Die Piraten haben ihre Stellungnahme zur Vernehmlassung des Datenschutzgesetzes Bern eingereicht.
Die Piratenpartei hat mit Befremden den Vorschlag des Berner Regierungsrates für eine Totalrevision des Datenschutzgesetzes zur Kenntnis genommen und sieht grossen Verbesserungsbedarf. In den letzten Monaten konnte die breite Bevölkerung Kenntnis von einer Vielzahl spektakulärer Hacks und Leaks nehmen – die Fachwelt schon seit Jahren. Als Konsequenz müsste man erwarten, dass endlich ein Paradigmenwechsel in der (Zulässigkeit der) Verarbeitung von Daten stattfindet.
Die Piraten fordern:
1. Datensparsamkeit
Nur solche Daten dürfen erfasst werden, welche zwingend für die Erfüllung der bestimmten Aufgabe notwendig sind. Weitere Daten zu erfassen ist verboten.
2. Persönliche Haftung
Schluss mit der Verantwortungsdiffusion und „Softwarefehler – da kann man nichts machen“.
3. Geldstrafen, die weh tun
Ein Bussgeldrahmen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.
4. Keine persönlichen Daten in (ausländischen) „Clouds“ speichern
Jorgo Ananiadis, Ständeratskandidat und Präsident der Piratenpartei Schweiz: „Daten, welche nicht gespeichert werden, können nicht missbraucht werden. Daten, die nicht vorhanden sind, locken auch keine Hacker an und können auch durch Inkompetenz nicht in falsche Hände gelangen.“
Leider wird in dem vorliegenden Entwurf dieser Entwicklung keine adäquate Rechnung getragen, dabei stehen wir erst am Anfang eines Zeitalters von Hacks und Leaks. Die Piratenpartei erachtet es deshalb als grundlegend, dass der Staat mit gutem Vorbild vorangeht und Datensparsamkeit vorlebt. Private Daten sind bestmöglich zu schützen und der erste Schritt hierfür ist, nicht zwingend notwendige Daten gar nicht erst zu erfragen und zu speichern. Oder wie es Wau Holland, Mitgründer des Chaos Computer Clubs, formuliert hat: „Öffentliche Daten nützen, private Daten schützen“
Des Weiteren verpasst der Kanton einen anderen Schritt, den der Bund endlich gegangen ist mit dem seit 01. September in Kraft getretenen Datenschutzgesetz (revDSG): Eine persönliche Haftung für Datenschutzverstösse
In Art. 64 revDSG wird dem teilweise Rechnung getragen, wobei es deutliches Verbesserungspotential gibt. Wir erachten es in Anbetracht der Ausgangslage für angezeigt, dass eine drastische Korrektur eingeleitet wird. Es ist notwendig eine persönliche Haftung sowohl auf Behördenseite als auch bei der Bearbeitung durch Dritte einzuführen. Im Grundsatz nicht nur für Einzelpersonen, sondern, zumindest bei gravierenden Verstössen bis zur höchsten Verantwortungsebene.
Die Digitale Integrität des Menschen ist genauso zu achten wie die physische und psychische Unverletzlichkeit. Verstösse müssen konkrete Folgen haben, deshalb fordern wir eine Haftung der bei der Datenverarbeitung verantwortlichen Personen, deren Vorgesetzte sowie der an der Programmierung der entsprechenden Komponenten beteiligten Personen und deren Vorgesetzte.
Im Vorschlag des Regierungsrates wird nur die Verantwortung auf die Behörde selbst beschränkt, dies bedeutet die aktuell allseits praktizierte Verantwortungsdiffusion, weshalb niemand letztlich für Fehler verantwortlich ist. Damit ist der einzig Leidtragende der Bürger als direkt Betroffener oder „nur“ als Steuerzahler.
Pascal Fouquet, Spitzenkandidat der Piratenpartei Bern: „Datenschutzverstösse oder Hacks bedeuten immer entweder organisatorisches, prozessuales oder technisches Versagen, wofür es auch konkrete Verantwortliche gibt. Bei Steuerhinterziehung kommt man auch nicht einfach mit Schulterzucken davon. Genau das muss sich bei Datenschutzverstössen ändern.“
Ferner fordern wir unter anderem noch die Einführung von Strafbestimmungen und Bussgeldern für gravierende Verstösse von Dritten. Statt maximale Fixbeträge als Obergrenze wie im DSG, sondern ein Bussgeldrahmen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist (wie dies in Art. 83 Abs. 5 DSGVO der EU geregelt ist).
