04.04.2008, 08:40 Uhr
«Datenschutz ist nicht sexy»
Seit Anfang dieses Jahres gilt in der Schweiz das -revidierte Datenschutzgesetz (DSG). Was kommt nun auf die Firmen zu? Computerworld hat Ursula Uttinger, Präsidentin des Datenschutz-Forums, zu den wichtigsten Neuerungen befragt.
«Vom neuen Datenschutzgesetz profitieren vor allem Zertifizierungsstellen und Datenschutzberater. Sie können dadurch neue Aufträge gewinnen.» Ursula Uttinger, Präsidentin des Datenschutz-Forum Schweiz
Das revidierte Datenschutzgesetz, das seit dem 1. Januar in Kraft ist, bringt einige Änderungen für Schweizer Unternehmen mit sich. Diese bieten einige Vorteile, beispielsweise für multinationale Unternehmen. Kehrseite der Medaille ist der durch das neue Gesetz bedingte Mehraufwand. Computerworld hat mit Ursula Uttinger, Präsidentin des Datenschutz-Forums, über die Neuerungen gesprochen.
Computerworld: Das DSG galt bislang als recht zahnlos. Hat es jetzt mehr Biss?
Ursula Uttinger: Es hat vielleicht ein klein wenig mehr Biss, weil der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) allenfalls eine Entscheidung weiterziehen kann. Nach wie vor geht es aber sehr lange, bis Entscheidungen fallen. Zudem muss man befürchten, dass es wie bis anhin kaum Kläger geben wird.
Welche geänderten Artikel sind aus Ihrer Sicht besonders wichtig?
Sicherlich ist Artikel 7a, in dem mehr Transparenz bei der Bearbeitung von besonders schützenswerten Daten und Persönlichkeitsprofilen gefordert wird, ein sehr wichtiger Artikel. Auch Artikel 6, der den grenzüberschreitenden Datenverkehr regelt, ist ein weiterer Meilenstein. Hier können beispielsweise multinationale Unternehmen Personendaten verschieben, wenn in der ganzen Firma die selben Datenschutzbestimmungen gelten. Dabei wird sozusagen der Konzernbegriff durch die Hintertüre eingeführt.
Was schliesslich ganz wichtig ist: Die Register über die Datensammlungen der Firmen sollen vom EDÖB nun öffentlich übers Internet zugänglich gemacht werden. Bis anhin wurden diese Listen in Buchform publiziert.
Was bedeutet das Ganze für die Praxis?
Neben den bereits erwähnten Punkten der grenzüberschreitenden Daten und des Transparenzgebots ist besonders für Firmen wichtig, dass nach Artikel 11a heute mehr Datensammlungen gemeldet werden müssen - es sei denn, man entledigt sich der Meldepflicht durch die Anstellung eines Datenschutzverantwortlichen oder unterzieht sich einer Zertifizierung.
«Datenschutz ist nicht sexy»
Wie verhält sich das Schweizerische DSG zu ausländischen, vergleichbaren Gesetzen?
Vieles ist mit den ausländischen Regelungen vergleichbar. Eine Besonderheit unseres DSG ist allerdings, dass wir als einziges Land den Begriff des Persönlichkeitsprofils eingeführt haben.
Wer definiert dabei, was ein Persönlichkeits-profil ist, respektive was es beinhaltet?
In Artikel 3d heisst es, Persönlichkeitsprofile seien «eine Zusammenstellung von Daten, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt». Aber was sind wesentliche Aspekte der Persönlichkeit? Hier werden erst Gerichte entscheiden müssen, was wir darunter zu verstehen haben.
Was allerdings sicher ist: Die Wirtschaft wehrt sich dagegen und behauptet so gut als möglich, dass sie keine Persönlichkeitsprofile anlegt. Denn sobald man zugibt, dass man Persönlichkeitsprofile unterhält, käme der Artikel 7a zur Anwendung. Und der damit verbundene Mehraufwand wird von den Firmen gescheut.
Welche Branchen wären von dieser Neuerung besonders betroffen?
Zum Beispiel Adresshändler: Bei ihnen zeigen sich die Schwierigkeiten, die im Begriff Persönlichkeitsprofil stecken. Denn die Daten, die diese Firmen sammeln, sind an sich noch kein Persönlichkeitsprofil. Allerdings reichern viele Adresshändler die blanken Adressdaten mit weiteren Informationen an. Dabei werden beispielsweise anhand der Wohnanschrift Mutmassungen über die Gewohnheiten und über die Kaufkraft der Bewohner ermittelt. Dies geschieht natürlich wiederum anhand von frei zugänglichen Informationen wie Statistiken über das entsprechende Wohnquartier. Daher sagen diese Firmen nicht «Herr x gehört zur Gruppe y», sondern «mit überwiegender Wahrscheinlichkeit ist davon auszugehen, dass Herr x zur Gruppe y gehört». Die Frage, die sich daraus ergibt lautet: Ist das schon ein Persönlichkeitsprofil?
