sich an EU-Initiativen wie Gaia-X zu orientieren. Der Austausch mit europäischen und weiteren ausländischen Interessensgruppen ist dafür aktiv zu verfolgen. Dies betrifft nicht nur Bundesämter wie das BAKOM und die DV, sondern auch sektorspezifische Wirtschaftsakteur:innen.

Laufende Initiativen

Übergeordnete, nationale Initiativen

Strategie Digitale Schweiz

Die «Strategie Digitale Schweiz» setzt die Leitlinien für die digitale Transformation der Schweiz.

Netzwerk Digitale Selbstbestimmung

Das Netzwerk Digitale Selbstbestimmung fördert den Austausch zu vertrauenswürdigen Datenräumen und digitaler Selbstbestimmung, um für alle Interessensgruppen Mehrwerte zu generiern.

Verhaltenskodex für den Betrieb von vertrauenswürdigen Datenräumen

Das Bundesamt für Kommunikation BAKOM und die Direktion für Völkerrecht DV erarbeiten bis Juni 2023 einen Verhaltenskodex für den Aufbau vertrauenswürdiger Datenräume in der Schweiz.

Nationale Datenbewirtschaftung

Das Programm Nationale Datenbewirtschaftung (NaDB) vereinfacht die Datenbewirtschaftung der öffentlichen Hand durch die Mehrfachnutzung von Daten vereinfachen (Once-Only-Prinzip).

Ein Rahmengesetz für die Sekundärnutzung von Daten

Die Motion 22.3890 fordert ein Schweizer Rahmengesetz, das durch die Schaffung vertrauenswürdiger Rahmenbedingungen eine wertschöpfende Sekundärnutzung von Daten fördert.

Neues Datenschutzrecht

Das neue Datenschutzrecht tritt am 1. September 2023 in Kraft und passt den Datenschutz den technologischen Entwicklungen an und stärkt die Selbstbestimmung über die persönlichen Daten.

Digitale Identität, digitale Beweise und Vertrauensökosystem

Nach Ablehnung der Vorlage für das Bundesgesetz über elektronische Identifizierungsdienste (BGEID) im März 2021, wird nun im Herbst 2023 die Botschaft zu einem Gesetz für eine staatliche E-ID basierend auf einer selbstbestimmten, digitalen Identität (Self-Sovereign Identity, SSI) erwartet.


Branchenspezifische nationale Initiativen

Mobilität

Staatliche Mobilitätsdateninfrastruktur
Der Bundesrat will Informationen für die Mobilitätssteuerung und die Vernetzung von Mobilitätsangeboten mit einer staatlichen Mobilitätsdateninfrastruktur (MODI) harmonisiert verfügbar machen. Ein entsprechender Gesetzesentwurf ist aktuell in der Vernehmlassung.

Forschungsprojekt DAGSAM
Das Forschungsprojekt DAGSAM entwickelt ein Vorgehen zur Erstellung von Data-Governance-Modellen, die es erlauben festzustellen, wie die Daten in Smart-Mobility-Anwendungen geschützt sind. Die Daten lassen sich dank Privatsphäre-schützenden Technologien dennoch verwenden.

Gesundheit

Elektronisches Patientendossier
Mit dem elektronischen Patientendossier (EPD) können Patient:innen ihre Gesundheitsinformationen sammeln und mit Leistungserbringer:innen teilen. Die Sekundärnutzung der Gesundheitsdaten für Forschungszwecke ist Teil der Revision des Gesetzes über das EPD (EPDG).

Swiss Personalized Health Network
Das Swiss Personalized Health Network (SPHN) (Förderung über die BFI-Botschaft des Bundes von 2017–2024) baut ein skalierbares Netzwerk auf, das die Sekundärnutzung der Daten verschiedener Datenproduzenten primär für die Forschung erlaubt.

Gesundheitsökosysteme
Die MIDATA-Genossenschaft setzt einen menschenzentrierten Ansatz zur Sekundärnutzung von Gesundheitsdaten um. Die Inhaber:innen eines Gesundheitsdaten-Kontos haben die volle Kontrolle über die Sekundärnutzung der Daten.

Derzeit entstehen zwei nationale, digitale Gesundheitsökosysteme (Compassana, Well), die ebenfalls Daten erfassen und in ihrem Geschäftsmodell nutzen möchten. Ein weiteres Ökosystem (Movos) ist im Aufbau, welches die Souveränität des Patienten entlang seines Gesundheitspfades ins Zentrum stellt.

Bildung

Programm für Datennutzungsprojekte im Bildungsbereich
Die Fachagentur Educa lancierte ein Programm für Datennutzungsprojekte, um schweizweite Rahmenbedingungen für eine bewusste Datennutzung zu schaffen.

Appell für eine nationale Datenkompetenz-Kampagne
Der an die Politik gerichtete «Appell für eine dringliche nationale Datenkompetenz-Kampagne» möchte einen nachhaltigen Kulturwandel für einen sinnvollen Umgang mit Daten einleiten.


International / EU-weit

Regulatorische Massnahmen der Europäischen Union:

  • Data Governance Act: Die Europäische Union EU will so viele Daten wie möglich für die gemeinsame Nutzung verfügbar machen, auch Personendaten.
  • Data Act: Dateninhaber und Einzelpersonen sollen Zugang zu den nötigen Mechanismen haben, um selbstbestimmt die Kontrolle über die sie betreffenden Daten auszuüben.
  • Digital Markets Act und Digital Services Act: Spezifische Auflagen für Plattformanbieter mit besonderer Marktmacht.

Gaia-X

Dieses industriepolitische Rahmenwerk fördert eine dezentrale Dateninfrastruktur in Europa. Zentrale Merkmale von Gaia-X sind Datensouveränität, offene Technologien und Interoperabilität. Gaia-X begann 2022 mit der Umsetzung erster Leuchtturmprojekte.

Autor:innen:

Roger Abächerli, Andreas Bieniok, Serge Bignens, Nicolas Brandenberg, Oliver Buschor, Giulia Fitzpatrick, Giulia Fitzpatrick , Richard Lutz, Clemens Mader, Daniela Melone, Peggy Neubert, Tobias Röhl, Daniel Säuberli, David Schiller, Andreas Schlag, Marie-Jeanne Semnar, Stefan Spycher, Thomas Teichmüller, Christoph Wittmer

Kerngruppe:

Jonas Bärtschi, Mathis Brauchbar, André Golliez, Esther Koller, Andreas Kronawitter, Sebastian Sigloch

Projektleitung:

Manuel Kugler

Redaktion:

Beatrice Huber, Esther Lombardini, Claudia Lambrigger