Von Gesetzen, Kontexten und ganz vielen Erwartungen

Am 1. September 2023 ist es so weit: Das revidierte Datenschutzgesetz tritt endlich in Kraft. Es ersetzt das bisherige Gesetz aus dem Jahr 1992 und lehnt sich – zumindest in Teilen – an an die EU-Datenschutzgrundverordnung (DSGVO) an. Dass etwas neues in der Luft liegt, war aus allen Vorträgen des 27. Symposium on Privacy and Security herauszuhören, welches am 14. Juni an der Pädagogischen Hochschule Zürich über die Bühne ging – auch wenn das neue Gesetz oft nur am Rande erwähnt wurde.

Die Schweiz habe sich bereits in den 1970er-Jahren Gedanken zum Umgang mit Computern gemacht, "damit sie vom Staat nicht zur Überwachung von Bürgern missbraucht werden können", rief Sylvie Matter, Präsidentin des Zürcher Kantonsrats, in ihrem Grusswort in Erinnerung. Auch heute noch sei es die Aufgabe des Parlaments, hier den richtigen Interessenausgleich zu finden. Derweil könnten private Unternehmen "nach wie vor mit einem Häkchen 'Machen Sie hier noch ein Kreuz' fast beliebig alle Daten einfordern", sagte Matter und kritisierte, dass auch mit dem neuen Datenschutzgesetz in diesem Bereich kaum Transparenz eingefordert werde. "Dabei besteht nicht nur das Risiko, dass wir zu manipulierbaren Konsumentinnen werden, sondern dass mit diesen Daten versucht wird, selbst unser Wahl- und Abstimmverhalten zu beeinflussen, wie die Vergangenheit gezeigt hat."

Sylvie Matter, Präsidentin des Zürcher Kantonsrats. (Source: zVg)

Vision, Demokratie, Grundrechte

Mehrere Vorträge beleuchteten die Beziehung zwischen Digitalisierung und Recht. Dass es sich dabei nicht um ein Gegeneinander, sondern um ein Miteinander handelt, machte Vanessa Rüegger, Leiterin Recht beim Team Digitale Verwaltung der Zürcher Staatskanzlei, deutlich. "Über all die Jahre, in denen ich mich aus unterschiedlichen Winkeln mit dem Recht befasst habe, habe ich immer die gleiche Erfahrung gemacht. das Recht verfügbar genau über die Eigenschaften, die wir für eine sichere, digitale Transformation der Gesellschaft brauchen", gab sich Rüegger überzeugt. Das Recht wirke einerseits stabilisierend, sei aber auch ständig veränderbar, so dass es alle gewünschten Entwicklungen aufnehmen könne. Am Anfang einer solchen Veränderung sieht Rüegger jeweils eine Vision. Die Demokratie liefert sodann die "Verfahren, mit denen wir uns über die Träume verständigen". Wenn es dabei zu langsam gehe, liege das nicht an den demokratischen Verfahren, sondern am Fehlen einer gemeinsamen Vision. Für Stabilität und Sicherheit sorgen schliesslich die Grundrechte, der "uns zwingt, an unseren Werten festzuhalten", wie Rüegger es ausdrückte.

Vanessa Rüegger, Leiterin Recht beim Team Digitale Verwaltung der Zürcher Staatskanzlei. (Source: zVg)

Wie sich das Datenschutzgesetz über die Jahre entwickelt hat, erläuterte sodann Dominika Blonski, seit Mai 2020 Datenschutzbeauftragte des Kantons Zürich. Der Datenschutz sei nicht nur ein individuelles Grundrecht auf Privatsphäre, sondern stehe auch für einen kollektiven Grundwert und basiere auf einer gesellschaftlichen Entscheidung. "Andere Gesellschaften sagen: 'gläsern ist für uns okay'", rief Blonski in Erinnerung. Mit neuen Technologien – künstliche Intelligenz (KI), Gesichtserkennung und so weiter – treten neue Bedrohungen auf, die basierend auf diesem Grundwert wiederum in neuen Gesetzen geregelt werden müssen. Das Datenschutzrecht "gibt Rahmenbedingungen vor und folgt der Technologie", fasste Blonski zusammen.