Jorgo Ananiadis: „Die im revDSG gedeckelten Strafbestimmungen gefährden nur kleine Schweizer KMUs, die Grosskonzerne zahlen das aus der Portokasse. Und das sind die dicken Fische!“
Der letzte gravierende Mangel, welcher den digitalen Analphabetismus des Regierungsrates unterstreicht, ist der Plan weiterhin auf Cloud-Anbieter im unsicheren Ausland zu setzen, insbesondere die Speicherung und Bearbeitung von Daten im unsicheren Ausland mittels Cloud-Lösungen wie Microsoft 365. Microsoft, als ein Unternehmen mit Sitz in den Vereinigten Staaten, fällt unter die Bestimmungen des im Jahr 2018 eingeführten Cloud Act. Dieses Gesetz befugt US-Behörden, auf in der Cloud gespeicherte Daten zuzugreifen, selbst wenn diese Daten in Europa oder der Schweiz gelagert sind. Nicht ohne Grund führt der EDÖB die USA als ein Land mit ungenügendem Schutz und hält fest: „genügen den Anforderungen an einen angemessenen Datenschutz i.S. des DSG jedoch nicht.“
Als Sahnehäubchen gab es dieses Jahr allein bei Microsoft zwei Super-GAUs: Erstens der Verlust eines Masterkeys und zweitens veröffentlichten sie unbeabsichtigt 38TB an Daten – „Softwarefehler – da kann man halt nichts machen“)
Pascal Fouquet: „Der Vorschlag des Regierungsrat widerspricht der Ansicht von Datenschutzbeauftragten und den Empfehlungen von IT-Experten. Entweder sind unsere Volksvertreter komplett beratungsresistent oder treffen absichtlich Entscheidungen gegen die Interessen des Schweizer Volkes.“
Die Vernehmlassung im Wortlaut.
Die Piraten haben ihre Stellungnahme zur Vernehmlassung des Datenschutzgesetzes Bern eingereicht.
Die Piratenpartei hat mit Befremden den Vorschlag des Berner Regierungsrates für eine Totalrevision des Datenschutzgesetzes zur Kenntnis genommen und sieht grossen Verbesserungsbedarf. In den letzten Monaten konnte die breite Bevölkerung Kenntnis von einer Vielzahl spektakulärer Hacks und Leaks nehmen – die Fachwelt schon seit Jahren. Als Konsequenz müsste man erwarten, dass endlich ein Paradigmenwechsel in der (Zulässigkeit der) Verarbeitung von Daten stattfindet.
Die Piraten fordern:
1. Datensparsamkeit
Nur solche Daten dürfen erfasst werden, welche zwingend für die Erfüllung der bestimmten Aufgabe notwendig sind. Weitere Daten zu erfassen ist verboten.
2. Persönliche Haftung
Schluss mit der Verantwortungsdiffusion und „Softwarefehler – da kann man nichts machen“.
3. Geldstrafen, die weh tun
Ein Bussgeldrahmen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist.
4. Keine persönlichen Daten in (ausländischen) „Clouds“ speichern
Jorgo Ananiadis, Ständeratskandidat und Präsident der Piratenpartei Schweiz: „Daten, welche nicht gespeichert werden, können nicht missbraucht werden. Daten, die nicht vorhanden sind, locken auch keine Hacker an und können auch durch Inkompetenz nicht in falsche Hände gelangen.“
Leider wird in dem vorliegenden Entwurf dieser Entwicklung keine adäquate Rechnung getragen, dabei stehen wir erst am Anfang eines Zeitalters von Hacks und Leaks. Die Piratenpartei erachtet es deshalb als grundlegend, dass der Staat mit gutem Vorbild vorangeht und Datensparsamkeit vorlebt. Private Daten sind bestmöglich zu schützen und der erste Schritt hierfür ist, nicht zwingend notwendige Daten gar nicht erst zu erfragen und zu speichern. Oder wie es Wau Holland, Mitgründer des Chaos Computer Clubs, formuliert hat: „Öffentliche Daten nützen, private Daten schützen“
Des Weiteren verpasst der Kanton einen anderen Schritt, den der Bund endlich gegangen ist mit dem seit 01. September in Kraft getretenen Datenschutzgesetz (revDSG): Eine persönliche Haftung für Datenschutzverstösse
In Art. 64 revDSG wird dem teilweise Rechnung getragen, wobei es deutliches Verbesserungspotential gibt. Wir erachten es in Anbetracht der Ausgangslage für angezeigt, dass eine drastische Korrektur eingeleitet wird. Es ist notwendig eine persönliche Haftung sowohl auf Behördenseite als auch bei der Bearbeitung durch Dritte einzuführen. Im Grundsatz nicht nur für Einzelpersonen, sondern, zumindest bei gravierenden Verstössen bis zur höchsten Verantwortungsebene.
