Festrede
Datenschutz: gestern, heute und in Zukunft
Bern, 14.09.2023 – Am Jubiläumsevent zu 30 Jahre Schweizer Datenschutzgesetz, zu dem der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) einlud, hielt Angela Müller, Leiterin AlgorithmWatch CH, die Festrede – es gilt das gesprochene Wort.
Joyeux anniversaires!
Das schweizerische Datenschutzgesetz wird 30 – und das ist ein Grund zum Feiern!
Ich schlage vor, dass wir aber den heutigen Tag und die heutige Feier nicht nur nutzen, um das Datenschutzgesetz gebührend zu feiern – sondern auch, wie das bei Geburtstagen so üblich ist, um die Entwicklung des schweizerischen Datenschutzes allgemein etwas Revue passieren zu lassen und insbesondere eine Standortbestimmung zu machen – ohne dass das schon eine MidLife-Crisis auslösen soll. Und letztlich ist es Gelegenheit, um einen Blick nach vorne zu werfen. Wer weiss, vielleicht hat der Datenschutz ja sogar einige Vorsätze fürs nächste Jahrzehnt.
Vor 30 Jahren, als das Datenschutzgesetz ins Leben gerufen wurde, war die Welt eine andere. Wir freuten uns ab der Taxcard, die in den Telefonkabinen das Münz ersetzte – und dass die ersten schnurlosen PTT-Telefone kamen und wir keine Blasen mehr hatten an den Fingern von den runden Wählscheiben.
Es dauerte fast bis zu seinem zehnten Geburtstag, bis Mobiltelefonie und Internetanschlüsse zu Hause in der grossen Breite angekommen waren. Und erst in seinen Teenagerjahren begannen wir uns mit neuen Phänomenen wie Online-Plattformen zu beschäftigen.
Und damit begann für den Datenschutz (weltweit, nicht nur in der Schweiz) auch die schwierige Phase der Adoleszenz. Der Datenschutz kam nämlich aus dem Staunen nicht mehr raus: Die Daten vervielfältigten sich in einem noch nie gesehenen Ausmass – und Menschen begannen, ihre Daten zu verbreiten, wie wir es zuvor noch nie gesehen hatten.
Die Welt hätte ihn so urplötzlich an jeder erdenklichen Stelle brauchen können, dass der Datenschutz wie gelähmt war (und sich dann vielleicht in dieser jugendlichen Phase auch mal im Bett verkroch und die Vorhänge schloss, um all die breitwilligen Datentransfers, die sich vor seinem Fenster abspielten, nicht ertragen zu müssen).
Und klar, der Datenschutz, oft eher schmächtig von Statur, war zugegebenermassen auch etwas eingeschüchtert von den New Kids on the Block: den Muskelpaketen, die sich plötzlich da draussen tummelten. Sie hiessen Facebook, Google und Amazon und sie fingen all die Daten der Menschen mit ihren riesigen Baseball-Handschuhen auf und steckten sie direkt in ihr Portemonnaie.
Es kam, wie es kommen musste: Eine Krise kommt selten allein. Nun kamen auch noch die Smartphones. Und, wenig überraschend, sie verstanden sich sehr gut mit den Muskelpaketen der Online-Plattformen. Die Daten begannen, in Strömen zu fliessen. Der Datenschutz liess nun zwischendurch auch mal das Rollo vor seinem Fenster hinunter.
In all diesen Jahren wurde der Datenschutz in der Schweiz aber natürlich nicht allein gelassen – nein, seine gesetzliche Grundlage, das DSG, wurde immer mal wieder revidiert, erhielt neue Ressourcen und Instrumente. Und am Wichtigsten: In all den Jahren hat ihn sein Götti, der EDÖB (früher EDSB) eng begleitet, ist ihm zur Seite gestanden und hat ihm geholfen, sich durchzusetzen. Auch für den Götti war es aber nicht immer einfach – ich glaube, man darf sagen, dass die Ressourcen, die der Götti zur Verfügung hatte, oft auch eher bescheiden waren.
Aber dann wurde der Datenschutz in der Schweiz volljährig – und er merkte: Ich muss mich aufrappeln. Ich muss an mir arbeiten. Die Welt hat sich verändert und sie braucht mich mehr denn je. In anderen Worten: Er wurde erwachsener und selbstbewusster. Er hörte, Daten seien das neue Öl (er fühlte sich auch ein wenig geschmeichelt) – und er sah, wie die Menschen ihn als sinnvoll, relevant und nötiger denn je zu betrachten begannen. Er sah, wie aktivistische Organisationen gegründet wurden, die ihn zum Zweck hatten, wie er mit seinen Anliegen plötzlich viel mehr Aufmerksamkeit erlangte – und wie plötzlich selbst die Politik ihn wieder ernst zu nehmen begann. Das schweizerische Datenschutzgesetz wurde nämlich einer Evaluation unterzogen.
