Es gibt am 18. Juni einige interessante weichenstellende und wichtige Abstimmungen, wie etwa das Klimaschutzgesetz oder die OECD-Steuer.
Doch ein aus digitalpolitischer Sicht sehr spannender Urnengang findet in Genf statt. Am 18. Juni stimmen die Genfer:innen über ein Recht auf digitale Unversehrtheit auf, das in der Kantonsverfassung verankert werden soll.
Nun klingt das alles sehr abstrakt. Konkret ausformuliert bedeutet das:
Art. 21A Recht auf digitale Integrität (neu)
- Jede Person hat das Recht auf Wahrung ihrer digitalen Integrität.
- Die digitale Integrität umfasst insbesondere das Recht auf Schutz vor missbräuchlicher Verarbeitung von Daten, die mit ihrem digitalen Leben zusammenhängen, das Recht auf Sicherheit im digitalen Raum, das Recht auf ein Offline-Leben sowie das Recht auf Vergessenwerden.
- Die Verarbeitung personenbezogener Daten, für die der Staat verantwortlich ist, darf nur dann im Ausland erfolgen, wenn ein angemessenes Schutzniveau gewährleistet ist.
- Der Staat fördert die digitale Integration und sensibilisiert die Bevölkerung für die Herausforderungen der Digitalisierung. Er setzt sich für die Entwicklung der digitalen Souveränität der Schweiz ein und arbeitet an deren Umsetzung mit.
Genf prescht vor. Und hat gute Chancen weltweite Pionierin zu sein. Mit vielen JA-Stimmen rechnet der Journalist Grégoire Barbey, wie er DNIP.ch mitteilt. Zurzeit sind mehrere Vorstösse zu dem Thema hängig, international und auch auf kantonaler Ebene (interessanterweise nur in der Romandie).
Wikipedia bietet verdankenswerter Weise eine gute Übersicht zu diesem Thema. (in der Waadt haben 40 Kantonsparlamentarier:innen im Januar 2023 eine Initiative vorgeschlagen, zur Aufnahme eines Artikels in der Verfassung; im Wallis schlug eine Kommission des Verfassungsrats einen entsprechenden Paragraphen vor; in Neuenburg wurde ein Dekretsentwurf zur Änderung der Verfassung von den Sozialdemokrat:innen ebenfalls im Januar 2023 eingereicht. Auch hier wird es zur Volksabstimmung kommen)
Bevor wir auf die inhaltlichen Besonderheiten und Implikationen des kantonalen Vorstosses zu sprechen kommen:
Noch viel spannender ist der Absender des Vorstosses: die Genfer FDP. Ausgerechnet die „law and order“ und wirtschaftsfreundliche Partei, die sich national stets für ein „Business First“ und einen Freipass für den Datenhandel im Internet einsetzt und auch den Strafverfolgungsdiensten sowie den Geheimdiensten mehr als einmal alle Freiräume für lückenlose digitale Überwachung gewähren möchte (Stichworte PMT-Gesetz oder automatisierte Gesichtserkennung).
Inhalte
ToggleFolgen für die Cloud-Frage der Bundesverwaltung
Artikel 21 A.3 hätte zum Beispiel auch Implikationen für die Cloud-Verarbeitung der Daten der Genfer Einwohner*innen auf kantonaler Ebene: „Die Verarbeitung personenbezogener Daten, für die der Staat verantwortlich ist, darf nur dann im Ausland erfolgen, wenn ein angemessenes Schutzniveau gewährleistet ist.„
Denn die USA ist nach wie vor kein Staat mit angemessenem Schutzniveau. Ein neues Datentransferschutzabkommen USA-EU/Schweiz (Auflage 3.0) wird auf Europäischer und damit auch Schweizer Ebene gerade verhandelt (ob es dann Bestand haben wird vor dem europäischen Gerichtshof wenn Schrems & Co wieder dagegen klagen werden, ist eine ganz andere Geschichte). Könnte also nach dem 18. Juni 2023 eine Genferin gar gegen die Bundeskanzlei gerichtlich vorgehen? Dies wäre in der Tat eine spannende Frage, denn ein Deutschschweizer Bürger hat bereits jüngst aufgegeben bei diesem Vorhaben. Wir haben bei der Bundeskanzlei noch nachgefragt, welche Konsequenzen dieser Entscheid haben wird und werden dies noch als Update vermelden.
