EDÖB im Interview: «Die Umsetzung digitaler Projekte ist kein Disneyland»

Foto: Altmodisches Vorhängeschloss mit SchlüsselDr. Adrian Lobsiger, der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB), beantwortet in einem ausführlichen Interview die Fragen der Neuen Zürcher Zeitung (NZZ).

Themen sind unter anderem der digitale Wahlkampf, die E-ID, die Internetwährung Libra, die Selbstregulierung durch Unternehmen und der kooperative Ansatz bei der datenschutzrechtlichen Aufsicht.

Nachfolgend einige Zitat aus dem Interview, das Lukas Mäder für die NZZ geführt hatte:

Digitaler Wahlkampf: «Bürgerinnen und Bürger dürfen nicht zu Laborratten der Digitalisierung werden»

Der EDÖB fordert, dass Tracking im digitalen Wahlkampf nur mit Einwilligung erfolgt:

«[…] Bei Wahlen geht es heute um die Beschaffung und maschinelle Auswertung grosser Datenmengen, mit denen weltanschauliche Überzeugungen ergründet und beeinflusst werden sollen. Solche politischen Bearbeitungen verlangen einen stärkeren Rechtsschutz, als die gezielte Zuspielung von gewöhnlichen Werbebotschaften. Darum dürfen Daten der Bürgerinnen und Bürger erst politisch ausgewertet werden, nachdem diese ausdrücklich eingewilligt haben.»

Allerdings schliesst der EDÖB andere Rechtfertigungsgründe nicht aus und wird nicht gegen Parteien vorgehen, die keine Einwilligung einholen:

«Wir sagen nicht, dass dies verboten ist. Allerdings darf von den Parteien erwartet werden, dass sie das Datenschutzrecht vorbildlich anwenden. Sei es, indem sie auf solches Tracking verzichten. Sei es, indem sie die Bürger drauf hinweisen und ihnen die Möglichkeit geben, die Weitergabe ihrer Daten zu genehmigen. Wichtig ist, dass die Parteien die digitalen Möglichkeiten nicht zum Experimentieren nutzen.»

Und:

«Eine Rechtsprechung des Bundesgerichts gibt es nicht und wird es in naher Zukunft auch nicht geben. Wir werden keine Gerichtsverfahren anstreben vor den Wahlen.»

Kooperativer Ansatz: «Die Umsetzung digitaler Projekte ist kein Disneyland»

Der EDÖB setzt bei digitalen Projekten auf einen kooperativen Ansatz:

«Totschlagargumente bringen wenig. Wenn ich ein Projekt als grundsätzlich nicht vereinbar mit dem Datenschutz erkläre, kann ich nur geringen Einfluss ausüben und kaum Verbesserungen erreichen. Bei einer frühzeitigen Mitwirkung hingegen können wir eine Risikoanalyse verlangen und oft auch mit Argumenten überzeugen […].»

Und:

«Die Umsetzung digitaler Projekte ist kein Disneyland. Es ist immer ‹trial and error›. Darum ist es einfach, Projekte grundsätzlich und aus der Ferne zu kritisieren. Wir wollen jedoch die Projekte begleiten und von innen kennen. […]»

Als Anliegen nennt der EDÖB die Bewahrung der Privatsphäre und Selbstbestimmung der Bürger:

«[…] Die Kunden, Stimmbürger, Passagiere oder Patienten sollen ernst genommen werden. Ich möchte eine Versachlichung der Diskussion, in der digitale Projekte nicht mehr als gut oder böse bewertet, sondern deren Chancen und Risiken abgewogen werden. Wir verlangen von den Verantwortlichen, dass sie Schwachstellen benennen, entsprechende Schutzmassnahmen aufzeigen und die Verantwortung für das Restrisiko übernehmen. […]»

E-ID:«So wie das Gesetz nun im Parlament vorliegt, lässt sich die E-ID datenschutzkonform umsetzen»

Zur E-ID äussert sich der EDÖB zurückhaltend:

«In vielen Gesprächen haben wir Verbesserungen erreicht, auch später in der parlamentarischen Beratung noch. […] Die Gesetzgebung zur E-ID soll keine zusätzlichen Pflichten zur Identifikation im Internet einführen. […] Wo ein Kauf in der analogen Welt keine Identifizierung braucht, soll dies auch online weiterhin anonym möglich bleiben.»

Und:

«[…] Wir werden uns bei der Umsetzung weiter dafür einsetzen, dass eine simple Online-Bestellung auch weiterhin mit einer Phantasie-E-Mail-Adresse ohne E-ID möglich bleibt.»

