Datenschutz macht sich gut auf der Visitenkarte eines innovativen Landes

Kann der Datenschutz gegenüber Big Data überhaupt noch greifen? Adrian Lobsiger, der neue Datenschutz- und Öffentlichkeitsbeauftragte des Bundes (EDÖB), ist zuversichtlich und überzeugt, dass das Gesetz der Beschleunigung des digitalen Fortschritts nicht automatisch hinterher zu hinken braucht.

asut: Fangen wir mit einer Definition an: Was ist Datenschutz?

Für mich als EDÖB bedeutet Datenschutz in erster Linie den Schutz der Privatsphäre und der Möglichkeit eines selbstbestimmten Lebens.

Dann hängen wir gleich eine zweite Definition an: Was genau ist Privatsphäre und warum ist sie schützenswert?

Privatsphäre ist das, was mein Innerstes betrifft, meine Gedanken und mein Gewissen. Es ist der Raum, den ich nur mit mir selbst und meinen Nächsten teile. Bei Privatsphäre geht es immer auch um Gesinnung und Gedanken. Es ist lebensnotwendig, gerade in einer freiheitlichen Gesellschaft, dass die Bürgerinnen und Bürger über eine Sphäre verfügen, wo sie ihre Gesinnung frei äussern können – und zwar auch dann, wenn diese politisch nicht korrekt ist. Ohne diesen Raum kann sich das Individuum nicht entwickeln und es kann auch kein Vertrauen in seine Umgebung und in das Gemeinwesen fassen, in dem es lebt. Es geht hier also um Grund- und Menschenrechte, die für das Funktionieren des Staates und der Gesellschaft zentral sind.

Viele trösten sich damit, dass wer nichts zu verbergen habe, auch nichts befürchten müsse – ist es tatsächlich so einfach?

Wären diese Menschen wirklich bereit, restlos alles, was in ihren vier Wänden vor sich geht, mit Dritten zu teilen, vom Intimbereich bis zur Auswahl der Bücher im Büchergestell, den Gerichten, die sie kochen und dem Inhalt ihres Kehrichtkübels? Das sind Informationen, die viel über Gesinnung und Zugehörigkeiten aussagen können. Ich bin überzeugt, dass das den Allermeisten zu weit gehen würde. Aber oft offenbart es sich erst nach einer Verletzung der Privatsphäre, wie empfindlich wir auf Übergriffe tatsächlich reagieren – das zeigt beispielsweise das Aufheulen der Öffentlichkeit nach dem Fall Snowden.

Industrie 4.0, Smart Factories, Smart Cities, Smart Cars, Smart Homes, Smart Wallets oder Quantified Self: Die Digitalisierung stürmt voran, immer grössere Mengen von Daten werden erfasst, verknüpft und ausgewertet. Kann es Datenschutz im Zeitalter von Big Data überhaupt noch geben?

Ich möchte eines vorausschicken: Die Kumulation von grossen Datenmengen, die viele Leute betreffen und deren privates und öffentliches Leben durchdringen, ist kein neues Phänomen. Das gab es bereits vor der digitalen Revolution in den monarchischen Zentralverwaltungen des Ancien Régimes, im Dritten Reich oder in der ehemaligen DDR, wo der Staat auch ohne die heutigen elektronischen Mittel in allen nur denkbaren Bereichen Daten über seine Bürgerinnen und Bürger sammelte und zu deren Überwachung und Verfolgung ausnutzte. Diese Tendenzen sind nicht per se technologiebedingt.

Aber Big Data, das heisst die Möglichkeit riesige Mengen auch unstrukturierter Daten aus verschiedensten Quellen in kürzester Zeit maschinell nach Korrelationen zu durchforsten, ist aber schon ein paar Nummern grösser als etwa die Geheimakten der Stasi...

Natürlich stehen heute ganz andere technologische Möglichkeiten zur massenhaften Datenauswertung zur Verfügung. Die Rechnerleistung und die mithilfe von Sensoren erfassten immensen Datenmengen kommen sehr nahe an unsere Privatsphäre heran. Es werden in naher Zukunft wohl fast alle Geräte Sensoren enthalten, die  optische, akustische oder andere Signale aus der Umgebung erfassen und diese über das Internet an die verschiedensten Empfänger zu diversesten Zwecken übermitteln. Durch diese Entwicklung wird die Kontrolle über die eigenen Daten  in Frage gestellt, was mit Blick auf unsere Selbstbestimmung ein ernstliches Problem ist. Freilich sehe ich auch die positiven Seiten. Mit Big-Data-Analysen lassen sich aus verschiedensten Quellen für die gesamte Gesellschaft nützliche Erkenntnisse ziehen, zu Forschungszwecken etwa, oder in der Medizin. Und es ist überdies  – und das stimmt mich als Datenschützer hoffnungsvoll – mit entsprechendem Aufwand auch möglich, grosse Mengen personenbezogener Daten zu anonymisieren und damit die Privatsphäre zu wahren.

