Interview zum neuen Datenschutzgesetz: «Je weniger Daten zur Verfügung stehen, desto geringer ist die Möglichkeit, dass Menschen manipuliert werden»

Die Datenschutzexpertin Sabine Fercher erklärt im Interview mit Gryps, warum wir mit unseren Daten zu sorglos umgehen, und kritisiert: «Das neue Gesetz lässt viel Interpretationsspielraum.»

«Wir wollen doch keine gläsernen Bürger sein!» – Die Rechtsanwältin und Datenschutzexpertin Sabine Fercher in ihrem Büro in Jona.

Am 1. September 2023 tritt in der Schweiz das neue, stark verschärfte Datenschutzgesetz (DSG) in Kraft. Erstaunlicherweise gab es zu diesem Gesetz keine Volksabstimmung. Ist das Thema zu unwichtig?

Sabine Fercher: Es gab kein Referendum, weil allen Parteien bewusst war, dass wir zwingend ein neues Datenschutzgesetz brauchen. Sonst hätten wir möglicherweise die Anerkennung der EU verloren und uns innerhalb Europas isoliert.

Alles gut also?

Die Notwendigkeit eines neuen Gesetzes haben glücklicherweise alle Parteien von links bis rechts erkannt. Bei der Ausgestaltung allerdings gab es sehr viele Diskussionen unter den Expertinnen und Experten. Das Gesetz ist nun sehr nahe an die europäische Datenschutzgrundverordnung (DSGVO) angelegt, trotzdem gibt es entscheidende Unterschiede.

Was sind die wichtigsten Kritikpunkte?

Das Gesetz lässt viel Interpretationsspielraum, was zu grossen Unsicherheiten führt. Muss beispielsweise eine Arztpraxis ein Verzeichnis über die Bearbeitungstätigkeiten anlegen oder nicht? Das Gesetz sagt an einer Stelle, dass Unternehmen mit weniger als 250 Angestellten kein Verzeichnis führen müssten. Doch das gilt nicht, wenn die Daten «besonders schützenswert» sind und «im grossen Umfang» bearbeitet werden. Nur, was ist mit «im grossen Umfang» gemeint? Das ist auslegungsbedürftig.

Jetzt Anbieter von Datenschutz-Services finden

Nutzen Sie ganz einfach den Bedarfs-Check und unsere Einkaufsexperten finden für Sie bis zu drei passende Anbieter.

Welche Datenschutz-Services benötigen Sie?

Wieso gibt es diese Begrenzung bei 250 Mitarbeitenden?

Die EU kennt diese Einschränkung ebenfalls, aber sie ist eine Falle. Der überwiegende Teil des Gesetzes ist auch für kleine Firmen relevant. Wichtiger als die Grösse des Unternehmens ist, welche Kategorien von Personendaten bearbeitet werden. Wer besonders schützenswerte Daten bearbeitet, hat ab dem 1. September 2023 viel mehr zu beachten als bisher.

Was sind besonders schützenswerte Daten?

Die besonders schützenswerten Personendaten sind im Gesetz definiert. Dazu gehören Angaben über religiöse, weltanschauliche, politische und gewerkschaftliche Ansichten und Tätigkeiten, Gesundheitsdaten, Daten über die Intimsphäre, die Zugehörigkeit zu einer Rasse oder Ethnie. Neu gehören auch genetische und biometrische Daten dazu – und damit beispielsweise ein nicht verpixeltes Foto.

«Ich bin mir bewusst, dass auch ich von sozialen Netzwerken manipuliert werde. Bei LinkedIn nehme ich es in Kauf.»Sabine Fercher, Datenschutzexpertin

Für viele Menschen ist Datenschutz langweilig, spröde und mühsam. Warum ist Ihnen das Thema so wichtig?