Und:

«So wie das Gesetz nun im Parlament vorliegt, lässt sich die E-ID datenschutzkonform umsetzen. Aber ich bin nicht blauäugig. Natürlich gibt es Risiken. […] Zum Beispiel das Risiko des Identitätsdiebstahls. […] Mit dieser Herausforderung ist das Projekt der E-ID konfrontiert, unabhängig davon, ob der Staat die E-ID alleine oder in Zusammenarbeit mit Privaten herausgibt. […] Auch der Staat ist bei seinen digitalen Projekten sehr stark von privaten Lieferanten abhängig. […] Zum Beispiel im Polizeibereich bei den Fingerabdruckdaten. […]»

Im Vordergrund steht das Vertrauen der Bürger:

«[…] Aber natürlich stellt sich die Vertrauensfrage, ob ein Projekt bei den Bürgern genügend Rückhalt hat, wenn der Staat nicht als alleiniger Akteur auftritt. […] Ich habe Verständnis für die Kritik und will die Sicherheitsrisiken nicht kleinreden. In der digitalen Realität gibt es immer ein Restrisiko, das die Bürgerinnen und Bürger kennen müssen. […]»

Libra: «Es handelt sich um ein globales Projekt von einer riesigen Dimension»

«Es handelt sich um ein globales Projekt von einer riesigen Dimension, bei dem der Facebook-Konzern faktisch grossen Einfluss haben wird. Das zeigt sich am Engagement von Facebook beim Aufgleisen des Projekts sowie an der Ankündigung, über die Tochtergesellschaft Calibra das Zahlungsmittel Libra für die über zwei Milliarden Facebook-Nutzer zur Anwendung zu bringen. Die Libra Association muss deshalb die Risiken für die Privatsphäre und die Selbstbestimmung der Benutzer aufzeigen sowie ein Konzept vorlegen. Dieses soll die Schutzstandards und Massnahmen aufzeigen, um diese Risiken weltweit auf ein vertretbares Mass zu reduzieren.»

Und:

«Erst wenn wir wissen, wie welche Personendaten bearbeitet werden sollen, können wir beurteilen, ob wir überhaupt zuständig sind. Dann können wir allenfalls auch abschätzen, welche gesetzlichen Beratungs- und Aufsichtsaufgaben wir zu erfüllen haben. Gerade in einem Projekt wie diesem muss meine Behörde auf Vorarbeiten eines betrieblichen Datenschutzes zurückgreifen können, wie ihn der Entwurf zum neuen Datenschutzgesetz vorsieht.»

Selbstregulierung: «Bei einem Unfall kann die Geschäftsleitung also nicht sagen: Wir haben nichts gewusst»

Der EDÖB setzt auf betriebliche Datenschutzbeauftragte, wie sie die Datenschutz-Grundverordnung (DSGVO) teilweise vorschreibt und die im revidierten Datenschutzgesetz (DSG) bislang als Datenschutzberater bezeichnet werden:

«Deshalb befürworte ich den Ansatz der EU. Er stärkt die Aufsicht, aber nicht nur bei den Behörden, sondern auch bei den Unternehmen selbst. Die grossen und mächtigen Datenbearbeitungsfirmen lassen sich nicht komplett durch eine Aufsichtsbehörde überwachen, weshalb sie einen betrieblichen Datenschützer benennen müssen. Dieser hat Branchenkenntnisse und ist der Garant, dass es nicht zu einer Reputationskatastrophe kommt.»

Und:

«[…] Bei einem Unfall kann die Geschäftsleitung also nicht sagen: Wir haben nichts gewusst. Natürlich gibt es keine absolute Unabhängigkeit, aber betriebliche Datenschützer haben die Pflicht, gegen Verstösse zu protestieren. Sonst machen sie sich mitverantwortlich.»

Und:

«Im E-Commerce hat der Datenschutz tatsächlich eine wirtschaftliche Komponente. […] Es darf keine Zweiklassengesellschaft geben, in der sich nur noch Wohlhabende die Hoheit über ihre Daten leisten können, während die anderen mit ihren Daten bezahlen. […] Wenn wir mehr Kontrolle über unsere Daten hätten, könnten wir zum Beispiel als Konsument, Patient oder Passagier selbst an der Wertschöpfung teilhaben. Datenschutz kann man gar nicht betreiben ohne wirtschaftliches Verständnis. Verstehe ich das Geschäftsmodell eines Unternehmens nicht, kann ich keine Wirkung entfalten als Datenschutzbeauftragter.»

Bild: Pixabay / Ashish_Choudhary, Public Domain-ähnlich.

Schreiben Sie einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Felder mit * sind Pflichtfelder.