JavaScript ist in Ihrem Browser deaktiviert. Ohne JavaScript funktioniert die Website nicht korrekt.
Das Online-Magazin der Angestellten Schweiz

„Die Freiheit soll der Normalzustand sein“

Ein neues Datenschutzgesetz ist in Vernehmlassung, per 1. Januar 2018 soll es in Kraft treten. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) Adrian Lobsiger erklärt im Interview, warum es dieses braucht und was es für die Wirtschaft und Bevölkerung bringen wird.

Herr Lobsiger, weit kann ein Datenschutzgesetz ein Land und dessen Bevölkerung schützen?

Das Gesetz ist immer ein Reflex der Realität. Es kann die Realität sozialverträglicher und gerechter machen, sie aber nicht bestimmen.

Ein neues Datenschutzgesetz ist in der Vernehmlassung. Warum brauchen wir ein solches?

Das Gesetz steht im Zusammenhang mit der Erneuerung des Datenschutzrechts durch den Europarat (Konvention 108). Das Schweizer Recht soll zusammen mit dem europäischen für die Wirtschaft und die Bürger einen einheitlichen Standard garantieren. Die EU-Verordnung wird für die Schweizer Wirtschaft ab dem 1. Mai 2018 direkt anwendbar sein. Um ein gleichwertiges Datenschutzniveau in der Schweiz zu garantieren, sollten auch wir möglichst bald ein neues Gesetz haben.

Das neue Datenschutzgesetz ist aber auch eine Antwort auf die Digitalisierung. Weil heute im Internet und mit Big-Data-Verfahren eine Riesenmenge an Daten bearbeitet wird, müssen die Betroffenen angemessen geschützt werden.

Was ist im Gesetz neu?

Für die Betroffenen zentral sind im neuen Gesetz die Informationsrechte bezüglich der Daten. Jeder hat das Recht zu erfahren, wie viele und welche Daten über ihn existieren, an wen sie weitergegeben werden und wie sie in den Rechenzentren und Clouds bearbeitet werden. Aus dem jetzigen Gesetz lässt sich der Grundsatz zur Transparenz auch schon herleiten, im neuen werden die Informationspflichten nun konkret beschrieben und präzisiert. Jeder Anbieter von Online-Diensten oder Applikationen, der Daten vieler Menschen bearbeitet, muss umfassend und verständlich über die Datenbearbeitungen kommunizieren, die er vornimmt. Die Nutzer können ihre Einwilligung über die Verwendung der Daten geben oder verweigern. Sie können eine Einwilligung auch jederzeit wieder zurückziehen.

Haben Sie ein Beispiel, wo dieser Transparenzgrundsatz schon umgesetzt ist?

Bei Microsoft machten wir entsprechende Empfehlungen, welche das Unternehmen nun weltweit umsetzt. Neu ist hier, dass der User an der Stelle, wo er eine Wahl („Ja“ oder „Nein“) treffen muss, direkt zu der entsprechenden Passage in den Allgemeinen Geschäftsbedingungen (AGB) geführt wird.

Die liest ja niemand…

Mit dieser Funktion sieht er gleich die relevanten Passagen. Solche benutzerfreundlichen Lösungen sollen künftig noch in ganz anderen Bereichen als bei Computeranwendungen möglich sein, zum Beispiel beim Kauf oder der Nutzung von Autos oder intelligenten Fernsehern. Geräte und Maschinen werden nämlich zunehmend mit Software ausgerüstet und über das Internet der Dinge vernetzt.

Ist man da als Konsument nicht rasch überfordert?

Wenn der Anbieter gut erklärt, warum er etwas braucht und wie er die Daten bearbeitet, sollte es für den User nachvollziehbar sein. Es darf von ihm erwartet werden, dass er sich damit auseinander setzt, was er kauft und wie er es anwendet. Ausserdem gibt es IT-affine Journalisten, die alles genau anschauen. Entdecken sie Schwächen, werden sie diese in den Medien thematisieren.

Welche anderen wichtigen Dinge sind im Gesetz neu geregelt?

