Inhalt - Bilanz HP Thür

„Die ICT-Branche tut gut daran, sich in die Debatte einzuklinken“

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte Hanspeter Thür zieht nach 14-jähriger Tätigkeit Bilanz und publiziert seine persönliche „To Do“-Liste für die IT Branche.

Von Hanspeter Thür

11 Tage nach meinem Amtsantritt sah ich am Bildschirm die Twin Towers zusammenstürzen und wusste, dass es künftig weltweit für den Datenschutz schwierig werden würde. Das Ausmass der darauf folgenden globalen Überwachung brachten im Sommer 2013 die Enthüllungen von Snowden ans Tageslicht. Dass diese flächendeckende Überwachung überhaupt erst möglich wurde, ist der rasanten technischen Entwicklung der letzten 12 Jahre geschuldet, einer digitalen Revolution, deren Bedeutung heute noch kaum in den Köpfen der breiten Bevölkerung angekommen ist.

Wenn wir uns das Jahr 2001 nochmals vor Augen führen: Damals war Google, mit einem einstelligen Millionengewinn noch in den Kinderschuhen, während das Unternehmen heute zweistellige Milliardengewinne erzielt und nach Apple den weltweit zweithöchsten Börsenwert aufweist. Soziale Netzwerke waren noch völlig unbekannt. Die heutigen Smartphones und smart Devices mit ihren Apps sind nicht einmal zehn Jahre alt und produzieren Unmengen an Daten und stellen die Privatsphäre dabei fast täglich vor neue Herausforderungen. Big Data, für die NSA seit langem das Zauberwerkzeug für die Realisierung einer globalen Überwachung, ist nun seit zwei, drei Jahren auch in der Privatwirtschaft Jahren angekommen, befeuert dort die Diskussion um neue Geschäftsmodelle und stellt dabei den Persönlichkeitsschutz ganz grundsätzlich in Frage. Das Internet der Dinge mit Milliarden von über das Internet kommunizierenden smarten Geräten steht vor der Tür und wird ebenfalls Berge an Daten produzieren. Bereits seit Jahren verdoppelt sich die Datenmenge alle zwei Jahre. Eine Entwicklung, die nicht absehbar ist.

Eingedenk der gewaltigen Dynamik der letzten Jahre mit einer immensen Fülle von möglichen Persönlichkeitsverletzungen, musste ich mich angesichts meiner knappen Ressourcen auf die Klärung grundlegender Fragestellungen beschränken. Fragen, die sich im Zuge der Digitalisierung vermehrt stellten und die mit Blick auf die künftige Entwicklung geklärt werden mussten, wie im Fall Logistep: Sind IP-Adressen Personendaten und darf ein privates Unternehmen im Internet heimlich IP-Adressen ausforschen? Oder wie bei Google Street View, wo  es um die Frage ging, ob das Recht am eigenen Bild im digitalen Zeitalter noch gilt bzw. ob man im öffentlichen Raum akzeptieren muss, wenn man gefilmt und fotografiert wird und die Bilder ohne Einwilligung  im Internet landen. Geklärt haben wir auch, dass man im Freizeitbereich für eine Eintrittskontrolle (zum Beispiel in ein Schwimmbad) keine Datenbank mit biometrischen Daten errichten darf.

Besonders wichtig in meiner Bilanz sind jene rund hundert Fälle, in denen wir mit den Betroffenen im Rahmen umfangreicher Sachverhaltsabklärungen ein positives Resultat erzielen konnten. Beispielhaft war letztes Jahr der Fall Postfinance. Nach zähen Verhandlungen musste die Finanzdienstleisterin der Post unsere Vorgaben für die neuen e-Banking-Projekte vollständig akzeptieren. Ein anderes Beispiel betrifft die Grossbanken, die im grossen Stil Mitarbeiterdaten in die USA übermitteln wollten und nach unserer Interventionen akzeptierten, dass für die Einzelnen der Rechtsweg gewahrt bleiben muss.

