plädoyer: Sie waren 14 Jahre lang oberster Datenschützer der Schweiz. Konnten Sie in dieser Zeit den Rechtsschutz der Bürger gegenüber den Datensammlern verbessern?
Hanspeter Thür: In diesen Jahren hat sich vieles verändert. 2001 war Google zum Beispiel noch ein kleines Unternehmen mit einem einstelligen Millionengewinn. Netzwerke wie Facebook oder Whatsapp entstanden erst ab 2005. Die Digitalisierung entwickelte sich erst in den letzten 10 bis 15 Jahren rasant. Innert kürzester Zeit vergrösserte sich die Leistungsfähigkeit zur Datenspeicherung und Datenauswertung enorm.
Kann ein staatlicher Datenschützer wirksam gegen das zunehmende Absaugen privater Informationen vorgehen?
Die IT-Entwicklung nahm keine Rücksicht auf die Gesetzgebung. Das Recht hat vor der Macht des Faktischen kapituliert. Beispiel Google: Die Rechtslage war stets klar. Man darf nicht einfach Leute filmen und das auf der ganzen Welt verbreiten. Wir versuchten, dieser Entwicklung mit Rechtsmitteln entgegenzutreten. Die Strategie: an kritischen Punkten ein Exempel statuieren.
Waren Sie damit erfolgreich? Internationale Konzerne foutieren sich doch um den Schweizer Datenschutz.
Im Fall Google zogen wir bis vor das Bundesgericht. Dieses definierte dann, was Google fotografieren darf, dass es auch im Internetzeitalter ein Recht am eigenen Bild gibt und deshalb Gesichter verpixelt werden müssen. Zum ersten Mal hatten wir eine gerichtliche Definition dessen, wie weit ein Konzern wie Google gehen kann, wenn er im öffentlichen Raum Bilder aufnimmt. Google hat das auch umgesetzt.
In einem andern Fall verbot das Bundesgericht einem Schweizer Unternehmen, Computerbenutzer via IP-Adresse zu identifizieren, um sie dann mit Rechnungen unter Druck zu setzen. In einem dritten Fall ging es um Bewertungsportale: Lehrer, Anwälte oder Ärzte wurden im Internet anonym bewertet. Für uns war das klar nicht gesetzeskonform. Wenn jemand bewertet werden soll, muss er zuerst die Einwilligung geben. Anonyme Bewertungen enthalten zudem das Risiko, falsche Informationen zu verbreiten. So konnten wir neuen Geschäftsmodellen, die das geltende Recht aushebeln wollten, einen Riegel schieben.
Daten sind reines Geld. Auch staatliche Grossunternehmen wie Swisscom, SBB oder Post sammeln so viele Daten wie möglich, um sie der Werbebranche verkaufen zu können. Gibt es eigentlich keine gesetzlichen Grenzen dieser Verwertung von privaten Daten?
Eine Auseinandersetzung mit Moneyhouse liegt zurzeit beim Bundesverwaltungsgericht. Diese Firma verkauft unter anderem Daten über die Zahlungsfähigkeit von Privaten und Unternehmen. Legal ist, Daten zu sammeln, um herauszufinden, ob ein Unternehmen oder eine Person zahlungsfähig ist. Moneyhouse geht aber viel weiter. Wir stellten fest, dass eine Reihe von Daten aller Art zu Personen oder Unternehmen verwendet werden, die ein Persönlichkeitsprofil bilden, ohne dass die Betroffenen darüber informiert wurden oder ihre Einwilligung gegeben hätten. Wir intervenierten und formulierten eine Reihe von Rahmenbedingungen. Einige wurden von Moneyhouse akzeptiert, andere nicht. Deshalb der hängige Prozess.
Facebook, Google & Co. dringen immer tiefer in die Privatsphäre ein. Sie wollen wissen, was Leute denken, was sie fühlen. Und werten dafür die gesamte Kommunikation inklusive Freundeskreis aus. Die Erlaubnis dazu holen sie sich via das Kleingedruckte.
Aus den Vertragsbedingungen muss klar ersichtlich sein, was ein Unternehmen mit den Kundendaten macht. Das Hauptproblem: Diese AGB sind derart unverständlich und unübersichtlich, dass der Durchschnittsbürger völlig überfordert ist. Nur die wenigsten Leute lesen das Kleingedruckte, das manchmal bis zu vier oder fünf A4-Seiten lang ist. Das Kleingedruckte ist der Motor, der zu den grossen Datenbergen führt.
Wer eine App herunterlädt, muss dem Unternehmen Zugangsberechtigungen geben, um die App überhaupt nutzen zu können. Das Geschäftsmodell besteht also darin, die Einwilligung bei den Leuten zu holen. Kann so nicht der gesamte Datenschutz ausgehebelt werden?