Was bedeutet die digitale Entwicklung für den Datenschutz?

Sie hat zu einer gewaltigen Erweiterung unseres Arbeitsfeldes geführt. Früher waren wir nur dann zuständig, wenn es um personenbezogene Daten ging. Die bereits angesprochene Anonymisierung grosser Mengen von Quelldaten führt nun aber dazu, dass wir uns heute auch mit Projekten beschäftigen müssen, die keine personenbezogenen Datenbearbeitungen verfolgen. Wir müssen uns nämlich versichern, dass die angewandten Anonymisierungsmethoden dem heutigen Stand der Technik entsprechen, sodass auch durch Korrelationen mit anderen Datenbeständen keine Rückschlüsse auf konkrete Personen mehr möglich sind. Je mehr Daten den Maschinen exklusiv oder offen zugänglich stehen und damit vergleichbar werden, desto grösser der Aufwand für die Anonymisierung. Damit wird auch unsere Arbeit immer technischer. Die Datenschutzbehörde braucht heute längst nicht mehr nur juristisches Know-how, sondern auch Informatiker und kryptologische Kenntnisse.

Was ist die Aufgabe des EDÖB angesichts von Big Data, was sein Handlungsspielraum?

Meine Aufgabe als Datenschützer ist es nicht, den Leuten Angst zu machen. Ich will sie sensibilisieren. Und zwar nicht nur im Hype des kollektiven Entsetzens über irgendeinen Datenschutzskandal, sondern auch im ganz gewöhnlichen Alltag. Eine reife Gesellschaft sollte sich mit dem Spannungsverhältnis zwischen den Interessenspolen der Sicherheit und der Freiheit auseinandersetzen und ein Sensorium für einen beständigen Grundrechtsschutz entwickeln.

Das zweite ist das Verfechten gewisser rechtlicher Prinzipien. Das Recht kann die Realität zwar nicht gestalten, aber es kann darauf hinwirken, dass sie sozialverträglich bleibt. Für oder gegen neue Technologien zu sein ist müssig: Sie gehören zu unserer Welt. Aber in dem Sinne, dass Datenschutz immer auch Selbstbestimmung ist, ist es wichtig, dass wir als demokratische Gesellschaft auch den Interessen von Minderheiten Rechnung tragen – auch wenn deren Kaufkraft für die Wirtschaft nicht immer relevant sein mag. Wenn Behörden oder staatsnahe Betriebe grosse Datenprojekte planen, kann es deshalb angezeigt sein, deren Realisierung von einer formell- gesetzlichen Grundlage abhängig zu machen, das heisst einem Gesetz, das den parlamentarischen Diskussionsprozess durchläuft und am Ende vielleicht sogar vors Volk kommt.

Was gehört in diese Gesetzesgrundlage?

Ich will als Datenschützer nicht Details im Gesetz verankert haben. Aber ich will, dass bei Grossprojekten, die wesentliche Eingriffe in die Privatsphäre oder Selbstbestimmung vorsehen, eine politische Debatte darüber stattfindet, ob und mit welcher Intensität wir diese Eingriffe in Kauf nehmen und welche gesellschaftliche Alternativen wir zulassen wollen, welche Minderheitsinteressen wir für schützenswert erachten, auch wenn das vielleicht kostspielig und umständlich sein mag. Soll es für ältere Leute im Seniorenheim weiterhin möglich bleiben, ohne prohibitive Aufschläge auf E-Banking zu verzichten? Müssen für einen touristischen Tagesausflug in die Berge zwingend die Personalien oder gar das Bild des Reisenden bei den Transportbetrieben hinterlegt sein? Braucht ein cloudgestütztes Textverarbeitungsprogramm eine zum Voraus aktivierte Verbindung zur Kamera oder wollen wir uns auf das Privacy-by-Default-Prinzip einigen, das heisst darauf, dass bei jedem Produkt die Grundeinstellung nur das umfasst, was für die spezifische Funktion dieses Produktes unbedingt notwendig ist? Wollen wir bei grösseren Projekten auf Privacy by Design pochen, also darauf, dass der Datenschutz von Anfang an in die Gesamtkonzeption einbezogen und transparent deklariert wird, welche Daten zu welchem Zweck erhoben werden?

Meine Aufgabe ist es, darauf hinzuwirken, dass diese Debatte stattfindet. Ich kann mich in der Öffentlichkeit äussern und werde auch vom Gesetzgeber angehört. Wie die Entscheide dann am Ende ausfallen, ist Sache der Politik.

Und wie ist Ihr Eindruck: Ist das Bundesparlament für Datenschutzfragen sensibilisiert?

