plädoyer: Das Volumen der gespeicherten Personendaten verdoppelt sich jedes Jahr. Wie können Sie die Schweizer vor dem Sammeldrang von Unternehmen und Staaten schützen?
Adrian Lobsiger: Die Entwicklung und die Zahl der bearbeiteten Daten ist durch die technischen Möglichkeiten entfesselt worden. Was technologisch machbar ist, wird auch gemacht. Die Wirtschaft versucht, das Machbare zu kommerzialisieren. Diese Entwicklung kann man durch ein Gesetz nicht aufhalten. Wichtig ist aber die Transparenz: Ohne das Wissen der Betroffenen über die Bearbeitung der Daten nützen weder Auskunfts- und Widerspruchsrechte noch Sanktionen.
Das Gesetz verlangt von den Datensammlern nicht, dass sie die Betroffenen informieren.
Doch, grundsätzlich verlangt schon das geltende Gesetz volle Transparenz. Diese fordere ich bedingungslos ein.
Wenn Sie fernsehen, werden Ihre Gewohnheiten von der Swisscom aufgezeichnet. Wenn Sie ein neues Auto kaufen, liefert dieses regelmässig viele Daten über Ihr Fahrverhalten an den Hersteller. Das wissen wenige Leute, und kaum jemand hat wohl sein Einverständnis dazu gegeben.
Eine undifferenzierte Datensammelei ist unzulässig. Der Datenschutz nach dem Grundsatz von «Privacy by Default» unterscheidet zwischen Informationen, die für das betriebssichere Funktionieren einer bestimmten Applikation benötigt werden, und Zusatzfunktionen, die der Benutzer stets nach Wunsch aktivieren oder deaktivieren können muss. Die Weitergabe von Daten über den Gebrauch von Unterhaltungselektronik etwa bedarf der Einwilligung. Viele Daten, die wir mit unserem Verhalten als Autofahrer erzeugen, müssen vom Hersteller zudem anonymisiert werden, sofern der Verwendungszweck keine Rückschlüsse auf Personen erforderlich macht, wie zum Beispiel Daten zur Ermittlung der Lebensdauer von Werkstoffen.
Die Swisscom sagt den Kunden auf Anfrage nicht, welche Daten sie über sie speichert. Dabei ist sie gemäss Artikel 8 des Datenschutzgesetzes dazu verpflichtet.
Wenn man sich mit dem Handy im öffentlichen Raum bewegt, nehmen diverse Antennen mit dem Gerät Kontakt auf. Diese Informationen werden unter anderem benötigt, um die Abrechnung zu erstellen. Andererseits lassen sich aus diesen technischen Daten auch Rückschlüsse auf das Verhalten des Benutzers ziehen. Hier gibt es einen Streit: Die Swisscom sagt, aufgrund des Gesetzes müsse sie nur über jene technischen Daten Auskunft erteilen, die für die Nachvollziehbarkeit der Rechnungsstellung nötig sind. Damit war der Verein «Digitale Gesellschaft» nicht einverstanden. Nationalrat Balthasar Glättli verlangte das gesamte vorhandene Datenmaterial. Das wurde ihm im Sinn einer Ausnahme zugänglich gemacht. So sah jedermann, dass es im Hintergrund noch viel mehr Daten gibt, als die Telekomwirtschaft bei der routinemässigen Beantwortung von Auskunftsbegehren bekanntgibt. Wir setzen uns für eine möglichst grosse Transparenz ein. Die Wirtschaft verweist darauf, dass der Aufwand riesig sei, wenn jeder Auskunft verlange. Unsere Antwort: Der Fortschritt der Technik muss auch dafür eingesetzt werden, die Auskunftsprozesse gut zu rationalisieren. Im Moment liegt der Entscheid in dieser Swisscom-Frage bei der Justiz.
Das Gleiche gilt im Fall Moneyhouse?
Ja, im Januar war die Hauptverhandlung, das Urteil ist noch nicht gefällt. Hier geht es um Bonitätsauskünfte. Moneyhouse speichert Bonitätsdaten über die ganze erwachsene Wohnbevölkerung. Der Kern unserer Kritik: Moneyhouse bearbeitet auch Informationen, die unseres Erachtens für die Beurteilung der Bonität eines Schuldners nicht nötig sind. So zum Beispiel über die Wohnsituation und die Personen, die angeblich im gleichen Haushalt leben. Dies kann je nach Konstellation Rückschlüsse auf weltanschauliche Hintergründe oder sexuelle Orientierungen zulassen. Wir wollen die Verbreitung solcher Informationen verhindern.