Wenn ich sehe, dass die Menschen in China automatisch eine Busse erhalten, wenn sie bei Rot über die Strasse laufen, empfinde ich Abneigung. Diese Kultur der Überwachung entspricht nicht dem europäischen Verständnis von Lebensqualität und Lebensfreiheit. Wir wollen doch keine gläsernen Bürger sein!

Dazu kommt, dass der Datenhunger der grossen Tech-Unternehmen dafür sorgt, dass wir sehr beeinflussbar sind. Alles, was wir auf Plattformen wie Google oder Facebook hinterlassen, wird genutzt, um uns die Inhalte zu liefern, die wir sehen wollen. Denn die Menschen sollen um jeden Preis so lange wie möglich auf der Plattform gehalten werden. Wird der Datenschutz richtig umgesetzt, ist das so in Zukunft nicht mehr möglich. Je weniger Daten zur Verfügung stehen, desto geringer ist die Möglichkeit, dass Menschen manipuliert werden.

Das neue Gesetz richtet sich also explizit gegen Meta, Google und Co.?

Nun ja, das DSG dient dem Schutz unserer Grundrechte. Es ist weltweit anwendbar, und sobald Schweizerinnen und Schweizer betroffen sind, gilt das Gesetz – unabhängig davon, wo die Firma ihren Sitz hat. Für die Schweiz gilt aktuell, dass der Datentransfer an US-Unternehmen als Transfer in ein nicht anerkanntes Drittland gilt. Es braucht neben Standardvertragsklauseln technische und organisatorische Massnahmen, um die Datensicherheit zu gewährleisten. Vermutlich wird der Bundesrat amerikanische Firmen, die sich dem Data Privacy Framework unterstellen, nach dem 1. September 2023 als anerkannte Unternehmen deklarieren.

In China ist es vor allem der Staat, der die Bürger einschränkt und überwacht. Von ihm geht die grössere Gefahr aus als von Unternehmen. Hat das neue Gesetz einen falschen Fokus?

Nein, das neue Gesetz richtet sich gegen private und staatliche Akteure. Auch die Bundesbehörden müssen die Datenschutzbestimmungen erfüllen, nicht nur die Unternehmen.

Im Video: Sabine Fercher erklärt, was Unternehmen jetzt beachten müssen. (Produziert von Reto Vetterli)

Sind Sie selbst aktiv auf Social Media?

Ja (lacht). Aber ich habe zwei Handys. Auf meinem Privathandy nutze ich beispielsweise WhatsApp, auf dem Geschäftshandy nicht. WhatsApp, das zum Meta-Konzern gehört, saugt sehr viele Daten ab. Deshalb ist es für mich als Anwältin nicht möglich, meine geschäftlichen Kontakte auf demselben Handy wie WhatsApp zu speichern. Ich muss meine Kontakte schützen, weil ich sonst das Anwaltsgeheimnis verletze.

Clever!

Facebook habe ich noch wegen der Kontakte aus meiner Zeit in den USA. Ich nutze es nur sehr selten. Instagram und Twitter, oder wie auch immer Twitter neu heisst, habe ich gelöscht. LinkedIn nutze ich sehr oft, weil ich dort Inspiration finde zu vielen Themen, die mich interessieren. Und weil LinkedIn weiss, was mich interessiert, finde ich dort auch immer wieder spannende Inhalte … (lacht)

Sie sind sich dieser Inkonsequenz durchaus bewusst …

Ich bin mir bewusst, dass auch ich von sozialen Netzwerken manipuliert werde. Bei LinkedIn nehme ich es in Kauf, weil ich dort den Nutzen höher gewichte als den Schutz meiner Daten.

«Richtig schlimm ist es, wenn Kinderfotos auf Social Media geteilt und verschickt werden. Denn Kinder müssen speziell geschützt werden.»Sabine Fercher, Datenschutzexpertin

Viele Menschen sagen: «Mir doch egal, wenn Daten über mich gesammelt werden: Ich habe nichts zu verbergen.» Was antworten Sie ihnen?

