Im Fokus: Datenschutz

Mehr Transparenz und mehr Selbstverantwortung


Als Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) setzt sich Adrian Lobsiger für ein privates und selbstbestimmtes Leben ein. Dazu fordert er von den Anbietern digitaler Dienstleistungen mehr Transparenz und von den Nutzern mehr Selbstverantwortung. Warum beide Seiten gefragt sind, erläutert er im Gespräch mit Disclose.

Adrian Lobsiger

Adrian Lobsiger

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)

Herr Lobsiger, wie lautet in wenigen Worten Ihr Auftrag?

Ich engagiere mich für ein privates und selbstbestimmtes Leben. Dieser Anspruch ist in der Bundesverfassung verankert. Privatsphäre ist eine Grundvoraussetzung für (echte) Selbstbestimmung. Eine solche ist zum Beispiel gegeben, wenn wir uns im Internet frei bewegen können. Wenn jedoch die elektronischen Spuren, die das Gros der rechtstreuen Menschen dort hinterlässt, behördlich oder kommerziell so genutzt werden, dass mit ihrer beliebigen und jederzeitigen Identifizierbarkeit zu rechnen ist, geht das Vertrauen in die Freiheit und Selbstbestimmung verloren, weil sich das Verhalten jedes Einzelnen bewusst wie unbewusst dieser Fremdeinwirkung und Bevormundung anpasst.

Als EDÖB agieren Sie unabhängig. Wie genau funktioniert das?

Zur Person

Adrian Lobsiger (1959) hat nach seinem Studium an den Universitäten in Bern und Basel ein Masterstudium in Europarecht in Exeter (GB) absolviert. 1992 trat der promovierte Jurist in den Bereich Internationales Privatrecht des Bundesamtes für Justiz (BJ) ein, bevor er 1995 ins Bundesamt für Polizei (fedpol) wechselte. Als stellvertretender Amtsleiter und Chef der Stabsabteilung und des dazugehörigen Dienstes für Recht und Datenschutz war er für die rechtskonforme Bearbeitung von Personendaten im Verkehr mit in- und ausländischen Behörden verantwortlich. In den Jahren 2000 bis 2005 gründete und leitete er nebenamtlich das Nachdiplomstudium zur Bekämpfung der Wirtschaftskriminalität sowie das Kompetenzzentrum für Forensik und Wirtschaftskriminalistik an der Hochschule Luzern. Adrian Lobsiger wurde im November 2015 zum Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten gewählt.

Mein Auftrag ist gesetzlich verankert. Ich setze mich für eine rechtmässige und transparente Datenbearbeitung und die Gestaltungs- und Informationsrechte der Bevölkerung ein. Dabei arbeite ich unabhängig. Ich bin hierarchisch nicht in die Bundesverwaltung eingegliedert. Rechenschaftspflichtig bin ich gegenüber der Öffentlichkeit respektive dem Bundesrat und der Bundesversammlung, welche die Öffentlichkeit repräsentieren.

Mit einem Team von 30 Mitarbeitenden bin ich nebst der Bundesverwaltung für die Privaten, namentlich die rund 600’000 Unternehmen in der Schweiz, zuständig. Bei diesen prüfe ich die Datenbearbeitungen auf ihre Konformität mit dem Datenschutzgesetz. Hier ist das richtige Mass zwischen Aufsicht und Begleitung gefragt. Grundsätzlich möchte ich konstruktiv kritisch sein und nicht a priori verbieten. Das bedingt allerdings, dass mich die Verwaltung und die Unternehmen frühzeitig in datenschutzrelevante Projekte einbeziehen.

Was bringt das neue Schweizer Datenschutzgesetz (DSG)?

Die Überarbeitung unserer Datenschutzgesetzgebung wurde zeitlich, inhaltlich und terminologisch auf eine revidierte Europaratskonvention und die neue Datenschutz-Grundverordnung der EU (EU-DSGVO) abgestimmt. Im DSG werden die zentralen Anliegen der europäischen Offensive umgesetzt. Mit gutem Grund, denn die Veränderungen der EU-DSGVO gelten ab Ende Mai 2018 für alle Schweizer Unternehmen, die Daten von EU-Bürgern bearbeiten – unabhängig davon, ob sie in der EU einen Standort unterhalten oder nicht. Die EU-DSGVO wird also für viele Schweizer Anbieter zum massgebenden Standard. Darum sollten sich die beiden Gesetzgebungen gleichen.

Ein passendes Beispiel dafür ist die Risikofolgenabschätzung: Wer grosse Datenmengen verarbeitet, muss die Risiken realistisch erheben und bestimmen, mit welchen Massnahmen er diesen begegnet – sofern die Datenbearbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen darstellen könnte. Dieses Instrument gilt für alle Big-Data-Geschäftsmodelle und betrifft sowohl Behörden als auch privatwirtschaftliche Institutionen wie soziale Netzwerke oder private Anbieter des Gesundheitswesens.

