Vorwort

Regeln für den digitalen Wildwest

Diese Schlagzeile in einer NZZ des letzten Jahres bringt es auf den Punkt: Die Auseinandersetzung um Big Data und das Internet der Dinge ist in vollem Gange und offenbart gleichzeitig gravierende Regelungslücken. Niemanden lässt das Thema kalt: Trendforscher, Wirtschaftsvertreter, Wissenschaftler, Ethiker und andere beleuchten die verschiedenen Aspekte und setzen sich mit Chancen und Gefahren auseinander. Während die einen den digitalen Wildwest kritisieren und Regeln fordern, bejubeln andere das immense Wirtschaftspotenzial von Big Data und verbreiten Goldgräberstimmung. Ich selber habe an zahlreichen Veranstaltungen referiert und die Kontroverse hautnah erlebt. Einig ist man sich immerhin darin, dass die Entwicklung eine grosse Herausforderung für den Schutz der Privatsphäre darstellt.

In seinem Buch «Die Null-Grenzkosten-Gesellschaft» betont der Soziologe und Big- Data-Experte Jeremy Rifkin das riesige Potenzial der digitalen Revolution mit dem Internet der Dinge (IoT), warnt aber zugleich, dass «das Problem der Privatsphäre eine wesentliche Sorge bleiben (wird), die in hohem Masse sowohl das Tempo des Übergangs als auch die Wege bestimmen wird, auf denen wir in die nächste Periode unserer Geschichte gehen.» Die Lösungsansätze könnten aber nicht unterschiedlicher sein. Während die einen vor den weitreichenden Folgen warnen, postulieren andere die Abschaffung der Privatsphäre. Die habe es im Altertum auch nicht gegeben, was zu Ende gedacht wohl heisst: Wenn wir den technischen Fortschritt voll auskosten wollen, müssen wir aufklärerisches Gedankengut über Bord werfen und uns letztlich autoritären Gesellschaftsformen unterwerfen. Wie die Sklaven im Altertum! Rifkin geht einen andern Weg und stellt die zentrale Frage, wie sich unter diesen Umständen ein transparenter Datenfluss gewährleisten lässt, der allen nützt und dabei garantiert, dass Informationen über das Leben des Einzelnen nicht ohne dessen Genehmigung und nicht in einer Weise benutzt werden, dass er Schaden nimmt.

Die spannende Frage wird sein, wer in diesem Kampf die Oberhand gewinnen wird. In zehn Jahren dürften wir mehr wissen. Solange wird es wohl dauern, bis sich das Potenzial dieser technischen Entwicklung voll entfaltet haben wird. Denn das Internet der Dinge - der grosse künftige Big-Data-Datenlieferant - ist erst am Anfang. Zwar können mit dem Internetprotokoll Version 6 (IPv6) unbeschränkt viele Gegenstände mit IP-Adressen ausgestattet werden, was eine Kommunikation über das Netz ermöglicht. Die wirtschaftliche Umsetzung wird aber noch einige Zeit dauern. Wollen wir den Gang der Dinge noch beeinflussen, müssen die Regeln rasch angepasst werden. Sonst wird uns die technische Entwicklung vor vollendete Tatsachen stellen.

Die Frage wird auch sein, ob Europa willens ist, die neofeudalistischen Monopole von Google, Facebook, Amazon und Konsorten in die Schranken zu weisen. Erste Stimmen in europäischen Regierungen, die diesen globalen Giganten mit kartellrechtlichen Massnahmen drohen, lassen aufhorchen. Auch die Schweiz muss sich angesichts dieser technologischen Revolution positionieren und Vor- und Nachteile erwägen. Es braucht eine vertiefte gesellschaftliche Debatte und eine Strategie der digitalen Gesellschaft. Ich hoffe sehr, dass die Kommission Rechsteiner, die bis Ende 2017 Resultate liefern soll, wichtige Impulse geben wird, die auch in die Revision des Datenschutzgesetzes (DSG) einfliessen.

