Der EDÖB ist die schweizerische Datenschutz-Aufsichtsbehörde. Fachpersonen kritisieren immer wieder, dass die geäusserte Meinung über das geltende Datenschutzrecht hinausgeht, zum Beispiel zur Einwilligung für Cookies oder zur Transparenz bei Künstlicher Intelligenz.
Wie verbindlich ist die Meinung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten?
Für die «Datenschutz Plaudereien» diskutierte ich in einem Podcast-Gespräch mit David Rosenthal diese und weitere Fragen, unter anderem:
- Wie verbindlich ist die Meinung des EDÖB jenseits des geltenden Datenschutzrechts?
- Was sind die positiven Folgen, was die negativen Folgen für den Datenschutz?
- Wie funktioniert die Diskussion zwischen Behörden und Praxis beim Datenschutz in der Schweiz?
- Was bedeutet die Meinung einer Datenschutz-Aufsichtsbehörde in der Europäischen Union, zum Beispiel in Deutschland?
- Wieso ist nicht mit einer gerichtlichen Klärung der diskutierten Fragen zu rechnen?
Transkript: Gespräch mit David Rosenthal
Das nachfolgende Transkript wurde mit dem AI-Dienst CastMagic automatisiert erstellt und nur einige besonders grobe Fehler wurden von Hand korrigiert. Es gilt deshalb das gesprochene Wort, denn das Transkript enthält Fehler.
Martin Steiger: Guten Tag, mein Name ist Martin Steiger. In den heutigen «Datenschutz Plaudereien» freue ich mich, einmal mehr David Rosenthal als Spezialgast begrüssen zu dürfen. Das heutige Thema, über das wir reden wollen. Was ist die Bedeutung, wenn sich eine Aufsichtsbehörde im Datenschutzbereich, in der Schweiz der EDÖB, zu bestimmten Themen äussert? Bevor ich David das Wort gebe, möchte ich erst einen Einstieg geben, weil das Thema mindestens einen bestimmten Grund hat. David und ich wurden kürzlich von einem Journalisten angefragt, wie es mit den Rechten betroffener Personen bei Künstlicher Intelligenz in der Schweiz ist. Auch EDÖB wurde angefragt. Es wurde herausgestellt, als wir die Texte zum Gegenlesen bekamen, Zitate werden in der Schweiz meist autorisiert, dass David und ich recht ähnlich geantwortet haben, aber ziemlich anders als EDÖB.
Der EDÖB geht da sehr weit. Er gab auch eine Medienmitteilung heraus. Geltendes Datenschutzgesetz ist auf KI direkt anwendbar. Das war der eine Anlass. Und der andere Anlass war, ich glaube, sich hat EDÖB einen Leitfaden zu den TOM publiziert, also zu den technischen und organisatorischen Massnahmen, letztlich zur Umsetzung des Datenschutzrechts. Und dort gibt es auch einen Absatz zu Cookies auf Websites. Und dort vertritt EDÖB eigentlich eine Position, wie man sie bis jetzt nur aus der EU kannte.
David, wie gehen wir damit um? Der EDÖB äussert eine Meinung. Er sagt zwar, es sei nicht verbindlich, aber er ist ja die Aufsichtsbehörde. Wenn er etwas veröffentlicht, gilt das ja schon irgendwie.
David Rosenthal: Das ist in der Schweiz eine sehr spannende Situation. Im Ausland, wo wir in der EU wären, wäre es unklar. Dann würden alle nur das zitieren und sagen, das sei praktisch Gesetz. Das ist in der Schweiz nicht so. Das hat vielleicht damit zu tun, dass wir häufig so Veranstaltungen wie jetzt machen, in denen wir sagen, dass das, was EDÖB sagt, eine Meinung ist. Vor allem in Fachkreisen ist es weit etabliert, dass es eine Meinung von mehreren ist. Daran darf und kann man widersprechen. Und sie ist auch nicht verbindlich und auch nicht zwingend richtig. Und sie kann auch sogar so sein. Das stört mich manchmal in diesem Zusammenhang. Es können auch Positionen sein, die zwar aus bestimmten Ecken wünschbar wären, aber die nicht vom Gesetz gedeckt sind. Das ist eher eine rechtspolitische Äusserung, kein knallhartes Gesetz, wie man sich das bei einer anderen Aufsichtsbehörde gewöhnt ist. Das ist in der Schweiz eine spezielle Situation.