„Die Idee ist, Gesetze zu entwickeln, die dieses Recht konkretisieren“, sagt der ehemalige Genfer FDP-Präsident Bertrand Reich. Der derzeitige Rechtsrahmen sei angesichts von Skandalen und Missbräuchen im Zusammenhang mit der digitalen Welt in der Tat unzureichend, liess sich der FDP-Präsident in der Tribune de Genève zitieren.
Tickt die Genfer FDP also anders? (Nun kennen wir ja die Genfer FDP national vor allem wegen einer Persönlichkeit: Pierre Maudet. Die Eskapaden rund um den mittlerweile aus der FDP ausgeschlossenen aber wiedergewählten Regierungsrat tat die ehemalige FDP-Präsidentin Petra Gössi als „Genferei“ ab. Aber das nur alles als Randbemerkung)
Nein, findet Olga Baranova, Geschäftsführerin der zivilgesellschaftlichen Organisation CH++ zur „Förderung von Wissenschaft und Technologie“, die mit 15 Jahren von Deutschland nach Genf zog und weiss wie die Romandie politisch tickt.
„Die Genfer FDP ist kaum digitalaffiner und -kompetenter als die anderen Parteien in Genf. Nach der Publikation des Buchs « Notre si précieuse souveraineté numérique » haben sie als erste das Thema politisch besetzt und wohl dafür auch die nötigen Mehrheiten geschaffen. In anderen welschen Kantonen ist das Thema übrigens klar links besetzt – das zeigt vor allem, dass Digitalisierung heute noch keinem klaren links-rechts Schema folgt.„
Olga Baranova, Geschäftsführerin ThinkTank CH++
Die treibenden Kräfte hinter dem Vorstoss
Das von Baranova angesprochene Buch stammt vom Unternehmer und Crypto-Aktivisten Alexis Roussel (beim Neuenburger Privacy-Unternehmen „nym“ tätig) und dem oben erwähnten „Heidi News“-Journalisten Grégoire Barbey. Das Werk legte damit das ideologische Fundament für die Debatte. Die beiden Romands skizzierten in ihrem Buch politische Überlegungen, wie Bürgerinnen wieder die Kontrolle über ihr digitales Selbst und ihre Daten zurückgewinnen können.
Ursprünglich hatte die Genfer FDP eine Volksinitiative lanciert. Die Unterschriftensammlung scheiterte, denn sie war inmitten der „Hochsaison“ der Pandemie. Daraufhin lancierte die Genfer Liberalen einen Vorstoss im Parlament, der eine Änderung der Verfassung vorsah. Roussel, ebenfalls Mitglied der Piratenpartei, ist treibende Kraft hinter dem Konzept „Digitale Integrität“. Er beriet die zuständige Kommission für Menschenrechte im Genfer Kantonsparlament, die den Vorstoss dann konkretisierte.
Nun muss das Genfer Stimmvolk darüber befinden.
Die Verfassungsbestimmung war von Anfang an unbestritten, sagte der ehemalige Genfer FDP-Präsident Bertrand Reich, der das Amt bis zum 31. Mai 2023 innehatte und das Projekt stark mitprägte. Wenn die Norm angenommen wird, dann muss es in anwendbares Gesetz gegossen werden. Hier besteht also durchaus noch politisches Konfliktpotenzial.
