Was den obersten Datenschützer der Schweiz 2017 beschäftigt
Seit einem halben Jahr ist Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. Im Interview erklärt er, wie er sich mit Microsoft einigte und warum die Lösung ein Vorbild sein soll. Ganz oben auf der Agenda stehen 2017 die Totalrevision des Datenschutzgesetzes und die Digitalisierung der Gesellschaft.
Sie sind seit rund einem halben Jahr oberster Datenschützer der Schweiz. Wie haben Sie sich eingelebt?
Adrian Lobsiger: Am 1. Juni 2016 habe ich begonnen. Ich fühle mich in meiner neuen Funktion sehr wohl und wurde auch von den Mitarbeitern gut aufgenommen. Ich habe auch den Eindruck, dass ich in der Öffentlichkeit Resonanz finde.
Gab es Überraschungen?
Ich war eigentlich erstaunt, wie proaktiv ich in die öffentliche Diskussion einbezogen wurde, gerade in Bezug auf die Digitalisierung der Gesellschaft. Und zwar von allen betroffenen Branchen. Es ist erfreulich, wie selbstverständlich der Datenschützer an die verschiedenen Veranstaltungen, Podien und auch in Expertenkommissionen eingeladen wird. In den politischen Diskurs, vor allem in den parlamentarischen Kommissionen, fühle ich mich gut aufgenommen. Ich werde frühzeitig angehört.
Kürzlich haben Sie mit Microsoft eine Einigung erzielt. Es ging dabei um die Datenerhebung bei Windows 10. Wie ist der Prozess gelaufen?
Angefangen hat der Prozess schon mit der Lancierung von Windows 10. Sehr bald darauf leitete mein Vorgänger Hanspeter Thür eine Sachverhaltsabklärung ein. Diese Überprüfung von cloudgestützten IT-Applikationen muss man sich aber als dynamischen Prozess vorstellen. Man bemüht sich zwar, einen Stichtag zu bestimmen. Es ist dann aber oft unumgänglich, bis zum Abschluss der Sachverhaltsklärung gewisse Updates der Applikationen dynamisch mit zu berücksichtigen. Bei der Untersuchung von Windows 10 konzentrierten wir uns im Wesentlichen auf zwei Dinge: Das Erste war der gesamte Prozess der Installation. Hier ging es um die Darstellung der Informationen, zu denen der Nutzer seine Einwilligung gibt. Dort empfahlen wir verschiedene Optimierungen. Das Zweite war die direkte Verlinkung der aktuellen Datenschutzbestimmungen aus dem Installationsprozess heraus.
Die AGB umfassen oft 200 Seiten. Kann dies ein normaler Nutzer überhaupt erfassen?
Solche langen Texte finden wir heute eher in der Finanz- und Versicherungswirtschaft, gerade auch wegen der umfangreichen Regulierungen gegen die Geldwäsche. Demgegenüber haben viele grosse IT-Firmen bei der Kürzung ihrer AGB Fortschritte gemacht. Allerdings wird auch dort leider immer noch zu häufig das integrale Vertragswerk angezeigt, wenn der Kunde eine spezifische Auswahl trifft, also eine bestimmte Funktion einer Applikation aktiviert oder deaktiviert. Mit Microsoft vereinbarten wir nun, dass die Nutzer mit dem zweiten Update 2017 auf die wirklich relevanten Passagen der Vertragsbedingungen gelenkt werden. Dies ist für mich wegweisend. Wenn das Microsoft kann, dann werden wir es auch von anderen Anbietern verlangen können.
Was können Nutzer konkret auswählen?
Wir empfahlen Microsoft, dass die Kategorien, die zur Auswahl stehen, konkreter und anschaulicher beschrieben werden. Wie gesagt, konnten wir zudem darauf hinwirken, dass der Nutzer beim Deaktivieren eines Dienstes darüber informiert wird, auf welche Teil- oder Nebendienste der Applikation er in der Folge verzichten muss und auf welche nicht.
Beispielsweise muss der Nutzer dann auf den Sprachassistenten Cortana verzichten?
Genau. Meiner Meinung nach hat Microsoft das gut gelöst. Es ist beispielsweise klar dargestellt, was Spracherkennung ist. Es gibt auch gewisse Dienste, die nur der Pflege und Sicherheit des Produkts dienen. In diesem Zusammenhang konnten wir darauf hinwirken, dass im Minimalpackage von Windows 10 auf gewisse Datenerfassungen verzichtet wird. Gleichzeitig wird dem Nutzer offengelegt, dass er gewisse Dienste nicht abstellen kann und dass er gewisse Daten zum sicheren Betrieb der Hauptapplikation preisgeben muss.
