Im Podcast Datenschutzplaudereien wurde in einer der letzten Ausgaben die «Methode Rosenthal» des Anwalts David Rosenthal vorgestellt. Diese will das Risiko bewerten, dass amerikanischen Sicherheitsbehörden auf Personendaten in der Cloud zugreifen. Konkret geht es um Angebote von amerikanischen Konzernen, respektive deren Niederlassungen in der Schweiz, wenn die Daten in der Schweiz oder mindestens in Europa gespeichert werden.
Die Methode Rosenthal macht aber meines Erachtens einen für die Bewertung entscheidenden Fehler, indem sie das Risiko des Zugriffs in Bezug auf ein bestimmtes Unternehmen bewertet. Richtigerweise müsste aber das gesamte Risiko der maximal zulässigen Auslagerung von Personendaten durch sämtliche Unternehmen für die Gesamtgesellschaft betrachtet werden. Zudem muss der kumulative Effekt sämtlicher wirklicher Zugriffe sowie der Ungewissheit über die Zeit betrachtet werden.
Der Schaden entsteht dabei durch die Kombination der Tatsachen, dass niemand wissen kann, welche Daten die amerikanischen Sicherheitsbehörden über einem gesammelt haben, dass sich amerikanische Sicherheitsbehörden notorisch nicht an rechtliche Vorgaben halten und dass es eine handvoll Beispiele gibt, in denen die USA gezielt und ohne einen Prozess, den wir als rechtsstaatlich bezeichnen würden, das Leben einzelner Menschen ruiniert haben. Dadurch werden die Meinungsäusserungsfreiheit, die Pressefreiheit, die Informationsfreiheit und letzten Endes die Demokratie erheblich beschädigt. Wenn der Schaden so betrachtet wird, ist sofort klar, warum die theoretische Zugriffsmöglichkeit sehr viel schwerer wiegt als die Anzahl Fälle. Ebenso ist klar, warum Cyberkriminelle nicht denselben Effekt haben, selbst wenn sie sehr viel mehr Personendaten stehlen und sogar publizieren.
Es wird auch offensichtlich, warum schwache Bürofenster ein sehr viel kleineres Risiko sind: Nicht einmal die amerikanischen Sicherheitsdienste würden sich trauen, in der Schweiz bei jedem Unternehmen einzubrechen, mit dem ein bestimmter den USA unliebsamer Mensch etwas zu tun hat. Die Verwendung von Produkten von Microsoft, Amazon, Google, etc. durch fast alle Unternehmen und Behörden in der Schweiz ist dagegen ein datenschutztechnisches Klumpenrisiko, dass die Gesellschaft nicht tolerieren kann.
Das Recht in der Schweiz schützt zwar mit der Datenschutzgesetzgebung nur die Persönlichkeitsrechte und Freiheiten des einzelnen Menschen, aber für die Bewertung, welche Datenverarbeitungen zulässig sind, muss trotzdem auf die Summe der Freiheitsrechte der Gesamtgesellschaft abgestellt werden. Dies tut die schweizerische Rechtsordnung auch an anderer Stelle, wo z.B. das Stimmrecht jeder einzelnen stimmberechtigten Person durch das Strafrecht geschützt wird, obschon damit nicht dieser Mensch, sondern die Demokratie als Institution geschützt werden soll.
Im Podcast Datenschutzplaudereien wurde in einer der letzten Ausgaben die «Methode Rosenthal» des Anwalts David Rosenthal vorgestellt. Diese will das Risiko bewerten, dass amerikanischen Sicherheitsbehörden auf Personendaten in der Cloud zugreifen. Konkret geht es um Angebote von amerikanischen Konzernen, respektive deren Niederlassungen in der Schweiz, wenn die Daten in der Schweiz oder mindestens in Europa gespeichert werden.
Die Methode Rosenthal macht aber meines Erachtens einen für die Bewertung entscheidenden Fehler, indem sie das Risiko des Zugriffs in Bezug auf ein bestimmtes Unternehmen bewertet. Richtigerweise müsste aber das gesamte Risiko der maximal zulässigen Auslagerung von Personendaten durch sämtliche Unternehmen für die Gesamtgesellschaft betrachtet werden. Zudem muss der kumulative Effekt sämtlicher wirklicher Zugriffe sowie der Ungewissheit über die Zeit betrachtet werden.
Der Schaden entsteht dabei durch die Kombination der Tatsachen, dass niemand wissen kann, welche Daten die amerikanischen Sicherheitsbehörden über einem gesammelt haben, dass sich amerikanische Sicherheitsbehörden notorisch nicht an rechtliche Vorgaben halten und dass es eine handvoll Beispiele gibt, in denen die USA gezielt und ohne einen Prozess, den wir als rechtsstaatlich bezeichnen würden, das Leben einzelner Menschen ruiniert haben. Dadurch werden die Meinungsäusserungsfreiheit, die Pressefreiheit, die Informationsfreiheit und letzten Endes die Demokratie erheblich beschädigt. Wenn der Schaden so betrachtet wird, ist sofort klar, warum die theoretische Zugriffsmöglichkeit sehr viel schwerer wiegt als die Anzahl Fälle. Ebenso ist klar, warum Cyberkriminelle nicht denselben Effekt haben, selbst wenn sie sehr viel mehr Personendaten stehlen und sogar publizieren.
Es wird auch offensichtlich, warum schwache Bürofenster ein sehr viel kleineres Risiko sind: Nicht einmal die amerikanischen Sicherheitsdienste würden sich trauen, in der Schweiz bei jedem Unternehmen einzubrechen, mit dem ein bestimmter den USA unliebsamer Mensch etwas zu tun hat. Die Verwendung von Produkten von Microsoft, Amazon, Google, etc. durch fast alle Unternehmen und Behörden in der Schweiz ist dagegen ein datenschutztechnisches Klumpenrisiko, dass die Gesellschaft nicht tolerieren kann.
Das Recht in der Schweiz schützt zwar mit der Datenschutzgesetzgebung nur die Persönlichkeitsrechte und Freiheiten des einzelnen Menschen, aber für die Bewertung, welche Datenverarbeitungen zulässig sind, muss trotzdem auf die Summe der Freiheitsrechte der Gesamtgesellschaft abgestellt werden. Dies tut die schweizerische Rechtsordnung auch an anderer Stelle, wo z.B. das Stimmrecht jeder einzelnen stimmberechtigten Person durch das Strafrecht geschützt wird, obschon damit nicht dieser Mensch, sondern die Demokratie als Institution geschützt werden soll.