Es war die Zeit der frühen Zehnerjahre, und der schweizerische Datenschutz verreiste immer mal wieder für einen Wochenend-Trip ins europäische Ausland. Und er erlebte da so viel Diskussion um seine Anliegen und seinen Bestimmungszweck wie noch selten. Das europäische Parlament und die EU-Mitgliedsstaaten stritten sich vier Jahre lang leidenschaftlich darüber, wie es mit seiner europäischen Schwester weitergehen soll. Irgendwie absurd, dachte sich der Datenschutz, weil in den vier Jahren die Welt nochmals vier Purzelbäume schlug. Die Baseballer drehten ihre Runden inzwischen mit den Daten in der Hand rund um den ganzen Globus – und erzielten meist einen Home Run.
Und trotzdem: Die vier Jahre Diskussion auf EU-Ebene hinterliessen einen bleibenden Eindruck. Zurück in der Schweiz war das dann alles doch immer etwas nüchterner. Aber trotzdem – auch der Bundesrat hatte damals zeitgleich wie die EU erkannt, dass der Datenschutz bzw. seine gesetzliche Grundlage, das DSG, ein Remake benötigt. Aber natürlich war der Bundesrat weise: Er wartete ab, was die EU macht.
Und sie machte etwas – sie tat einen Paukenschlag. Die neue europäische Schwester des schweizerischen DSG (die Datenschutzgrundverordnung) war im ersten Moment ehrlichgesagt schon fast ein bisschen einschüchternd – selbst die Baseballspieler hielten kurz einen Moment inne, als sie sie zum ersten Mal sahen (um dann ein paar Sekunden später ihr Spiel fortzusetzen).
Der schweizerische Datenschutz merkte bei seinen Besuchen beim grossen Geschwister auch (inzwischen reiste er übrigens mit dem Zug), wie sehr diese Datenschutzgrundverordnung gefordert war – dass sie aber in den darauffolgenden Jahren auch sehr oft in Irland weilte, einfach weil ihr die irische Meeresbrise gut tat und sie sich da jeweils sehr gut von den Strapazen auf dem Kontinent erholen konnte.
Weil streng war es und die DSGVO musste ihren hohen Ansprüchen gerecht werden. Und das wurde auch eingefordert: Ihre österreichischen Freunde beispielsweise überzeugten sie auch davon, sich auch bei der Partnerwahl nicht unter ihrem Wert zu verkaufen – und sich nicht einfach mit einer billigen Kopie abspeisen zu lassen.
Zurück in die Schweiz. Den Paukenschlag der DSGVO jedenfalls hörte und spürte man bis nach Bern. Seit seinem 25. Geburtstag gab es ein Tauziehen rund um das schweizerische Datenschutzgesetz, das wichtig war. Die Schweiz erkannte, warum es den Datenschutz braucht, wie wichtig er ist – und wie kompliziert es ist, darüber nachzudenken, wie er zu regeln ist. Da war es schon hilfreich – ich glaube, auch das dürfen wir heute hier festhalten und würdigen – mit der DSGVO einen Orientierungspunkt zu haben. Da hatte die EU tatsächlich Einiges an wohl auch für die Schweiz wertvoller Vorarbeit geleistet.
Und schliesslich gelang es: Zum 27. Geburtstag einigten sich die Räte auf das neue Datenschutzgesetz, und vor zwei Wochen – pünktlich zu seinem 30. Geburtstag – feiert der Datenschutz in der Schweiz nun also sein Remake. Er fühlt sich fitter denn je zuvor, hat Muskeln aufgebaut und Ausdauertraining gemacht.
Zum 30. steckt der Datenschutz also auch in der Schweiz mitten in seiner Blüte – und ist relevanter denn je. Daten sind zur Grundlage der weltweit grössten Geschäftsmodelle geworden. Sein Fitnessprogramm war also auch tatsächlich wichtig – insbesondere mit Blick auf seine Ernährung, die ja wahrhaftig nicht gesünder wird. Es sind unappetitliche Dinge, mit denen er sich konfrontiert sieht. Es sind aber auch «tolle» neue Herausforderungen, die auf ihn warten.