Wie ist Microsoft auf Ihre Forderungen eingegangen?
Zunächst musste sich der Kontakt etwas entwickeln. Meine Mitarbeiter haben dann aber das Gefühl erhalten, dass Microsoft selbst sehr bestrebt war, die Benutzerfreundlichkeit für die Kunden zu verbessern. Zufriedenere Kunden sind ja auch im Interesse des Unternehmens. Ich finde, die Zusammenarbeit war konstruktiv und beispielhaft.
Dann bleibt zu hoffen, dass andere Softwareunternehmen diesem Beispiel folgen.
Das hoffe ich auch, und ich freue mich auf jeden Fall, dass dieses Beispiel in den Medien zur Kenntnis genommen wird.
Was war Ihr Erfolgsgeheimnis? Ist das Aufeinanderzugehen wichtiger als politischer oder regulatorischer Druck?
Es muss keinen Interessengegensatz zwischen Softwareanbietern und dem Datenschutz geben. Wenn ich darauf hinwirken kann, dass die Kunden grosser Konzerne sich sicherer fühlen und ihre Privatsphäre in dem Sinne besser geschützt ist, dann hat der Datenschutz etwas für die User erreicht. Gleichzeitig bringt es dem Konzern zufriedenere und treuere Kunden. Es ist jedoch auch wichtig, dass wir den Unternehmen bei der Umsetzung der Lösungen eine gewisse Freiheit einräumen. Ich versuche mit meinen Spezialisten, die Risiken und datenschutzrechtlichen Schwachstellen aufzuzeigen. Ich möchte, dass man diese behebt. Wie die Firmen es dann konkret umsetzen, bleibt ihnen überlassen. Sie haben dafür genügend Informatiker, die sich um diese Details kümmern. Gerade wenn es um eine weltweite Umsetzung wie bei Microsoft geht, sollte man den Unternehmen nicht das Messer an die Kehle setzen, sondern eine angemessene zeitliche Flexibilität einräumen. Ich glaube, dass dies wesentlich zur einvernehmlichen Lösung beitragen konnte.
Ihre Rüge an die Swisspass-Betreiber schlug im vergangenen Jahr hohe Wellen. Haben die Betreiber daraus Lehren gezogen?
In Folge der Debatten konnte ich gute und intensive Gespräche mit der Geschäftsleitung der SBB führen. Wir einigten uns, dass meine Behörde die weiteren Entwicklungen beim Swisspass eng begleiten wird. Etwa das E-Ticketing oder langfristig das Mobility-Pricing. Ziel ist es, dass wir möglichst frühzeitig intervenieren können, um eine solche Situation, wie wir sie mit dem Swisspass erlebten, in Zukunft zu vermeiden.
2016 waren das Büpf und NDG zentrale Themen. Wie beurteilen Sie die Entscheidungen und Umsetzung aus Datenschutzsicht?
In den Phasen des politischen Abstimmungskampfes habe ich nicht mehr interveniert. Wir liessen unsere Stellungnahmen in der parlamentarischen Phase einfliessen. Nun geht es um die Umsetzung der Verordnungen. Vor allem beim NDG geht es um einen neuen Prozess der zwangsweisen Erhebung von Daten. Neuerdings wird es eine unabhängige Aufsichtsbehörde geben. Mit Prüfung von Einsichtsgesuchen werden wir die Datenbearbeitung durch den NDB weiterhin begleiten. Im Einzelfall werden wir dann beurteilen müssen, ob die Daten verhältnismässig bearbeitet wurden. Dann werden wir sehen, ob eventuell Anpassungen nötig sind. Bis im September laufen aber noch die Vorbereitungen.
Im Mai 2018 tritt die neue europäische Datenschutzgrundverordnung in Kraft. Auch die Totalrevision des Datenschutzgesetztes ist in Arbeit. Was bedeutet dies für Schweizer Firmen?
Man muss dies zunächst in einen grösseren Kontext stellen. Die europäische Grundverordnung ist an die Europaratskonvention 108 gekoppelt. Dieser muss die Schweiz als Unterzeichnerland auch nachkommen. Wenn wir mit der Konvention 108 kompatibel sind, dann sind wir das im Grundsatz auch mit der EU-Grundverordnung. Meiner Meinung nach decken die beiden Regelwerke die wesentlichen Anforderungen an den modernen Datenschutz ab. An den juristischen Grundprinzipien wie Gesetzmässigkeit, Verhältnismässigkeit und so weiter ändert sich nichts. Die zu beurteilenden technischen Applikationen sind jedoch komplexer und die Datenschutzaufsicht dynamischer und technisch anspruchsvoller geworden. Dem wird durch neue Arbeitsmethoden und Instrumente wie etwa der Risikofolgeabschätzung Rechnung getragen.