Martin Steiger: Aber jetzt sagst Du, das ist nicht das Gesetz. Zum Beispiel schreibt der EDÖB im Zusammenhang mit den TOM, dass die wichtigsten Vorgaben des Datenschutzgesetzes wiedergegeben werden. Das ist das Thema der Verhältnismässigkeit, der Erkennbarkeit, der Zweckbestimmtheit. Muss man einwilligen, ja oder nein? Das hat eine Auswirkung. Letztlich hat es die Auswirkung, dass ich mir als Verantwortlicher sage, dass ich zwar anderer Meinung bin, und dass Rosenthal oder Steiger sagen, das sei anders. Der Beobachter hat beim KI-Thema getitelt, die Fachleute streiten sich. Der EDÖB wünscht sich eine gerichtliche Erklärung. Als Verantwortlicher sage ich mir aber doch: Ja, der EDÖB untersucht mich am Schluss, der EDÖB verfügt.
David Rosenthal: Das ist richtig. Das finde ich auch schade. Es ist durchaus so, wenn man mit ihm selbst spricht … Der EDÖB ist eine Funktion, aber auch, wenn man mit dem Leiter spricht, sagt er sehr häufig, er leiste einen Diskussionsbeitrag. Da macht er sich kleiner als das, was, wie du zu recht sagst, die Leute können sehen, es ist eine Behörde, es ist Bern. Die sagen, es sei so. Das ist das Problem.
Du hast natürlich recht, der, der nicht genau Bescheid weiss, wird das für bare Münzen nehmen. Dann passiert etwas, das der Gesetzgeber nicht vorgesehen hat. Ich glaube nicht, dass es zur Verfügung je gekommen wird. Das sehen wir in der Schweiz sowieso ganz selten. Sondern, dass man das dann einfach stillschweigend so macht. Und dass das natürlich dann eine Wirkung hat, die eigentlich nicht vom Gesetzgeber gewollt ist, finde ich persönlich nicht richtig und nicht gut.
Martin Steiger: Das fällt tatsächlich auf. Wenn man es beim TOM-Leitfaden anschaut und dort ausdrücklich die Cookie-Thematik. Dort wird ausdrücklich Artikel 7 Absatz 3 DSG genannt. Wir hatten auch schon ein Podcast-Gespräch darüber geführt, auch unter dem Aufhänger Cookie-Banner. Auch das kommt als Beispiel mit den datenschutzfreundlichen Voreinstellungen. Da kommt ein ganz konkretes Beispiel. Wenn man Cookies auf einer Website sammelt, müsse für alle Cookies, die nicht notwendig seien, die aktive Einwilligung eingeholt werden. Sie müssen standardmässig deaktiviert sein. Für mich ist das eigentlich 1:1 die ePrivacy-Richtlinie, nationale Umsetzung in EU-Mitgliedstaaten und dann vielleicht noch in DSGVO. Das passt doch nicht.
David Rosenthal: Es ist falsch. Es gibt ein anderes Beispiel, das wir seit Jahren kennen. Es gibt immer wieder Situationen, in letzter Zeit ein bisschen weniger, in denen EDÖB behauptet hat, für die Bearbeitung besonders schützenswerter Personendaten, also Gesundheitsdaten und solche Geschichten, brauche es eine Einwilligung. Im Gesetz steht genau das nicht. Es heisst, es braucht eine Rechtfertigungsgrund, also nicht zwingend eine Einwilligung, wenn ich sie einem Dritten weitergeben möchte. Das ist einfach eine falsche Aussage.
Da frage ich mich manchmal, was die Motivation dahinter ist. Man kann es nicht so oder anders verstehen. Es ist einfach nicht so. Aber ich erkläre mir das normalerweise damit, dass man damit etwas erreichen will. Es ist eher eine politische Aussage, was aber ein rechtsstaatliches Problem ist. Er ist eine Behörde und hat eine bestimmte Glaubwürdigkeit, die er mit seinem Amt mitbekommt. Da wäre er meiner Meinung nach verpflichtet, sich an diese Regeln zu halten. Dann kann man sagen, es wäre sinnvoll und es würde erwarten, dass man weitergeht.
