Opt-in oder Opt-out?
Die Kritik war gross, als Swisscom im Frühling ihre Datenschutz-Bestimmungen überarbeitete. Mit den neuen AGB holte sich Swisscom quasi eine Blankovollmacht zur Nutzung und zum Verkauf der persönlichen Daten ihrer Kunden, auch ins Ausland. Warum ist ein solches Vorgehen auch für die Mitarbeitenden von Swisscom problematisch?
Kunden, die sich den neuen Bestimmungen nicht unterwerfen wollten, hatten zwei Möglichkeiten. Entweder nahmen sie die Möglichkeit wahr und kündeten ihr Abo – oder sie schritten aktiv ein, um die Datennutzung einzuschränken.
Mit den neuen Datenschutzbestimmungen zementierte Swisscom das Opt-out-Prinzip bei der Datennutzung: Sie geht davon aus, dass Menschen, die sich nicht zu Wort melden, ihre persönlichen Daten freigeben und dass die kommerzielle Nutzung der Daten im Prinzip im Ermessen der Unternehmen liegt. Wer sich dem entziehen will, muss aktiv dagegen vorgehen.
Im konkreten Fall von Swisscom heisst das, dass sie Standortdaten analysieren und Adressen an Dritte weitergeben (verkaufen) darf, einen Stimmabdruck zu Authentifizierungszwecken erstellen und anonymisierte Daten zu Geschlecht, Alter und Wohnregion sowie das Surfverhalten etwa an das Werbenetzwerk Admeira – ein Jointventure mit Ringier und SRF – weitergeben wird.
Im Gegensatz dazu steht das Opt-in-Prinzip. Hier muss das Unternehmen bei seinen KundInnen um Erlaubnis fragen, ob es deren Daten nutzen und/oder weitergeben darf.
Das Recht auf die eigenen Daten ist ein Grundrecht.
Für syndicom ist das Recht auf die eigenen Daten ein Grundrecht, das nicht stillschweigend veräussert werden kann. Entsprechend betrachten wir das Opt-out-Prinzip als den grundlegend falschen Ansatz.
Was für die Kundendaten gilt, ist umso wichtiger für die Arbeitnehmenden-Daten, die ständig gesammelt werden. Ein Blankoscheck für deren Nutzung kann keine Option sein. Die rasante Entwicklung der Analysemöglichkeiten gepaart mit der ständig zunehmenden Datenmenge machen es unmöglich, vorauszusagen, wie die Daten in Zukunft genutzt werden. Bei persönlichen Daten, auch wenn sie anonymisiert sind, ist unter diesen Umständen äusserste Vorsicht geboten.
Eine Freigabe der Beschäftigtendaten kann entsprechend nur für einen begrenzten Zeitraum, einen klar definierten Zweck und ausschliesslich mit ausdrücklicher Zusage der Mitarbeitenden erfolgen. Jede Verlängerung oder Veränderung des Zwecks erfordert eine neuerliche Prüfung und Zustimmung der Mitarbeitenden.
Sodann stellt sich sofort die Frage nach der Kontrolle über die Einhaltung der Datenschutzrichtlinien. Diese muss aus gewerkschaftlicher Sicht in einem solch sensitiven Feld paritätisch erfolgen. Genau das fordert syndicom auch in den Verhandlungen zum neuen GAV Swisscom unter dem Motto: «Meine Daten gehören mir!»