Können Sie dies konkretisieren?
Früher wurde zum Aufbau einer Datenbank zuerst eine gesetzliche Grundlage oder ein Vertrag definiert, dann wurde sie gebaut und im Anschluss kontrolliert. Dies ist heute so meist nicht mehr zweckführend. Heutzutage sind die Applikationen kurzlebiger und dynamischer. Vor allem der Umfang von cloud-gestützten Projekten und die Vernetzungsmöglichkeiten oder der Export der Daten in Länder mit anderen Jurisdiktionen haben stark zugenommen. Wenn Sie heute Projekte bei ihrer Initialisierung vergleichen mit dem, was tatsächlich realisiert wird, kann es aufgrund des technologischen Fortschritts grosse Abweichungen geben. Der Datenschutz sollte heute daher die Vorhaben von der Planung bis zu Realisierung unter Datenschutzaspekten begleiten. Diese Arbeitsmethode ist im Grundsatz "Privacy by Design" verankert. Sie bindet allerdings beim Datenschutz mehr Mittel als nachträgliche Kontrollen.
Und wie funktioniert "Privacy by Default"?
Am zuvor schon genannten Beispiel von Windows 10 kann ich diesen veranschaulichen. Das ist im Kern eine Textverarbeitungsapplikation. Diese ist aber in eine Umgebung mit einer Vielzahl von weiteren Microsoft-Produkten eingebettet. Diese interferieren alle mit der Cloud. Letztlich gilt es dann zu unterscheiden, welche Datenlieferungen des Kunden wirklich zentral sind für den sicheren Betrieb der Kernapplikation Textverarbeitung und worauf er wahlweise verzichten kann. Die Beschränkung auf das Nötige entspricht dem Grundsatz "Privacy by Default".
Sind all diese Anforderungen für kleinere Unternehmen überhaupt handhabbar?
Ich meine schon. Auch die kleineren KMUs gehören einer Branche an. Die meisten Branchen haben zudem ausser dem Datenschutz weitere regulatorische Erfordernisse zu beachten, für deren Einhaltung sie ja auch Berufsverbände oder Dienste von Dritten in Anspruch nehmen. Eine Herausforderung für meine Behörde wie auch unternehmensinterne Datenschützer ist es, das juristische Programm des Datenschutzes auf technische Sachverhalte anzuwenden. Das lässt sich am besten mit interdisziplinären Teams aus juristisch und informatisch geschultem Personal erreichen. In den grossen Unternehmen sind die Compliance-Abteilungen so ausgestattet. In kleineren Firmen ist das teilweise noch weniger der Fall. Ich selbst habe auch noch zu wenige Informatiker in meiner Behörde.
Müssten Unternehmen daher diese Ressourcen selbst aufbauen oder einkaufen?
Bei grösseren Projekten kann es sinnvoll sein, sich durch eine spezialisierte Anwalts- oder Zertifizierungsfirma begleiten zu lassen.
Im revidierten Datenschutzgesetz ist eine maximale Strafe in der Höhe von bis zu 500 000 Franken für Verstösse vorgesehen. Gerade für KMUs ist dies schon viel.
Mein Ziel ist es nicht, möglichst viele Strafverfahren zu veranlassen. Vielmehr möchte ich erreichen, dass durch gemeinsame Standards, Best Practices und Risikofolgeabschätzungen Datenverluste oder Daten-GAUs frühzeitig verhindert werden. Wenn aber jemand nicht bereit ist, diesen Standards nachzukommen, dann werde ich nicht vor Sanktionen zurückschrecken. Ich gehe davon aus, dass die blosse Androhung von Strafen in der Regel ausreicht, dass die Firmen sich genügend um den Schutz der Daten kümmern.
Wie sieht die zeitliche Umsetzung der Verordnungen aus?
Die EU-Verordnung wird im Mai 2018 in Kraft treten, und wir sollten mit dem neuen Datenschutzgesetz im Sommer 2018 folgen können.
Reicht die Zeit aus?
