Am 25. Mai ist in der EU eine neue Ära in Sachen Datenschutz angebrochen. Eine neue Verordnung verspricht mehr Transparenz gegenüber den Kunden und eine Stärkung der Nutzerrechte. Die neue Verordnung treibt den obersten Schweizer Datenschützer Adrian Lobsiger (58) um. Er empfängt BLICK zum Interview in seinem Berner Büro mit Sicht auf die Aare – und das Bundeshaus, wo derzeit ebenfalls ein neues Datenschutzgesetz zur Debatte steht.
BLICK: Herr Lobsiger, Sie gründen gerade eine Expertengruppe für die Wahlen 2019. Bedrohen Facebook und Co. letztlich die Schweizer Demokratie?
Adrian Lobsiger: Nein. Abstimmungen und Wahlen finden einfach in der digitalen Realität statt. Es gibt grosse Firmen, die natürlich sehr viele User haben, auch in der Schweiz. Und wenn diese Firmen mit digitalen Mitteln Daten im Zusammenhang mit politischer Meinungsbildung bearbeiten, kann das eine Auswirkung haben auf eine Wahl oder Abstimmung. Das ist einfach Fakt. Es gibt in diesem Land unabhängige Experten, die beobachten, wie solche Instrumente im Im- und Ausland angewendet werden und was die Auswirkungen sein könnten.
Haben Sie solche Experten nicht selber?
Wir beschäftigen keine Politologen, wir sind ein Kleinbetrieb. Ich habe Mitarbeitende, die sich mit Tracking im Zusammenhang mit E-Commerce beschäftigen, und die auch solide technologische Kenntnisse haben. Wir müssen nicht in jedem Sachbereich das Ei des Kolumbus selber erfinden. Deshalb will ich mit meinen kantonalen Kollegen ein Kontaktgremium mit Experten schaffen, das auch entsprechende Firmen anhören kann. Mit den gewonnenen Informationen können wir die Bürger nachher über unsere Homepage unaufgeregt und einfach informieren.
Aber verbieten können Sie nichts? Politische Werbung erhält man ja heute schon häufig auf Facebook oder Twitter.
Politische Beeinflussung durch Werbung gehört zur Meinungsbildung und ist somit an sich nichts Schlechtes. Aber es muss transparent sein, wo und wann welche Methoden angewendet werden. Ob die dann datenschutzrechtlich zulässig sind oder nicht, ist dann erst in zweiter Linie zu prüfen.
Dann geht es Ihnen auch um die Sensibilisierung der Stimmbürger?
Unser Thema ist es nicht, ob politische Werbung fair, wahr, gut oder böse ist. Es geht darum, dass die Datenbearbeitung transparent und rechtens sein muss.
Können Sie Facebook zwingen, ihre Datenbearbeitung transparent zu machen? Wie deren Algorithmus Daten verarbeitet, ist ja Geschäftsgeheimnis.
Eine Firma muss mir nicht verraten, mit welchen Formeln sie arbeitet. Aber sie muss mir sagen, was der Algorithmus für einen Zweck hat und was er bewirkt. Kommt eine Firma dann mit der Ausrede, sie könne das selber gar nicht mehr bestimmen, dann fordere ich sie auf, das auch so auf ihre Homepage zu schreiben. Dann hat sie nachher einfach keine Kunden mehr.
Das könnten Sie durchsetzen?
Ja, natürlich. Wenn dem tatsächlich so ist, dann ist die Datenverarbeitung mit unkalkulierbaren Risiken verbunden und das muss selbstverständlich transparent gemacht werden. Die Nutzer, die dort noch ihre Daten hinterlassen wollen, machen das auf eigenes Risiko. Jedenfalls, wenn es um Spass- und Freizeitaktivitäten geht. Bei Angeboten wie Versicherungen würden wir einschreiten, weil unkalkulierbare Bearbeitungsrisiken unzulässig wären.
Angesichts von Cumulus, Facebook oder Instagram stellt sich die Frage: Interessieren sich die Schweizer für Datenschutz?
