Informationsfreiheit im Spannungsfeld zwischen Datenschutz und Transparenz: Ursula Sury im Gespräch

Business Circle: Sehr geehrte Frau Sury, Sie bewegen sich seit vielen Jahren an der Schnittstelle zwischen Recht, Technologie und Ethik und kennen den Datenschutz aus drei Perspektiven: als Aufsichtsbehörde, als Anwältin und als Forscherin. Welche dieser Rollen ist heute die herausfordenste – und welche die wirksamste?

Ursula Sury: Das ist eine sehr gute und interessante Frage!

• In Forschungsprojekten wird der Datenschutz als Querschnittsdisziplin häufig vergessen, womit dann der Rollout in Praxisanwendungen schwierig sein kann.

• Als Aufsichtsbehörde hat man häufig die Doppelrolle als Beraterin einerseits und «Bestrafende» andererseits, was den vertrauensvollen Kontakt mit den Betroffenen erschwert.

• Als Anwältin muss man der Klientschaft zu Praxistauglichen Lösungen verhelfen, die jedoch immer gewisse Datenschutzrisiken implizieren.

BC: Der Wunsch nach Transparenz kollidiert mit dem Schutz der Privatsphäre. Wie weit darf staatliche oder unternehmerische Transparenz gehen, ohne selbst zum Datenleak zu werden?

Sury: Transparenz ist wichtig, um Vertrauen zu schaffen und Verantwortlichkeit zu gewährleisten. Die Grenze ist hier oft der Schutz der Privatsphäre. Unternehmen sollten daher klar kommunizieren, wie und warum Daten verwendet werden und gleichzeitig aber sicherstellen, dass alle Schutzmassnahmen konsequent umgesetzt werden. Dies am besten im Rahmen eines Datenschutzmanagementsystems.
Bei den immer mehr verbreiteten Datenökosystemen könnten allerdings auch Informationen über Geschäftsgeheimnisse von Unternehmungen zum Austausch gelangen, durch welche sie sich selber schädigen und ggf. auch Kartellrecht verletzen könnten.

BC: Der Datentransfer zwischen der Schweiz, der EU und den USA bleibt ein juristisches Minenfeld. Ist das Grundproblem rechtlich lösbar – oder sind Datenflüsse längst nur noch politisch, nicht mehr juristisch steuerbar?

Sury: Das Grundproblem hat sicherlich neben der juristischen Sphäre auch eine politische Dimension. Der Transfer zwischen  der Schweiz und den USA ist trotz Data Privacy Framework ein komplexes Problem, da unterschiedliche Datenschutzstandards existieren. Daher ist es für Unternehmen essentiell, durch vertragliche Gestaltung (bspw. SCCs) wie auch angemessene TOMs den Schutz der Personendaten bestmöglich zu gewährleisten.  Zudem scheint es aus europäischer Sicht dringender denn je auch im digitalen Raum souverän, also eigenständig und unabhängig zu werden.  

BC: Wenn KI-Systeme auf globalen Datenpools trainiert werden: Wie kann ein einzelnes Land oder eine Datenschutzbehörde da überhaupt noch wirksam eingreifen?

Sury: Ein einzelnes Land hat wenig Einfluss auf globale Datenströme und KI-Modelle, welche in anderen Jurisdiktionen trainiert werden. Es bietet sich daher an diese durch internationale Zusammenarbeit der Datenschutzbehörde diese Systeme und Datenpools so gut wie möglich zu überwachen. In diesem Zusammenhang stellt sich die Frage, wie transparent die KI Anbieter über die verwendeten Datenmodelle sein müssen. Eine allgemeine Pflicht dafür hier Transparenz zu schaffen, wäre eine sehr gute Entwicklung.

Schweiz und EU: Im Datenschutz gemeinsame Werte

BC:  Oft wird vom „DACH-Raum“ gesprochen, wenn es um gemeinsame Standards geht. Aber die Schweiz ist kein EU-Mitglied – sie hat ihre eigenen Datenschutzregeln. Ist die Vorstellung eines gemeinsamen hier überhaupt zielführend?

Sury: Obwohl die Schweiz kein Mitglied der EU ist, so haben die Schweiz und die EU gemeinsame Werte und Ziele im Hinblick auf den Schutz der Privatsphäre und den Datenschutz. Der Unterschied zwischen DSGVO und DSG mit ihrem Verordnungen ist in der praktischen Anwendung vor allem in der Strafnorm zu sehen.  Auch im Hinblick auf den Handel zwischen der Schweiz und der EU, bei welchem der Informations- und Datenaustausch essentiell ist, ist die Vorstellung eines gemeinsamen Raumes und eines gemeinsamen Datenschutzniveaus hier zielführend. Aus diesem Grund gibt es viele Schweizer Unternehmungen, welche die Anforderungen der DSGVO erfüllen müssen oder oft auch wollen.

BC: Daran anschließend: Wie stark unterscheiden sich in Ihrer Wahrnehmung die Haltung zum Datenschutz zwischen Wien, Luzern und Berlin – und ist das eher eine Frage der Kultur oder der Politik?

Sury: Die Haltung zum Datenschutz in diesen drei Ländern ist grundsätzlich durch die gleiche europäische Rechtsordnung geprägt, aber es gibt dennoch Unterschiede in der Rechtsanwendung und Auslegung. Die Sensibilität bezüglich des Datenschutzes ist in allen drei Ländern hoch. Die Schweiz hat nebst dem Datenschutzgesetz des Bundes für den privaten Bereich und die Bundesverwaltung noch 26 verschiedene kantonale Datenschutzgesetze in 4 Sprachregionen. Hier finden sich tatsächlich gewisse Unterschiede in der Gewichtung und der Ausstattung der Datenschutzaufsicht und somit auch im Verständnis des Vollzuges.

BC: Aus Ihrer Perspektive als Hochschullehrerin: Was wäre einer jungen Studentin zu raten, deren Traumjob es ist, Datenschützerin in einem internationalen Konzern zu werden?

Sury: Es ist wichtig, dass sie ein starkes Verständnis der globalen Datenschutzgesetze aber auch ein ausprägtes Prozessdenken mitbringt. Das Verständnis des Datenflusses innerhalb des Konzerns ist essentiell um die Prozesse und das Datenschutzmanagementsystem zu optimieren. Zudem ist die Kenntnis der Technik und Kommunikationskompetenz mit verschiedensten Akteuren und Rollen innerhalb und ausserhalb der Unternehmung zentral.

BC: Abschließend etwas Persönliches: Macht Datenschutz eigentlich Spaß – oder braucht man dafür ein besonderes Verhältnis zu Frustrationstoleranz?

Sury: Datenschutz macht Spass, wenn man sich für Interdisziplinarität mit Technologie und Businessprozessen interessiert. Hier ist Raum für Innovation und Kreative Lösungen vorhanden. Allerdings ist die digitale Welt abstrakt und für viele schwer verständlich: hier braucht es manchmal schon ein wenig Frustrationstoleranz, aber auch Ideen, wie man das Abstrakte einfach kommunizieren kann.  

BC: Sehr geehrte Frau Sury, wir danken Ihnen für Ihre wertvollen Einblicke und freuen uns, Sie bald in persona bei uns begrüßen zu dürfen!

‍