Dominika Blonski, Datenschutzbeauftragte des Kantons Zürich. (Source: zVg)

Doch wie wird entschieden, wer auf welche Daten zugreifen darf? Eine mögliche Antwort auf diese Frage lieferte Helen Nissenbaum, Professorin für Informationswissenschaft an der Cornell Tech University in New York, die die Theorie der kontextuellen Integrität (contextual integrity) vorstellte. Die Theorie "definiert die Privatheit als eigenständigen Wert, der im Informationsfluss durch Regulierung und Technologie geschützt werden muss", wie es in der Beschreibung ihres Vortrages heisst. Die Referentin zeigte anhand mehrere Beispiele, wie sich die Erwartungen an angemessenen Datenschutz je nach Kontext ändern. So sei finden viele Menschen in Ordnung, ihre digitalen Gesundheitsdaten mit einer Medizinischen Fachkraft zu teilen, nicht aber mit einem Datenhändler. Und während es für die meisten Leute okay war, sich im Garten im Bikini zu Sonnen und dabei von gelegentlich vorbeigehenden Leuten gesehen zu werden, fand es die Mehrheit gar nicht in Ordnung, als Bilder davon in Googles Streetview-Service auftauchten und weltweit abrufbar waren. Wer Datenschutzrichtlinien entwirft, sollte laut Nissenbaum jeweils den Zweck im Auge behalten.

Helen Nissenbaum, Professorin für Informationswissenschaft an der Cornell Tech University. (Source: zVg)

Eine Universität dürfte einen potenziellen Studenten folglich nach seiner bisherigen Bildung, nicht aber nach seinen finanziellen Verhältnissen fragen dürfen. Menschen teilen ihre Daten auch gern, wenn sie wissen, dass sie damit etwas gutes bewirken. Dies habe die Covid-19-Pandemie gezeigt. Zwar, merkte die Professorin an, habe sie nichts gegen vereinheitliche Datenschutzgesetze. Es brauche jedoch auch Regelungen auf Ebene spezifischer Branchen oder eben Kontexte.

Erwartungen und Hoffnungen

Wie sich die Rolle des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) mit dem revidierten Datenschutzgesetz verändert – oder ändern sollte –, war ein weiteres Schwerpunktthema. Anhand einer eigens durchgeführten Umfrage präsentierte Rechtsanwalt Martin Steiger eine Liste von Erwartungen an die Behörde. Demnach sollte sie etwa eine Aufsichtsfunktion wahrnehmen, betroffene vertreten und beraten, die Öffentlichkeit sensibilisieren, bei Konflikten vermitteln oder Unternehmen anleiten. Im Bezug auf das neue Gesetz sagte er dann: "Kein Problem. Alle Wünsche sind problemlos abgedeckt." Zur Aufsichtsfunktion bemerkte der auf digitales Recht spezialisierte Jurist etwa, der EDÖB könne zwar keine Bussen verhängen, jedoch beispielsweise Datenbearbeitungen untersagen, was viel gravierender sei.

Martin Steiger, Anwalt und Unternehmer für Recht im digitalen Raum. (Source: zVg)

Steiger war nicht nur optimistisch. "Die Erwartungen kollidieren natürlich mit den Ressourcen", räumte er ein und verwies darauf, dass der EDÖB laut einem Netzwoche-Interview nur neun zusätzliche Stellen schaffen konnte. Alles in allem schloss er aber hoffnungsvoll: Es sei abzuwarten, welche Wirkung die neuen Strafmöglichkeiten zeigen würden. Spannend sei auch die Diskussion um das Recht auf digitale Unversehrtheit, welche aktuell in der Westschweiz geführt werde. Und schliesslich stehe der EDÖB ja auch nicht alleine da: "Wir dürfen viel erwarten. Wir können aber auch vieles selbst machen. Wir haben die Behörde mit Ressourcen und einem Auftrag. Aber wir dürfen uns - egal in welcher Funktion - nicht aus der Verantwortung nehmen", gab er dem Publikum auf den Weg.

Der EDÖB selbst, also Adrian Lobsiger, erhielt darauf die Möglichkeit, auf Steigers Referat zu antworten. "Meine Aufgabe ist es, die Hoffnung auf ein privates und selbstbestimmtes Leben hier in der digitalen Realität zu fördern", erklärte er zu Beginn seines Vortrages. Konkret nehme seien Behörde Stellung zu Produkten und damit verbundenen Datenschutzrisiken. Es gehe nicht darum, die Risiken auf Null zu senken, sondern die Risiken gegenüber Betroffenen offenzulegen. Man erwarte eine Zunahme an Meldungen zu Datenschutzvorfällen, aber seine Behörde werde nicht aufgrund jeder Meldung eine Untersuchung einleiten können. Oft reiche ohnehin ein informelles Verfahren, bei dem "wir schauen, ob wir mit einem einfachen Schreiben den Verantwortlichen zu einer Verbesserung bringen können".

