Ursula Uttinger, als renommierte Datenschutzexpertin befassen Sie sich schon seit vielen Jahren mit dieser Thematik. Was macht für Sie den Reiz dieses Themas aus?
Ich bin in das Thema hineingewachsen und durfte mich bereits zu Zeiten mit dem Thema auseinandersetzen, als es noch kaum Literatur dazu gab. Das Thema ist sehr breit und geht in all unsere Lebensbereiche hinein: Arbeit, Familie, Gesundheit, Sport und und und. Datenschutz oder, besser gesagt, Privatsphäre ist ein Grundrecht. Dieses wird zu wenig geschätzt, bis es zu Problemen deswegen kommt. Datenschutz ist auch ganz klar ein Zukunftsthema: Es werden immer mehr Daten über jede einzelne Person erhoben, bearbeitet – wir werden immer gläserner. Die Pandemie hat es mit sich gebracht, dass immer mehr elektronisch bezahlt wird. Dadurch ist aber auch für Dritte nachvollziehbar, was ich mache, insbesondere, wenn ich immer dasselbe elektronische Zahlungsmittel verwende: Vor allem über die Zeit ist erkennbar, welche Muster mich begleiten.

Wir alle kennen den Begriff, aber meinen damit nicht immer das Gleiche. Was verstehen Sie unter Datenschutz?
Beim Datenschutz geht es um den Persönlichkeitsschutz; es geht auch darum, was mit Daten über mich passiert.

Wie grenzt sich Datenschutz vom Begriff «Datensicherheit» ab?
Abgrenzen ist der falsche Begriff. Datenschutz und Datensicherheit fliessen ineinander über mit unterschiedlichen Schwerpunkten. Die Datensicherheit fokussiert auf sämtliche Daten, vor allem natürlich elektronische Daten. Der Daten schutz bezieht sich vor allem auf den Schutz der Persönlichkeit, der Privatsphäre, also auf Daten von Personen.

Man spricht im Zusammenhang mit Datenschutz oft von «besonders schützenswerten Daten». Was gehört dazu?
Im Gesetz ist definiert, was besonders schützenswert ist. Dabei sind finanzielle Daten, obwohl dies oft als besonders heikel angesehen wird, nicht besonders schützenswert. Gemein ist den besonders schützenswerten Personendaten, dass diese ein Diskriminierungspotenzial haben. So können z.B. Informationen zur politischen Einstellung, zu einer Mitgliedschaft bei einer Gewerkschaft, Vorstrafen oder einer psychischen Erkrankung dazu führen, dass Sie den Job nicht bekommen. Vielleicht ist die Diskriminierung in der Schweiz weniger stark verbreitet als in anderen Ländern, in denen die falsche Religion Grund für eine Verfolgung sein kann.

Eines der aktuell wichtigsten Themen in diesem Bereich ist das totalrevidierte Schweizer Datenschutzgesetz (nDSG), das voraussichtlich Mitte 2022 oder zumindest Anfang 2023 in Kraft treten wird. Damit soll u.a. sichergestellt werden, dass die Schweizer Bestimmungen mit den EU-Normen der DSGVO übereinstimmen. Sind Sie mit dem Ergebnis zufrieden?
Hier muss man differenzieren: Ich bin insofern zufrieden, als wir nicht einfach die DSGVO abgeschrieben haben und eine gewisse Schweizer Eigenart erhalten blieb. Einzelne Änderungen sind jedoch nur der Politik geschuldet – Stichwort «Profiling mit hohem Risiko» – und haben im Alltag kaum Relevanz. Grundsätzlich hätte ich mir aber eine mutigere Anpassung erhofft. Ich frage mich, ob nicht gerade beim Thema Datenschutz ein neues Denken sinnvoll und notwendig wäre.

Im Kern des neuen Gesetzes geht es darum, die Transparenz von Datenbearbeitungen zu verbessern und die Selbstbestimmung der betroffenen Personen über ihre Daten zu stärken. Was ist genau damit gemeint?
Die Transparenz wird zumindest theoretisch gestärkt, indem man nun über jede Bearbeitung informieren muss. Bis anhin war es nur bei der Bearbeitung von besonders schützenswerten Personendaten und Persönlichkeitsprofilen. Ohne Transparenz kann die Selbstbestimmung auch nicht wahrgenommen werden: Nur wenn man weiss, welche Daten von jemandem bearbeitet werden, kann man sich auch dagegen wehren. Ich bin aber gespannt, wie dies dann tatsächlich umgesetzt wird. Denn die bisherigen Vorgaben bezüglich Informationspflicht wurden in der Praxis kaum umgesetzt.

Welche Konsequenzen hat dies für Unternehmen?
Grundsätzlich sollten sich die Unternehmen überlegen, wie sie die Anforderungen des revidierten Datenschutzgesetzes umsetzen wollen: Das beginnt bei der erweiterten Transparenzpflicht, geht weiter zur Datenschutzfolgeabschätzung bis zum Datenverarbeitungsverzeichnis, das zu erstellen ist. Daneben sollten sich die Unternehmen auch klar darüber werden, wann sie die Daten löschen.

Sind bei Verstoss gegen Bestimmungen des neuen DSG schärfere Sanktionen möglich?
Ja, die Bussenhöhe ist nun auf CHF 250 000.– angestiegen, und es gibt weitere Straftatbestände im Gesetz, wie die Missachtung einzelner Sorgfaltspflichten. Allerdings handelt es sich dabei weiterhin um Antragsdelikte, die vorsätzlich begangen werden müssen. Auch hier werden wir noch sehen, welche Auswirkungen dies im Alltag hat.