Es gibt auch in der Schweiz viele Firmen, die sagen, wir wollen, weil es eine Erwartungshaltung gibt, bei Cookies, sagen, ja, du musst eine Einwilligung geben. Das kann man ja machen, aber dann ist es vielleicht ein Good Practice oder etwas Übergesetzliches oder etwas, was ich aus ethischen Überlegungen sonst mache, aber es ist nicht das Recht. Es ist keine Pflicht. Diese Vermischung zwischen so ein bisschen, wie ich es gerne hätte, und wie ich es hart vom Gesetzgeber vorgesehen habe, sehen wir im Datenschutz häufig. Es gibt sie, muss man gerechterweise sagen, auch in der EU. Also in der EU, wo ich zum Teil in diesen Bereichen schon strengere Regelungen habe, dann gehen sie ja noch weiter. Dort sagen sie ja, der Datenschutz gelte selbst dann, wenn gar keine Personendaten vorliegen. Das heisst, sie definieren dann einfach Personendaten viel breiter, als wir oder der EDÖB in der Schweiz das machen würde.
Also es gibt halt immer so ein bisschen eine «Race to the Top», das Ganze auszuweiten und auszudehnen. Und das ist halt einfach nicht das, was der Gesetzgeber will. Und da bin ich der Meinung, man kann darüber streiten, inhaltlich, was man gut und richtig fände, aber wir haben das Gesetz, sondern das muss man sich halten. Und die Leute sind dann äusserst verwirrt. In der Cloud-Diskussion haben wir das Gleiche. Auch nicht nur vom EDÖB. Andere Datenschutzbehörden behaupten Dinge, die es auf keine Kuhhaut gehen. Aber es ist eine Behörde. Dagegen anzukämpfen ist bei einem Publikum, das das nicht selbst verstehen kann, weil es nicht in der Fachmaterie ist, extrem schwierig. Es braucht viel Energie, die an anderen Orten verloren geht. Meistens bringen Diskussionen gar nichts.
Martin Steiger: Du hast das Gesetz erwähnt, das DSG. Das ist noch recht jung. Da sind ja politische Entscheidungen im Parlament getroffen worden. Man hätte ein Referendum ergreifen können. Jetzt bringt der EDÖB ein Wunschkonzert, zum Beispiel einen Anspruch auf Datenminimierung. Also auch da in diesem TOM-Leitfaden. Man darf immer noch das absolute Minimum an Personendaten bearbeiten. Da haben wir doch einen rechten Gap.
David Rosenthal: Ja, ja. Das zieht sich natürlich überall durch. Man kann nicht gegen alles angehen. Es gibt ja Bereiche, wo, wenn Dinge da sind, man eine Diskussion führen kann, die fruchtbar ist, wo man verschiedene Positionen hat. In gewissen Situationen sind die Dinge natürlich anders. Aber dann ist die Frage, wer die Diskussion führt. Und wo passiert sie überall? Eigentlich haben wir in der Schweiz eine Aufsichtsbehörde, die sich selber eher zurückhält. Wenn man ihn fragt, was er tun muss. Er sagt zum Beispiel nicht sehr viel zum Thema KI. Er hat wesentlich nur ein Statement gemacht, damit auch etwas gesagt wurde.
Das ist eine ambivalente Situation, weil er eigentlich kein «Soft Law» machen will, aber einzelne Statements macht, die sehr weit gehen. Da müssen wir das hinterfragen. Das hat in der Schweiz zum Glück Tradition. Und er ist, und das muss ich ihm auch hoch anrechnen. Wenn ich ihm jetzt auch offen widerspreche an gewissen Orten, ich habe das auch schriftlich gemacht, schon sehr deutsch und deutlich, er nimmt es dann auch sportlich und nimmt es dann nicht in diesem Sinne persönlich. Also er ist durchaus für diese Diskussion da, was andere nicht wären. Die Schwierigkeit ist für den Rechtsanwender und die Rechtsanwenderin, also die, die dann irgendwie etwas Praktisches machen. Und da muss man halt sagen, du kannst es einfach nicht alles für bare Münzen nehmen, was hier kommt. Und das finde ich schade, weil das sollte es eigentlich nicht sein.
