Mittwoch, 30. August 2023

Wieso gibt es diese Begrenzung bei 250 Mitarbeitenden?

Die EU kennt diese Einschränkung ebenfalls, aber sie ist eine Falle. Der überwiegende Teil des Gesetzes ist auch für kleine Firmen relevant. Wichtiger als die Grösse des Unternehmens ist, welche Kategorien von Personendaten bearbeitet werden. Wer besonders schützenswerte Daten bearbeitet, hat ab dem 1. September 2023 viel mehr zu beachten als bisher.

Was sind besonders schützenswerte Daten?

Die besonders schützenswerten Personendaten sind im Gesetz definiert. Dazu gehören Angaben über religiöse, weltanschauliche, politische und gewerkschaftliche Ansichten und Tätigkeiten, Gesundheitsdaten, Daten über die Intimsphäre, die Zugehörigkeit zu einer Rasse oder Ethnie. Neu gehören auch genetische und biometrische Daten dazu – und damit beispielsweise ein nicht verpixeltes Foto.

Für viele Menschen ist Datenschutz langweilig, spröde und mühsam. Warum ist Ihnen das Thema so wichtig?

Wenn ich sehe, dass die Menschen in China automatisch eine Busse erhalten, wenn sie bei Rot über die Strasse laufen, empfinde ich Abneigung. Diese Kultur der Überwachung entspricht nicht dem europäischen Verständnis von Lebensqualität und Lebensfreiheit. Wir wollen doch keine gläsernen Bürger sein!

Dazu kommt, dass der Datenhunger der grossen Tech-Unternehmen dafür sorgt, dass wir sehr beeinflussbar sind. Alles, was wir auf Plattformen wie Google oder Facebook hinterlassen, wird genutzt, um uns die Inhalte zu liefern, die wir sehen wollen. Denn die Menschen sollen um jeden Preis so lange wie möglich auf der Plattform gehalten werden. Wird der Datenschutz richtig umgesetzt, ist das so in Zukunft nicht mehr möglich. Je weniger Daten zur Verfügung stehen, desto geringer ist die Möglichkeit, dass Menschen manipuliert werden.

Das neue Gesetz richtet sich also explizit gegen Meta, Google und Co.?

Nun ja, das DSG dient dem Schutz unserer Grundrechte. Es ist weltweit anwendbar, und sobald Schweizerinnen und Schweizer betroffen sind, gilt das Gesetz – unabhängig davon, wo die Firma ihren Sitz hat. Für die Schweiz gilt aktuell, dass der Datentransfer an US-Unternehmen als Transfer in ein nicht anerkanntes Drittland gilt. Es braucht neben Standardvertragsklauseln technische und organisatorische Massnahmen, um die Datensicherheit zu gewährleisten. Vermutlich wird der Bundesrat amerikanische Firmen, die sich dem Data Privacy Framework unterstellen, nach dem 1. September 2023 als anerkannte Unternehmen deklarieren.

In China ist es vor allem der Staat, der die Bürger einschränkt und überwacht. Von ihm geht die grössere Gefahr aus als von Unternehmen. Hat das neue Gesetz einen falschen Fokus?

Nein, das neue Gesetz richtet sich gegen private und staatliche Akteure. Auch die Bundesbehörden müssen die Datenschutzbestimmungen erfüllen, nicht nur die Unternehmen.

Im Video: Sabine Fercher erklärt, was Unternehmen jetzt beachten müssen. (Produziert von Reto Vetterli)

Sind Sie selbst aktiv auf Social Media?

Ja (lacht). Aber ich habe zwei Handys. Auf meinem Privathandy nutze ich beispielsweise WhatsApp, auf dem Geschäftshandy nicht. WhatsApp, das zum Meta-Konzern gehört, saugt sehr viele Daten ab. Deshalb ist es für mich als Anwältin nicht möglich, meine geschäftlichen Kontakte auf demselben Handy wie WhatsApp zu speichern. Ich muss meine Kontakte schützen, weil ich sonst das Anwaltsgeheimnis verletze.

Clever!

Facebook habe ich noch wegen der Kontakte aus meiner Zeit in den USA. Ich nutze es nur sehr selten. Instagram und Twitter, oder wie auch immer Twitter neu heisst, habe ich gelöscht. LinkedIn nutze ich sehr oft, weil ich dort Inspiration finde zu vielen Themen, die mich interessieren. Und weil LinkedIn weiss, was mich interessiert, finde ich dort auch immer wieder spannende Inhalte … (lacht)

Sie sind sich dieser Inkonsequenz durchaus bewusst …

Ich bin mir bewusst, dass auch ich von sozialen Netzwerken manipuliert werde. Bei LinkedIn nehme ich es in Kauf, weil ich dort den Nutzen höher gewichte als den Schutz meiner Daten.

Viele Menschen sagen: «Mir doch egal, wenn Daten über mich gesammelt werden: Ich habe nichts zu verbergen.» Was antworten Sie ihnen?

Das Foto eines Anwaltskollegen – von seiner Website heruntergeladen – wurde soeben manipuliert und missbraucht, um Phishing zu betreiben. Menschen, die bewandert sind in Technologie, wissen, dass «nichts zu verbergen haben» keinen Schutz bietet vor derartigem Missbrauch. Dass Daten im grossen Stil gesammelt und missbraucht werden, ist real. Der amerikanische Geheimdienst kann zum Beispiel jederzeit auf die Daten von Facebook zugreifen.