Im Unterschied zur EU-DSGVO sind bei Verfehlungen nicht nur Unternehmen, sondern auch die direkt involvierten Personen sanktionierbar. Wie beurteilen Sie dies?
Das macht aus meiner Sicht absolut Sinn. Schliesslich erfolgt eine Verletzung der Schweigepflicht nicht durch ein Unternehmen, sondern durch eine Person. Dies ist aber nicht anders als bisher.

Müssen durch die Änderungen Firmen ihre Datenschutzerklärungen anpassen?
Vielleicht sollte man sich zuerst einmal darum kümmern, dass man überhaupt eine Datenschutzerklärung hat. Dann sollte darauf geachtet werden, dass diese nicht mit einem «Datenschutzerklärungs-Generator» erstellt wird, der auf die DSGVO ausgerichtet ist! Schön wäre zudem, wenn die Datenschutzerklärungen klar, verständlich und einfach auffindbar wären. Zu oft werden diese von juristischen Fachpersonen mit dem Ziel formuliert, alle Eventualitäten abzusichern und die Verantwortung dem Nutzenden zu übergeben, im Sinne von «Jetzt bist du informiert und weisst, was wir machen».

Sind wir in der Schweiz nun auf gleich hohem Datenschutzniveau wie die EU oder gibt es Unterschiede?
Dies ist nicht eindeutig. Wir haben einen anderen Ansatz. Die Bearbeitung ist erlaubt mit Verbotsvorbehalt, und im DSGVO gilt ein Verbot mit Erlaubnisvorbehalt – in der Mitte treffen wir uns. Die DSGVO ist detaillierter formuliert – beim schweizerischen Gesetz muss man verstärkt den konkreten Fall anschauen.

Sie führen u.a. auch Datenschutzreviews bei Unternehmen durch. Was sind die häufigsten Mängel resp. an welche Punkte wird unternehmer seitig zu wenig gedacht?
Die Verhältnismässigkeit der Datenbearbeitung, die Aufbewahrungsdauer der Daten – dies wird regelmässig zu wenig kritisch hinterfragt. Je nach Unternehmen dürfte auch die Sensibilisierung aller Mitarbeitenden noch verstärkt werden. Dabei darf die Datensicherheit nicht vergessen werden.

Seit knapp 2 Jahren gab es pandemiebedingt einen gewaltigen Homeoffice-Boom. Da stellt sich auch immer die Frage nach dem Datenschutz. Was müssen Firmen diesbezüglich beachten?
Grundsätzlich sollten die Mitarbeitenden mit einfach funktionierenden Tools und Geräten ausgestattet werden. Funktioniert alles einfach, wird nicht versucht, über unsichere Kanäle die offiziell zugelassenen Tools zu umgehen. Zu Hause sollten die Mitarbeitenden die gleichen Regeln einhalten wie im Büro: Also darauf achten, dass nicht unbefugte Dritte Informationen erhalten. Und: Bitte keine illegalen Überwachungen der Mitarbeitenden, nur weil man kein Vertrauen hat. Es hat sich gezeigt, dass die Produktivität nicht gelitten hat. Ein Problem ergibt sich, wenn Mitarbeitende aus dem Ausland arbeiten. Dies ist nicht nur datenschutzrechtlich, sondern auch versicherungstechnisch und steuerrechtlich eine Knacknuss.

Sie haben die Überwachung von Mitarbeitenden angesprochen – was ist aus datenschutzrechtlicher Sicht erlaubt?
Die Überwachung von Mitarbeitenden ist grundsätzlich keine gute Idee. Vertrauen und Selbstbestimmung bringen mehr Innovation und damit auch Geschäftserfolg. Wenn Unternehmen der Meinung sind, dass es nicht ohne Überwachung geht, müssen die Mitarbeitenden wissen, was gemacht wird. Ich wiederhole: Keine heimliche Überwachung, sondern transparent darüber informieren.

Wenn also Mitarbeitende transparent über die Überwachungsaktivitäten ihres Arbeitgebers aufgeklärt werden, ist theoretisch auch eine permanente Kontrolle, z.B. Einblick auf den Bildschirm der Mitarbeitenden, möglich?
Nein! In der Verordnung 3 zum Arbeitsgesetz gibt es eine Regelung: Eine Überwachung darf nie zu einer Verhaltensbeobachtung führen, sie darf aber aus Sicherheits- und Qualitätsgründen erfolgen. Stimmen Mitarbeitende zu, stellt sich immer die Frage, wie freiwillig diese Zustimmung tatsächlich ist. Es gibt ein Machtgefälle und teilweise auch einen sozialen Druck im Sinne von «alle ausser du». Unter solchen Umständen ist eine Einwilligung nie freiwillig. Um aber auf Ihre Frage zurückzukommen: Ein permanenter Einblick auf den Bildschirm geht zu weit, eine Video kamera im Büro, die nur alle paar Sekunden ein Bild aufnimmt und aus deren Blickwinkel die Mitarbeitenden verschwinden könnten, ist ok. Dies wird heute beispielsweise von verschiedenen Radiostationen schon so gehandhabt.

Dies ist eine gekürzte Fassung des Interviews. Lesen Sie das ganze Gespräch in der aktuellen Printausgabe.