Ich werde häufig gefragt, wie ich überhaupt meinen Job noch machen kann, da die Leute ihre Privatsphäre ja schon lange aufgegeben hätten. Aber schauen Sie mal, was passiert, wenn zum Beispiel die Swisscom nur schon Kontaktdaten verliert. Das gibt einen riesigen Aufschrei. Den Kunden ist eben nicht egal, wenn ihre Adressdaten vielleicht irgendwo im Darknet versteigert werden. Solange nichts passiert, ist es zwar bequem, sich nicht mit Datenschutz zu beschäftigen. Aber wenn es zu Störfällen kommt, ist die Empörung gross.
Am Freitag trat die neue EU-Datenschutzverordnung in Kraft. Haben Sie als Datenschützer die Korken knallen lassen?
(lacht) Ich nehme das ganz unaufgeregt zur Kenntnis. Aber die EU-Verordnung bedeutet einen grossen Fortschritt, um die Datenbearbeitung und den Datenschutz in die moderne Realität zu führen.
Für die Nutzer ist die neue Regelung also ein Gewinn?
Auf jeden Fall. Wer digitale Angebote in der EU nutzt, profitiert vom besseren Datenschutz. Das gilt auch für Schweizer Nutzer. Ebenso müssen globale Unternehmen mit EU-Kunden ihren Datenschutz anpassen. Der neue Standard hat eine Signalwirkung über die EU hinaus und könnte zum Vorbild für die ganze Welt werden.
Steigt damit auch der Druck auf die Schweiz? Die Totalrevision des Datenschutzgesetzes ist derzeit ja im Nationalrat hängig.
Die Schweiz hat den Anspruch, eine fortschrittliche digitale Gesellschaft zu sein. Dazu gehört ein zeitgemässer Datenschutz für die eigenen Bürger. Das haben wir mit dem jetzigen Gesetz aus dem Jahr 1993 nicht mehr! Wir müssen nicht gleich die EU-Verordnung abschreiben. Aber wir müssen unseren Bürgern einen gleichwertigen Standard bieten.
Im Moment hinken wir aber hinterher.
Ja. Wir befinden uns in einer Übergangsphase. Wir dürfen aber nicht zu lange warten, bis wir die Lücke zum europäischen Standard schliessen.
Bis dahin haben die Konsumenten hierzulande das Nachsehen?
In gewissen Bereichen ja. Aber viele Schweizer Unternehmen werden sich so oder so der EU-Verordnung anpassen und in einen besseren Datenschutz investieren, weil dies schlichtweg den heutigen Konsumentenbedürfnissen entspricht. Davon profitiert auch die Schweizer Kundschaft. Aber meine Behörde wird nicht fremdes Recht durchsetzen. Umso nötiger ist eine rasche Totalrevision unseres Datenschutzgesetzes.
Die Unternehmen sind gefordert. Doch gerade KMU und Gewerbe fürchten sich vor einem «Regulierungsmonster».
Solche Ängste sind unnötig. Der Schweizer Gesetzesentwurf ist viel schlanker gehalten. Und gerade auf kleine Unternehmen wie Hotels oder Grafiker sind viele der neuen Regelungen gar nicht anwendbar – auch die der EU-Verordnung nicht.
Aber es gibt Vorgaben.
Von allen zu beachten ist die Transparenz: Jedes Unternehmen muss informieren, welche Personendaten es wie lange und zu welchen Zwecken bearbeitet. Und die Betroffenen müssen die Möglichkeit haben, die Datenbearbeitung nach Bedarf einzuschränken. Das ist keine Hexerei! Es braucht zwar gewisse Investitionen in einen ehrlichen Web-Auftritt, aber sicher keine überteuerten Luxuslösungen.
In der EU drohen Strafen bis 20 Millionen Euro oder vier Prozent des Umsatzes. Das neue Datenschutzgesetz hingegen sieht Maximalstrafen von 250'000 Franken vor. Warum?
Die Unterschiede haben mit unterschiedlichen Rechtssystemen zu tun. Bei uns richten sich die Strafen gegen natürliche Personen, also etwa Manager. In der EU hingegen gegen juristische, also die Unternehmen selbst. Das Sanktionssystem ist aber tatsächlich eine Knacknuss, da gibt es im Parlament noch Nachbesserungsbedarf.
Inwiefern?
Anstelle einer Maximalbusse von 250'000 Franken wäre mir eine Strafe lieber, die sich prozentual am Betriebsumsatz orientiert, statt sich gegen die Angestellten zu richten.
Bis wann sollte das Gesetz unter Dach und Fach sein?