Auch das Beispiel Clearview zeigt, wie mehr als 20 Milliarden Fotos von Gesichtern verwendet werden können, um mit besonders schützenswerten Daten zu handeln. In Italien wurde Clearview mit 20 Millionen Euro bestraft und es wurde der Firma untersagt, weiterhin Bilder von Italienerinnen und Italienern in ihre Datenbank aufzunehmen.

Clearview ist hingegen der Ansicht, dass man die Sicherheit erhöhe, indem Milliarden von Fotos gesammelt werden. Im Krieg zwischen der Ukraine und Russland stellt die Firma ihre Gesichter-Suchmaschine kostenlos zur Verfügung, um russische Gefallene zu identifizieren und deren Familienangehörige zu kontaktieren.

Auch die Zürcher Polizei hat schon Clearview benutzt, obwohl es gesetzlich nicht erlaubt ist. Was gesetzlich nicht erlaubt ist, darf die Behörde nicht tun.

Sind Menschen, die ihr Leben auf Social Media teilen, naiv?

Nun, sie machen es freiwillig. Aber ich würde davon abraten. Richtig schlimm ist es, wenn Kinderfotos geteilt und verschickt werden. Denn Kinder müssen speziell geschützt werden. Es gibt keine Kontrolle, wo diese Bilder landen.

Aber Hand aufs Herz: Wen interessieren schon meine Personendaten?

Wir sind alle verletzlich. Es ist den Menschen zu wenig bewusst, dass sie beeinflusst werden. Je mehr Daten über einen Menschen zirkulieren, desto beeinflussbarer ist er – fragen Sie mal bei einer Marketing-Agentur nach, wie diese arbeitet. Je mehr Daten jemand hinterlässt, desto gezielter kann Werbung platziert werden. Im «besten» Fall wissen die Werbetreibenden, was Sie interessiert, was Sie essen und wo Sie wohnen. Ein paar wenige Bytes an Daten reichen, und schon ist jeder Mensch eindeutig klassifizierbar.

Und wieso soll sich der amerikanische Geheimdienst für mich interessieren?

Erstens arbeitet der Geheimdienst eng mit der amerikanischen Wirtschaft zusammen. Da findet ein reger Datenaustausch statt. Wer mit Innovationen zu tun hat, sollte sich besonders schützen. Und zweitens eine Gegenfrage: Wäre es in Ordnung für Sie, wenn unsere Daten in den Händen von Donald Trump landen, der dann vielleicht die Idee hat, dass er noch weitere Anhänger braucht, um König der Welt zu werden?

Nochmals zum neuen Gesetz: Braucht es jetzt in der Schweiz die Cookie-Banner oder nicht?

Die einfachste Lösung ist: Übertragen Sie keine Personendaten wie die IP-Adresse an amerikanische Anbieter! Wenn Sie Ihre Website analysieren wollen, arbeiten Sie mit Schweizer Firmen zusammen, dann brauchen Sie auch keine Cookie-Banner. Falls es nicht anders geht und Google oder Facebook wegen Marketing-Zwecken wirklich eingebunden sein müssen, holen Sie die explizite Einwilligung der Nutzerinnen und Nutzer ein, bevor die Daten an Dritte weitergegeben werden.

Aber die Banner selbst sind Realität. Was halten Sie davon?

Cookie-Banner sind sehr mühsam und häufig fehlerhaft. Die Nutzerinnen und Nutzer haben fast keine andere Wahl, als auf «alles akzeptieren» zu klicken, weil alles andere zu kompliziert wird. Das Datenschutzgesetz sagt eigentlich, dass man genauso einfach zustimmen wie ablehnen können soll. Das ist nicht gut umgesetzt.

Mit dem Einsatz von künstlicher Intelligenz kommt jetzt eine ganz neue Dimension dazu …

Ja. Es ist wichtig, dass Politikerinnen und Politiker möglichst rasch ein Verständnis dafür aufbauen, wie künstliche Intelligenz funktioniert und wie hier der Datenschutz umgesetzt werden soll. Da gibt es noch sehr viel zu tun: Die technische Weiterentwicklung darf nicht gehemmt werden, gleichzeitig muss der Datenschutz auch in diesem Bereich ernst genommen werden. Produkte von künstlicher Intelligenz sollten als solche gekennzeichnet werden. 

Zum Fazit: Was ist die wichtigste Neuerung in einem Satz?

Alle, die in einem Unternehmen mit der Bearbeitung von Daten zu tun haben, müssen sicherstellen, dass der Zweck dieser Bearbeitung auch tatsächlich eingehalten wird, und sie dürfen Daten nur weitergeben, wenn dies zum Zweck der Bearbeitung wirklich notwendig ist.

Und was passiert, wenn jemand gegen das Gesetz verstösst?

Dann gibt es ein Strafverfahren. Das Datenschutzgesetz war bisher ein zahnloser Tiger, jetzt nicht mehr. Das ist auch eine sehr wichtige Neuerung: Ab dem 1. September 2023 können Strafen ausgesprochen werden. Im Gegensatz zur EU wird in der Schweiz jedoch nicht das Unternehmen bestraft, sondern das für den Verstoss verantwortliche Individuum innerhalb des Unternehmens. Inwiefern dies strafrechtlich umgesetzt wird, bleibt abzuwarten. Ich bin gespannt.

Zur Person: Sabine Fercher ist Gründerin und Inhaberin der Fercher Compliance GmbH. Sie ist Rechts­anwältin und Daten­schutz-Expertin.