Aber diese Firmen werben ja genau damit, dass sie für den Versand von Werbung sehr genau Bescheid wissen, wen man anschreiben soll.
Ja, richtig. Und hier habe ich auch schon Vertreter dieser Branche gewarnt, dass sie dies in Zukunft anders kommunizieren müssen. Denn eigentlich erstellen sie kein Persönlichkeitsprofil, erwecken aber oft den gegenteiligen Eindruck.
Das DSG bezeichnet Persönlichkeitsprofile ja als besonders heikel, weshalb die Betroffenen aktiv informiert und aufgeklärt werden sollen. Andererseits ist zu beobachten, dass viele Leute von ganz alleine, also freiwillig Persönlichkeitsprofile anlegen und diese der Welt im Internet frei zur Verfügung stellen. Müsste das DSG nicht auch die Betroffenen vor sich selbst schützen?
(lacht) Wir gehen in der Schweiz immer noch davon aus, dass eine Person eigenverantwortlich handelt. Nein - wir können niemanden vor sich selbst schützen. Man kann die Menschen nur immer wieder warnen und aufklären. Aber sie haben natürlich Recht. Es ist zum Teil haarsträubend, wie wenig sich die Menschen darüber im Klaren sind, welch umfangreiche Datenspuren sie im Web hinterlassen.
«Datenschutz ist nicht sexy»
Neuerdings kann man sich ja zertifizieren lassen, um die Meldung nach Bern zu umgehen. Was bringen diese Zertifikate?
Wie aussagekräftig diese sind, kann noch nicht gesagt werden. Denn das Ganze ist erst im Entstehen. So gibt es zwar eine Verordnung des Bundesrates, welche die Zertifizierung regelt. Was dazu aber noch fehlt, sind klare Richtlinien, die beschreiben, was die interessierten Firmen überhaupt zu tun und zu beachten haben, um sich zertifizieren zu lassen.
Auch gibt es derzeit nur das Datenschutzgütesiegel von SQS, der Schweizerischen Vereinigung für Qualitäts- und Management-Systeme. Das soll sich aber ändern: In guter liberaler Tradition will man hier Konkurrenz. Es wird also mehrere Labels geben. Dabei besteht natürlich die Gefahr, dass man einen Gütesiegelsalat erhält wie wir ihn etwa von der Bio-Zertifizierung her kennen.
Aus Sicht der Konsumenten ist dies ziemlich kontraproduktiv, denn sie werden verunsichert. Überhaupt kann die Aussagekraft der einzelnen Labels hinterfragt werden. Denn die Prüfung beschränkt sich auf gewisse Stichproben. Was sonst noch passiert, weiss man nicht. Es darf somit behauptet werden, dass ein Zertifikat nicht aussagt, ob in einer Firma der Datenschutz auch konsequent und immer gelebt wird. Meiner Meinung nach müssten die Auditoren unangekündigt in der Unternehmung auftauchen und ihre Prüfungen durchführen. Derzeit kündigen sie ihren Besuch an und vereinbaren sogar, welche Stellen und Personen geprüft werden.
Und sie dürfen jedes Jahr wiederkommen...
Richtig. Es gibt nichts Genialeres als das Zertifizierungsgeschäft. Sie akquirieren einen Kunden einmal und können alle drei Jahre ein grosses Audit, in den Zwischenjahren je ein kleines machen. Zudem gibt es für Firmen kaum eine Chance, aus diesen Zyklen wieder auszusteigen. Denn das Schlimmste, das Ihnen passieren kann, ist, dass sie nicht mehr zertifiziert werden. Wenn Sie ein Zertifikat haben, kräht kein Hahn danach. Haben Sie es aber nicht mehr, wird sich jeder die Frage stellen: «Warum haben Sie plötzlich kein Zertifikat mehr?»
Haben diese Zertifikate bereits eine solche Marketingwirkung, dass eine Firma unbedingt zertifiziert sein muss?
Seit Jahren versucht man den Firmen weiszumachen, dass Datenschutz ein Wettbewerbsvorteil sei und ein Datenschutzgütesiegel ein Marketingvorteil. Meiner Meinung nach wissen die wenigsten Leute, dass es überhaupt solche Zertifikate gibt und schon gar nicht, ob die Firma X eines hat.
Selbst wenn es zu einer Datenschutzverletzung kommt, interessiert das kaum jemanden. In letzter Zeit hatten wir ja einige Skandale mit Krankenkassen. Wenn man allerdings fragt, welche Firmen das nun wieder waren, erhält man kaum eine Antwort. Und Sie werden schwerlich jemanden finden, der wegen des Skandals seine Krankenkasse gewechselt hat.
Kann man also behaupten, dass einem grossen Teil unserer Gesellschaft der Datenschutz schlicht egal ist?