Welchen Einfluss haben Sie auf Datenbearbeitungen im Ausland?
Ein Beispiel: Bei Microsoft Windows 10 gaben wir dem Unternehmen Empfehlungen, um die Transparenz und Wahlmöglichkeiten der Nutzer zu verbessern. Wenn jemand zum Beispiel eine Wahl bezüglich der Verwendung seiner Positionsdaten treffen will, soll er nicht einfach 30 Seiten Allgemeine Geschäftsbedingungen bekommen. Microsoft muss und wird den Installationsprozess so programmieren, dass der Leser über eine Verlinkung genau die relevante Passage in den Datenschutzbestimmungen sieht. Das müsste in jeder Branche umsetzbar sein. Von daher sind solche Fortschritte Benchmarks für die ganze Wirtschaft.
Auch Microsoft sagt den Kunden nicht, was alles über sie gespeichert wird.
Microsoft registriert zum Beispiel das Tastaturverhalten. Der Konzern weiss also, was man schreibt. Wir haben nun durchgesetzt, dass Microsoft besser deklarieren muss, zu welchen Zwecken diese Informationen ausgewertet werden. Und Microsoft muss sagen, wie lange die Informationen aufbewahrt werden. Neu haben Schweizer auch die Möglichkeit, direkt bei Microsoft Auskunft zu verlangen. Mit dem neuen Abkommen Privacy-Shield sollte es bezüglich Auskunftserteilung keine Rolle mehr spielen, dass diese Daten in einer Cloud in den USA bearbeitet werden.
Heisst das, dass Schweizer per Anfrage an Microsoft in den USA Auskunft erhalten, welche Daten dort über sie gespeichert werden?
Nach der Privacy-Shield-Regelung der EU und der Schweiz mit den USA kann jede Person bei allen zertifizierten US-Unternehmen, wozu auch Microsoft gehört, ihre Auskunftsrechte geltend machen. Diese Firmen sind verpflichtet, Auskunft zu erteilen und bei Uneinigkeit über Inhalt oder Umfang der Auskunft einen unabhängigen Rekursmechanismus zur Verfügung zu halten. Meine Behörde wird Schweizer Kunden bei Bedarf unterstützen, ihre Rechte in den USA geltend zu machen. Die US-Behörden erklärten sich auch bereit, zusätzliche Mittel für die Aufsicht über die zertifizierten Firmen einzusetzen und Klagen von uns nachzugehen. Ich erachte diese Lösung als gleichwertig in Bezug auf unser Datenschutzniveau. Ob Privacy Shield jedoch nicht nur auf dem Papier eine gute Falle macht, sondern auch im realen Vollzug, wird sich noch weisen müssen. Meine Behörde wird deshalb bei den vereinbarten jährlichen Evaluationen mit Interesse und Engagement mitwirken.
Seit Edward Snowden ist bekannt, dass die US-Behörden gestützt auf ihre eigene Gesetzgebung alle Daten von Microsoft einsehen können, wenn sie wollen. Schützt das neue Abkommen Schweizer gegen die Datenbearbeitung durch US-Behörden?
Der Fall Snowden zeigte, dass in den USA unkontrollierte, flächendeckende Zugriffe auf Daten erfolgten – zum Teil mit Wissen und in Komplizenschaft mit den privaten Unternehmen. Ich würde nicht die Hand dafür ins Feuer legen, dass dies in einzelnen EU-Staaten nicht auch möglich ist. Für mich stellt sich die Frage, wie man einen Kompromiss zwischen den Bedürfnissen nach Menschenrechten und dem Datenschutz einerseits sowie den Geheimhaltungsinteressen – vor allem im nachrichtendienstlichen Bereich – andererseits finden kann. In den USA gibts nun mit dem Privacy Shield einen Ombudsmechanismus. Stellvertretend für die Betroffenen erkundigt sich die Ombudsperson bei den Sicherheitsbehörden, was im konkreten Fall gelaufen ist. Sie bestätigt dann dem Fragesteller in einer immer gleich lautenden Antwort, überprüft zu haben, dass alles mit rechten Dingen zuging, und allenfalls die nötigen Korrekturen veranlasst zu haben. Mehr erfährt dieser nicht. Die Frage der Unabhängigkeit der Ombudsperson wird im Rahmen der erwähnten Evaluationen anzuschauen sein.