Man müsste auf Gesetzesstufe einen neuen Grundsatz etablieren. Inhalt: Die Produkte, die den Leuten angeboten werden, müssen in der Grundausstattung die Privatsphäre möglichst weitgehend schützen. Beispiel Google Maps: Wenn ich auf meinem Handy die Ortungsdienste ausschalte und Google Maps benutzen will, muss ich den Ortungsdienst wieder einschalten. Sonst funktioniert die App nicht. Wenn ich Google Maps danach wieder verlasse, sollte ich davon ausgehen können, dass der Ortungsdienst wieder ausgeschaltet ist. Das Gegenteil ist der Fall.
Das zeigt doch: Die aktuelle Datenschutzgesetzgebung kann keinen effektiven Persönlichkeitsschutz gewährleisten.
Ja, das heutige Gesetz genügt tatsächlich nicht. Deshalb hat das Bundesamt für Justiz den Auftrag, bis nächsten Sommer einen Entwurf für eine Revision vorzubereiten. Parallel dazu revidiert auch die EU die Datenschutzverordnung. Ich habe allerdings meine Zweifel, ob der Bundesrat gewillt ist, die dringend nötigen Verbesserungen anzubringen. Gewisse Wirtschaftskreise haben ihren Widerstand bereits angekündigt.
Diese Datenschutzreform der EU soll 2018 umgesetzt werden. Google, Facebook usw. müssten demnach künftig die Zustimmung zur Nutzung der Daten einholen. Ist das ein Fortschritt oder muss einfach das Kleingedruckte um einen neuen Satz ergänzt werden?
Die EU-Verordnung wird in vielen Punkten substanzielle Verbesserungen bringen. Es wäre schon viel erreicht, wenn die Schweiz in diesen Punkten nachziehen würde. Wenn die EU ihr Gesetz verschärft, stellt sich in der Schweiz die grundsätzliche Frage, ob wir noch ein gleichwertiges Niveau haben. Dies ist die Voraussetzung dafür, dass der Datentransfer zwischen der Schweiz und der EU stattfinden kann. Parallel dazu gibt es im Europarat eine Konvention, die auch abgeändert wird. Die Schweiz hat sie unterzeichnet.
US-Unternehmen wie Google oder Facebook können trotz EU und Schweizer Datenschutz tun, was sie wollen. Die Verpflichtungen zur Löschung bestimmter Einträge setzen sie nur in Europa um, in den USA nicht. Es gibt also auf der Welt verschiedene Datenschutzniveaus. Wo steht die Schweiz?
Unser Datenschutz ist heute vergleichbar mit jenem der EU. Es gibt regelmässige Überprüfungen: Während meiner Amtszeit hatte ich zweimal Besuch von EU-Kontrollgremien, die unsere Gesetzgebung und unsere Umsetzung prüften. Beim Schengenraum muss die Schweiz ja den Nachweis erbringen, dass sie über einen gleichwertigen Datenschutz verfügt. Sonst könnte sie sich nicht an Schengen beteiligen.
Auch der Staat will möglichst viele Daten über seine Bürger sammeln. Er tut dies via Steuern, Sozialversicherungen, Gesundheitssystem und seine Grossbetriebe wie Swisscom und Post. Zusätzlich will der Nachrichtendienst private Daten sammeln und verlangt via Gesetz neue Instrumente. Ist gegen den Datenhunger des Staats ein Kraut gewachsen?
Der Staat muss weniger Eigeninitiative aufwenden, um an persönliche Daten zu kommen. Private Unternehmen stellen bereits viel zur Verfügung. Das muss der Staat nur noch anzapfen. Beispiel USA: Der Patriot Act erlaubt dem Staat den Zugriff auf die Daten aller strategischen Unternehmen.
Beim neuen Nachrichtendienstgesetz braucht es nicht einmal einen Verdacht, dass jemand gegen das Gesetz verstossen hat, damit der Geheimdienst private Daten sammeln darf. Das ist doch ein Freipass. Der Bürger hat nicht einmal das Recht, im Nachhinein zu erfahren, was über ihn gesammelt wurde.
Ja, das ist sehr heikel und gefährlich. Als Datenschützer habe ich das immer gesagt. Es geht um das Problem des flächendeckenden Datensammelns. Für den Bürger ist es wichtig, dass er einschätzen kann, wie stark er betroffen ist. Er hat kein Interesse, dass der Staat Informationen über ihn sammelt, verwaltet und hortet, die möglicherweise falsch sind.
Die beste Kontrollmöglichkeit wäre doch, wenn man einen zwingenden nachträglichen Benachrichtigungszwang einführen würde. Die Bürger wissen sonst nicht, was sich die Geheimdienste erlauben.
Nach den Terroranschlägen von New York argumentierten die Behörden ähnlich wie heute in der angeblich islamistischen Bedrohungslage: Sie sagten, es gebe nur wenige Fälle, bei denen sie weitergehen würden, als öffentlich zugängliche Quellen auszuwerten. Bundesrat Ueli Maurer sprach von lediglich etwa zehn Fällen jährlich, in denen sein Nachrichtendienst das problematische Instrumentarium einsetzen müsste.
Davon steht im Gesetz nichts. Wer garantiert, dass es bei zehn Fällen bleibt? Können Sie garantieren, dass ein Fichenskandal nicht wieder vorkommt?
