In einem aktuellen Artikel geht der Zürcher Datenschutzbeauftragte auf das Thema digitale Zusammenarbeit ein und veröffentlicht eine Empfehlungsliste von Software und Apps, auf die Unternehmen in Zeiten der Corona-Krise zurückgreifen können. Die Krise steht also nicht nur im Kanton Zürich im Fokus. Wir folgen dem Leitartikel über Datenschutz sowie dessen Dringlichkeit und decken im Zuge unserer «Ermittlungen» einige interessante Widersprüche auf.
Hohe Anforderungen an den Datenschutz im Homeoffice
Auf der entsprechenden Unterseite des Kantons Zürich liefert der Datenschutzbeauftragte einige Tipps und Empfehlungen. Wer die Bemerkung «Zusammenarbeit auf Distanz» korrekt interpretiert, weiss: Es geht um Datenschutz im Homeoffice. Ist das erst jetzt plötzlich wichtig geworden? Einerseits ja: Die Corona-Krise zwingt viele Unternehmen regelrecht in die Digitalisierung. Andererseits nein: Auf derselben Homepage sind wir auf die Aussage gestossen, dass Datenschutz «schon immer digital» war.
Bei jeglicher Gesetzgebung zum Datenschutz geht es um die Wahrung der Grundrechte — er existierte also lange vor der zunehmenden Digitalisierung. Die entsprechenden Gesetze schützen die persönliche Freiheit und regeln den Missbrauch persönlicher Daten. Das gilt unabhängig davon, wie diese Daten verarbeitet werden: digital oder analog.
Die Digitalisierung entwickelt sich in einem eigenen Tempo. Veraltete Verfahren werden modernisiert, alte Speichermedien abgelöst, neue Services wie Clouds überschwemmen den Markt. Wer mithalten will, muss aktuell bleiben — andernfalls gilt man als nicht marktfähig. Fast alles dreht sich nur noch um E-Services. Hauptsache elektronisch. Und der Datenschutz gerät dabei leider nur zu gerne in Vergessenheit.
Die häufigsten Widersprüche innerhalb vom Datenschutz
Wie eingangs angedeutet, haben wir alle Aussagen, Artikel, Berichte und Empfehlungen der Zürcher Datenschutz-Homepage bis ins letzte Detail geprüft. Vorab: Wir wollen keine der offiziell getätigten Aussagen dementieren oder in ein schlechtes Licht rücken. Wir berufen uns vielmehr auf die Schweizer Bundesverfassung und deren Artikel 16 über Meinungs- und Informationsfreiheit.
Sobald es um Datenschutz geht, machen ausserdem viele — teils selbsternannte — Experten dieselben Fehler. Unserer Meinung nach kann man nicht zum sensiblen Datenschutz mahnen und gleichzeitig einen Freifahrtschein für unsichere Programme ausstellen. Klar, die Corona-Krise hält die Welt in Atem. Aber die zukunftsrelevanten Fragen lassen sich auch jetzt schon stellen.
Widerspruch 1: „E-Services ohne Datenschutz geniessen kein Vertrauen“
Es wäre wirklich zu schön, wenn es denn tatsächlich so wäre. An dieser Stelle haben wir das Schaubild zur Kommunikationssoftware angesehen (Seite 2 des Merkblatts). Darin wurden diverse namhafte Software-Anbieter für Kommunikation analysiert — Facebook Messenger, Skype for Business, WhatsApp.
Was alle drei gemeinsam haben: Der Quellcode ist nicht öffentlich einsehbar, bei zweien liegt der Serverstandort in den USA, und eine wirklich anonyme Nutzung ist bei keinem möglich.
Gleichzeitig forderte der Datenschutzbeauftragte in seinem Tätigkeitsbericht 2019 die «Regulierung ausländischer Cloud-Services». Verschlüsselung und zugehöriges Management sollen bei der Nutzung durch öffentliche Organe dort bleiben, wo sie hingehören. Datenschutz ist gerade im Gesundheitswesen besonders relevant — aber wo bleiben bei all der Vorsicht die nicht-öffentlichen Unternehmen und privaten Nutzer?