Martin Steiger: Das mit der Diskussion, David, kann ich bestätigen. Der EDÖB, die Person und die Behörde, die Leute, die dort arbeiten, sind sehr offen und diskussionsfreudig. Bei den Kantonen war es unterschiedlich, aber auch dort von der Tendenz her. Was die KI-Thematik betrifft, hat er im Titel im Wesentlichen gesagt, das Datenschutzrecht sei auf KI direkt anwendbar. Das war auf den ersten Blick etwas trivial. Ich habe aber von Leuten aus der Verwaltung, die dort Datenschutz machen, gehört, sie seien wirklich froh gewesen über Statement, weil das hätte sie gestärkt. Weil das sei offenbar nicht so selbstverständlich gewesen, das einfach so als Nebenbemerkung.
David Rosenthal: Ich glaube, es hat zum Teil in seinen Äusserungen. Das hat vielleicht auch damit zu tun, dass er als Behörde, und sie sind nicht gross, sie haben nicht viele Leute, also mit sehr wenigen Personen müssen sie eine Riesenaufgabe machen. Ich sagte immer, wenn wir das Geld investieren könnten in ein neues Gesetz oder in mehr Leute beim EDÖB, würden wir viel mehr für den Datenschutz machen, als dass alle Leute ihn mit Bearbeitungsverzeichnisseen zuspammen und andere Dinge machen. Das ist natürlich nicht so en vogue. Aber das hat auch zur Folge, dass er viele Themen gar nicht so genau kennt. Die Cookie-Thematik, du erlebst es ja selbst auch. Selbst unter den Profis gibt es viele, die gar nicht so recht verstehen, wie das genau läuft. Es ist ziemlich kompliziert. Man sieht viele Dinge.
Ich denke nicht, dass es böse will, dass er sagt, man müsse das so und so machen. Er hat gewisse Ambitionen, die über den Datenschutz hinausgehen. Er hat Fälle gemacht, wo er Konsumentenschutz recht durchbringt. Er sagt, die Gerichte können wir zurückbinden. Wenn sie das machen, so be it, es gibt mehrere solche Fälle. Das ist ein Ort, an dem man die Differenzierung nicht kennt. Er tut damit nicht viel. Warum sollte EDÖB Top-Experte in KI-Themen sein, wenn er es ja selber an vielen Orten vielleicht gar nicht einsetzen darf und sich dann dazu äussert? Deshalb nimmt man aus diesem Grund gewisse Aussagen nicht für bare Münze nehmen darf.
Wenn man zu ihm kommt und sagt, Adrian Lobsiger, es sei in dem und dem Fall so und so ist, reagiert er. Man kann mit ihm reden und er sagt, das stimme eigentlich. Das müsste man noch anders sehen. Dass dann Statements, die da sind. Ich wiederhole mich, dass man nicht für bare Münzen nehmen darf, weil sie am Schluss hoffentlich bei einem Einzelfall nicht so durchgesetzt werden.
Das ist die andere Seite. Das habe ich leider auch immer wieder erlebt in Untersuchungen. Man muss sehr stark dagegen kämpfen, dass zum Teil auch Mitarbeiter oder Mitarbeiterinnen vom EDÖB vor Ort sind. Zum Teil fachlich, nicht wirklich das Gelbe vom Ei, irgendwelche Dinge behaupten, die einfach nicht stimmen. Man muss kämpfen, Das ist mühsam, aber das betrifft nicht viele.
Martin Steiger: Du hast den Konsumentenschutz erwähnt. Ich sehe auch ein Problem. Ich erlebe das auch bei den Digitalen Gesellschaften in der Schweiz. Die betroffenen Personen sind frustriert. Sie lesen beim EDÖB etwas, gelangen damit an Verantwortliche und bekommen nicht, was sie wollen, zum Beispiel Sachen Transparenz oder Widerspruch. Man kann sagen, mehr Transparenz ist sinnvoll, man soll die Leute selbst entscheiden. Aber es gibt auch Verantwortliche, die sauber korrekte Antworten machen und erklären, warum die Ansprüche, die der EDÖB genannt hat, wenn sie in den Medien stehen, eben nicht erfüllt werden. Das ist doch auch so eine Dissonanz, die eigentlich unerfreulich ist.