Die Schweizer Politik will überwiegend das Potenzial der digitalen Revolution nutzen. Und tatsächlich hat ein Land wie die Schweiz mit ihrem erstklassigen Bildungsstandort grosse Chancen, dass ihre jungen Leute sowohl im Bereich der Forschung als auch bei der gewerblichen Umsetzung der digitalen Möglichkeiten ganz vorne mit dabei sein können. Ich denke aber, dass das Parlament gleichzeitig erkannt hat, dass auch ein glaubwürdiger Datenschutz und ein hohes Niveau an Datensicherheit einen Marktvorteil darstellen: Sie sind die andere Seite der Visitenkarte eines innovativen Landes. Dort setze ich als Datenschutzbeauftragter des Bundes an, indem ich mich konstruktiv kritisch einbringe.

Die Digitalisierung ist ein globales Phänomen, viele der grossen Rechenzentren, die unsere Daten horten, stehen ausserhalb unserer Grenzen: Was kann die kleine Datenschutzbehörde eines einzelnen Landes gegen die grossen, international operierenden IT-Konzerne überhaupt ausrichten?

Wir können sehr wohl etwas ausrichten. Auch wenn unsere Sanktionsmöglichkeiten bescheiden sind, können wir öffentlichen Druck aufbauen und unsere öffentlichen Empfehlungen nötigenfalls vor den Bundesgerichten durchsetzen. Der Missbrauch von Macht, sei sie wirtschaftlicher oder staatlicher Natur, erzeugt immer einen Vertrauensverlust und eine Gegenreaktion. Auch für die grossen Konzerne ist die Reputation deshalb ein wichtiger Wert. Wenn wir sie anschreiben und Empfehlungen abgeben, sind sie in der Regel sehr beflissen, sich danach zu richten. Und weil es dabei oft um Produkte und Anwendungen geht, die weltweit angeboten werden, versuchen wir uns mit den Datenschützern anderer Länder auszutauschen und abzustimmen. So verfolgen wir beispielsweise das noch hängige Verfahren des hamburgischen Datenschutzbeauftragten sehr aufmerksam, der Facebook Ende September verboten hat, Daten von WhatsApp-Nutzern zu erheben und zu speichern. Und wir unterstützen den Bundesrat dabei, für die Schweiz ein mindestens gleichwertiges Instrument zum Datenschutz zu verhandeln, wie es die EU mit dem Privacy-Shield-Abkommen erreicht hat. Ob Letzteres mittelfristig Bestand haben kann, wird freilich von der Rechtsprechung der Gerichte abhängen.

Kommt dazu, dass auch viele der grossen Monopolisten, die heute sehr innovativ und mächtig scheinen, in Wirklichkeit verletzlich sind. Die Geschichte lehrt uns, dass nicht wenige der monopolartigen Grossbetriebe, die zu Beginn jeder grossen technologischen Umwälzung entstehen, mit der Zeit wieder atomisiert wurden. Die digitale Entwicklung läuft seit Jahren darauf hinaus, Intermediäre auszuschalten, die keinen genügenden Mehrwert mehr schaffen. Neue Technologien wie Blockchain bedrohen inzwischen nicht nur traditionellere Branchen wie die Banken, sondern auch mächtige Player der digitalen Wirtschaft wie z.B. Amazon.

In der Schweiz steht die Revision des Datenschutzgesetzes an. Was ist hier aus Ihrer Sicht besonders wichtig?

Wichtige Revisionsanliegen sind die Verankerung der erwähnten Grundsätze wie Privacy by Design, indem für grosse datenschutzsensible Projekte Risiko-Folgeabschätzungen oder branchenspezifische Best Practices verlangt werden. Ein wichtiger Punkt ist auch, dass die Userinnen und User des Internets über die Beschaffung und Weiterbearbeitung fair und transparent informiert werden müssen. Weiter sollen auch die Kompetenzen meiner Behörde verstärkt werden. 

Wichtig ist es, klarzustellen, dass die Behauptung, die Dynamik der Digitalisierung entziehe diese jeglicher gesetzlicher Steuerung, ganz einfach nicht stimmt. Ebenso falsch ist die Aussage, dass die gesetzlichen Grundlagen völlig neu konzipiert werden müssten, nur weil die Technologie enorme Fortschritte gemacht hat.

Der springende Punkt ist, dass das Datenschutzgesetz technologieneutral zu formulieren ist. Technologie- und anwendungsspezifische Details gehören nicht hinein, die müssen auf einer tieferen Ebene geregelt werden. Genau damit lässt sich verhindern, dass das Gesetz der technologischen Entwicklung hinterherhinkt.

Interview: Christine D'Anna-Huber

 

Adrian Lobsiger

Der 56-jährige Jurist Adrian Lobsiger ist seit Juni 2016 der neue Datenschutz- und Öffentlichkeitsbeauftragte des Bundes. Zuvor war der Nachfolger von Hanspeter Thür Vizechef des Bundesamts für Polizei und Studienleiter des Nachdiplomstudiums zur Bekämpfung der Wirtschaftskriminalität an der Hochschule Luzern.