Einen Missbrauch kann man nie ausschliessen. Meine Strategie war, dass man dem Nachrichtendienst nur Eingriffe in die Privatsphäre erlaubt, wenn politische und juristische Kontrollen vorgeschaltet werden. Laut dem neuen Nachrichtendienstgesetz braucht es denn auch eine Bewilligung durch das Bundesverwaltungsgericht im Einzelfall. Dann muss der Eingriff durch den VBS-Chef nach Konsultation mit dem EDA- und dem EJPD-Vorsteher angeordnet werden. Die Exekutive muss also die Verantwortung für diesen schwerwiegenden Eingriff in die Privatsphäre übernehmen.
In Russland kontrolliert auch die Regierung den Nachrichtendienst. Niemand würde behaupten, dass das eine wirksame Kontrolle gegen Missbräuche sei.
Es geht nicht nur um Kontrolle, sondern um Verantwortung. Das neue Gesetz sieht zudem eine unabhängige Aufsichtsstelle vor, eine Kommission ausserhalb der Verwaltung, die nachträglich die Recht- und Zweckmässigkeit eines Eingriffs überprüft. Das habe ich von Anfang an verlangt. Nun steht es im Gesetz.
Das ist bloss eine Kontrolle der Verwaltung, kein Rechtsschutz für Betroffene. Der bespitzelte Bürger hat vor dieser Kommission keine Parteistellung – er kann nicht einmal Einsicht verlangen in die über ihn gesammelten Daten.
Das ist so. Wichtig ist diese unabhängige Kontrolle trotzdem. Wenn sie richtig funktioniert, wird sie die Menge der Fälle im Auge behalten. Es fällt schnell auf, wenn es auf einmal nicht mehr zehn, sondern hundert Fälle pro Jahr sind.
Der Bundesrat hat Adrian Lobsiger zu Ihrem Nachfolger bestimmt. Er war bisher stellvertretender Direktor der Bundespolizei. Wie interpretieren Sie es, wenn eine Regierung eine Person zum Datenschützer bestimmt, die vorher auf der Seite der hungrigen Datensammler stand?
Ich kommentiere die Wahl meines Nachfolgers nicht.
Der Anspruch auf Privatsphäre erodiert. Brauchen wir noch einen Datenschützer, wenn die Entwicklung in dieser Richtung weitergeht?
Die Privatsphäre ist tatsächlich massiv gefährdet. Man geht heute davon aus, dass sich der Datenberg alle 12 bis 18 Monate verdoppelt. Von jedem Menschen werden also in jedem weiteren Jahr doppelt so viele Daten gesammelt wie im vorherigen. Der Datenschützer ist wenigstens ein Warnsystem. Allein die Beschreibung der Fakten ist brisant. Gefährlich wird es, wenn das niemand mehr beschreibt und damit die Politik zum Handeln zwingt.
Zurzeit versuchen Privatunternehmen und staatliche Behörden, den Barzahlungsverkehr einzuschränken. Wie beurteilen Sie die Bestrebungen zum bargeldlosen Zahlungsverkehr?
Das wäre ausserordentlich gefährlich – das führt zur totalen Abschaffung der Privatsphäre. Dieses Thema wird meinen Nachfolger stark beschäftigen.
Sie haben in Ihrer Tätigkeit in der Schweiz Pionierarbeit geleistet. Wie wichtig war die Zusammenarbeit mit ausländischen Datenschützern?
Sehr wichtig. Es gibt einen jährlichen Kongress auf europäischer Ebene und einen weltweiten Kongress. Das sind wichtige Foren. Alle arbeiten an den gleichen Problemen. Und die Erfolge sind grenzübergreifend: So gab es nach dem Google-Urteil des Europäischen Gerichtshofs ein kanadisches Urteil, das sich auf ein Bundesgerichtsurteil bezog. Die Frau, die mit entblössten Brüsten auf Google Street View abgebildet war, erhielt eine Genugtuung.
Trotzdem hat der Persönlichkeitsschutz gegenüber der Datensammlerei keine Chance.
Es stellt sich tatsächlich die Frage, ob wir dieser Entwicklung gewachsen sind. Ich denke: Wir rennen immer hinterher. Die ganze Gesetzgebung ist mit einem Bereich konfrontiert, der extrem dynamisch ist. Wir müssen von einer digitalen Revolution sprechen. Es ist ein Jahrhundertthema, das innerhalb weniger Jahre riesige Umwälzungen brachte. Sollte diese Entwicklung so weitergehen, wird die Privatsphäre zu einem Luxusgut für wenige, die sich das leisten können. Für die grosse Masse wird sie zu einer Illusion verkommen.
Hanspeter Thür, 66, Rechtsanwalt in Aarau, beendete Ende November seine 14-jährige Amtszeit als Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. Seine politische Karriere begann Thür im Grossen Rat des Kantons Aargau. Von 1987 bis 1999 war er Nationalrat und leitete die Fraktion der Grünen.