Artikel 6 des Datenschutzgesetzes besagt, dass Personendaten nicht ins Ausland bekannt gegeben werden dürfen, wenn dort die Gesetzgebung keinen angemessenen Schutz gewährleistet. Ist dieses neue Privacy Shield nur ein Vorwand, um den rechtmässigen Export von Daten in die USA zu ermöglichen?
Nein. Auch wenn das Privacy Shield von einem Gericht wieder aufgehoben würde, gäbe es im schweizerischen Recht kein Datenexportverbot. Zentral ist wiederum die Transparenz: Jeder, der Daten exportiert, muss dies prominent deklarieren. Bei Windows 10 erhalten Benutzer die Informationen während der Installation, und in den Datenschutzbestimmungen steht, dass die Daten in die USA und eventuell noch an andere Standorte exportiert werden. Je nach Land und Rechtskultur, die betroffen ist, muss sich der Kunde dann überlegen, ob er ein entsprechendes Produkt verwenden will.
Die meisten Kunden haben keine andere Wahl. Das ist etwa dasselbe, wie wenn mich Google fragt, ob ich mit den AGB einverstanden bin.
Aufgrund der Dominanz und der Marktmacht von US-Unternehmen, die im Silicon Valley ihre Clouds aufgebaut haben, ist das faktisch so. Was wir erreichen können, ist mehr Transparenz.
Zurzeit ist ein Entwurf für eine Revision des Datenschutzgesetzes in Vernehmlassung. Wie verbessert sich der Persönlichkeitsschutz, wenn es umgesetzt wird?
Es wird die Pflicht präzisiert, die Betroffenen über die Beschaffung der von ihnen stammenden Daten zu informieren. Wichtig ist auch, dass der Revisionsvorschlag wie die Datenschutzkonvention des Europarats und die neue Grundverordnung der EU die Arbeitsweise des betrieblichen und behördlichen Datenschutzes aufnimmt: Grosse Projekte, bei denen grosse Mengen von Daten über Cloud-gestützte Applikationen bearbeitet werden, müssen frühzeitig vom innerbetrieblichen und behördlichen Datenschutz analysiert und begleitet werden. Wir sind nicht dagegen, dass sich die Unternehmen Big Data zunutze machen. Aber wenn das Ausgangsmaterial von menschlichen Quellen wie Arbeitnehmern, Mietern oder Patienten stammt, wollen wir wissen, ob im Fall einer Anonymisierung der Daten das nach dem aktuellen Stand der Technik Notwendige unternommen wird, damit eine nachträgliche Re-Identifikation von Personen ausgeschlossen ist.
Am grössten wäre der Persönlichkeitsschutz, wenn man die Daten ohne Einwilligung der Betroffenen gar nicht sammeln dürfte.
Das ist heute anerkannt. Die Idee ist sicher gut. Aber die praktische Umsetzung ist schwierig, da jeder Bürger über das Internet mit dem ganzen Universum von Online- Angeboten in Kontakt steht.
Die EU-Datenschutzverordnung tritt im Mai 2018 in Kraft. Wird das Schweizer Gesetz bis dann revidiert sein?
Dieser Zeitplan ist wahrscheinlich zu sportlich. Wichtig ist, dass wir in zentralen Punkten – der Arbeitsweise, der Verfügungskompetenzen und der Sanktionsbefugnisse meiner Behörde – rasch über eine mit dem Niveau EU-Grundverordnung vergleichbare Regelung verfügen, um gesamteuro- päisch den gleichen Standard zu haben. Nach dem heutigen Gesetz kann ich beispielsweise noch keine Verfügungen erlassen. Ich kann nur Empfehlungen abgeben. Auch die Sanktionsmöglichkeiten bei Fehlverhalten sind heute sehr gering.
Sie sind auch Öffentlichkeitsbeauftragter des Bundes. Und damit zuständig, dass Transparenz über die behördliche Tätigkeit gewährleistet wird. Ihr Vorgänger Hanspeter Thür sprach oft Empfehlungen zugunsten von Leuten aus, die Einsicht in Dokumente der Verwaltung verlangt hatten. Ist der Eindruck richtig, dass sich die Verwaltung immer noch schwertut mit dem Öffentlichkeitsgesetz?