Genau. Das ist sehr frustrierend für Menschen wie mich, die sich so intensiv mit dem Datenschutz befassen. Aber ich muss immer wieder feststellen, dass sich im Grunde niemand um den Datenschutz schert. Datenschutz ist einfach nicht sexy. Und es ist auch nicht so, dass man eine datenschutzzertifizierte Firma mit einem Bio-Apfel vergleichen kann. Bei letzterem kann man sagen, dass er besser schmeckt, dass bei der Herstellung und beim Transport weniger CO2 erzeugt wurde. Datenschutz hat nichts Vergleichbares. Er schmeckt nicht besser.
«Datenschutz ist nicht sexy»
Können Sie konkrete Tipps geben, was Firmen angesichts des neuen DSG tun sollen?
Am einfachsten ist es wohl, wenn eine Firma eine Liste ihrer Datensammlungen erstellt und beim EDÖB eintragen lässt. Hier muss man nur ein Formular ausfüllen, das sogar auf der Homepage des EDÖB zu finden ist, und die Angelegenheit ist erledigt.
Es bringt also nichts, wenn sie einen Datenschutzverantwortlichen bestimmen oder sich zertifizieren lassen? Oder böse ausgedrückt: Wer bis anhin nicht gross etwas getan hat, muss dies auch in Zukunft nicht tun. Denn was ist das Schlimmste, das einem passieren kann, wenn man den Datenschutz nicht einhält?
Es kann nicht viel passieren, das ist richtig. Wer aber den Datenschutz im eigenen Unternehmen verbessern will, sollte intern jemanden bestimmen, der sich um den Datenschutz kümmert. Wichtig ist hierbei, dass das Ganze zuoberst in der Geschäftsleitung abgestützt ist. Wer auf diese Weise die Angestellten sensibilisiert, muss sich aber auf mehr Fragen gefasst machen. Dabei ist diese Aufklärungsarbeit wichtiger als die Einführung bestimmter Techniken. Denn die Fehler in Sachen Datenschutz machen meistens die Menschen.
Wer profitiert von dem neuen Datenschutzgesetz jetzt eigentlich am meisten?
Es wäre schön, wenn ich sagen könnte: Die Schweizer Bevölkerung profitiert am meisten. Hierfür hat sich am Gesetz aber einfach zu wenig geändert. In der Realität werden es wohl die Zertifizierungsfirmen oder die Datenschutzberater sein. Sie werden sich dadurch das eine oder andere Mandat zusätzlich sichern können.
Weitere Informationen
Die wichtigsten Neuerungen im Datenschutzgesetz
Seit dem 1. Januar 2008 gilt in der Schweiz das überarbeitete Datenschutzgesetz. In folgenden Artikeln finden sich die wichtigsten Neuerungen:
Artikel 6:
Personendaten können normalerweise nicht ins Ausland bekanntgegeben werden, wenn dort nicht ein ähnlich guter Datenschutz besteht wie in der Schweiz. Die wichtigste neue Ausnahme gilt für multinationale Konzerne: Die Bekanntgabe von Personendaten ist erlaubt, wenn sie «innerhalb derselben juristischen Person oder Gesellschaft oder zwischen juristischen Personen oder Gesellschaften, die einer einheitlichen Leitung unterstehen, stattfindet, sofern die Beteiligten Datenschutzregeln unterstehen, welche einen angemessenen Schutz gewährleisten.»
«Datenschutz ist nicht sexy»
Artikel 7a:
Der neue Artikel regelt die Informationspflicht: «Der Inhaber der Datensammlung ist verpflichtet, die betroffene Person über die Beschaffung von besonders schützenswerten Personendaten oder Persönlichkeitsprofilen zu informieren; diese Informationspflicht gilt auch dann, wenn die Daten bei Dritten beschafft werden.»
Artikel 11:
Neu können sich Firmen, die ihre Datensammlungen nicht beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) anzeigen wollen, von einer unabhängigen Drittfirma zertifizieren lassen: «Um den Datenschutz und die Datensicherheit zu verbessern, können die Hersteller von Datenbearbeitungssystemen oder -programmen sowie private Personen oder Bundesorgane, die Personendaten bearbeiten, ihre Systeme, Verfahren und ihre Organisation einer Bewertung durch anerkannte unabhängige Zertifizierungsstellen unterziehen.»
Artikel 11a:
Schon nach dem «alten» Datenschutzgesetz mussten Datensammlungen vom EDÖB in einem Register geführt werden. Neu ist, dass diese Listen nicht mehr in Buchform sondern über das Internet öffentlich zugänglich sind: «Der Beauftragte führt ein Register der Datensammlungen, das über Internet zugänglich ist. Jede Person kann das Register einsehen.»
Den kompletten Text des Datenschutzgesetzes findet Sie unter: www.admin.ch/ch/d/sr/c235_1.html
Zur Person
Ursula Uttinger