Q&A mit Bertrand Reich zur Verfassungsnorm
Wir von DNIP.ch wollten es genauer wissen. Dabei haben wir die Verfassungsbestimmung mal runtergebrochen und auf konkrete Standpunkte (Überwachung/Strafverfolgung/ Digitalwirtschaft/Cloud Computing) operationalisiert. Wie zum Beispiel: Zählt der Einsatz von Spyware und jegliche andere invasive Tools im FDP-schen Sinne nicht auch als Missbrauch der Daten? Hat das die Genfer FDP wirklich gut durchgedacht?
Anruf bei Bertrand Reich, ehemaliger Präsident der Genfer FDP.
DNIP.ch: Herr Reich, wenn man das Gesetz liest, denkt man: die Genfer FDP ist gegen jegliche Überwachung, was diametral zur Position der nationalen FDP wäre. Wie ist das möglich?
Reich: Wir finden der Staat hat nichts zu suchen in unserer digitalen Sphäre, es geht ihn nichts an. Natürlich, im Falle von Strafverfolgung, ist das anders.
DNIP.ch: Aber die Behörden argumentieren dass sie unsere Daten auf Vorrat speichern müssen und bei konkretem Verdacht dann retrospektiv auswerten. Hier geht das Argument nicht auf.
Reich: Wie gesagt, müssen wir bei Annahme dann die Bestimmungen zur Digitalen Integrität auf Gesetzesebene konkret noch aushandeln. Da könnte es Ausnahmen geben. Aber einfach auf Vorrat sammeln, das darf der Staat nicht. [Anmerkung der Redaktion: Zur nationalen Vorratsdatenspeicherung ist eine Klage der Digitalen Gesellschaft beim europäischen Gerichtshof in Strassburg hängig]
DNIP.ch: Aber der Einsatz von Spyware auf unseren Endgeräten würde eigentlich immer unter Missbrauch fallen. Denn auch wenn ich eine Täterin überführen könnte mit der einen eingehenden Nachricht auf ihrem Messenger, sähe ich als Polizistin ja ganz viele andere Daten, die mich nichts angehen würden.
Reich: Wie gesagt: es braucht einen konkreten Kriminalfalle und einen Verdächtigen und dann ist das Hinaufladen von Spyware legitim. Aber alle diese Fragen müssen wir dann auf Gesetzesebene aushandeln.
DNIP.ch: Bei einem Ja am 18. Juni ist eine Sache hingegen klar: Daten von Genfer Einwohner:innen dürfen nicht von Anbietern von „unsicheren“ Drittstaaten verarbeitet werden. Bei öffentlichen Institutionen haben Einwohner:innen keine Auswahl. Demnach dürften die Sozialversicherungs- oder Gesundheitsdaten von Genfer:innen niemals in der Public Cloud des Bundes (amerikanische und chinesische Big-Tech-Konzerne) verarbeitet werden.
Reich: Das stimmt, wir sind nicht einverstanden damit, dass jene Daten bei amerikanischen Big Tech-Konzernen verarbeitet werden und hoffen dass die Debatte endlich Änderungen auslösen wird.
Die Romandie bringt allgemein frischen Wind in die gesamte Cloud-Debatte. In der Westschweiz wurde die Debatte in den letzten Jahren besonders kritisch geführt, dort stiess die Entscheidung der Bundesverwaltung für die grossen Big-Tech-Konzerne Alibaba, Amazon, IBM, Oracle und Microsoft von links bis rechts auf viel Unverständnis. Ein Komitee Swiss Cloud for Swiss Sovereignty bildete sich unmittelbar danach, bestehend aus Nationalräten, Firmenvertretern und Professorinnen. In verschiedenen Kantonen der Romandie werden Vorstösse beraten, die ein Recht auf digitale Integrität ihrer Einwohnerinnen fordern.
Die Digitalisierungsbeauftragten der Romandie verfassten ausserdem Mai 2023 einen Brief an Finanzministerin Karin Keller-Sutter, in deren Departement das Bundesamt für Informatik und Telekommunikation (BIT) angesiedelt ist. Sie verlangen nicht nur eine Lösung für die Bundesebene, sondern auch eine lokale Cloud für Kantonsdaten. Nur Schweizer Firmen sollen am Bau der Infrastruktur beteiligt sein.
