Adrian Lobsiger, der höchste Schweizer Datenschützer, steht unter Beschuss. Private Anwaltskanzleien überhäufen ihn mit Vorwürfen. Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (Edöb) müsse der EU nach dem Mund reden und verfolge seine eigene Agenda, heisst es etwa in einer Präsentation des Juristen David Rosenthal. Der Grund: Lobsiger kritisierte dessen Methode, die Behörden den Einsatz von Diensten der Public-Cloud-Riesen aus den USA ermöglichen soll – obwohl diese vor zwei Jahren in der Schweiz und der EU von der Liste der Staaten mit angemessenem Datenschutzniveau geflogen sind.
Das Bedürfnis nach Rechtssicherheit ist aber gross.
Die Regierung des Kantons Zürich bezog sich kürzlich auf die Methode von Rosenthal, als sie die Migration von Personendaten auf Microsoft Office365 zuliess. Die Stadt Zürich stützte sich einige Wochen später
auf ein Gutachten der Anwaltskanzlei Laux Lawyers, die auf anderem Wege die Legitimität des Einsatzes von Clouddiensten in der Verwaltung nachweisen will.
Auf Datenschützer Lobsiger kommen grosse Aufgaben zu: Es stehen nicht nur die Dienste der Cloud-Hyperscaler zur Debatte. Im Herbst 2023 wird ausserdem
ein revidiertes Datenschutzgesetz in Kraft treten. Dieses räumt dem Eidgenössischen Datenschützer mehr Befugnisse ein, aber es zieht auch einen höheren Aufwand nach sich. Dafür wurden dem notorisch unterdotierten Büro
acht zusätzliche Vollzeitstellen zugesprochen. Das dürfte knapp werden, gerade wenn weitere Behörden den Gang in die Cloud mit privaten Gutachten antreten, die vom Edöb kritisiert werden wollen.
Wir wollten von Adrian Lobsiger wissen, wie er die Situation einschätzt und was er an den Gutachten kritisiert. Wir treffen ihn zum Interview in seinem Büro gegenüber der ukrainischen Botschaft in Bern. Es sei genau der richtige Zeitpunkt für ein Gespräch zum Datenschutz in der Schweiz, sagt er, als er uns am Empfang seiner Geschäftsräume abholt.
Herr Lobsiger, sind Sie der einsame Rufer in der Wüste?
Adrian Lobsiger: Eine Aufsichtsbehörde, die unabhängig von Regierung und Verwaltung, aber auch von der Privatwirtschaft operiert, steht naturgemäss allein da. Aber tatsächlich merke ich derzeit eine gewisse Anspannung beim Cloud-Thema, während Anwaltskanzleien meine Kritik sonst eher sportlich nehmen.
Aber Cloud ist überall ein grosses Thema.
Ich bin mir bewusst, dass wir vor einem Dilemma stehen. Die US-Cloud-Hyperscaler verfügen über eine grosse Marktmacht und investieren viel Geld in IT-Security, während On-Premises-Umgebungen vernachlässigt werden und die Datenhaltung dort unsicherer wird. Zugleich besteht besonders für Behörden in der Schweiz ein Mangel an Rechtssicherheit für die Nutzung von Cloud-Diensten der US-Techfirmen.
Was unternehmen Sie gegen dieses Problem?
Auch wir wollen am Schluss eine Lösung für Behörden und Private. Dazu prüfen wir derzeit weitere Schritte. Mehr kann ich aber noch nicht preisgeben.
Geht das nicht zu langsam? In der Zwischenzeit sind private Anwaltskanzleien eingesprungen und versprechen zumindest eine gewisse Rechtssicherheit.
Ich habe im letzten Juni eine
Stellungnahme gegenüber der Suva publiziert. Ich bin erstaunt, wie selbstsicher sich gewisse Zürcher Anwaltskanzleien bei der Beurteilung von US-Recht geben und dessen praktische Umsetzung durch Geheimdienste voraussagen. Es ist selbstverständlich legitim, wenn sie Gutachten erstellen. Das ist schliesslich ihre Aufgabe. Aber es ist schon bemerkenswert, wenn mir Einzelne Opportunismus vorwerfen oder behaupten, die Stellungnahme zur Suva sei krass falsch.
