Vielen Dank für Ihre Registrierung. Sie haben jetzt den Aktivierungslink für Ihr Konto per E-Mail erhalten.

Ihr Konto ist aktiviert. Wir wünschen Ihnen viel Lesevergnügen.

Vielen Dank für Ihre Bestellung. Wir wünschen Ihnen viel Lesevergnügen.

Thurgauer Datenschützer warnt vor Bussen

Der Datenschützer Fritz Tanner rät Firmen davon ab, Besucher ihrer Homepage zu überwachen. Man könne Probleme mit EU-Gerichten bekommen. Dem Kanton empfiehlt er Zurückhaltung beim Mail-Verkehr.
Thomas Wunderlin
Fritz Tanner arbeitet seit 2013 zu 60 Prozent als Datenschutzbeauftragter der Thurgauer Kantonsverwaltung. (Bild: Reto Martin)

Fritz Tanner arbeitet seit 2013 zu 60 Prozent als Datenschutzbeauftragter der Thurgauer Kantonsverwaltung. (Bild: Reto Martin)

Herr Tanner, ich nehme unser Gespräch mit dem Handy auf.

Ich bin damit einverstanden. Wenn ich das gleich zu Beginn sage, dann haben Sie nachher einen Beweis. Gemäss der EU-Datenschutz-Grundverordnung müssen Einwilligungen bewiesen werden können.

Da sind wir beim Thema. Sie haben in Ihrem Jahresbericht darauf hingewiesen, dass es für Schweizer Firmen sinnvoll ist, die EU-Datenschutz-Grundverordnung zu beachten. Das klingt nach vorauseilendem Gehorsam, respektive einem Übergriff auf die Schweizer Souveränität.

Wir könnten sagen, es gehe uns nichts an. Aber wenn die Persönlichkeit eines Deutschen, eines Polen oder eines Italieners durch jemanden in der Schweiz verletzt wird, dann kann beispielsweise der Pole in Polen vor Gericht gehen, der Schweizer wird in Polen verurteilt und das Urteil in der Schweiz vollstreckt.

Können Sie ein Beispiel geben, das für eine Thurgauer Firma relevant sein könnte?

Laut Artikel drei der EU-Datenschutz-Grundverordnung sind alle davon betroffen, die in der EU Waren oder Dienstleistungen anbieten. Wenn ein Thurgauer Online-Shop sein Angebot in Schweizer Franken anschreibt und erklärt, er liefere nicht in die EU, geht es ihn nichts an. Wenn er es aber in Euro anschreibt, dann richtet er sein Angebot sicher an Einwohner der EU. Es kann auch gratis sein, es muss einfach irgendeine Zuordnung zur EU dabei sein. Oder, wenn Shop das Verhalten der Besucher seiner Homepage mit Google Analytics oder einem Cookie überwacht, dann sind auch EU-Einwohner betroffen, wenn sie seine Homepage aufrufen.

Was riskiert der Shop?

Im schlimmsten Fall riskiert er vier Prozent Busse des Jahresumsatzes des letzten Jahres weltweit. Das ist katastrophal viel.
Aber in den meisten Fällen wird es nicht so viel sein.
Nein, aber es gibt noch keine Praxis dazu.

Was muss man tun, um eine solche Busse zu vermeiden?

Entweder eine saubere Homepage machen, auf der kein Analyse-Tool darauf ist. Oder man muss einen Hinweis anbringen und den Besucher fragen, ob Sie damit einverstanden sind. Deshalb hat man in letzter Zeit überall Ja anklicken müssen, was das Internet fast nicht mehr interessant macht. Die extremste Lösung – ich empfehle sie nicht: Man sperrt alle Anfragen aus der EU. So wie zum Beispiel eine Mainzer Grundschule ihr Angebot vom Netz genommen und erklärt hat, sie könne momentan die Anforderungen der EU-Datenschutz-Grundverordnung nicht erfüllen.

Sie klingen kritisch. Müssten Sie als Datenschützer diese Verordnung nicht begrüssen?

Ich befürchte, dass man die Leute wütend macht, wenn so viele Einwilligungen verlangt werden. Mir wäre wohler, wenn man die Seiten sauber gestalten würde und nicht pseudomässig ein Okay einholen würde. Da sagt jeder Ja, ohne zu wissen, wozu er eigentlich seine Einwilligung gibt.

Wenn der Shop auf Cookies verzichtet oder eine Einwilligung verlangt, hat er kein Problem?

Es kann auch eines geben, wenn er eine Cloud betreibt und diese bei einem deutschen oder französischen Betreiber speichert. Dann hat er beispielsweise seinen ganzen Kundenstamm dort und müsste die Einwilligung jedes einzelnen Kunden einholen. Wenn er nur Schweizer Kunden hat, dann spielt es betreffend der EU-Verordnung keine Rolle. Aber wenn ein Deutscher, Franzose oder Pole darunter ist, braucht der Shop dessen Einwilligung.