Der grosse Unterschied zwischen der Schweiz und Europa besteht in der Selbstständigkeit der Vollzugstätigkeit. Die Datenschützer der EU-Länder müssen sich inskünftig auf ein EU-Gesetz abstützen und ihre Tätigkeit unionsweit stärker koordinieren als bisher. Diese Koordination dürfte zeitaufwändig werden. Diesbezüglich fühle ich mich beweglicher. In Westeuropa bin ich der letzte Datenschützer mit einem nationalen Datenschutzgesetz. Selbstverständlich werde ich dennoch sicherstellen, dass die Schweiz nicht missbraucht wird, um die EU-Datenschutzverordnung zu unterlaufen.

Welches sind die grössten datenschutzrechtlichen Herausforderungen?

Die Digitalisierung ist aktuell das dominierende Phänomen. Sie erfasst flächendeckend die ganze Gesellschaft, politisch, wirtschaftlich, sozial sowie verkehrstechnisch. In all diesen Bereichen findet die Verarbeitung grosser Datenmengen statt und die Komplexität ist entsprechend hoch. Deshalb stellt für den Datenschützer die Digitalisierung die grösste Herausforderung dar. Obwohl in der digitalen Welt vorwiegend Sachdaten erhoben respektive Personendaten oft aggregiert werden, besteht stets ein Identifikationsrisiko. Je nach Kombination lassen Sachdaten auf die Identität bestimmter Personen schliessen.

Dazu ein Beispiel: Nehmen wir an, dass ein Add-on eines Browsers das Surfprofil eines Nutzers aufzeichnet und mit einer IP-Nummer verbindet. Diese Daten werden bei der Datenbearbeitung in der Regel nicht mit einem Namen in Verbindung gebracht. Jedoch lassen sich daraus bereits nach kurzer Aufzeichnungsdauer Rückschlüsse auf einen Beruf, bestimmte Lebensgewohnheiten oder sogar eine Adresse ziehen. Die Zuordnung zu einer bestimmbaren Einzelperson ist dann nicht mehr so schwierig. Besonders leicht ist eine Identifizierung von Personen, die surfen, während sie in sozialen Netzwerken und anderen Onlinediensten eingeloggt sind.

Wie lautet Ihre Botschaft an die Anbieter von Internetdienstleistungen?

Mit den neuen, digitalen Technologien müssen die Unternehmen den Anspruch auf ein privates und selbstbestimmtes Leben respektieren und bedienen. Sie sollen ihren Umgang mit Daten auf ihrer Website und ihren Diensten vollständig beschreiben und aktuell halten, zum Beispiel den Zweck der Bearbeitung und die Dauer von deren Aufbewahrung. Denn erst wenn wir wissen, welche Daten von uns gesammelt werden und was damit geschieht, können wir die Risiken abschätzen und unsere Rechte diesbezüglich geltend machen. Den Tiefgang derartiger Informationen kann ein Anbieter staffeln; einmal für den normalen Benutzer und einmal für den Fachexperten.

Ausserdem sollten die Internetdienste ihren Kunden die freie Wahl eines Datenbearbeitungsprozesses ermöglichen. Zum Beispiel dürfen sie Kunden, die gewisse Cookies deaktiviert haben, nicht ins Leere laufen lassen. Sie müssen offen darüber informieren, dass für einen gewünschten Dienst bestimmte Cookies notwendig sind. Der Kunde soll sich selber und auf der Basis von transparenten Informationen für oder gegen eine solche Anwendung oder Teilanwendung entscheiden können. Meine Botschaft an Anbieter von digitalen Dienstleistungen lässt sich mit einem Wort zusammenfassen: Transparenz.

Was empfehlen Sie den Benutzern?

Ein Internetnutzer möchte sich im Netz frei bewegen können. Doch Selbstbestimmung heisst auch Selbstverantwortung. Dazu gehört, dass man bei der Nutzung digitaler Angebote auch an die Sicherheit seiner Personendaten denkt. Beispielsweise sollte sich ein User informieren, bevor er ein Add-on oder eine App installiert. Für sorgloses Surfen empfiehlt sich ein gesundes Mass an Vorsicht. Natürlich ist dies immer mit gewissen Einbussen bei der Bequemlichkeit verbunden. Beispielsweise lohnt es sich, die Surfhistory seines Geräts regelmässig zu löschen oder keine Cookies ohne Vorabinformation zuzulassen.

Wie verändern sich die Ansprüche von Gesellschaft und Wirtschaft an den Datenschutz?

Das Bedürfnis nach Privatheit und Selbstbestimmung ist noch immer dasselbe wie vor der Digitalisierung. Doch die Technologien zur Datenverarbeitung haben sich grundlegend verändert. Von der effizienten Bearbeitung grosser Datenmengen profitieren wir alle. Wenn ich mit meinem GPS direkter ans Ziel komme als mit einer Strassenkarte, dann hilft das mir und der Umwelt. An solche Vorteile haben wir uns gewöhnt.

Wie unterscheiden sich die Datenschutzbedürfnisse in Amerika und Europa? Und wo steht Asien?