Das hängt von den politischen Prozessen ab. Die Essenz der Konvention 108 sollte keine politischen Grabenkämpfe auslösen. Ich bin daher zuversichtlich, dass die Vorlage relativ schnell durch das Parlament gehen wird. Auch dass ich als Datenschützer nun ausser Empfehlungen auch Verfügungen erlassen kann, wird hoffentlich auf Akzeptanz stossen. Etwas schwieriger ist die Frage der Portabilität der Daten. Dies wurde in den Gesetzesentwurf bewusst noch nicht aufgenommen. Diese Umsetzung ist im Zusammenhang mit der dazu nötigen elektronischen Identität komplex. Ich gehe daher davon aus, dass es dann noch einmal eine Revision geben wird.
Sind die Unternehmen schon auf die Veränderungen eingestellt?
Ich halte engen Kontakt zu den Firmen und weise diese auf die gesetzlichen Änderungen hin. Dabei spüre ich bereits eine beachtliche Sensibilisierung. Etwa mit Swisscom, der Post oder den SBB sind wir über die im neuen Gesetz vorgesehenen Arbeitsinstrumente im Gespräch und begleiten die Veränderungen mit. Sie hätten gerne, dass wir noch präsenter wären, aber aus Ressourcengründen ist dies für uns nicht immer möglich. Ich kann nur wenige ausgewählte Projekte mit interdisziplinären Teams begleiten. Die Unternehmen sind sich bewusst, dass sie ab Mai 2018 unter das Sanktionsregime der EU fallen werden. Daher haben sie ein Interesse, dass wir sie begleiten.
Wie steht der Schweizer Datenschutz im Vergleich zu den Nachbarstaaten da?
Mit den Staaten der EU sind wir zur Wahrung eines einheitlichen Datenschutz-Standards verpflichtet. Dies ist die Grundvoraussetzung dafür, dass wir die Daten untereinander austauschen können. Aufgrund der Annahme, dass in den EU-Staaten und der Schweiz dieselben rechtlichen Rahmenbedingungen herrschen, macht es juristisch keinen Unterschied, ob ich Personendaten bei einer Firma in der Schweiz oder in Rumänien bearbeiten lasse.
Der Schweizer Datenschutz ist kein Alleinstellungsmerkmal?
Das Vertrauen der Kunden kann nicht durch rechtliche Rahmenbedingungen und Fiktionen allein gewonnen werden. Die Anbieter müssen das Vertrauen auch durch entsprechend geschultes Personal, IT-Infrastrukturen und IT-Sicherheitslösungen aufbauen. Unser Bildungssystem und der relativ hohe Bildungsstand sprechen für die Schweiz. Bis zu einem gewissen Grad gehört auch die Ausstattung der Kontrollbehörden und Datenschutzmechanismen dazu. Dies alles sind Teile der Visitenkarte unseres Standorts.
Sehen Sie Geschäftsmodelle wie etwa von Threema, die auf anonyme Kommunikation setzen, durch das NDG in Gefahr?
Ich war in diesem Bereich tätig. In einem demokratischen Rechtsstaat hat der Richter immer die Möglichkeit, im Einzelfall auf Daten zuzugreifen. Es gibt nichts, worauf ein Richter etwa in einem Mordverfahren nicht Zugriff beanspruchen kann. Der Fall Snowden hat aber gezeigt, dass der amerikanische Staat ohne transparente Rechtsgrundlagen und flächendeckend Daten abgreift. Dies ist in der Schweiz nicht zulässig. Obgleich bei uns alle behördlichen Zugriffsbefugnisse in den Gesetzestexten transparent dargestellt sind, weckt gerade die Vorratsdatenspeicherung auch in der Schweiz Bedenken. Denn es handelt sich um Daten, die unabhängig von Delikten von uns allen auf Vorrat gespeichert werden. Hier ist die Schweiz gut beraten, wenn sie nicht einschneidendere Lösungen realisiert, als etwa die europäische Rechtsprechung vorsieht. Wir sollten uns hier Zurückhaltung auferlegen, um nicht unseren Ruf als liberales, wirtschaftsfreundliches und freiheitsbetonendes Land zu verspielen.
Wie wichtig ist für Sie der Austausch mit den Kollegen im Ausland?
In Europa ist es sehr wichtig, dass man sich kennt. Wenn man etwa das Beispiel mit Whatsapp und Facebook nimmt: Durch unsere Kontakte nach Deutschland wussten wir schon im Vorfeld über die Entscheidung des Hamburger Datenschützers und über das geplante Vorgehen Bescheid. Wir haben uns so abgesprochen, dass wir Datenschützer in der Schweiz und den EU-Staaten eine einheitliche Position beziehen konnten. Mit Blick auf die noch ausstehende Entscheidung in Deutschland hat uns Facebook folglich den gleichen Datenschutzstandard in Aussicht gestellt. Solche Absprachen und Informationen sind wichtig, damit nicht mehrere Datenschutzbehörden ihre knappen Ressourcen für die gleichen Verfahren einsetzen.