Sie sagen im Gegenzug: Die Gutachten der Kanzleien seien unzureichend.
Wir haben in Washington Gespräche geführt. Die Auskünfte der US-Behörden waren schwammig. So auch ihre Antworten zur Ombudsperson, an die sich Personen wenden können, die von Datenzugriffen durch US-Geheimdienste potenziell betroffen sind. Ich bin nach wie vor überzeugt: Das Delisting der USA ist richtig.
Sie führen die Liste der Staaten mit angemessenem Datenschutzniveau. Verfahren sie nach dem Prinzip: Wer nicht auf der Liste ist, ist nicht auf der Liste?
Ja, vor allem, wenn das Delisting wegen mangelnder Garantieren gegen Datenzugriffe durch Sicherheitsbehörden stattgefunden hat – wie bei den USA. Wenn ein Staat nicht auf der Liste der rechtsstaatlich verlässlichen Länder ist, kann man schon seitenlang über das fremde Recht und die Abhörpraktiken der Geheimdienste spekulieren, aber ich frage mich, woher die Gewissheit stammt, mit der Anwaltskanzleien die Wahrscheinlichkeit geheimdienstlicher Zugriffe kleinreden. Gerade die Bundesverwaltung, zu welcher auch der Nachrichtendienst des Bundes gehört, hätte eigene Mittel und Wege, um die Risiken einzuschätzen, die von fremden Sicherheitsbehörden für Personendaten in der Cloud ausgehen.
Die Staaten der EU auch…
Ja, die USA wurden in ganz Europa von der Liste genommen. Ich finde es interessant, dass die Kanzleien immer von "Lawful Access" sprechen, wenn sie den "Cloud act" oder den "Foreign Intelligence Surveillance Act" (Fisa) behandeln. Denn "lawful" – also gesetzmässig – können Zugriffe auf schützenswerte Daten unter jenen Gesetzen nur aus Sicht der USA sein und nicht, wenn man dies von Europa oder der Schweiz aus beurteilt.
Da gibt es also schon im Ansatz fundamentale Differenzen. Der Jurist David Rosenthal will mathematisch genau nachweisen, wie gross die Chance auf einen staatlichen Datenzugriff ist. Der Kanton Zürich, der sich auf die Methode stützt, geht etwa von einer Wahrscheinlichkeit von 0,74% aus, dass eine US Behörde während fünf Jahren auf Geschäftsfalldaten zugreift.
Wir warnen die Behörden davor, solchen Berechnungsmodellen normative Wirkung zuzuerkennen. Derart tiefe Wahrscheinlichkeitswerte suggerieren, dass man das Delisting der USA rückgängig machen könne. Das ist problematisch.
Adrian Lobsiger holt einen Ordner von seinem Schreibtisch. Der Inhalt: ein gut 100-seitiges Dokument zur Methode von Rosenthal. Die Seiten sind voller Notizen, Lobsiger hat das Papier durchgearbeitet. Zudem gab es im Nachgang zur Stellungnahme zur Suva eine Aussprache mit dem Verein Unternehmensdatenschutz, anlässlich welcher Lobsiger seine Kritik an der Beurteilung der Cloud-Nutzung nach der Methode Rosenthal mündlich erläuterte. Lobsiger: Die Suva ist ein Bundesorgan und hat uns die Auslagerung in die Cloud von Microsoft freiwillig angezeigt. Sie erhoffte sich gewissermassen eine Bewilligung. Wir sind aber keine Bewilligungs-, sondern eine Aufsichtsbehörde. Ich habe mit unserer Stellungnahme die grossen Fragezeichen aufgezeigt, die bestehen bleiben. Die Suva hat unsere Bedenken zurückgewiesen. Wenn sich Behörden allein auf private Gutachten verlassen, besteht immer die Gefahr, dass sie sich eine blutige Nase holen.
Laut dem neuen Datenschutzgesetz sollen natürliche Personen, also etwa Beschäftigte in Firmen, mit bis zu 250'000 Franken gebüsst werden können. Das scheint nicht besonders blutig.