David Rosenthal: Ja, und ich glaube, wir werden das wahrscheinlich nicht ändern. Und das mit der Transparenz kann man meist relativ einfach erklären. Er sagt ja, dass man jeden Einsatz von KI offenlegen muss. Man muss sich transparent machen. Ich würde wissen wollen, wie viele Leute beim EDÖP, die Übersetzungsfunktionen wie DeepL, die klassische KI, einsetzen, und darüber informiert haben, dass sie das machen, und die im Prinzip hingehen und sagen, wir wollen jetzt diesen Text, ich kann leider nicht so gut Französisch übersetzen, das wird nicht passieren. An vielen anderen Orten auch nicht. Wenn man sieht, wie man das in der Praxis umsetzen möchte, funktioniert das nicht.
Deshalb ist am Schluss auch ein gewisser gesunder Menschenverstand erforderlich. Wenn jemand das macht und sich diese Frage überlegt, dann hat er schon sehr viel gemacht. Vielleicht will er auch diese Leute erreichen, dass man sagen kann, dass sie sich etwas dazu Gedanken gemacht haben. Insofern finde ich das eigentlich gut. Wir sehen das sehr häufig bei neuen Technologien, dass sich die Unternehmen zum ersten Mal überhaupt mit Fragen beschäftigen, die sie eigentlich schon lange hätten machen müssen. Ein anderes Beispiel ist die Aufbewahrungspflicht. Das ist alles nichts Neues. Aber jetzt kommen die Unternehmen und führen eine Cloud-Lösung ein. Und die wollen alle sagen, Cloud sei ganz schlimm. Also, Big Problem. Sie fangen sich jetzt an, ernsthaft mit diesen Fragen alles Punkt für Punkt anzugehen, was sie eigentlich schon seit zehn Jahren machen sollten. Und wenn das natürlich hilft, wenn man sich jetzt überlegen darf, wie das funktioniert, dann hat es natürlich etwas Gutes da.
Aber wir wissen es nicht. Es kommuniziert ja nicht sehr viel, sondern es sind meistens auch etwas sphinxhafte Statements, die dann herauskommen. Dann muss man sich überlegen, was man damit macht. Ich bin mir nicht sicher, ob ich es gut oder schlecht finde. Gut finde ich es vielleicht, weil es zu einer Diskussion führt, wo man selber etwas dazu sagen kann und es nicht so absolut überkommt, dass er das Recht für sich beansprucht, wie das zum Beispiel die deutschen Aufsichtsbehörden sagen. Die sagen nicht, es muss dann ein Gericht entscheiden, we will see. Ich sage, es ist einfach so. Schlecht finde ich es, weil das ist das, was du vorher am Anfang gesagt hast, was für eine Verunsicherung und Diskussionen sorgt. Wir hatten es auch beim Thema Cloud, du hast Cookies erwähnt, wenn es um besonders schützenswerte Personendaten geht. An x Ort kommen immer wieder Statements, die schräg in der Landschaft stehen. Für uns zwei, wir könnten auch sagen, es sei gut, es wäre ein Beratungsauftrag, und ich sage das immer wieder, ich finde es schade, weil es Geld verschwendet. Man könnte es für TOMs einsetzen statt für Juristen, Dann wäre viel mehr für den Datenschutz da.
Martin Steiger: Es wäre eine böse Unterstellung, dass der EDÖB verschiedene Aktien von Consent-Management-Firmen hat. Das ist eindeutig ein Business-Development. Aber nein, das will ich auf keinen Fall unterstellen. Da bin ich ziemlich sicher, dass es nicht so ist, dass das auch nicht die Absicht ist. Und du sagst es ja mit den Ressourcen. Also wir haben beschränkte Ressourcen, beschränkte Zeit. Es ist ja nicht nur das Geld. Und dann könnte man das wie für anders einsetzen.