Nach den Anschlägen von Paris und Kopenhagen ist es nicht verwunderlich, dass das neue Nachrichtendienstgesetz, das dem Nachrichtendienst eine Reihe neuer Beschaffungsmassnahmen zur Verfügung stellt, die parlamentarische Hürde ohne weiteres nahm. Ob das Gesetz noch eine Volksabstimmung zu bestehen hat, ist derzeit offen. Mit Blick auf die Enthüllungen von Edward Snowden stellt sich die Frage, ob unser Land mit einem schweizerischen Patriot Act den Weg der USA geht und einer flächendeckenden Überwachung den Weg bereitet. Hier ist eine Differenzierung nötig: Bei aller Skepsis ist darauf hinzuweisen, dass eine Überwachung nur in einem konkreten Fall auf richterliche Anordnung und mit Genehmigung durch den Sicherheitsausschuss des Bundesrates erfolgen darf. Bundesrat Ueli Maurer und der Nachrichtendienst betonen, dass es dabei lediglich um rund zwölf Fälle jährlich gehe. Es liegt nun in der Verantwortung der parlamentarischen Aufsicht - wahrgenommen durch die Geschäftsprüfungsdelegation - darüber zu wachen, dass dieser Rahmen eingehalten wird.

Auch wenn die Forderung nach zusätzlichen Kompetenzen für den Staatsschutz nachvollziehbar ist, bereitet der dem Parlament unterbreitete Entwurf einige Sorgen. Vor allem deshalb, weil die Kompetenzen des Staatsschutzes zum Teil weitergehen, als jene der Strafverfolgungsbehörden. Im Unterschied zu letzteren braucht der Nachrichtendienst für den Einsatz von Zwangsmassnahmen keinen konkreten Tatverdacht. Nicht geklärt ist unter anderem, was zu geschehen hat, wenn die Nachrichtendienste auf strafbare Handlungen stossen. Diese Klärung ist auch deshalb wichtig, weil die Strafverfolgungsbehörden mit der derzeit laufenden Revision des Bundesgesetzes betreffend die Überwachung des Post- und Fernmeldeverkehrs (Büpf) ebenfalls zusätzliche Mittel erhalten (u.a. den Staatstrojaner).

Die AHV-Nummer breitet sich ausserhalb der Sozialversicherung in verschiedenen Verwaltungsbereichen weiter aus. Dieses Jahr ist zum Beispiel das Handelsregister an der Reihe. Wir plädierten dafür, dass die Zentrale Ausgleichsstelle (ZAS) wie beim elektronischen Patientendossier (EPDG) einen von der AHV unabhängigen

Identifikator kreiert. Im Rahmen der Ämterkonsultation konnte der Widerstand des Handelsregisteramtes teilweise überwunden werden. Das Handelsregisteramt wird künftig einen von der AHV-Nummer abgeleiteten sektoriellen Identifikator schaffen und damit deren direkten Verwendung einen Riegel schieben. Wir hätten eine von der AHV-Nummer unabhängige Lösung bevorzugt, wie dies beim EPDG der Fall ist. Wir bedauern auch, dass damit in verschiedenen Verwaltungseinheiten unterschiedliche Konzepte etabliert werden. Der Bundesrat sollte diese Frage mit Blick auf die Schaffung einer einheitlichen Praxis klären. Es braucht einen Grundsatzentscheid darüber, ob eine generalisierte Verwendung der AHV-Nummer als einheitlichen Personenidentifikator angesichts der Risiken für die Grundrechte zulässig ist.

Ein weiteres zentrales Thema, mit dem wir uns im Berichtsjahr befasst haben, betraf die Vielzahl von Daten, die von Wirtschaftsinformationsplattformen wie Moneyhouse weit über den Aspekt der Kreditwürdigkeit hinaus bearbeitet werden. Aufgrund zahlreicher Beschwerden untersuchten wir die Praktiken dieses Unternehmens sehr ausführlich und beendeten die Sachverhaltsabklärung mit zahlreichen Empfehlungen. Die Betreiberin von Moneyhouse hat Anfang 2015 unsere Empfehlungen teilweise angenommen (vgl. unsere Webseite www.derbeauftragte.ch, Datenschutz - Empfehlungen). Die Punkte, bei denen keine Einigung erzielt wurde, werden wir nun dem Bundesverwaltungsgericht zur rechtlichen Klärung unterbreiten.