Die Busse und der Eintrag ins Strafregister sind kein Zuckerschlecken. Und die Strafempfindlichkeit ist bei natürlichen Personen höher als bei Firmen. Es wurde in der parlamentarischen Beratung betont, dass man nicht einfach die "kleinen" Techniker an der Front hängen soll. Das wird dann aber im Einzelfall beurteilt werden müssen, auch in welcher Verantwortung eine Firmenleitung steht.
Sie müssen unter dem neuen Datenschutzgesetz auch von Amtes wegen tätig werden. Zugleich werden viel mehr Fälle auf Sie zukommen, da einige Einschränkungen wegfallen.
Ja, wir können unsere Aufsicht inskünftig nicht mehr auf systemrelevante Verletzungen beschränken. Neu können wir Verfügungen erlassen und bei einem Gesetzesverstoss die Datenverarbeitung stoppen. Das beschleunigt unsere Interventionen, aber sie werden auch mit formelleren Verfahren verbunden: Die Betroffenen müssen zum Beispiel früher angehört werden. Ich fürchte, wir werden trotz der zusätzlichen Stellen an den Anschlag kommen. Aber wir tun alles, um alle Dienstleistungen zu erfüllen.
Angesichts der möglichen Bussen heisst das: keine Cloudangebote aus den USA?
Man muss unterscheiden. Ein KMU hat nicht die Möglichkeit, mit grossen Techkonzernen individuelle Verträge auszuhandeln oder Alternativen zu deren Diensten zu entwickeln. Es ist legitim, wenn sie sich in der Sache von privaten Anwaltskanzleien beraten lassen. Bundesorgane hingegen müssen Alternativen eruieren. Sie haben nicht nur die Mittel dafür, sie tragen auch eine besondere Verantwortung gegenüber uns Bürgerinnen und Bürgern. Wir können nicht wählen, wem der Bund unsere Daten anvertraut.
Spielt es eine Rolle, ob es um Alibaba Cloud aus China oder US-Riesen wie zum Beispiel AWS geht?
Der Mechanismus ist bei den Ländern, die nicht auf der Liste stehen, derselbe: Mangels eines rechtsstaatlich berechenbaren Datenschutzes besteht in all diesen Staaten ein schwer kalkulierbares Risiko, dass ihre Behörden durch Einflussnahme auf die dort ansässigen Muttergesellschaften den Datenschutz in Europa und der Schweiz übergehen.
Sie werden also gleich behandelt?
Datenschutzbehörden beurteilen den Datenexport in diese Länder aufgrund der Listenplazierung. Wenn ein Land nicht mehr auf der Liste ist, kann man das nicht mit geopolitischen Analysen rückgängig machen. Wollten wir Unterschiede zwischen mehr oder weniger freundlich gesinnten Drittstaaten einführen, würde dies den apolitischen Rahmen unserer Aufsicht sprengen. Zudem würden Schlupflöcher im Raum der freien Datenzirkulation in Europa geschaffen.
Das bedeutet?
Wenn die Listen in der Schweiz und den Mitgliedstaaten der EU und des EWR nicht mehr identisch wären, könnten Daten aus EU-Ländern über die Schweiz in unsichere Staaten exportiert werden. Das könnte dazu führen, dass die Schweiz nicht mehr als gleichwertig anerkannt wird, sondern wie die USA oder Nordkorea auf der Liste der EU fehlen würde.
Sie haben mit der Liste einen grossen Einfluss.
Der Gesetzgeber hat die Kompetenz für die Liste mit dem neuen Datenschutzgesetz von 2020 auf den Bundesrat übertragen, weil die Liste starke wirtschaftspolitische Auswirkungen zeitigt. Die Regierung hat sich aber nicht besonders beeilt, die neue Kompetenz wahrzunehmen und setzt das neue Gesetz erst im Herbst 2023 in Kraft. Die verbleibende Zeit könnte der Bundesrat nutzen, um beim Nachrichtendienst einen Bericht zu möglichen Datenzugriffen durch Sicherheitsbehörden einzuholen. Ich wäre gespannt, ob dieser zu ähnlichen Schlüssen wie David Rosenthal käme.