Was ich dann aber noch lustig finde, ist jetzt auch mit dieser gerichtlichen Klärung. In dem Medienbericht, den ich auch verlinke, in den Shownotes, wird EDÖB auch quasi zitiert. Ja, eben, das werde dann gerichtlich geklärt, wenn jemand seine Anordnungen bestreitet. Also, es ist ja noch mal ein Schritt zurück, weil du hast richtig gesagt, das ist sehr selten etwas zu erwarten. Das kennt man auch. Im Normalfall, wenn jemand nach dem neuen DSG beim EDÖB Anzeige mache, dann wird man mal recht nett im Normalfall kontaktiert. Man soll eine Aufklärung leisten. Es gibt eine Empfehlung, wie man sich das anders machen sollte. Von dem her ist das auch noch ein weiteres Kuriosum. Wir sind sehr weit entfernt, das jemals klären zu können. Und wenn es geklärt wird, dann wieder häufig im falschen Fall.
David Rosenthal: Und das ist auch nicht der Stil in der Schweiz. Der Stil in der Schweiz ist weder Strafverfahren. Er selbst sagt, es werde in seiner Amtszeit, hätte er letzthin er öffentlich gesagt, es werde kein Straffall zum Abschluss kommen. Er glaubt das nicht. Auch seine Verfahren sind vor allem dort, wo es ein sehr hoher Leidensdruck ist. Aber wenn ich jetzt natürlich hingehe, und ich hatte auch schon Klienten, die zu mir kamen, und dann gesagt haben, dass sie bei mir dort waren, und er konnte ihnen nicht weiterhelfen. Das kann man ja gar nicht mit diesen Massen. Dann versickern sie halt eben meist, weil das nicht zu einem Verfahren führt. Und die zivilen Verfahren gibt es ja auch nicht. Also, das ist ganz anders.
Ich habe mich kürzlich mit einem Anwaltskollegen aus Deutschland unterhalten. Ihr Hauptbusiness ist nicht die Compliance-Beratung. Sie sagen, es sind Verfahren mit den Aufsichtsbehörden. Es ist eine ganze Industrie. Sie wissen genau, wenn hier etwas kommt, und da ist ein Zettel drauf und steht «Aufsichtsbehörde», dann wissen sie, das geht jetzt zwei Jahre, weil dann nehmen sie die auseinander. Und das haben wir natürlich in der Schweiz auch nicht. Also wir haben auch die Verfahren, die, wenn wir dort laufen, bei uns etwas anderes laufen, was ich aber auch richtig finde, weil dort passt keine Kuhhaut, die man dort im Ausland sieht.
Martin Steiger: Ja, die Hürden sind hoch, je nachdem, wo man steht, natürlich im Guten wie im Schlechten. Also es gibt sicher Aktivisten und betroffene Personen in der Schweiz, die da gerne ein bisschen mehr Verfahren hätten, die ein bisschen neidisch nach Deutschland oder nach Europa schauen, was Max Schrems so macht.
Nebenbei fand ich interessant, bei dem neuen Angemessenheitsbeschluss der Europäischen Kommission, wie sie Rechtslage in der Schweiz im Zusammenhang mit dem Überwachungsbereich beurteilt haben. Wir haben das auch schon diskutiert. Wir haben frapante Ähnlichkeiten mit den USA, so bei den Rechtsmitteln und so. Geschichten kann man gerne nachlesen, haben wir ausführlich diskutiert. Aber ja, da sind wir, glaube ich, alles in allem so gut unterwegs.
Und für die, die ein bisschen mehr darüber nachdenken, ist es ja auch eine Chance. Also die, die jetzt ein bisschen bequem sind, vielleicht sagen, wir machen es, wie es EDÖB empfiehlt, unverbindlich oder wie auch immer, vielleicht zum eigenen Nachteil. Und alle anderen können sich Gedanken machen und sagen, sie machen es vielleicht nicht wie EDÖB, aber trotzdem richtig. Aber trotzdem richtig.
David Rosenthal: Genau.
Bilder: OpenAI / ChatGPT 4.