Sie warnen auch vor E-Mails; die kantonale Verwaltung soll darauf verzichten. Sie beantworten Anfragen nach Möglichkeit per Briefpost.

Als Internet-User frage ich mich, wer denn meine Mails mitlesen will.
Beispielsweise bietet GMX kostenlos E-Mail-Adressen an und erklärt, dass die Mails für Werbung ausgewertet werden. Wenn ein Anbieter behauptet, er mache keine Auswertung, dann glaube ich es ihm nicht. Es sitzt sicher niemand da und liest die einzelnen Mails. Das kann man ja gar nicht, da läuft viel zu viel durch. Es wird nach Stichworten gesucht. Um sicher zu sein, muss man Briefpost verwenden. Der Staat ist verpflichtet, das Amtsgeheimnis zu wahren. So sollte die Steuerverwaltung beispielsweise keine Steuerdaten per Mail verschicken. Andere Daten sind vielleicht heute für Aussenstehende nicht interessant, aber wer weiss, was in fünf Jahren sein wird? Darum sage ich: Lieber nicht die Möglichkeit geben und etwas offenbaren.

Wieso haben Sie Ihre Mail-Adresse nicht aufgehoben?

Ich wäre der einzige Mitarbeiter der Kantonsverwaltung, der keine Mail-Adresse hat. Ich sage nicht, man dürfe Mails gar nicht mehr verwenden. Einen Termin zu bestätigen, ist zum Beispiel kein Problem. Ich propagiere, dass man sich allgemein zurückhält und mit Geheimnissen aufpasst. Wenn Mails akzeptiert sind, werden auch Whats­App, Facebook oder Instagram akzeptiert. Bei diesen modernen Mails hat der Staat nichts verloren. Wir sind immer noch Behörden. Auch wenn das Öffentlichkeitsprinzip eingeführt wird, haben wir immer noch Geheimnisse.

Fritz Tanner

Seit 2013 versieht Fritz Tanner im Thurgau das Amt als kantonaler Datenschützer. Er wird vom Regierungsrat jeweils auf vier Jahre gewählt. Der Rechtsanwalt aus dem aargauischen Oberkulm hat Jahrgang 1961. Er ist verheiratet, die Anzahl seiner Kinder verrät er nicht. (wu)

Der Verband der kantonalen Datenschützer Privatim erklärt, die Datenschützer könnten ihre Aufgabe nicht erfüllen und bräuchten mehr Stellen. Sollte auch Ihre Stelle ausgebaut werden?

Eine schwierige Frage. Einerseits finde ich, man sollte es ohne machen können. Man kann auch mit 60 Prozent effektiv wirken. Andererseits wird man schon ein wenig überrollt, wenn man schaut, was die EU-Datenschutz-Grundverordnung alles mit sich bringt. Es gibt ruhigere Zeiten, etwa im Sommer, dann sind die Leute in den Ferien. Wenn es wieder neblig wird, dann geht man eher zum Datenschützer mit einer Frage. Es gibt Kantone, die sagen, wenn wir so viel zu tun haben, können wir keine Kontrollen mehr machen. Das finde ich für den Datenschutz nicht gut. Kontrollen muss man immer machen, auch wenn man zu wenig Stellen hat. Man muss halt Prioritäten setzen.

Sie kontrollieren die Ämter stichprobenartig?

Ich mache auch grössere Kontrollen, das muss drin liegen. Das ist die Aufgabe eines Datenschützers. Er muss nicht nur beraten und sagen, macht es so und so. Er muss auch rausgehen und schauen, was da läuft.
Wie verhalten Sie sich persönlich?

Sie verfügen über kein Facebook-Konto.

Nein. Ich verwende auch Whats­App nicht. Wenn ich meinen Kundenstamm in meiner Anwaltskanzlei auf dem Handy hätte, dann wüsste ein Kunde vom andern.

Führen Sie keinen Familien-Chat auf WhatsApp?

Wir haben Threema genommen, weil es die Kontakte nicht abfragt. Ohne Handy geht es fast nicht mehr. Ich rate aber, es möglichst wenig zu brauchen.

Einfach Überwachung

Homepage-Betreiber können ihre Besucher einfach überwachen, beispielsweise mit Google Analytics. Bei der Anmeldung wird eine Applikation auf die Homepage geladen. Sie meldet Google jeden Besucher, von welcher IP-Adresse er ins Internet geht und was er aufruft. Der Homepage-Betreiber erhält periodisch eine Auswertung und kann dann besser entscheiden, wo er mehr werben sollte. Google erhält die Besucher-Daten und kann Profile der Benutzer erstellen, besonders wenn sie gleichzeitig beispielsweise via Android bei Google angemeldet sind. (wu)

Merkliste

Hier speichern Sie interessante Artikel, um sie später zu lesen.

  • Legen Sie Ihr persönliches Archiv an.
  • Finden Sie gespeicherte Artikel schnell und einfach.
  • Lesen Sie Ihre Artikel auf allen Geräten.