In den «Datenschutz Plaudereien» sprach ich kürzlich mit dem Informatiker und Juristen Stefan Thöni über seine Kritik an der Methode Rosenthal und seine sonstige Sicht auf den Datenschutz.
Das Gespräch wurde in zwei Teilen veröffentlicht. Für den ersten Teil hat eine Hörerin ein Transkript erstellt.
Podcast-Gespräch mit Stefan Thöni
Teil 1: Risiko für alle statt für wenige
Teil 2: Sicherheitslücken
Transkript von Teil 1: China, Rosenthal und unbeliebte Menschen
Für Teil 1 erstellte Nikita aus dem Gespräch, das auf Schweizerdeutsch geführt wurde, ein Transkript. Vielen Dank!
«Martin Steiger: Guten Tag, mein Name ist Martin Steiger, herzlich willkommen bei einer weiteren Episode von Datenschutz Plaudereien. Ich freue mich heute wieder ein Spezialgast begrüssen zu dürfen, nämlich den Stefan Thöni.
Stefan, herzlich willkommen. Ich hab Dich eingeladen damit wir über Deine Konsumentensicht in Bezug auf den Daten-Minnimalismus reden können. Du hast das angesprochen mir gegenüber, hast gesagt das dieses Thema im Podcast zu kurz kommt. Bevor wir aber in die Sache einsteigen. Was muss muss man über Dich wissen, Stefan?
Stefan Thöni: Jäh, ich mach ein bisschen viel verschiedene Sachen. Beruflich bin ich Software Entwickler, Mitgründer vom Unternehmen Gapfruit, dort machen wir Betriebssysteme. Ich mache Politik mit der Partei PARAT, vor allem in Zug sind wir aktiv, aber wir wollen eigentlich wachsen, auch über Zug hinaus.
Ich habe als Erstausbildung Informatiker studiert, im Moment studier ich Jura, bin dort 30 ECTS-Punkte von meinem Master weg. Das wird auch bald soweit sein. Dann so aus dem Politischen heraus mache ich auch noch das ein oder andere Rechtsthema in Bezug auf Datenschutz und Öffentlichkeitsprinzip.
Martin: Steigen wir doch jetzt in den Datenschutz ein. Was bedeutet für Dich Datenschutz, auch Datenschutzrecht. Du hast ja gesagt, Du seist Jurist, also du siehst auch diese Seite, Du hast aber auch eine sehr grosse technische Kompetenz.
Stefan: Wie siehst du persönlich den Datenschutz?
Jäh, das ist ein Recht von jedem Einzelnen, dass seine Daten nicht zu seinem Nachteil verarbeitet werden. Und das er grösstmöglich bestimmen kann, wie seine Daten verarbeitet werden. Das ist die eine Sicht als Konsument. Und nachher als politisch aktiver Mensch hab ich noch eine andere Sicht, dass auch aus einer gesellschaftlichen Sicht nicht wünschenswert ist, wenn gewisse Arten von Datenverarbeitungen stattfinden, die zu einer allzu genauen Durchleuchtung der Bürger führen und vor allem zu so einer Fragmentierung der Öffentlichkeit, wo man jedem politisch vorsetzen kann, was er hören will.
Martin: Machst Du da einen Unterschied zwischen Staat und Wirtschaft?
Stefan: Ja, aber … gewisse Player in der Wirtschaft sind fast so wichtig wie ein Staat. Ich sage bewusst fast, weil sie haben schon nicht alle Möglichkeiten, die ein Staat hat. So ein grosses Unternehmen wie Google kann niemand einsperren, aber für die Meinungsbildung sind sie doch so wichtig wie ein Staat das auch sein kann.
Martin: Und wie sieht das dann in Deinem Alltag aus, tust Du den Daten Datenschutz für Dich persönlich zu gewährleisten oder versuchst es zumindest ?
Stefan: Also ich versuche möglichst weitgehend auf die grossen Überwachungsplattformen zu verzichten. Also ich verwende zb. ein Android-Telefon, was EntGoogled ist. Ich verwende Linux und dort möglichst freie Software, welche nicht mit Google Diensten kommuniziert. Und möglichst nicht Office365 oder Google Docs. Ich hoste z.B. meine E-E-Mails, die privaten, selber. Und wenn ich was dazu sagen, habe wo man E-ails hostet, dann dräng ich immer darauf, das man das bei einem Hoster macht, der nicht überwacht.
Martin: Unterscheidest du Schweiz und Ausland bei diesem Thema?
Stefan: Ja, ich tue Schweiz und … oder beziehungsweise die Unterscheidung ist nicht Schweiz und Ausland. Die Unterscheidung ist Länder, wo Datenschutz ein Konzept ist, wo es Gesetzgebung dazu gibt und solchen, wo das nicht ist. Also wenn man Schweiz und Deutschland anschaut, da muss man glaub ich keinen grossen Unterschied machen. Wenn man aber Schweiz USA anschaut oder Schweiz und China, dann seh ich da dann doch einen deutlichen Unterschied.