Das Foto eines Anwaltskollegen – von seiner Website heruntergeladen – wurde soeben manipuliert und missbraucht, um Phishing zu betreiben. Menschen, die bewandert sind in Technologie, wissen, dass «nichts zu verbergen haben» keinen Schutz bietet vor derartigem Missbrauch. Dass Daten im grossen Stil gesammelt und missbraucht werden, ist real. Der amerikanische Geheimdienst kann zum Beispiel jederzeit auf die Daten von Facebook zugreifen.

Auch das Beispiel Clearview zeigt, wie mehr als 20 Milliarden Fotos von Gesichtern verwendet werden können, um mit besonders schützenswerten Daten zu handeln. In Italien wurde Clearview mit 20 Millionen Euro bestraft und es wurde der Firma untersagt, weiterhin Bilder von Italienerinnen und Italienern in ihre Datenbank aufzunehmen.

Clearview ist hingegen der Ansicht, dass man die Sicherheit erhöhe, indem Milliarden von Fotos gesammelt werden. Im Krieg zwischen der Ukraine und Russland stellt die Firma ihre Gesichter-Suchmaschine kostenlos zur Verfügung, um russische Gefallene zu identifizieren und deren Familienangehörige zu kontaktieren.

Auch die Zürcher Polizei hat schon Clearview benutzt, obwohl es gesetzlich nicht erlaubt ist. Was gesetzlich nicht erlaubt ist, darf die Behörde nicht tun.

Sind Menschen, die ihr Leben auf Social Media teilen, naiv?

Nun, sie machen es freiwillig. Aber ich würde davon abraten. Richtig schlimm ist es, wenn Kinderfotos geteilt und verschickt werden. Denn Kinder müssen speziell geschützt werden. Es gibt keine Kontrolle, wo diese Bilder landen.

Aber Hand aufs Herz: Wen interessieren schon meine Personendaten?

Wir sind alle verletzlich. Es ist den Menschen zu wenig bewusst, dass sie beeinflusst werden. Je mehr Daten über einen Menschen zirkulieren, desto beeinflussbarer ist er – fragen Sie mal bei einer Marketing-Agentur nach, wie diese arbeitet. Je mehr Daten jemand hinterlässt, desto gezielter kann Werbung platziert werden. Im «besten» Fall wissen die Werbetreibenden, was Sie interessiert, was Sie essen und wo Sie wohnen. Ein paar wenige Bytes an Daten reichen, und schon ist jeder Mensch eindeutig klassifizierbar.

Und wieso soll sich der amerikanische Geheimdienst für mich interessieren?

Erstens arbeitet der Geheimdienst eng mit der amerikanischen Wirtschaft zusammen. Da findet ein reger Datenaustausch statt. Wer mit Innovationen zu tun hat, sollte sich besonders schützen. Und zweitens eine Gegenfrage: Wäre es in Ordnung für Sie, wenn unsere Daten in den Händen von Donald Trump landen, der dann vielleicht die Idee hat, dass er noch weitere Anhänger braucht, um König der Welt zu werden?

«Cookie-Banner sind sehr mühsam und häufig fehlerhaft. Die Nutzer haben fast keine andere Wahl, als auf ‹alles akzeptieren› zu klicken.»Sabine Fercher, Datenschutzexpertin

Nochmals zum neuen Gesetz: Braucht es jetzt in der Schweiz die Cookie-Banner oder nicht?

Die einfachste Lösung ist: Übertragen Sie keine Personendaten wie die IP-Adresse an amerikanische Anbieter! Wenn Sie Ihre Website analysieren wollen, arbeiten Sie mit Schweizer Firmen zusammen, dann brauchen Sie auch keine Cookie-Banner. Falls es nicht anders geht und Google oder Facebook wegen Marketing-Zwecken wirklich eingebunden sein müssen, holen Sie die explizite Einwilligung der Nutzerinnen und Nutzer ein, bevor die Daten an Dritte weitergegeben werden.

Aber die Banner selbst sind Realität. Was halten Sie davon?

Cookie-Banner sind sehr mühsam und häufig fehlerhaft. Die Nutzerinnen und Nutzer haben fast keine andere Wahl, als auf «alles akzeptieren» zu klicken, weil alles andere zu kompliziert wird. Das Datenschutzgesetz sagt eigentlich, dass man genauso einfach zustimmen wie ablehnen können soll. Das ist nicht gut umgesetzt.

Mit dem Einsatz von künstlicher Intelligenz kommt jetzt eine ganz neue Dimension dazu …

Ja. Es ist wichtig, dass Politikerinnen und Politiker möglichst rasch ein Verständnis dafür aufbauen, wie künstliche Intelligenz funktioniert und wie hier der Datenschutz umgesetzt werden soll. Da gibt es noch sehr viel zu tun: Die technische Weiterentwicklung darf nicht gehemmt werden, gleichzeitig muss der Datenschutz auch in diesem Bereich ernst genommen werden. Produkte von künstlicher Intelligenz sollten als solche gekennzeichnet werden. 

Neues Datenschutz­gesetz in der Schweiz:
Hier finden Sie alles, was KMU brauchen


Die neue Gesetzgebung betrifft sämtliche Unter­nehmen in allen Branchen. Bei Miss­achtung drohen massive Strafen. Gryps bietet Lösungen mit Services, Informa­tionen und Beratung zu diesem wichtigen Thema.

Jetzt entdecken

Zum Fazit: Was ist die wichtigste Neuerung in einem Satz?

Alle, die in einem Unternehmen mit der Bearbeitung von Daten zu tun haben, müssen sicherstellen, dass der Zweck dieser Bearbeitung auch tatsächlich eingehalten wird, und sie dürfen Daten nur weitergeben, wenn dies zum Zweck der Bearbeitung wirklich notwendig ist.

Und was passiert, wenn jemand gegen das Gesetz verstösst?

Dann gibt es ein Strafverfahren. Das Datenschutzgesetz war bisher ein zahnloser Tiger, jetzt nicht mehr. Das ist auch eine sehr wichtige Neuerung: Ab dem 1. September 2023 können Strafen ausgesprochen werden. Im Gegensatz zur EU wird in der Schweiz jedoch nicht das Unternehmen bestraft, sondern das für den Verstoss verantwortliche Individuum innerhalb des Unternehmens. Inwiefern dies strafrechtlich umgesetzt wird, bleibt abzuwarten. Ich bin gespannt.


Zur Person: Sabine Fercher ist Gründerin und Inhaberin der Fercher Compliance GmbH. Sie ist Rechts­anwältin und Daten­schutz-Expertin.

Neues Datenschutzgesetz: Weiterführende Services und Informationen von Gryps

  • Datenschutz auf den neusten Stand bringen: Die Vorgaben im Bereich des Datenschutzes werden restriktiver. Wir zeigen auf, welche Bereiche Sie beachten müssen und was es beim Datenschutz zu tun gibt. ▶ Zum Praxisratgeber

  • Das müssen KMU beim neuen Datenschutzgesetz beachten: Die Expertin Sabine Fercher erklärt, was sich jetzt ändert und wie sich Schweizer Unternehmen darauf vorbereiten können. ▶ Zum Blog

  • Sicherheit schaffen: Finden Sie den passenden Service für Ihr KMU, um die Datenschutz-Aufgaben gesetzeskonform von Experten erledigen zu lassen, die passenden Tools für Ihr Unternehmen zu erhalten oder Ihre Mitarbeitenden effizient zum Datenschutz auszubilden. ▶ Jetzt entdecken

  • Unser Praxis-Webinar im Replay: Ab 1. September gilt es ernst: Das sollten KMU zum Datenschutz wissen (vom 28. August 2023)

Zur Übersicht