Die Digitale Integrität des Menschen ist genauso zu achten wie die physische und psychische Unverletzlichkeit. Verstösse müssen konkrete Folgen haben, deshalb fordern wir eine Haftung der bei der Datenverarbeitung verantwortlichen Personen, deren Vorgesetzte sowie der an der Programmierung der entsprechenden Komponenten beteiligten Personen und deren Vorgesetzte.
Im Vorschlag des Regierungsrates wird nur die Verantwortung auf die Behörde selbst beschränkt, dies bedeutet die aktuell allseits praktizierte Verantwortungsdiffusion, weshalb niemand letztlich für Fehler verantwortlich ist. Damit ist der einzig Leidtragende der Bürger als direkt Betroffener oder „nur“ als Steuerzahler.
Pascal Fouquet, Spitzenkandidat der Piratenpartei Bern: „Datenschutzverstösse oder Hacks bedeuten immer entweder organisatorisches, prozessuales oder technisches Versagen, wofür es auch konkrete Verantwortliche gibt. Bei Steuerhinterziehung kommt man auch nicht einfach mit Schulterzucken davon. Genau das muss sich bei Datenschutzverstössen ändern.“
Ferner fordern wir unter anderem noch die Einführung von Strafbestimmungen und Bussgeldern für gravierende Verstösse von Dritten. Statt maximale Fixbeträge als Obergrenze wie im DSG, sondern ein Bussgeldrahmen bis zu 20 Millionen Euro oder bis zu 4% des gesamten weltweit erzielten Jahresumsatzes im vorangegangenen Geschäftsjahr, je nachdem, welcher Wert der höhere ist (wie dies in Art. 83 Abs. 5 DSGVO der EU geregelt ist).
Jorgo Ananiadis: „Die im revDSG gedeckelten Strafbestimmungen gefährden nur kleine Schweizer KMUs, die Grosskonzerne zahlen das aus der Portokasse. Und das sind die dicken Fische!“
Der letzte gravierende Mangel, welcher den digitalen Analphabetismus des Regierungsrates unterstreicht, ist der Plan weiterhin auf Cloud-Anbieter im unsicheren Ausland zu setzen, insbesondere die Speicherung und Bearbeitung von Daten im unsicheren Ausland mittels Cloud-Lösungen wie Microsoft 365. Microsoft, als ein Unternehmen mit Sitz in den Vereinigten Staaten, fällt unter die Bestimmungen des im Jahr 2018 eingeführten Cloud Act. Dieses Gesetz befugt US-Behörden, auf in der Cloud gespeicherte Daten zuzugreifen, selbst wenn diese Daten in Europa oder der Schweiz gelagert sind. Nicht ohne Grund führt der EDÖB die USA als ein Land mit ungenügendem Schutz und hält fest: „genügen den Anforderungen an einen angemessenen Datenschutz i.S. des DSG jedoch nicht.“
Als Sahnehäubchen gab es dieses Jahr allein bei Microsoft zwei Super-GAUs: Erstens der Verlust eines Masterkeys und zweitens veröffentlichten sie unbeabsichtigt 38TB an Daten – „Softwarefehler – da kann man halt nichts machen“)
Pascal Fouquet: „Der Vorschlag des Regierungsrat widerspricht der Ansicht von Datenschutzbeauftragten und den Empfehlungen von IT-Experten. Entweder sind unsere Volksvertreter komplett beratungsresistent oder treffen absichtlich Entscheidungen gegen die Interessen des Schweizer Volkes.“
Die Vernehmlassung im Wortlaut.