Ein wichtiges Anliegen ist mir, dass der Datenschutz in Projekten von Beginn an berücksichtigt wird („privacy by design“). Durch die rasche Produktentwicklung und die Komplexität der heutigen IT-Applikationen ist alles andere nicht mehr praktikabel und führt zu unnötigem Mehraufwand. Darum begleiten wir Projekte einer gewissen Dimension von Anfang an, wobei die Begleitung eine Kombination aus Beratung und Aufsicht ist. Die Prozessschritte müssen dokumentiert und Phase für Phase freigegeben werden. In der neuen Gesetzgebung ist dies ebenso verankert wie die Mitwirkungspflichten der Unternehmen. Sie müssen die Datenschutzrisiken ausweisen und uns die entsprechenden Berichte vorlegen. Wir nehmen zu den dort vorgeschlagenen Massnahmen zur Vermeidung der Risiken Stellung und geben Empfehlungen ab.

Wir werden weiter mit den einzelnen Branchen Empfehlungen der guten Praxis entwickeln. Wenn wir also zum Beispiel mit der Migros eine datenschutzfreundliche Lösung erarbeiten, dann sollen das andere Detaillisten wie Coop oder Aldi auch übernehmen.

Wie weit holt das neue Datenschutzgesetz den Wunsch vieler User nach einer digitalen ID ab?

Die Verwaltung der eigenen Daten im Internet ist eine komplexe Aufgabe. Wir loggen uns auf verschiedenen Portalen ein, kreieren Passwörter, geben Daten ein, müssen Datenschutzbestimmungen anschauen etc., bei jedem Anbieter neu. Die Wirtschaft und der Staat sind sich wohl einig, dass es eine Bündelung der Anmelde- und Identifizierungsprozesse geben sollte, die grösstmöglichen Datenschutz und -sicherheit gewährleisten. Nutzer sollen ein Konto haben, auf dem ihre elektronische Identität gespeichert ist, eine Art maschinenlesbares Grundprofil, das für alle Angebote verwendet werden kann. Im neuen Datenschutzgesetz ist dies noch nicht formuliert. Ein spezielles Gesetz zur elektronischen Identität ist aber in Vorbereitung.

Werden die Befugnisse der Datenschutzbehörden erweitert?

Sie sollen verstärkt werden, indem die Behörden statt Empfehlungen abzugeben Verfügungen aussprechen können. Vorgesehen ist auch eine Verschärfung der Sanktionsmöglichkeiten. Ich möchte aber keine Sanktionsbehörde schaffen. Das bisherige System der Empfehlungen hat sich nämlich gut bewährt. Als Datenschutz- und Öffentlichkeitsbeauftragter kann ich jederzeit an die Medien gelangen, wenn ich einen Missstand feststelle. Das ist für seriöse Unternehmen in der Regel Grund genug, sich kooperativ zu verhalten.

Wie hoch können die Sanktionen im neuen Gesetz im Vergleich zum alten sein?

Im alten Gesetz waren bis 10 000 Franken vorgesehen, im neuen werden bis 500 000 vorgeschlagen. Von der Dimension her ist das eine deutliche Verschärfung.

10 000 Franken zahlen ja viele Unternehmen aus der Portokasse.

Ja, aber sie bekommen auch einen Strafregistereintrag.

In der modernen Arbeitswelt hinterlassen wir fast bei jedem Handgriff Daten. Wie kann sichergestellt werden, dass diese Daten nicht missbraucht werden und dass meine Privatsphäre geschützt wird?

Entscheidend ist das Verhältnismässigkeitsprinzip. Jeder Betrieb, der Daten seiner Angestellten sammelt und auswertet, muss sich immer überlegen, was erforderlich ist. Heute nutzen Angestellte die betriebliche Infrastruktur, z.B. das Mail oder Telefon, auch für private Zwecke. Die so generierten Daten sind für den Arbeitgeber nicht notwendig. Erst bei einem begründeten Verdacht sollte auf die Daten zugegriffen werden können.

Wie weit ist das im neuen Gesetz festgehalten?

Es ergibt sich aus den Grundsätzen der Verhältnis- und Zweckmässigkeit, wie das schon im jetzigen Gesetz der Fall ist. Es gibt auch einige Urteile des Bundesgerichts, welche der Überwachung klare Grenzen setzen.

Wie steht es um den Schutz von Mitarbeiterdaten, die im Ausland bearbeitet werden, wie es vielfach geschieht?

Europa hat ein Recht und Datenschutzniveau, das jenem der Schweiz gleichwertig ist. Viele Daten gelangen aber in die USA. Für diese Datenübermittlungen wurde nun ein neuer Rechtsrahmen geschaffen, der „Swiss-US Privacy Shield". Die zertifizierten amerikanischen Unternehmen verpflichten sich darin, das Datenschutzrecht der Schweiz zu befolgen, wenn denn die Mitarbeitenden hier tätig sind. So können wir eine direkte Kontrolle über diese Daten einfordern. Natürlich gibt dies keinen absoluten Schutz, aber immerhin eine gewisse Sicherheit.

