"Wir wussten auch ohne Snowden, dass Dropbox keine sichere Cloud-Lösung ist"

Herr Noser, derzeit werden die Entwürfe für das Bundesgesetz betreffend die Überwachung des Post- und Fernmeldeverkehrs BÜPF und das neue Nachrichtendienstgesetz diskutiert. Was bereitet Ihnen als Unternehmer im Rahmen dieser beiden Gesetze die meisten Sorgen?

Als Unternehmer bin ich nicht davon betroffen. Aber als Staatsbürger und Politiker beunruhigen mich die beiden neuen Gesetze.

Die Provider werden nun zur Vorratsdatenspeicherung über zwölf Monate hinweg verpflichtet.

Ja, Provider sind stark von diesen Gesetzen betroffen. Und was ein Provider ist, definiert der BÜPF-Entwurf nicht klar. Es kann also sein, dass Unternehmen heute solche Dienste anbieten, ohne sich bewusst zu sein, dass sie neu von Gesetzes wegen als Provider gelten und die Daten auf Vorrat speichern müssen.

Auch die Kosten für die Überwachung sollen die Provider übernehmen.

Das ist ein weiteres Problem. Jede sonstige Überwachungsmassnahme kostet den Staat viel Geld, nur die Telekom-Überwachung nicht, weil die Provider ja dafür aufkommen. Das Risiko besteht, dass die Untersuchungsbehörden diese Massnahme in Zukunft öfters ergreifen werden. Eben weil sie den Staat praktisch nichts kostet. Das schafft Potential für Missbrauch.

Was kritisieren Sie sonst noch an diesen beiden Entwürfen?

Wir müssen uns bewusst sein, dass die Überwachung des Datenverkehrs zwischen Personen ein Vielfaches mehr an Informationen zu einem Leben und einer Person liefert als die einfache Post- und Telefonüberwachung. Die Überwachung kommt viel näher an eine Person und ihre Privatsphären heran als dies vielleicht noch vor 30 Jahren der Fall war. Die Verpflichtung, Daten von Personen über Monaten auf Vorrat zu speichern, stellt alle unter einen Generalverdacht. Und Staatstrojaner, die ganz nebenbei auch noch alle privaten Daten vom Computer kopieren, sollten gar nicht erst erlaubt werden.

Was wollen Sie als Politiker daran ändern?

Wenn im Rahmen eines richterlichen Beschlusses Personen abgehört werden, die nichts mit dem Fall zu tun haben, müssen diese im Nachhinein über die Abhöhrung informiert und ihre Daten gelöscht werden. Ebenfalls muss die zentrale Überwachungsbehörde alle Daten löschen, wenn sie an die beauftragende Behörde geliefert worden sind. Diese Forderungen müssen in die laufenden Beratungen aufgenommen werden.

Am Datenschutztag 2014 stand auch das bestehende Datenschutzgesetz zur Diskussion. Sie haben dort gesagt, dass dieses von Grund auf neu erarbeitet werden müsse, weil die Rahmenbedingungen für den Datenschutz heute komplexer seien als früher. Was fordern Sie konkret?

Der klassische Datenschutz baut darauf auf, dass aus Daten kausale Schlüsse gezogen werden. Oder anders gesagt, wenn die Daten nicht oder nicht mehr vorhanden sind, können die Schlüsse nicht gezogen werden. Mit Big Data und vor allem mit den dazugehörigen Algorithmen ist das komplett anders. Diese kombinieren Daten, gleichen diese ab, ziehen Schlüsse daraus und kommen dann zu statistischen Aussagen, die mit einer sehr hohen Wahrscheinlichkeit auch Fakt sind.

Was hat diese neue Macht der Algorithmen für Auswirkungen?

Positive und negative. Einerseits ist es vorstellbar, dass ein Arzt meine Symptome mit Daten aus der ganzen Welt abgleicht und damit ersichtlich wird, dass bei einer mir ähnlichen Gruppe von Patienten eine bestimmten Therapie Erfolg hatte und folglich die Therapie bei mir ebenfalls funktionieren könnte. Eine Diagnose im klassischen Sinn wird jedoch nicht mehr erstellt. Andererseits kann es aber auch sein, dass mich ein Onlinehändler nur noch auf Vorauszahlung beliefert, weil ich in einem Quartier wohne, in dem viele Personen wenig kreditwürdig sind, respektive ihre Rechnungen nicht bezahlen. Der klassische Datenschutz vermag meine Zukunft somit nicht mehr zu schützen. Das heutige Datenschutzgesetz hat auf diese neuen Fragen keine Antwort. Wir haben aber auch keine Antwort darauf, was wir in Zukunft schützen wollen.

Können Sie dazu ein Beispiel nennen?

Sie können gegen Rufschädigung rechtlich vorgehen, dennoch kann sie ein Shitstorm als Unternehmen aber auch Privatperson in den Ruin treiben. Das Datenschutzgesetz bietet hier keinen Schutz. Solche Vorgänge laufen zudem sehr schnell ab. Es bleibt ihnen kaum Zeit dagegen vorzugehen, geschweige denn auf dem heute üblichen Rechtsweg.

Haben Sie als Unternehmer seit den Enthüllungen von Edward Snowden ihre interne Datenschutzstrategie angepasst?

Nein. Als IT-Unternehmen kannten wir schon vorher die Möglichkeiten und Risiken in diesem Bereich. Wir wussten auch ohne Snowden, dass Dropbox keine sichere Cloud-Lösung ist.

Macht die Politik eigentlich genügend für den Schutz von Unternehmen?

Ich bin der Ansicht, dass ein Unternehmen den Schutz seiner Daten nicht dem Staat übertragen kann. Da müssen die Unternehmen schon selbst aktiv werden.

Gibt es Bestrebungen, das Datenschutzgesetz anzupassen?

Bestrebungen gibt es schon, aber ich kenne noch keine Lösungsvorschläge für diese neuen Problemstellungen. Der Gesetzgeber geht ja grundsätzlich immer davon aus, dass zwischen Handlung und Wirkung eine Kausalität besteht. Big Data und die dazugehörigen Algorithmen folgen aber nicht mehr diesen Kausalitäten.

Was hat das für Folgen?

Die Auswirkungen kann ich nicht abschätzen. Aber ich kann ihnen ein Beispiel geben, was auf uns zukommen wird: Kürzlich hat mir ein Professor der ETH erzählt, dass in den USA im Rahmen der Homeland Security aktuell von jedem Individuum ein Datenprofil angelegt wird. Das Verhalten wird simuliert, um herauszufinden, wo die Person auftaucht und wie sie agieren wird. Damit das möglich ist, erhält Homeland Security Zugriff auf ganz viele persönliche Daten anderer staatlicher Organisationen. Welche Auswirkungen diese Massnahme auf die Bürger und Touristen in den USA haben wird, kann jetzt noch niemand abschätzen.