Martin: Schweiz und China, ja, find ich immer noch schwierig zu sagen, man hat vielleicht auch Vorurteile, aber logisch, Du sprichst wahrscheinlich auch ein wenig die Unterteilung an bei uns in der Schweiz aber auch in Europa von sicheren und unsicheren Drittstaaten, versteh ich das richtig?
Stefan: Ja, und zwar Staaten wo man … wo man eben Datenschutzrecht hat, als Einzelner, wo man Grundrechte hat in dieser Richtung und Staaten wo man … wo man das nicht hat, Staaten wo man nicht auf ein rechtsstaatliches Verfahren zählen kann, um seine Datenschutzrechte durchzusetzen.
Martin: So ein unsicherer Drittstaat aus Schweizer Sicht, aus europäischer Sicht, sind ja die USA. Du hast vor einiger Zeit, wo ich mit David Rosenthal über seine Methode zur Risikobeurteilung geredet habe, genauer im Zusammenhang mit dem Daten-Export, hast du einen Blogbeitrag geschrieben und dort hast du die Methode Rosenthal kritisiert. Und zwar hast Du gesagt, da gäbe es einen entscheidenden Fehler, indem der Zugriff in Bezug auf ein bestimmtes Unternehmen oder allenfalls auch auf bestimmte Behörden bewertet werde. Du sagtest dann, richtigerweise müsse man aber das Gesamtrisiko anschauen, also bei sämtlichen Unternehmen, letztlich auch bei sämtlichen Unternehmen, denk ich logischerweise, weil da gäbe es einen kumulativen Effekt. Kannst Du das ein wenig vertiefen?
Stefan: Ja, es ist ja so, dass es nicht nur darum geht, dass man nicht nur bei Google sucht. Oder von irgendeinem Webshop Daten über einen amerikanischen Cloud-Anbieter bearbeitet werden, sondern das macht fast jedes Unternehmen und … wenn man die Bundes-Cloud jetzt anschaut bald auch fast jede Behörde. Und so werden eigentlich fast sämtliche Daten, wo Schweizer Behörden, Schweizer Unternehmen über einem sammeln, schlussendlich irgendwo von der USA verarbeitet. Und das finde ich ein ganz schwierige Sache vor dem Hintergrund, dass man dort eben keine Datenschutzrechte geltend machen kann.
Martin: Jetzt wird wahrscheinlich ein Behördenvertreter, oder ein Unternehmensvertreter sagen: Schön und gut, wir prüfen das und kommen dann zum Ergebnis, dass Risiko ist sehr klein oder je nachdem, wie man es anschaut, haben wir auch gar kein Risiko. Wir treffen Massnahmen, das ist alles gut. Jetzt sagt man aber:OK, das kumuliert sich. Wie können dann aber einzelne Behörden oder einzelne Unternehmen auf das reagieren? Man hat ja wie keine Koordination mit den andern, selbst wenn man das wollte.
Stefan: Jäh, ich finde, das muss aber trotzdem in die Bewertung einfliessen. Was ist der Impact, wenn eben jemand überwacht wird. Und dort ist von mir aus eben der zweite Fehler der Methode Rosenthal. Dass man das quasi auf den Durchschnitt anschaut, oder auf die Massen von den Bürgern.
Der Anspruch von unserem Rechtsstaat und unserm Datenschutzrecht ist aber, dass jeder Mensch der Schweiz das Recht hat, auch wenn er sich in den USA oder in China oder sonst irgendwo, Stichwort Katar, besonders unbeliebt gemacht hat. Dass er eben trotzdem, wenn er in der Schweiz ist, sicher ist, dass seine Daten nicht missbraucht werden.
Und das wird von mir aus gesehen zuw enig die Kombination aus … man muss quasi dort den unbeliebtesten möglichen Menschen anschauen, wo zwar nichts verbrochen hat nach unserem Rechtssystem, aber sich dort halt unbeliebt gemacht hat und gleichzeitig anschauen, wenn der jetzt von allen Schweizer Behörden erfasst ist und alle Schweizer Unternehmen braucht, wie wir das jeden Tag tun. Was bedeutet denn das für den, für den unbeliebten Mensch, das jetzt all seine Daten zu amerikanischen Anbieter ausgelagert sind und dort zugegriffen werden kann.
Ich denke das zb. wenn jetzt der Snowden in der Schweiz geblieben wäre oder in die Schweiz gekommen wäre. Oder Julian Assange. Wie könnten wir sicherstellen, dass der, wo aus unserer Sicht oder wenn er aus unserer Sicht nichts verbrochen hätte, dass der hier unbeschwert leben kann und seine Daten nicht missbraucht werden, obwohl ihn die halbe Welt hasst.