Das Bundesamt für Justiz arbeitet zurzeit an einer vom Bundesrat in Auftrag gegebenen Änderung dieses Gesetzes. Für mich stellen sich im aktuellen Gesetz vor allem Vollzugsprobleme. Das Gesetz wird von den verschiedenen Teilen der Bundesverwaltung nicht einheitlich angewandt. In einigen Bereichen gibt es Häufungen von Schlichtungen und Gerichtsverfahren. Das sind oft Fälle, in denen die Verwaltung Einsicht nur gegen Gebühren geben will. Andere Stellen verlangen keine Gebühren. Die Uneinheitlichkeit ist nach zehn Jahren dichter Rechtsprechung eigentlich erstaunlich. Mein Vorgänger Hanspeter Thür hat mit seinen schriftlichen Empfehlungen eine fundierte Praxis begründet. Nun gilt es, den Fokus auf den raschen Zugang zu den verlangten Dokumenten zu richten.
Weshalb verpflichtet man die Verwaltung nicht, die verlangten Dokumente grundsätzlich kostenlos herauszugeben?
Für mich spricht ein rein kommerzielles Argument gegen die Weiterführung der heutigen Gebührenpraxis. In den letzten zehn Jahren nahm der Bund durchschnittlich 5000 bis 7000 Franken Gebühren pro Jahr ein. Dies ist ein lächerlicher Betrag, wenn man ihn mit dem Aufwand in den Schlichtungs- und Gerichtsverfahren zur begründeten Bemessung der Gebühren vergleicht. Wenn der Staat nie Gebühren erhoben hätte, wäre es für den Steuerzahler klar günstiger gekommen. Allein schon aufgrund dieser fiskalischen Logik sind Gebühren nicht sinnvoll. Ich begrüsse deshalb die Initiative von Nationalrätin Edith Graf-Litscher. Sie kehrt das Prinzip um: In der Regel soll keine Gebühr mehr erhoben werden.
Laut dem heutigen Gesetz müssten Sie gegenüber den Parteien innert 30 Tagen eine Empfehlung abgeben, sofern das Schlichtungsverfahren nicht erfolgreich war. Diese Frist wurde bisher selten eingehalten.
Wir haben im Vollzug des Öffentlichkeitsgesetzes tatsächlich Rückstände. Erfolglose Schlichtungen wurden in der Regel im schriftlichen Verfahren mit ausführlich begründeten Empfehlungen abgeschlossen. Dies dauerte in der Regel länger als 30 Tage. Nachdem mein Vorgänger kein zusätzliches Personal bekam und auch wir aufgrund der Sparprognosen des Bundes keine Möglichkeit sehen, dies zu ändern, führe ich die Schlichtungen nun mündlich, in Anwesenheit der Parteien durch. Das beschleunigt das Verfahren stark. Es liegt auch im Interesse der Journalisten, wenn sie nicht erst nach monatelangen Aktenprozessen Zugang zu verlangten Dokumenten erhalten.
Sie arbeiteten vor der heutigen Tätigkeit für eine Institution, die sehr viel Wert auf Diskretion legt und möglichst viele Daten sammelt: die Bundespolizei. War der Seitenwechsel für Sie kein Problem?
Das Bundesamt für Polizei bearbeitet in der Tat sehr viele Personendaten. Ich leitete über Jahre den Rechtsdienst und war unmittelbar für den Daten- und Öffentlichkeitsschutz zuständig, für den ich auch in meiner letzten Funktion als stellvertretender Amtsdirektor die Linienverantwortung trug. Für mich ist die heutige Rolle von daher nicht neu.
Fühlen Sie sich heute eher dem Bürger verbunden oder der Verwaltung?
Für mich ist klar, dass der Bürger einen voraussetzungslosen Anspruch auf Transparenz hat. Das liegt im Interesse des Rechtsstaats. Ich bin aber auch Datenschutzbeauftragter. Im einen oder anderen Dossier können sich Persönlichkeitsschutz und Öffentlichkeitsanspruch widersprechen. Es ist ein Vorteil, dass die beiden Funktionen vereinigt sind, weil wir geübt sind im Abwägen von Datenschutz- und öffentlichen Interessen. Es gibt Konstellationen, in denen mein Rechtsgefühl – bei aller Legitimität des Öffentlichkeitsanspruchs – für die Privatsphäre der Betroffenen spricht.
Adrian Lobsiger, 57, ist seit dem 1. Juni 2016 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter – als Erster in einem 100-Prozent-Pensum. Vorher war Lobsiger stellvertretender Direktor des Bundesamts für Polizei.