Affäre RR Donnelley - Datenschutzbeauftragte Petermann: «Kontrollrechte sind zu wenig verankert»

Judith Petermann, über Jahre waren Solothurner Steuerdaten bei RR Donnelley offenbar nicht sicher, wie der am Donnerstag veröffentliche Expertenbericht zeigt. Was sagen Sie als kantonale Datenschutzbeauftragte dazu?

Judith Petermann: Es ist nicht so, dass die Daten unsicher gewesen wären. Was im Bericht klar zum Ausdruck kam, ist Folgendes: In den Verträgen, die der Kanton abgeschlossen hat, wurde zu wenig Gewicht auf Datensicherheit gelegt. Dies ist sicher symptomatisch für viele Outsourcing-Verträge. Kontrollrechte sind oft vertraglich zu wenig verankert.

Fehlt in der Kantonsverwaltung also das Bewusstsein für den Datenschutz?

Seit 2008 werden die Steuerdaten auswärts gelagert. Das störte niemanden. Erst 2013 gab es einzelne kritische Stimmen im Kantonsrat. Es dauerte dann noch ein Jahr, bis die Politik das Problem erkannte. Warum ging das so lange?

Was Edward Snowden 2013 ans Tageslicht gebracht hat, nämlich dass die US-Geheimdienste weltweit auf Daten zugreifen, war ein Schock für viele Bürger. Sie fühlten, dass sie plötzlich keine Kontrolle mehr haben, wohin ihre Daten fliessen. Gerade nach den Enthüllungen von Snowden hat der Umstand, dass RR Donnelley ein amerikanisches Mutterhaus hat, viele Ängste ausgelöst.

Edward Snowden hat mit seinen Enthüllungen viel ausgelöst?

Er hat gewaltig viel bewegt. Plötzlich kam ins Bewusstsein, dass das, was denkbar ist, manchmal tatsächlich gemacht wird. Und erst noch in grossem Mass. Das war für viele eine Erschütterung.

Datenschutz: Das bedeutet für viele noch immer den Kampf gegen den Überwachungsstaat, der Fichen anlegt. Dabei haben einzelne Konzerne heute viel mehr Daten über Einzelpersonen.

Ursprünglich hatte der Datenschutz seinen Fokus auf der Überwachung der Bürger durch den Staat. Heute stehen vor allem grosse private Datensammler im Vordergrund. Sie tragen gewaltige Datenmassen zusammen. Daten, die die Möglichkeit geben, auf das tägliche Leben aller Einfluss zu nehmen. Das wird noch immer unterschätzt.

Jeder gibt auf Facebook Daten preis ...

Facebook ist ein Aspekt. Aber wir hinterlassen täglich Daten, ohne dass uns dies immer bewusst ist: Nur schon wenn man auf einer Suchmaschine etwas sucht oder einen Artikel bestellt. Da fallen Daten an, die Rückschlüsse auf eine Person, ihre Vorlieben und ihr Kaufverhalten, ja sogar ihre politische Haltung zulassen. Durch die Verknüpfung der Daten kann etwa eingeschätzt werden, wer bereit ist für welche Produkte welche Preise zu zahlen.

Was ist das Problem? Viele Menschen sagen: «Es tut mir nicht weh. Ich habe nichts zu verbergen.»

Besonders problematisch ist es, wenn man nicht mehr merkt, dass es einem weh tut. Datenschutz wird in Zukunft stark auch zu einem Konsumentenschutzthema werden. Es ist vorstellbar, dass Anbieter zu individualisierten Preisbildung übergehen. Vielleicht erhalte ich plötzlich für den gleichen Artikel einen anderen Preis vorgeschlagen als jemand anderes. Es kann sein, dass man nicht einmal mehr merkt, dass man manipuliert wird, weil man nicht alle Informationen zur Verfügung hat, sondern individuell angepasste. So kann man sich keine freie Meinung mehr bilden.

Zurück zu RR Donnelley. Die Datenschutzbestimmungen im Vertrag zwischen Kanton und Firma waren sehr rudimentär. Konnte da die Datenschutzstelle im Vorfeld nichts tun?

Wir geben zu diversen Projekten Feedbacks ab oder wir werden vor dem Erlass von datenschutzrelevanten Regierungsratsbeschlüssen beratend beigezogen.

In diesem Fall aber offenbar nicht.

Doch. Mein Vorgänger war einbezogen, wie er 2009 im Tätigkeitsbericht erwähnt. Er hat auch eine Kontrolle vor Ort durchgeführt und damals bestätigt, dass er die Prozesse des Outsourcings aus datenschutzrechtlicher Sicht für rechtmässig erachtet. Es ist ja nicht so, dass RR Donnelley keine Sicherheitskonzepte hätte. Die Geschäftsprüfungskommission beanstandet in ihrem Bericht vor allem die mangelhaften vertraglichen Vorgaben. Es wäre wichtig, dass im Vertrag vorgegeben wird, welche Massnahmen umgesetzt werden müssen.

Wo steht Solothurn in Sachen Datenschutz im interkantonalen Vergleich?

Die Sensibilisierung nimmt stark zu, zuletzt im Kantonsrat, der uns eine zusätzliche Stelle bewilligte. Auch die Arbeit der GPK wird einiges bewegen.

Wo etwa?

Wir erhoffen uns beispielsweise, dass die Verträge zur Auslagerung von Daten rasch qualitativ besser daherkommen. Bisher lag unser Schwerpunkt bei der Prävention. Mit der neuen Stelle können wir mehr Kontrollen durchführen und Projekte vorab prüfen.

Auch mit der neuen Stelle haben Sie in der kantonalen Datenschutzstelle nur gerade 280 Stellenprozente. Die Verwaltung ist aber gross. Sie können ja längst nicht alles überprüfen.

Ich bin sehr froh, dass wir eine zusätzliche Stelle haben. Selbstverständlich könnten wir mit mehr Ressourcen mehr erreichen. Aber wir werden nie alles kontrollieren können, sondern immer punktuell Kontrollen vornehmen. Letztlich liegt die Verantwortung für das Einhalten des Datenschutzes bei der Verwaltung.