In den letzten 30 Jahren, von der Taxcard bis zu TikTok, hat der Datenschutz nämlich gelernt, sich anzupassen und neuen Herausforderungen zu stellen. Und: Um mit zunehmendem Alter nun eben auch die drohende Mid-Life-Crisis abzuwehren, geht der Datenschutz inzwischen Basejumpen und Gleitschirmfliegen. Er beschäftigt sich nun auch mit Dingen wie…
- der Gesichtserkennung im öffentlichen Raum (tolle Herausforderung!),
- der ständigen Überwachung am Arbeitsplatz
- und seit letztem Jahr geht er übrigens auch Extremklettern in der Eigernordwand – ChatGPT & co. sei Dank.
- Aber er macht auch ständiges Ausdauertraining: Algorithmische Entscheidungssysteme durchdringen nämlich heute all unsere Lebensbereiche, sei es, um das Rückfallsrisiko von Straftäter*innen einzuschätzen oder die Kreditwürdigkeit zu berechnen.
Und trotzdem darf man, so erlaube ich mir das hier, auch sagen: Der Datenschutz bleibt in der Schweiz von eher schmächtiger Statur – und es fehlen ihm bis heute ein dickes Portmonnaie und einige der griffigsten Werkzeuge, um sich etwa gegen den Baseballhandschuh der globalen Tech-Konzerne durchzusetzen. Und man muss auch sagen: Es weht ihm auch oft ein scharfer Wind entgegen.
- Er geniesst bei vielen weiterhin einen schlechten Ruf: Er würde Innovation verhindern, wird ihm vorgeworfen. Er (und auch ich) haben bis heute nicht verstanden, wie wir eine Innovation wollen könnten, die nicht die basalen Interessen der Menschen – wie etwa den Datenschutz – wahrt.
- Viele Menschen werfen weiterhin relativ unverblümt ihre Daten auf dem Baseballfeld herum. Wenn er all die Kinderfotos auf Instagram sieht, wird dem Datenschutz regelmässig schwarz vor Augen.
Ob der schweizerische Datenschutz also all diesen neuen Herausforderungen und Extremsportarten gewachsen ist – das wird sich weisen.
Aber vor allem – und damit kommen wir zu einem Punkt, der mir heute besonders am Herzen liegt – fragt sich, ob er das alles alleine stemmen kann. Denn heute ist es – trotz der spannenden Lebensphase und dieser wunderschönen Veranstaltung hier – auch ein wenig bedrückend zu sehen, dass der Datenschutz zwar mit uns allen hier versammelten feiert, dass das Datenschutzgesetz aber schmerzlich eine Peer Group vermisst.
Ein kleiner Einschub: Der Datenschutz wusste immer: Es geht letztendlich nicht um ihn. Obwohl er Sinnhaftigkeit im Leben findet und ihm alles andere als langweilig ist – er weiss, er ist nur ein Instrument, ein Mittel zum Zweck (auch wenn diese Erkenntnis die adoleszente Krise sicher nicht einfacher gemacht hat). Der eigentliche Zweck, zu dem er beiträgt, ist der Schutz der informationellen Selbstbestimmung und damit dem Grundrecht der Menschen auf Privatsphäre. Ein hehrer und edler Zweck, für den sich der Datenschutz gerne instrumentalisieren lässt – und für den er unabdingbar geworden ist.
Nun spürt er aber vor dem Hintergrund all der neuen Herausforderungen und Extremsporthobbies auch, dass der Druck auf seinen Schultern ständig grösser wird und schwerer lastet. Die schiere Masse an Daten, die tagtäglich auf der Welt herumschwirrt und die vielfältigen Herausforderungen, die sich dabei zeigen, kann er nicht alleine stemmen.
- Wenn KI-Systeme gesellschaftliche Stereotypen reproduzieren
- oder die öffentliche Meinungsbildung beeinflussen,
- wenn KI-Systeme Menschen aufgrund ihrer Hautfarbe diskriminieren,
- oder sie unsere Emotionen einzuschätzen versuchen,
- wenn Algorithmen von Menschen ein Profil erstellen, um ihre Gefährlichkeit einzuschätzen,
- wenn intransparente algorithmische Entscheidungen es für Menschen schwerer machen, sich zu wehren, Rechtsmittel wahrzunehmen und Rechenschaft einzufordern,
- oder wenn die komplexe Wertschöpfungskette hinter grossen KI-Systemen nicht nur Verantwortungsdiffusion mit sich bringt, sondern auch einen enormen Wasser- und Energieverbrauch, ausbeuterische Arbeitsbedingungen und eine enorme Machtkonzentration
– nicht nur uns allen hier Versammelten, sondern auch dem Datenschutz schwirrt ab dem allen der Kopf – für all das kann das Datenschutzgesetz schlicht nicht alleine zuständig sein.
