Mit Schreiben vom 17. Juli 2019 forderte der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) die Libra Association in Genf zu mehr Transparenz auf. Diese solle dem EDÖB Informationen zur aktuellen Situation des Kryptowährungs-Projekts und ihrer Leitungsfunktion zukommen lassen. Auch von weiteren nationalen und internationalen Datenschutzbehörden und -ausschüssen wird mehr Offenheit bezüglich des Projekts «Komplementärwährung Libra» gefordert. Auf ein durch den EDÖB eingeleitetes offizielles Verfahren zur Klärung seiner Zuständigkeit hatte sich die in Genf ansässige Association sich bereiterklärt, die geforderten detaillierten Informationen zu liefern. Die ersten Unterlagen liegen dem EDÖB bereits zur Prüfung seiner Zuständigkeit vor. Ergebnisse dieser Prüfung stehen aber noch aus.

Was ist Libra?

Libra ist eine von Facebook geplante Blockchain-basierte Komplementär- bzw. Kryptowährung, welche 2020 auf den Markt kommen soll. Zur Betreibung und Anlegung eines Währungskorbes sowie zur Absicherung des Wertes dieser digitalen Währung wurde die Libra Association mit Sitz in Genf gegründet. Zu deren Gründungsmitgliedern gehören neben dem Initiator Facebook auch etablierte Partner wie Booking.com, Spotify, Mastercard, Visa, PayPal, ebay, Uber und viele mehr.

Ziel der Beteiligten ist es, mit Hilfe einer länder- bzw. Kontinent-übergreifenden Währung der weltweiten finanziellen Infrastruktur einen schnelleren und preiswerteren bargeldlosen Zahlungsverkehr als bisher zu ermöglichen. Durch die Absicherung von Libra mittels Währungskorb versprechen sich die Gründungsmitglieder eine höhere Stabilität der Währung. Sie soll also nicht – wie es bei bisherigen Kryptowährungen üblich war – grossen Kursschwankungen ausgesetzt sein. Gerade deshalb wird die Währung als attraktives Zahlungs- und Wertaufbewahrungsmittel für Schwellen- und Entwicklungsländer angepriesen.

Nebst der neu erarbeiteten dezentralen und programmierbaren Libra-Blockchain, wirbt die Libra Association mit einer extra entwickelten Programmiersprache, viel Sicherheit im Bereich Datenschutz und weiteren neuartigen Features (vgl. zum Datenschutz bei Blockchain-Anwendungen MLL-News vom 6.11.2018 und MLL-News vom 9.12.2018). Weitere Einzelheiten und auch wann die Währung auf den Markt kommt, ist aktuell noch nicht bekannt. Dazu muss in einem ersten Schritt die Herausgabe der von der Organisation versprochenen detaillierten Informationen abgewartet werden.

Forderung des EDÖB

Einen Tag nachdem Promotoren am 16. Juli 2019 ohne Vorankündigung beim EDÖB in den USA Informationen zum Währungsprojekt Libra sowie zur Leitungsfunktion der Association und der Stellung des EDÖB als deren Aufsichtsbehörde bekannt gaben, verlangte dieser eine offizielle Stellungnahme. Die Libra Association solle im Fall der Bearbeitung von Personendaten dem EDÖB eine Risikofolgeabschätzung zukommen lassen. Als zentrale Elemente derjenigen wird erwartet, dass die vorgesehenen Datenbearbeitungen beschrieben, die Datenschutzrisiken für die betroffenen Personen bewertet und die zweckmässig angebrachten Massnahmen zu deren Minderung aufgezeigt werden. Dies ist insbesondere darum bemerkenswert, weil Datenschutz-Folgenabschätzungen, im Gegensatz zur europäischen Datenschutzgrundverordnung (siehe MLL-News vom 30.07.2017), (noch) nicht im Schweizer Datenschutzgesetz verankert sind. Das revidierte Schweizer Datenschutzgesetz wird voraussichtlich Datenschutz-Folgenabschätzungen vorsehen (siehe MLL-News vom 21.09.2017). Da der EDÖB vor der Projektankündigung zu Libra keine Informationen zur anscheinend geplanten Bearbeitung von Personendaten erhalten habe, sei die Association zudem aufgefordert, ihn über den aktuellen Stand des Projekts zu informieren.