Und dass sie nicht gegeneinander ausgespielt werden.
Ja genau. Wenn einmal ein Rechtsstreit in einem Staat hängig ist, dann versucht man nicht noch einen Parallelprozess anzustrengen. Dieser könnte dann unter Umständen das erste Urteil wieder relativieren.
Und dies konnten Sie auch bei den Verhandlungen zum Privacy Shield nutzen?
Die Kontakte mit den Datenschutzbehörden in der EU waren wichtig. Das Privacy Shield zeigt, dass man hier gemeinsam etwas erreichen kann, um die Privatsphäre der User zu stärken. Das Regelwerk ermöglicht es, dass für User in der Schweiz analoge Rechte wie in Europa auch in den USA durchgesetzt werden können. Und die US-Behörden helfen hier hoffentlich auch mit. Obwohl die Rechtsnormen unterschiedlich bleiben, können so doch praktische Umsetzungsmöglichkeiten gefunden werden, die mehr Rechte für die Konsumenten bringen.
Und was sagen Sie zu der Kritik am Abkommen?
Ich glaube, dass man diesem Privacy Shield jetzt erst einmal eine Chance geben sollte. Natürlich gibt es auch Kritiker, die betonen, dass es immer noch keinen wirklichen Schutz vor dem Zugriff durch die US-Behörden gibt. Aber man muss auch sehen, dass es zwischen einem Fortschritt und einem Idealzustand einen Unterschied gibt. Und der Privacy Shield ist schon eine deutliche Verbesserung im Vergleich zum Vorgänger-Abkommen Safe Harbor. Wir haben jetzt auch die Möglichkeit, parallel mit der EU jährliche Evaluationen in den USA durchzuführen. Entsprechend kann das Abkommen weiterentwickelt werden. Oder wenn es nicht erwartungsgemäss umgesetzt wird, werden wir Kritik üben. Man muss zudem fragen, was die Alternative wäre. Die Standard Clauses wären meiner Einschätzung nach nicht besser.
Was sind für Sie die grössten Herausforderungen in der Zukunft?
Die Digitalisierung der Gesellschaft. Die sozialen Netzwerke und Smartphones spielen dabei eine zentrale Rolle. Der digitale Lebensstil bringt Risiken mit sich. Das Smartphone wird von uns ständig mitgeführt, und als Sensor unserer Bewegungsdaten ist es in der Regel ständig mit irgendeiner Cloud verbunden. Die Möglichkeiten, diese Daten zu analysieren und zu verknüpfen, steigen. Hier gilt es aber zu beachten: Nicht alles, was technisch machbar ist, stösst bei den Kunden auf Akzeptanz. Deshalb müssen die Unternehmen aufzeigen, zu welchen Zwecken sie die Daten der Nutzer bearbeiten. Das wird eine zentrale Herausforderung in den nächsten Jahren sein. Auch müssen die Konsumenten für die Risiken und Anliegen des Datenschutzes noch stärker sensibilisiert werden.
Was steht auf Ihrer Agenda in diesem Jahr ganz oben?
Ein Punkt ist sicherlich die Mobilität im Verkehrswesen. Von Interesse wird auch der automatische Informationsaustausch im Bankenbereich sein, der 2018 in Kraft treten wird. Die Patientendossiers und was mit den Daten von Fitnesstrackern und anderen Sensoren geschieht, wird mich ebenfalls beschäftigen. Die Einführung des NDG und Büpf dürften weitere Schwerpunkte sein. Beim Internet der Dinge planen wir auch diverse Kontrollen. Mit Blick darauf versuche ich, die Informatikkompetenzen meiner Behörde zu stärken.
Reichen Ihre Ressourcen von 28 Mitarbeitern und rund 5,8 Millionen Franken Budget dafür aus?
Auch wenn ich ganz allein wäre, würde ich versuchen, meinen gesetzlichen Auftrag zu erfüllen. Es ist ressourcenschonender, im Nachhinein etwas zu beurteilen und ex post eine Mängelliste zu erstellen. Der moderne Datenschutz sollte aber eine proaktiv begleitende und beratende Funktion einnehmen. Dies ist eine ressourcenaufwändige, interdisziplinäre Arbeit. Die Sachverhalte werden immer technischer. Es wird vor allem zusätzliche informatische Mittel brauchen, damit wir Unternehmen bei der Erarbeitung von Best Practices begleiten und interdisziplinäre Teams auf den Platz bringen können. Das wird im Übrigen von den Unternehmen immer häufiger erwartet.