Es geht ja beim Datenschutz nicht nur darum zu verhindern, dass Daten in falsche Hände geraten. Wie weit kann das Datenschutzgesetz auch verhindern, dass Daten, die es über mich gibt, gegen meinen Willen genutzt werden?

Dazu gibt es drei Dinge zu sagen. Erstens: Wer Daten an Dritte verkauft, hat gegenüber den Betroffenen die Pflicht, angemessen zu informieren. Wer gegen den Willen der Betroffenen Daten bearbeitet oder weitergibt, verstösst gegen das Datenschutzgesetz.

Zweitens wird oft übersehen, dass Daten anonymisiert weitergegeben werden. Wenn zum Beispiel Daten über das Fahrverhalten der Lenker eines bestimmten Automodells so weitergegeben werden, dass keine Rückschlüsse auf einzelne Personen gezogen werden können, dann ist das OK. Dabei handelt es sich um keine Personendaten mehr.

Drittens ist jede Person auch selber dafür verantwortlich, welche Daten sie von sich preisgibt.

Wie viel Eigenverantwortung verlangen Sie als oberster Datenschützer von den Bürgern?

Das kommt auf die Verständlichkeit der Datenschutzbestimmungen an. 100 Seiten AGB zu studieren, finde ich unzumutbar. Das mache ich auch nicht. Wenn aber korrekt und zugleich verständlich informiert wird, kann man ein Mindestmass an Eigenverantwortung voraussetzen.

Datenschutz und Schutz der Privatsphäre auf der einen Seite und Datennutzung und Staatssicherheit sowie die Sicherheit der Einzelnen auf der anderen Seite stehen in einem Spannungsfeld. Wie bringen Sie diese Interessen in ein akzeptables Gleichgewicht?

Das Rezept liegt für mich darin, die Rechtsordnung so auszugestalten, dass sie nicht vom Störfall ausgeht: vom Anschlag, vom Datenleck, vom totalen Datenverlust. So entsetzlich der Störfall sein mag, er ist in seiner Wirkung immer beschränkt. Wenn man auf der Grundlage des Störfalls Gesetze macht, ist aber die ganze Gesellschaft betroffen. Wenn man die Verhältnismässigkeit nicht berücksichtigt, wird die Freiheit am Schluss zur Ausnahme. Wer die Freiheitsrechte anruft, ist in meiner Auffassung noch kein Komplize der Hacker und Terroristen. Das wäre eine Umkehrung des Freiheitsgrundsatzes. Die Freiheit soll der Normalzustand sein und ein Grundrecht. Die Sicherheit hingegen hat keinen grundrechtlichen Charakter. Die Freiheit wurde immer schon durch eine kriminelle Minderheit missbraucht, aber das rechtfertigt nicht, auf sie zu verzichten.

Wohin kann ich mich wenden, wenn ich das Gefühl habe, ich werde zu stark überwacht?

Im Arbeitsbereich empfehlen wir, wenn immer möglich das persönliche Gespräch mit dem Arbeitgeber (Vorgesetzter, Personaldienst) zu suchen. Wenn dies zu keiner Lösung führt, können sich die Betroffenen an das Arbeitsinspektorat ihres Wohnkantons wenden oder sich via Hotline an den EDÖB wenden.

Die Entwicklungen in Bezug auf die Digitalisierung unserer Gesellschaft sind äusserst dynamisch und schnell. Wann muss das Datenschutzgesetz das nächste Mal angepasst werden?

In der Schweiz gibt es die Tradition, Gesetze technologieneutral zu gestalten. Darum muss nicht jede technische Entwicklung nachgeführt werden. Anpassungen braucht es darum nicht so häufig.

 

Interview. Hansjörg Schmid

Montag, 03. Apr 2017

Zurück zur Übersicht

Teilen:

«Wer Daten an Dritte verkauft, hat gegenüber den Betroffenen die Pflicht, angemessen zu informieren.

Die Rechtsordnung ist so auszugestalten, dass sie nicht vom Störfall ausgeht.

Die Freiheit wurde immer schon durch eine kriminelle Minderheit missbraucht, aber das rechtfertigt nicht, auf sie zu verzichten.»
Adrian Lobisger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter

Lesen Sie zum Thema Datenschutz auch

>> Die Tücken der digitalen Kommunikation

>> Apunto 2/2017