Die Nutzerzahlen sprechen da eine andere Sprache: Facebook (rund 1,3 Milliarden), Skype (monatlich 300 Millionen), WhatsApp (täglich 58 Millionen aktive Nutzer). Die These, dass E-Services mit Datenschutz-Mankos kein Vertrauen geniessen, wird durch diese Zahlen nicht gestützt.
Widerspruch 2: „Zoom“ in Liste datenschutzfreundlicher Apps
Kommen wir zur Empfehlungsliste von Apps, die hinsichtlich Datenschutz für den «Einsatz während der Corona-Krise» geeignet sein sollen. Vorab der Hinweis: Die Produkte können datenschutzkonform eingesetzt werden, sofern die Hinweise und Einschränkungen berücksichtigt werden. Ausserdem eignet sich nicht jedes Produkt für die Übermittlung von Personendaten.
Ganz am Ende dieser Liste findet sich die Videokonferenz-Software «Zoom» — versehen mit mehr mahnenden Zusatzworten als jede andere App auf der Liste. Vor der Nutzung sollen unzählige Einstellungen manuell vorgenommen werden: lokale Speicherung für Aufzeichnungen, Speicherort in der Cloud, Deaktivierung von Tracking, Passwortschutz — und so weiter.
Inwiefern ist das noch «datenschutzfreundlich»? Nutzerfreundlichkeit sieht jedenfalls anders aus. Zoom hat in letzter Zeit fast ausnahmslos durch schlechte Presse Aufmerksamkeit erhalten — womit wir wieder beim ersten Widerspruch wären.
Widerspruch 3: „Dä schnäller isch dä gschwinder“?
Wie im ersten Widerspruch angedeutet, forderte der Datenschutzbeauftragte letztes Jahr die Regulierung ausländischer Services, insbesondere Cloud-Dienste. Im Tätigkeitsbericht hiess es, dass viele Anwendungen in diesem Bereich Standardprodukte seien. Was bedeutet das für die Nutzenden?
«Standard» heisst zunächst: Nichts Besonderes. Die Definition umfasst genormte Vereinheitlichungen. Im Hinblick auf Entwicklung und Programmierung führt ein solcher Richtwert nicht selten dazu, dass Marktgrössen aufgekauft und die ursprünglichen Programmcodes nur leicht variiert weitergeführt werden. Alte Sicherheitslücken und Datenschutz-Mankos überleben so unter neuem Namen.
Das Muster ist bekannt: Facebook schluckte 2012 Instagram für 760 Millionen Dollar, 2014 WhatsApp für 16,8 Milliarden. Skype war unter Microsoft-Flagge 8,5 Milliarden wert. Zoom mit einem Börsenwert von rund 44 Milliarden ist da vorerst wohl schwerer zu kaufen.
Statt eigenständig etwas Neues zu entwickeln, kauft man lieber ein, was sich bewährt hat — oder zumindest etabliert ist. Wo bleiben also die Empfehlungen unserer Datenschützer für Schweizer Produkte und Dienste, die genau diesen Schritt gewagt haben?
Datenschutz – Leitbild für die Zukunft
Hoffentlich ist jetzt deutlich geworden: Datenschutz ist kein temporäres, krisengetriebenes Thema. Nicht einmal der Datenschutzbeauftragte leugnet, dass es nach wie vor — und fast überall — dringenden Handlungsbedarf gibt. Datenschutz lässt sich nicht in einem Bericht oder einer kurzen Zusammenfassung abhandeln.
Wir bei dataloft bleiben daher am Ball. Neben Internetsicherheit und Webmarketing steht Datenschutz klar in unserem Fokus. Wir beobachten alle Entwicklungen, werfen ein kritisches Auge auf die Digitalisierung und klären auf. Bald findest du in diesem Blog viele weitere Artikel über die Facetten und Fragen des Datenschutzes, unter anderem:
- erweiterte Analyse über Software-Empfehlungen
- digitaler Selbstschutz
- alle digitalen Datenschutz-Instrumente
- das Informations- und Datenschutzgesetz (IDG) und dessen Bestimmungen
- kein starker Datenschutz = Hochrisiko-Strategie?
- Digitalisierung:
- zwischen Realität und Wunschtraum unterscheiden
- digital ohne Datenschutz – geht das überhaupt?