Ich hoffe, dass wir das neue Gesetz spätestens 2020 in Kraft setzen können. Und ich bin zuversichtlich, dass sich im Parlament eine Mehrheit findet, um dieses Ziel zu erreichen.
Und wenn nicht? Greift dann die EU durch?
Nein, wir können nicht dulden, dass irgendwelche EU-Behörden auf Schweizer Boden hoheitliche Handlungen durchführen! Sollte jemand Post von einer EU-Datenschutzbehörde erhalten, kann er sich an uns wenden und wir werden mit unseren europäischen Kollegen Kontakt aufnehmen. Wir müssen jetzt nicht auf Panik machen.
Aber sie wollen vorwärts machen.
Je länger wir zögern, umso verwundbarer werden wir und desto grösser wird die Rechtsunsicherheit. Das ist langfristig Gift für die Wirtschaft. Dann besteht die Gefahr, dass digital-orientierte Unternehmen in andere Länder ausweichen, weil sie zum Beispiel Schwierigkeiten kriegen könnten, im umliegenden Europa Aufträge zu erhalten.
Nicht nur die Internet-Giganten wie Facebook oder Google, auch der BLICK erfasst und verarbeitet jeden Tag Daten. Jedes Mal, wenn Sie unsere Website besuchen, registrieren wir Ihre Aktivität. Wir erkennen, welche Artikel gelesen werden, wie lange Sie auf einer Seite bleiben und was Sie anklicken.
Ganz wichtig: Diese Daten sind anonymisiert. Die Aktivität lässt sich nicht auf eine bestimmte Person zurückverfolgen. Das ist der Unterschied zu Facebook, wo alles mit Ihrem persönlichen Profil verknüpft wird.
Warum sammeln wir bei BLICK diese Daten? Ganz einfach: Ohne Daten wäre der BLICK blind. Niemand würde wissen, welche Geschichten Ihnen besonders gefallen – und welche Sie überhaupt nicht interessieren. So kann der BLICK besser auf Ihre Bedürfnisse als Leserin oder Leser eingehen.
BLICK braucht auch persönliche Daten
Allerdings benötigt der BLICK auch persönliche Informationen. Zum Beispiel Ihren Namen, Ihre Adresse oder Telefonnummer. Wenn Sie nämlich ein Abonnement haben, könnte der BLICK sonst gar nicht im Briefkasten landen.
Auch die E-Mail-Adresse gilt als persönliche Information. Diese braucht der BLICK, wenn Sie einen Kommentar zu einem Artikel verfassen wollen. Oder natürlich, wenn Sie einen unserer Newsletter erhalten möchten.
Persönliche Daten erreichen uns auch, wenn Sie als Leserreporter etwas berichten. Mit diesen Informationen stellt die Redaktion sicher, dass Ihr Bild oder Ihre Beobachtung auch wirklich stimmt.
Anders als die Informationen, die wir auf der Website erfassen, sind persönliche Angaben sensibler. Diese Daten jemandem zu geben, erfordert grosses Vertrauen. Deswegen legt die Redaktion grossen Wert darauf, dass mit allen Ihren Daten vorsichtig umgegangen wird.
Ihr Blick-Team
Nicht nur die Internet-Giganten wie Facebook oder Google, auch der BLICK erfasst und verarbeitet jeden Tag Daten. Jedes Mal, wenn Sie unsere Website besuchen, registrieren wir Ihre Aktivität. Wir erkennen, welche Artikel gelesen werden, wie lange Sie auf einer Seite bleiben und was Sie anklicken.
Ganz wichtig: Diese Daten sind anonymisiert. Die Aktivität lässt sich nicht auf eine bestimmte Person zurückverfolgen. Das ist der Unterschied zu Facebook, wo alles mit Ihrem persönlichen Profil verknüpft wird.
Warum sammeln wir bei BLICK diese Daten? Ganz einfach: Ohne Daten wäre der BLICK blind. Niemand würde wissen, welche Geschichten Ihnen besonders gefallen – und welche Sie überhaupt nicht interessieren. So kann der BLICK besser auf Ihre Bedürfnisse als Leserin oder Leser eingehen.
BLICK braucht auch persönliche Daten
Allerdings benötigt der BLICK auch persönliche Informationen. Zum Beispiel Ihren Namen, Ihre Adresse oder Telefonnummer. Wenn Sie nämlich ein Abonnement haben, könnte der BLICK sonst gar nicht im Briefkasten landen.