Immer wieder wird die Frage aufgeworfen, ob die globalisierte Welt für erfolgreiche nationale Interventionen überhaupt noch genügend Raum lässt. Können Behörden und Gerichte Giganten wie Google, Apple, Facebook, Amazon und Co. mit Landesrecht in den Griff bekommen? Ja und Nein. Das Beispiel Google Street View zeigt, dass sehr wohl Ansatzpunkte bleiben. Das EuGH-Urteil zum Recht auf Vergessen ist ein weiteres Beispiel. Interessant ist in diesem Zusammenhang, dass sich in Europa Kräfte auf Regierungsebene regen, welche die neofeudalistischen Monopole mit kartellrechtlichen Massnahmen in die Schranken weisen wollen. Andererseits ist ebenfalls richtig, dass Insellösungen kaum zielführend sind und es wichtig ist, dass sich die Schweiz rasch mit den rechtlichen Veränderungen in Europa auseinandersetzt, die auf einen deutlich besseren Schutz abzielen. Damit die Schweiz nicht zum Hort jener wird, die dem strengeren europäischen Recht ausweichen wollen. Eine solche Haltung würde rasch zum Bumerang, insbesondere für die Schweizer IT-Unternehmen, die im europäischen Markt behindert würden.

Um dies zu verhindern, muss sich die Schweiz angesichts der digitalen Revolution endlich positionieren und Vor- und Nachteile gegeneinander abwägen. Es braucht eine vertiefte gesellschaftliche Debatte und eine Strategie der digitalen Gesellschaft mit der Frage im Zentrum, wie Privatsphäre und Persönlichkeit mit Blick auf Big Data und der rasanten Entwicklung der Informations- und Kommunikationstechnologie geschützt werden kann. Dazu wurde vom Parlament die „Expertenkommission zur Zukunft der Datenbearbeitung und Datensicherheit“ ins Leben gerufen, welche wichtige Impulse für die anstehende Revision des Datenschutzgesetzes geben wird. Die ICT-Branche tut gut daran, sich in diese Debatte einzuklinken mit der Grundhaltung, dass technischer Fortschritt nur möglich ist, wenn der Schutz der Privatsphäre nicht auf der Strecke bleibt und das Recht des Einzelnen auf digitale Selbstbestimmung gewahrt wird.

Meine persönliche „To Do“-Liste für die IT-Branche

  • Den Schutz der Privatsphäre und von Personendaten schon bei der Entwicklung neuer Technologien und Anwendungen berücksichtigen (Privacy by design)
  • Standardeinstellungen von Apps und Onlinediensten so gestalten, dass die Privatsphäre des Benutzers von Beginn an geschützt wird (Privacy by default)
  • bei der Verwendung von Cloud-Lösungen und allgemein bei Datentransfers (ins Ausland) sicherstellen, dass die Daten vor Zugriffen Unbefugter geschützt sind. Dies gilt besonders dann, wenn Anbieter involviert sind, deren Sitz sich in Staaten mit ungenügendem Datenschutzniveau befindet (z.B. USA).
  • Auch bei Big Data Nutzerinnen und Nutzer transparent informieren und ihre Daten nicht ohne Einwilligung bearbeiten.
  • Bei der Erstellung und Interpretation von Persönlichkeitsprofilen dem Umstand Rechnung tragen, dass diese oft auf Vermutungen und Wahrscheinlichkeitsberechnungen beruhen und gravierende Folgen für die Betroffenen haben können (bspw. im Gesundheits- und Versicherungswesen)

Wichtig ist, dass diese Anliegen nun bei den Arbeiten zur Gesetzesrevision einfliessen. Dafür werde ich mich als Mitglied der besagten Expertenkommission einsetzen.

Hanspeter Thür (* 1949) ist seit September 2001 Eidgenössischer Datenschutzbeauftragter und wird Ende November pensioniert.