Adrian Lobsiger, Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. (Source: zVg)

Blame Game

Eine wichtige Rolle kommt laut Lobsiger den Medien zu. Dass die SBB etwa unlängst die Pläne für ihr Kundenfrequenzmesssystem angepasst hatten, sei wegen des medialen Drucks passiert. Gleichzeitig warnte der EDÖB gutmütige Hacker davor, bei Entdecken einer Schwachstelle sich zu früh in den Medien zu inszenieren, da dies zu viel Druck schaffe. Demnächst will der Datenschutzbeauftragte ein Merkblatt für White-Hat-hacker aufschalten.

Die Sicht der Medien vertrat Adrienne Fichter. Die Tech-Journalistin stellte klar, dass sie Unternehmen, deren IT eine Schwachstelle aufweise, jeweils zwei Monate Zeit zum Beheben der Probleme einräume. So geschehen beispielsweise in einem Fall mit der Kreditkartenherausgeberin Viseca. Das Unternehmen habe die Sicherheitslücke zwar rasch geschlossen, jedoch von sich aus nichts kommunizieren wollen.

Anders verhielt es sich im Fall des Impfregisters "Meineimpfungen". Hier war das Problem zeitkritisch und Fichter veröffentlichte ihren Artikel 8 Tage nachdem sie von der Schwachstelle erfahren hatte. Dass sie überhaupt über solche Vorfälle berichten, liege an den Unternehmen. Die, stellte Fichter klar, reagierten nämlich ihrerseits oft nicht auf Hinweise eines White-Hat-Hackers. "Unternehmen würden nichts tun, wenn wir nicht berichten würden."

Adrienne Fichter, Reporterin bei der "Republik". (Source: zVg)

Den Abschluss des Symposiums bildete eine erfrischend lebhafte Diskussion zum Thema Cybersecurity. Das Budget, mit dem seine Kunden ihre IT absichern, sei durchs Band weg zu klein, stellte Urs Küderli, Partner, Lead Cybersecurity and Privacy bei PwC, fest. Sascha Maier, seit einem Jahr als erster Group-CISO der SV Group tätig, fügt hinzu, es mangele oft an einer brauchbaren Cyberstrategie. Von Moderator Bruno Baeriswyl, dem ehemaligen Zürcher Datenschutzbeauftragten, gefragt, wofür sein Unternehmen denn Cybersecurity-Geld ausgebe, nannte er die Faktoren Technik, Organisation Mensch. Wichtig sei auch, dass das Management das Vorhaben unterstütze: "Wenn oben im Verwaltungsrat und Management die Awareness fehlt, muss ich gar nicht erst anfangen."

Auf der Suche nach einem Schuldigen herrschte Uneinigkeit. Zwar wurde die Schwachstelle Mensch immer wieder genannt. Isabel Wagner, Professor für Cyber Security an der Universität Basel, wies jedoch auch auf die grundsätzlich unsicheren IT-Systeme hin. Auch heute könne man etwa noch immer den Absender einer Mail fälschen. Auf die Frage, warum Softwareprodukte überhaupt mit Schwachstellen ausgeliefert würden, nannten die Panel-Teilnehmer deren Komplexität. Patrick Schaller, Senior Researcher an der ETH Zürich, verwies kurz auf die SCION-Infrastruktur, die den Fluss der Daten transparenter und sicherer machen soll. Allerdings, kommentierte er, sei es extrem schwierig, ein so etabliertes Produkt wie das klassische Internet "abzulösen und eine Revolution zu starten", zumal der Druck oft schlicht zu klein sei.

Danach waren die CISOs dran: Es spreche für sich, dass auch drei Jahre nach Erscheinen eines Sicherheits-Patches noch massig verwundbare Exchange-Server im Internet stehen, merkte Küderli an. "Wir müssen nicht über die Qualität der Software reden, wenn so mit der Software umgegangen wird." Und schliesslich landete der Ball bei der Geschäftsleitung, die Informatiker und CISOs nicht verständen: "Machen sie ihren Job, passiert nichts, und ihre Stelle wird in Frage gestellt. Tun sie nichts, passiert etwas und sie sind wieder Schuld", fasste Maier zusammen.

In ihren Schlussvoten wünschten sich die Teilnehmenden mehr Awareness oder aber so sichere Produkte, dass Awareness gar nicht mehr nötig wäre.

Wie sich die Revision des Schweizer Datenschutzgesetzes auf Anbieter und Anwender von Business-Software auswirkt, lesen Sie hier.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.