Auch die E-Mail-Adresse gilt als persönliche Information. Diese braucht der BLICK, wenn Sie einen Kommentar zu einem Artikel verfassen wollen. Oder natürlich, wenn Sie einen unserer Newsletter erhalten möchten.
Persönliche Daten erreichen uns auch, wenn Sie als Leserreporter etwas berichten. Mit diesen Informationen stellt die Redaktion sicher, dass Ihr Bild oder Ihre Beobachtung auch wirklich stimmt.
Anders als die Informationen, die wir auf der Website erfassen, sind persönliche Angaben sensibler. Diese Daten jemandem zu geben, erfordert grosses Vertrauen. Deswegen legt die Redaktion grossen Wert darauf, dass mit allen Ihren Daten vorsichtig umgegangen wird.
Ihr Blick-Team
Worum geht es bei der Datenschutz-Grundverordnung (DSGVO)?
Die Datenschutz-Grundverordnung, die ab heute gilt, ist eine gundlegene Überarbeitung der bisherigen EU-Datenschutzregeln. Die Rechte von europäischen Konsumenten werden gestärkt und intransparentes Sammeln von Personendaten unterbunden.
Gilt die DSGVO nur in der EU?
Aber auch Schweizer Firmen können betroffen sein: Entweder wenn sie Daten von Personen in der EU sammeln oder wenn sie diesen Personen Waren oder Dienstleistungen verkaufen oder kostenlos anbieten. Für Schweizer Bürger bleibt unser Datenschutzgesetz massgebend, das nun den EU-Regeln angepasst wird.
Wie müssen sich Schweizer Unternehmen verhalten?
Hiesige Firmen, die Angebote an EU-Bürger verkaufen, deren Internet-Aktivitäten überwachen oder kostenlose Newsletter an sie versenden, sollten ihre Datenschutzbestimmungen überprüfen. Und sie müssen prüfen, ob sie eine Datenschutzvertretung in der EU zu bestimmen haben.
Und wenn sich eine Firma nicht an die DSGVO hält?
Personen, die Datenschutzverletzungen erleiden, können sich bei der EU-Aufsichtsbehörde melden. Und Firmen, die auf Datenschutzverletzungen stossen, haben diese innerhalb von 72 Stunden zu melden.
Wie werden Verstösse sanktioniert?
Die DSGVO sieht hohe Bussgelder vor, die sich auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes belaufen können. Gross dürfte auch der Reputationsschaden sein – wie das aktuelle Facebook zeigt.
Worum geht es bei der Datenschutz-Grundverordnung (DSGVO)?
Die Datenschutz-Grundverordnung, die ab heute gilt, ist eine gundlegene Überarbeitung der bisherigen EU-Datenschutzregeln. Die Rechte von europäischen Konsumenten werden gestärkt und intransparentes Sammeln von Personendaten unterbunden.
Gilt die DSGVO nur in der EU?
Aber auch Schweizer Firmen können betroffen sein: Entweder wenn sie Daten von Personen in der EU sammeln oder wenn sie diesen Personen Waren oder Dienstleistungen verkaufen oder kostenlos anbieten. Für Schweizer Bürger bleibt unser Datenschutzgesetz massgebend, das nun den EU-Regeln angepasst wird.
Wie müssen sich Schweizer Unternehmen verhalten?
Hiesige Firmen, die Angebote an EU-Bürger verkaufen, deren Internet-Aktivitäten überwachen oder kostenlose Newsletter an sie versenden, sollten ihre Datenschutzbestimmungen überprüfen. Und sie müssen prüfen, ob sie eine Datenschutzvertretung in der EU zu bestimmen haben.
Und wenn sich eine Firma nicht an die DSGVO hält?
Personen, die Datenschutzverletzungen erleiden, können sich bei der EU-Aufsichtsbehörde melden. Und Firmen, die auf Datenschutzverletzungen stossen, haben diese innerhalb von 72 Stunden zu melden.
Wie werden Verstösse sanktioniert?
Die DSGVO sieht hohe Bussgelder vor, die sich auf bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Umsatzes belaufen können. Gross dürfte auch der Reputationsschaden sein – wie das aktuelle Facebook zeigt.