Der Datenschutz dient der informationellen Selbstbestimmung und damit dem Schutz der Privatsphäre – er kann nicht gleichzeitig auch der einzige Hebel sein, um den ganzen weiteren Grundrechtskatalog in unserer automatisierten Gesellschaft zu schützen, in der die Automatisierung tatsächlich bereits fast alle Lebensbereiche durchdringt. Das Diskriminierungsverbot, die Unschuldsvermutung, die Rechtsmittelgarantien und Verfahrensrechte, die Bewegungsfreiheit, die Arbeitnehmendenrechte, aber auch die Meinungsfreiheit und die politischen Rechte und schliesslich der Respekt vor planetaren Grenzen – alle sie benötigen weitere und zusätzliche Fürsprecherinnen und Fürsprecher.
In anderen Worten: Der Datenschutz braucht eine Peer Group. Denn Grundrechtsschutz in der automatisierten, digitalisierten Gesellschaft wird nicht gehen ohne eine sinnvolle Arbeitsteilung – das Datenschutzgesetz braucht also etwa
- eine Kollegin, die vor algorithmischer Diskriminierung schützt,
- eine Kollegin, die dafür sorgt, dass Menschen auch bei automatisierten Entscheidungen Zugang zu wirksamen Rechtsmitteln haben und Verantwortung zugewiesen werden kann,
- oder ein Kollege, der sich die Wertschöpfungsketten hinter KI-Systemen genau anschaut. Denn auch in diesen Bereichen benötigen Menschen Schutz und auch da müssen sie sich auf zuverlässige Instrumente verlassen können.
Lassen Sie uns den Datenschutz und das Datenschutzgesetz heute feiern und sie würdigen
- für all das Meistern der Krisen und Stolpersteine,
- für ihre beeindruckende Anpassungsfähigkeit im Lichte all der grossen und neuen Herausforderungen, die ständig auf sie warten,
- für ihr diesjähriges Remake, das ihnen gut ansteht
- und insbesondere für den wichtigen Schutz, den sie heute tagtäglich Menschen gewähren, und mit dem sie unabdingbares Mittel geworden sind, um informationelle Selbstbestimmung und Privatsphäre zu gewährleisten – und um damit mitzuhelfen, Grundrechte in unserer automatisierten Gesellschaft zu schützen.
Lassen Sie uns aber den Datenschutz auch würdigen, indem wir ihn ernst nehmen und
- einerseits konstruktiv kritisieren, uns seine Fähigkeiten, aber auch seine Grenzen realistisch bewusst machen, das Datenschutzgesetz weder über- noch unterschätzen – mit dem Ziel, es durch diese Kritik letztendlich besser, widerstandsfähiger, durchsetzungsfähiger zu machen
- und andererseits ihn verteidigen vor dem Lichte der grossen Herausforderungen, die da draussen (oder in all unseren Hosen- und Handtaschen) auf uns warten. Ihn verteidigen heisst hier aber auch zu sagen, dass das Datenschutzgesetz nicht alles wird alleine leisten können. Und das soll es auch nicht: Um Grundrechte in einer automatisierten Gesellschaft zuverlässig zu schützen, braucht auch das Datenschutzgesetz eine Peer Group und eine Arbeitsteilung unter Kolleginnen und Kollegen für die vielfältigen Aufgaben, die sich dabei stellen.
Die Baseballspielerinnen und -spieler drehen weiter ihre Runden – aber ich glaube, die Zeit ist gekommen um zu sagen: Wir brauchen mehr Schiedsrichterinnen und Schiedsrichter auf dem Platz.
All das wird schliesslich auch den Datenschutz stärken, ihm nicht nur eine Peer Group und einen Freundeskreis, sondern auch Mut und Durchsetzungsvermögen geben für den Start in’s nächste Jahrzehnt. Ich glaube, er wird es brauchen, denn da draussen wartet einiges auf ihn. Lassen Sie uns heute das Glas auf das Datenschutzgesetz erheben – und hoffen, es in zehn Jahren in noch besserer Verfassung und in noch besserer Gesellschaft zu feiern!
Happy Birthday!