Der Anspruch auf Privatheit und Selbstbestimmung ist dem Menschen ureigen. Nicht umsonst werden mittlerweile bei fast jeder Messe zu digitalen Themen Kamera-Abdeckklappen für den Computer als Give-aways verteilt. Oder denken Sie an die Beliebtheit von nichtelektronischen Sachwerten wie Immobilien, Bankmetallen oder gewissen Luxusartikeln wie Schmuck und Oldtimer. Sie gelten als kontroll- und manipulationsresistent, abhörsicher und greifbar. Die Nachfrage erzeugt Preisblasen. Auch in der digitalen Welt gibt es Zeichen für das Bestehen eines ausgeprägten Bedürfnisses nach Privatsphäre: Smartphones und andere Geräte sowie Chat-Kommunikation werden zunehmend besser verschlüsselt. Oder denken wir an Bitcoins. Sie bedienen das früher selbstverständliche Bedürfnis nach anonymer Zahlung und lassen sich teilweise mit den früheren Nummernkonti vergleichen. Der Wunsch nach Privatleben und Selbstbestimmung hat mit anderen Worten auch einen gestaltenden Einfluss auf die Digitalisierung.

Doch die Rechtstraditionen der Kontinente unterscheiden sich. Im Westen sind wirtschaftliche Selbstbestimmung und persönliche Privatsphäre schon lange gebräuchlich. In asiatischen Ländern wie China steht das Kollektiv historisch bedingt stärker im Vordergrund. Dort herrscht ein anderes Verständnis von der Rolle des Internets. Die Menschen akzeptieren da gewisse Kontrollen, die bei uns laute Entrüstung auslösen würden. Bei uns kann der Einzelne sein Recht einfordern; dort bricht er nicht einfach aus dem Kollektiv aus oder klagt dieses sogar an.

Amerika wiederum hat den Transparenzgedanken zu uns gebracht. Dass ein Bürger alle Dokumente einsehen kann, die nachvollziehbar machen, weshalb eine Behörde konkrete Entscheidungen gefällt hat, ist in den Staaten selbstverständlich. Zwar ist der Datenschutz in Amerika weniger ausgeprägt als in Europa. Doch nähern sich die Kontinente diesbezüglich allmählich an. Ich selber bin Verfechter des oft kritisierten Regelwerkes Privacy Shield, das die EU und danach auch die Schweiz mit den USA abgeschlossen haben. Mit diesem Regelwerk verpflichten sich zertifizierte Unternehmen wie Google oder Microsoft, Prinzipien des europäischen Datenschutzes weltweit zu respektieren.

Als gelernter Jurist sind Sie die Aussagekraft von Punkt und Komma gewohnt. Wie hoch ist der kreative oder emotionale Anteil in Ihrem Job?

Mein Auftrag hat viele Facetten. In meinem früheren Berufsleben habe ich nebst der Mitarbeiterführung stets auch das juristische Handwerk praktiziert. Meine heutige Tätigkeit verlangt in ausgeprägtem Masse, dass ich zum Beispiel im Rahmen von Schlichtungen zwischen verschiedenen Interessen und Standpunkten vermittle und gemeinsame Nenner finde. Politische Sensibilität ist gefragt, wenn ich von parlamentarischen Kommissionen zu Gesetzesprojekten angehört werde. Natürlich muss man als Datenschützer auch Freude haben, als Redner oder Teilnehmer von Podiumsdiskussionen aufzutreten und den Medien Rede und Antwort zu stehen. Mein Job ist also alles andere als einförmig.

Welche Schwerpunkte setzen Sie in den kommenden zwölf Monaten?

Mein Fokus gilt der Transparenz. Ich setze mich auch in Zukunft dafür ein, dass Unternehmen und Organisationen aller Grössen und Branchen im Internet darlegen, wie sie mit den gesammelten Daten ihrer Kunden verfahren. Und dass sie diesen faire Wahlmöglichkeiten zur Verfügung stellen. Das erhöht auch meine Effizienz als Datenschützer. In der Schweiz soll sich eine Selbstverständlichkeit für die Transparenz von Datenbearbeitungen entwickeln. Ob Kunde, Passagier, Patient oder Bürger: Wir Privatpersonen müssen online verständliche und korrekte Informationen darüber einfordern und finden, was mit unseren Daten geschieht. Und wir sollen uns dafür oder dagegen entscheiden können. Ich möchte, dass der Datenschutz Teil einer fordernden – nicht anklagenden – Gesellschaft wird.

Wie wird sich der Datenschutz über die nächsten zehn Jahre entwickeln?

In diesem Thema sind Prognosen schwierig. Doch wenn digitale Technologien noch stärker für mehr Transparenz und faire, schnelle Alternativen eingesetzt werden, dann sind wir in zehn Jahren eindeutig weiter als im vordigitalen Zeitalter. Dazu muss sich jede und jeder nach seinen eigenen Kräften stark machen.

Danke, Herr Lobsiger, für das Gespräch.

Gerne möchten wir diese Lektüre noch gezielter auf Ihre Wünsche ausrichten. Darum bitten wir Sie um fünf Minuten Ihrer wertvollen Zeit für die Beantwortung von Fragen zum «Disclose».
Hier geht es zur Umfrage!