Positiv vermelden können wir die Entwicklung im Gesundheitswesen. In Zusammenhang mit der Einführung der Fallkostenpauschalen (SwissDRG) und der damit verbundenen Ausweitung der Datenströme konnten wir durchsetzen, dass die datenschutzkonforme Triage der digitalisierten Rechnungen innerhalb der Versicherer durch unabhängige und zertifizierte Datenannahmestellen (DAS) zu erfolgen hat, die der Aufsicht des EDÖB unterstehen. Seit der Einführung haben wir zahlreiche DAS überprüft und dabei massgebende Richtlinien entwickelt. Heute können wir festhalten, dass das neue Konzept nach unseren Vorstellungen umgesetzt wurde und wesentlich dazu beiträgt, dass die Datenflüsse im Gesundheitswesen geordnet und nach einheitlichen Kriterien abgewickelt werden.

Momentan ist die Auslagerung von Diensten in die Cloud oder deren Einbezug im Trend. Wir werden immer wieder von Bundesorganen angefragt, ob sie Datenbearbeitungen an ausländische Anbieter übertragen dürfen. Wir haben entschieden darauf hingewiesen, dass ihnen die Pflicht obliegt, sorgsam mit den Personendaten der Bürger umzugehen und sie insbesondere vor einem unbefugten Zugriff durch ausländische Behörden zu schützen. Auf eine solche Auslagerung ist daher in der Regel zu verzichten. Aber auch als Privatanwender ist es zunehmend schwierig, Geräte ohne die Verwendung von Clouddiensten zu nutzen. Bisher konnten mobile Geräte lokal gesichert oder synchronisiert werden. Die Produkte der neuesten Generation zwingen den Anwender, seine persönlichen Daten an unbekannte Datencenter zu übertragen. Dies ist eine Entmündigung der Nutzer durch die Hersteller und führt letztlich zum Entzug der Kontrolle über die eigenen Daten.

Am 16. April 2014 verabschiedete der Bundesrat die Open-Government-Data-Strategie Schweiz 2014-2018, welche interessierte Kreise dazu bewog, dem Bundesrat Fragen zu stellen zum wirtschaftlichen Potenzial einer innovativen Datennutzung im Energie-, Verkehrs- und Gesundheitsbereich und wie sich die Schweiz im globalen Datenwettbewerb positionieren wolle. Wichtig aus unserer Sicht ist der Hinweis des Bundesrates, dass er bis Ende Jahr prüfen wolle, ob sich im Bereich Big Data Handlungsbedarf ergebe, namentlich mit Bezug auf Datenschutz und Verfügungsrecht über die eigenen Daten. Wir werden diesen Aspekt - vor allem auch im Hinblick auf die Revision des DSG - aufmerksam verfolgen.

Im Kontext des Öffentlichkeitsgesetzes (BGÖ) gilt es das wegweisende Urteil des Bundesverwaltungsgerichts zu erwähnen, das unsere Empfehlung in Sachen KTI (Kommission für Technologie und Innovation) stützte. Das Gericht kam zum Schluss, dass die Öffentlichkeit ein erhebliches Interesse hat zu erfahren, wie im Zusammenhang mit der Innovationsförderung öffentliche Gelder verwendet werden. Vor einem Jahr habe ich in Zusammenhang mit der Evaluation des BGÖ die Befürchtung geäussert, dass sich der Bericht als Steilvorlage für eine Schwächung des Gesetzes entpuppen könnte. Dies vor allem deshalb, weil der Anstoss zur Evaluation von gewissen Ämtern kam, die sich durch das Gesetz behindert sahen. Inzwischen ist der Bericht da. Eine ausführliche Würdigung findet sich in Kapitel 2.4.1. Erfreulich ist für uns zunächst, dass das Schlichtungsverfahren, so wie wir es bis anhin praktizieren, auf grosse Akzeptanz stösst, und dies obwohl wir in den meisten Fällen wegen fehlender Ressourcen die Fristen nicht einhalten können. Und: Für eine Aufweichung des Gesetzes bietet dieser Bericht keine Grundlage. Im Gegenteil: Wichtig ist die Feststellung, dass der durch das BGÖ geforderte Paradigmenwechsel noch immer nicht in der ganzen Bundesverwaltung vollzogen ist. Gleichwohl möchten wir betonen, dass sich die Akzeptanz laufend verbessert, vor allem dort, wo die Umsetzung des BGÖ auf Führungsstufe angesiedelt ist. Dazu tragen nicht zuletzt auch die zahlreichen Urteile des Bundesverwaltungsgerichts und des Bundesgerichts bei, welche die Empfehlungen des EDÖB bisher in den meisten Fällen stützten.

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/22--taetigkeitsbericht-2014-2015/vorwort.html