Zweck und Ziel der Forderung

Mit seiner Forderung will der EDÖB den Schutz der betroffenen Personen vor einer unrechtmässigen Bearbeitung von Daten mit Personenbezug sicherstellen. Damit die Zuständigkeit des EDÖB abschliessend geklärt werden kann, verlangte er von der Libra Association nun Transparenz und Offenlegung von detaillierten Informationen (vgl. dazu Medienmitteilung des EDÖB sowie das zweite Update dazu). Sofern und sobald die Zuständigkeit schliesslich feststeht und die entsprechenden Informationen offengelegt wurden, kann der EDÖB seine Aufsichtsfunktion definitiv wahrnehmen und gegebenenfalls weitere Schritte einleiten.

Wie geht es weiter?

In einer gemeinsamen Erklärung haben weitere nationale Datenschutzbehörden die Offenlegung der Informationen bezüglich des Libra-Projekts gefordert. Um die internationale Zusammenarbeit im Bereich des Datenschutzes zu fördern, stehe der EDÖB bereits jetzt mit dem Europäischen Datenausschuss (EDSA) sowie der Internationalen Konferenz der Datenschutzbehörden (ICDPPC) in Kontakt. Auch weiterhin wird eine Zusammenarbeit unerlässlich sein.

Die Zusammenarbeit unter den ausländischen Behörden führte zu einem Joint Statement, welches einen umfangreichen Fragenkatalog enthielt, der sich direkt an die Libra Association richtet. Einleitend weist das Joint Statement darauf hin, dass „das Engagement von Facebook Inc. als Gründungsmitglied der Libra Association das Potenzial für eine schnelle Akzeptanz bei den Konsumenten auf der ganzen Welt haben kann, auch in Ländern, in denen noch keine Datenschutzgesetze in Kraft sind. Sobald das Libra-Netzwerk in Betrieb genommen wird, besteht die inhärente Möglichkeit, dass dieses sofort zum Verwalter persönlicher Daten von Millionen von Menschen wird„. Umso wichtiger sei darum der Schutz der personenbezogenen Daten. Aufgrund dieser Erkenntnis soll die Libra Association u.a. folgende Fragen beantworten bzw. Informationen dazu offenlegen:

  • Wie wird Libra sicherstellen, dass die betroffenen Personen in genügender Weise über die Verarbeitung von personenbezogenen Daten informiert werden (Informationspflicht und Grundsatz der Transparenz)?
  • Wie setzt Libra die Grundsätze des Privacy by Design und Privacy by Default um?
  • Stellt Libra sicher, dass die Ausübung der Betroffenenrechte und die Einstellungen bezüglich Datenschutz einfach möglich sind?
  • Bearbeitet Libra nur diejenigen personenbezogenen Daten, welche auch zwingend nötig sind (Grundsatz der Datensparsamkeit bzw. -minimierung)?
  • Wie stellt Libra sicher, dass angemessene technische und organisatorische Massnahmen zum Schutz der personenbezogenen Daten getroffen werden?
  • Kann Libra sicherstellen, dass alle Teilnehmer des Libra-Netzwerks genügenden Schutz für die personenbezogenen Daten gewährleisten?

Eine grosse Herausforderung für die Libra Association wird insbesondere darin bestehen, die datenschutzrechtlichen Anforderungen der verschiedenen einschlägigen Rechtsordnungen umzusetzen. Selbstredend sind diese Fragen auch für den EDÖB von Interesse.

Die in Genf ansässige Association hat sich jedenfalls in Zusammenarbeit mit einer Schweizer Anwaltskanzlei inzwischen bereiterklärt, die vom EDÖB geforderten Informationen offenzulegen. Erste Unterlagen seien bereits beim EDÖB eingegangen (vgl. drittes Update zur Medienmitteilung). Zentrale Aufgabe des EDÖB werde es nun sein, in dem von ihm eingeleiteten Verfahren festzustellen, ob seine Zuständigkeit anhand der zugesandten Informationen gegeben sei. Dies erfordere in einem ersten Schritt die Analyse und Auswertung der erhaltenen Details, um schliesslich beurteilen zu können, ob und inwieweit seine Beratungskompetenzen und Aufsichtsfunktion Anwendung fänden.

Der EDÖB führte jüngst aus, er werde erst nach der Prüfung der erhaltenen Informationen allfälligen Erklärungen beitreten oder sich zum Libra-Projekt und dessen Netzwerk öffentlich äussern können. Er stellte aber klar, dass es in den kommenden Wochen zu Gesprächen kommen und er die ersten Resultate aus den ihm zugestellten Unterlagen zeitnah veröffentlichen werde.

Weitere Informationen: