Aufrufe
vor 3 Jahren

Netzwoche 02/2017

  • Text
  • Unternehmen
  • Schweizer
  • Netzmedien
  • Webcode
  • Schweiz
  • Gesellschaft
  • Digitalisierung
  • Microsoft
  • Digital
  • Mitarbeiter

16 People Live «Die

16 People Live «Die Einigung mit Microsoft ist für mich wegweisend » Seit einem halben Jahr ist Adrian Lobsiger Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter. Im Interview erklärt er, wie er sich mit Microsoft einigte und warum die Lösung ein Vorbild sein soll. Ganz oben auf der Agenda stehen 2017 die Totalrevision des Datenschutzgesetzes und die Digitalisierung der Gesellschaft. Interview: Christoph Grau i ZUR PERSON Am 1. Juni 2016 trat Adrian Lobsiger sein Amt als Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter an. In dieser Funktion ist er nicht nur der oberste Datenschützer der Schweiz. Er sorgt auch für die Durchsetzung des Bundesgesetzes über das Öffentlichkeitsprinzip der Verwaltung, das den Zugang zu amtlichen Dokumenten regelt. Zuvor war Lobsiger stellvertretender Direktor des Bundesamtes für Polizei (Fedpol). In dieser Funktion war er dafür zuständig, dass die Personendaten in den Informationssystemen des Bundesamtes rechtskonform bearbeitet werden. Ein Quereinsteiger in die Datenschutzproblematik ist er daher nicht. Auch in seiner Doktorarbeit setzte er sich mit Datenschutzfragen auseinander. Sie sind seit rund einem halben Jahr oberster Datenschützer der Schweiz. Wie haben Sie sich eingelebt? Adrian Lobsiger: Am 1. Juni 2016 habe ich begonnen. Ich fühle mich in meiner neuen Funktion sehr wohl und wurde auch von den Mitarbeitern gut aufgenommen. Ich habe auch den Eindruck, dass ich in der Öffentlichkeit Resonanz finde. Kürzlich haben Sie mit Microsoft eine Einigung erzielt. Es ging dabei um die Datenerhebung bei Windows 10. Wie ist der Prozess gelaufen? Angefangen hat der Prozess schon mit der Lancierung von Windows 10. Sehr bald darauf leitete mein Vorgänger Hans peter Thür eine Sachverhaltsabklärung ein. Diese Überprüfung von cloudgestützten IT-Applikationen muss man sich aber als dynamischen Prozess vorstellen. Man bemüht sich zwar, einen Stichtag zu bestimmen. Es ist dann aber oft unumgänglich, bis zum Abschluss der Sachverhaltsklärung gewisse Updates der Applikationen dynamisch mit zu berücksichtigen. Bei der Untersuchung von Windows 10 konzentrierten wir uns im Wesentlichen auf zwei Dinge: Das Erste war der gesamte Prozess der Installation. Hier ging es um die Darstellung der Informationen, zu denen der Nutzer seine Einwilligung gibt. Dort empfahlen wir verschiedene Optimierungen. Das Zweite war die direkte Verlinkung der aktuellen Datenschutzbestimmungen aus dem Installationsprozess heraus. Die AGB umfassen oft 200 Seiten. Kann dies ein normaler Nutzer überhaupt erfassen? Solche langen Texte finden wir heute eher in der Finanzund Versicherungswirtschaft, gerade auch wegen der umfangreichen Regulierungen gegen die Geldwäsche. Demgegenüber haben viele grosse IT-Firmen bei der Kürzung ihrer AGB Fortschritte gemacht. Allerdings wird auch dort leider immer noch zu häufig das integrale Vertragswerk angezeigt, wenn der Kunde eine spezifische Auswahl trifft, also eine bestimmte Funktion einer Applikation aktiviert oder deaktiviert. Mit Microsoft vereinbarten wir nun, dass die Nutzer mit dem zweiten Update 2017 auf die wirklich relevanten Passagen der Vertragsbedingungen gelenkt werden. Dies ist für mich wegweisend. Wenn das Microsoft kann, dann werden wir es auch von anderen Anbietern verlangen können. Was können Nutzer konkret auswählen? Wir empfahlen Microsoft, dass die Kategorien, die zur Auswahl stehen, konkreter und anschaulicher beschrieben werden. Wie gesagt, konnten wir zudem darauf hinwirken, dass der Nutzer beim Deaktivieren eines Dienstes darüber informiert wird, auf welche Teil- oder Nebendienste der Applikation er in der Folge verzichten muss und auf welche nicht. Beispielsweise muss der Nutzer dann auf den Sprachassistenten Cortana verzichten? Genau. Meiner Meinung nach hat Microsoft das gut gelöst. Es ist beispielsweise klar dargestellt, was Spracherkennung ist. Es gibt auch gewisse Dienste, die nur der Pflege und Sicherheit des Produkts dienen. In diesem Zusammenhang konnten wir da rauf hinwirken, dass im Minimalpackage von Windows 10 auf gewisse Datenerfassungen verzichtet wird. Gleichzeitig wird dem Nutzer offengelegt, dass er gewisse Dienste nicht abstellen kann und dass er gewisse Daten zum sicheren Betrieb der Hauptapplikation preisgeben muss. Ihre Rüge an die Swisspass-Betreiber schlug im vergangenen Jahr hohe Wellen. Haben die Betreiber daraus Lehren gezogen? In Folge der Debatten konnte ich gute und intensive Gespräche mit der Geschäftsleitung der SBB führen. Wir einigten uns, dass meine Behörde die weiteren Entwicklungen beim Swisspass eng begleiten wird. Etwa das E-Ticketing oder langfristig das Mobility-Pricing. Ziel ist es, dass wir möglichst frühzeitig intervenieren können, um eine solche Situation, wie wir sie mit dem Swisspass erlebten, in Zukunft zu vermeiden. 2016 waren das Büpf und NDG zentrale Themen. Wie beurteilen Sie die Entscheidungen und Umsetzung aus Datenschutzsicht? In den Phasen des politischen Abstimmungskampfes habe ich nicht mehr interveniert. Wir liessen unsere Stellungnahmen in der parlamentarischen Phase einfliessen. Nun geht es um die Umsetzung der Verordnungen. Vor allem 02 / 2017 www.netzwoche.ch © netzmedien ag

People Live 17 « Ich will erreichen, dass durch gemeinsame Standards, Best Practices und Risikofolgeab schätzungen Datenverluste oder Daten- GAUs frühzeitig verhindert werden. » Adrian Lobsiger, Eidgenössischer Datenschutzund Öffentlichkeitsbeauftragter beim NDG geht es um einen neuen Prozess der zwangsweisen Erhebung von Daten. Neuerdings wird es eine unabhängige Aufsichtsbehörde geben. Mit Prüfung von Einsichtsgesuchen werden wir die Datenbearbeitung durch den NDB weiterhin begleiten. Im Einzelfall werden wir dann beurteilen müssen, ob die Daten verhältnismässig bearbeitet wurden. Dann werden wir sehen, ob eventuell Anpassungen nötig sind. Bis im September laufen aber noch die Vorbereitungen. Im Mai 2018 tritt die neue europäische Datenschutzgrundverordnung in Kraft. Auch die Totalrevision des Datenschutzgesetztes ist in Arbeit. Was bedeutet dies für Schweizer Firmen? Man muss dies zunächst in einen grösseren Kontext stellen. Die europäische Grundverordnung ist an die Europaratskonvention 108 gekoppelt. Dieser muss die Schweiz als Unterzeichnerland auch nachkommen. Wenn wir mit der Konvention 108 kompatibel sind, dann sind wir das im Grundsatz auch mit der EU-Grundverordnung. Meiner Meinung nach decken die beiden Regelwerke die wesentlichen Anforderungen an den modernen Datenschutz ab. An den juristischen Grundprinzipien wie Gesetzmässigkeit, Verhältnismässigkeit und so weiter ändert sich nichts. Die zu beurteilenden technischen Applikationen sind jedoch komplexer und die Datenschutzaufsicht dynamischer und technisch anspruchsvoller geworden. Dem wird durch neue Arbeitsmethoden und Instrumente wie etwa der Risikofolgeabschätzung Rechnung getragen. Können Sie dies konkretisieren? Früher wurde zum Aufbau einer Datenbank zuerst eine gesetzliche Grundlage oder ein Vertrag definiert, dann wurde sie gebaut und im Anschluss kontrolliert. Dies ist heute so meist nicht mehr zweckführend. Heutzutage sind die Applikationen kurzlebiger und dynamischer. Vor allem der Umfang von cloud-gestützten Projekten und die Vernetzungsmöglichkeiten oder der Export der Daten in Länder mit anderen Jurisdiktionen haben stark zugenommen. Wenn Sie heute Projekte bei ihrer Initialisierung vergleichen mit dem, was tatsächlich realisiert wird, kann es aufgrund des technologischen Fortschritts grosse Abweichungen geben. Der Datenschutz sollte heute daher die Vorhaben von der Planung bis zu Realisierung unter Datenschutzaspekten begleiten. Diese Arbeitsmethode ist im Grundsatz «Privacy by Design» verankert. Sie bindet allerdings beim Datenschutz mehr Mittel als nachträgliche Kontrollen. Und wie funktioniert «Privacy by Default»? Am zuvor schon genannten Beispiel von Windows 10 kann ich diesen veranschaulichen. Das ist im Kern eine Textverarbeitungsapplikation. Diese ist aber in eine Umgebung mit einer Vielzahl von weiteren Microsoft-Produkten eingebettet. Diese interferieren alle mit der Cloud. Letztlich gilt es dann zu unterscheiden, welche Datenlieferungen www.netzwoche.ch © netzmedien ag 02 / 2017

Archiv