Herr Schweizer, Sie sind Jurist und beraten Firmen im Bereich Datenschutz. Können Sie uns erklären, was man unter Data Mining - auf Deutsch: Datenbergbau - verstehen muss?

Alex Schweizer: Unternehmen, die Data Mining betreiben, werten ihre Kundendaten mit einer speziellen Analysesoftware aus. Auf diese Weise können sie aus bestehenden Datenbeständen völlig neue Daten gewinnen, die für die weitere Kundenbeziehung und das Marketing sehr wertvoll sein können.

Data Mining ist vor allem bei grösseren Unternehmen sehr populär. Ist es auch legal?

Oftmals nicht. Denn auch die neu gewonnenen personenbezogenen Analyseresultate fallen unter das Datenschutzgesetz. Deshalb müssten die Unternehmen ihre Kunden informieren, bevor sie ihre Daten, die beispielsweise bei einem Vertragsabschluss erhoben wurden, analysiert und in einem anderen Zusammenhang weiter verwendet werden. Dessen sind sich viele Firmen nicht bewusst.

Was müssen Unternehmen tun, wenn sie Data Mining legal betreiben wollen?

Wie gesagt: Sie müssten die Kunden aufklären, dass ihre Daten mit Data-Mining-Tools analysiert und weiterverwertet werden. Heute geschieht das Data Mining meistens heimlich. Sprich: Die Kunden erfahren nicht, dass ihre persönlichen Daten nach der ersten Erfassung in eine analytische Datenbank für Data-Mining-Analysen eingespiesen werden.

Über welche Kanäle können die Firmen ihre Kunden informieren?

Eine saubere Einwilligungsklausel in den Allgemeinen Geschäftsbedingungen (oder in anderen Verträgen) wäre ein guter Anfang. Darin sollte auch der Zweck des Data Minings klar beschrieben sein.

Sind damit alle rechtlichen Fragen gelöst?

Nein. Das personenbezogene Data Mining ist häufig auch dann noch rechtswidrig, was ich meinem Buch im Jahr 2007 ausführlich beschrieben habe. Die Einwilligungsklausel alleine genügt nicht, sie reduziert höchstens die juristischen Risiken. Das Problem ist: Oftmals wissen Unternehmen erst nach dem Data Mining beziehungsweise der Datenanalyse, wofür sie die neu gewonnen Daten einsetzen werden.

Das heisst, Unternehmen können sich auch dann keinen Persilschein ausstellen lassen?

Das kann man so sagen. Allerdings kommt es auch auf die betreffende Branche und den Einzelfall an.

Wie kann sich der Kunde wehren?

Er kann zum Beispiel ein Auskunftsgesuch bei der Firma stellen und sich danach erkundigen, ob seine Daten mit Data Mining ausgewertet werden. Ausserdem kann er sich mit einer Unterlassungs-, Beseitigungs- oder Feststellungsklage zur Wehr setzen, je nach Fallkonstellation. Möglich ist auch eine Meldung beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten. Dieser kann dann den Sachverhalt näher abklären.

Was müsste sich auf gesetzlicher Ebene ändern, damit die Privatwirtschaft mehr Rechtssicherheit erhält und die Kunden besser vor Datenschutzverletzungen geschützt sind?

Der Gesetzgeber müsste neue Sanktionen in Form von höheren Bussen im Datenschutzgesetz einbauen. In Zukunft sollte es für Privatunternehmen Pflicht sein, ab zehn Mitarbeitern einen Datenschutzbeauftragten zu bestimmen beziehungsweise zu bestellen, wie es heute schon in Deutschland der Fall ist.