Warum reicht GDPR/die europäische DSGVO nicht aus für die Beförworter:innen?
Doch auch auf Bundesebene tut sich einiges. SP-Nationalrat Samuel Bendahan hat im September 2022 ebenfalls einen Vorstoss für einen Verfassungsänderung zugunsten der digitalen Integrität eingereicht. Auch hier geht der Impuls wieder von einem Politiker der Romandie aus (es handelt sich auch hier um eine parlamentarische Initiative…gut möglich wird dem Vorstoss dasselbe Schicksal wie die SwissCloud der ehemaligen FDP-Nationalrätin Isabelle Moret zuteil, diese lehnten die anderen Ratsmitglieder ab, weil die Initiative nicht das richtige Gefäss gewesen sei). Der Vorstoss wurde noch nicht im Nationalrat behandelt.
Artikel 10 Absatz 2 der Bundesverfassung soll wie folgt geändert werden:
2 Jeder Mensch hat das Recht auf persönliche Freiheit, insbesondere auf körperliche, geistige und digitale Unversehrtheit und auf Bewegungsfreiheit.
Die Begründung ist jedoch viel passiver formuliert als der Vorstoss in Genf. Man könnte es fast nur als erweitertes Informationsrecht verstehen. So schreibt der Waadtländer Bendahan in der Begründung des Vorstosses: „Das Recht auf Kontrolle der digitalen Identität ist also das Recht darauf, zu verstehen und zu wissen, welche Daten unseres digitalen Lebens gesammelt werden, seien das Informationen, die wir explizit weitergeben, oder solche, die von Seiten, die wir besuchen oder von Dritten aufgrund unserer Aktivitäten zusammengestellt oder berechnet werden.“
Die wissenschaftliche Literatur der „Digitalen Integrität“ leitet das Konzept hingegen rechtsphilosophisch her. Ein Aufsatz im „TalTech Journal of European Studies“ erklärt weshalb die europäische DSGVO (Datenschutzgrundverordnung, auf Englisch: GDPR) nicht genügt.
Das tschechische Autor:innen-Team argumentiert dass GDPR lediglich ein Marktregulierungsinstrument ist, dass den freien Fluss von Daten in der Privatwirtschaft voraussetzt und wir diesen nur richtig managen sollen. Die grundlegende Prämisse, ob dieser Datenfluss wünschenswert wird, ist damit nicht hinterfragt (ausserdem ist jeder Anwendungszweck zur Verarbeitung für Forschungszwecke nicht Gegenstand von GDPR, wenn die Daten anonymisiert seien). Ausserdem gehe das Regelwerk GDPR von einer eher negativen Abwehrhaltung gegenüber jeglichen datenverarbeitenden Subjekten aus, die Assoziation mit Daten sei mehrheitlich negativ und wird als Risiko und Gefahr betrachtet. Dem müsse man ein positives Selbstbild der Möglichkeiten des digitalen Selbst zeichnen. Die Autor:innen postulieren dass Digitale Integrität etwas Grösseres sein muss als „nur“ die Regulierung von uns als Datensubjekten.
In der Deutschschweiz steht die Datenschutzinitiative in den Startlöchern
Auch in der Deutschschweiz tut sich etwas. Die Digitale Gesellschaft (genannt: DigiGes) lancierte im Dezember 2022 ein Datenschutz-Festival. Die grösste Schweizer Organisation der digitalen Zivilgesellschaft bereitet seither eine Datenschutzinitative vor, die ebenfalls auf eine Verfassungsänderung hinzielt. Auch hier geht es darum grösser zu denken und eine schweizweite Debatte anzustossen was digitale Unversehrtheit auf individueller und systemischer Ebene bedeuten könnte. Denn erst wirksamer Datenschutz (der Missbrauch a priori ausschliesst) als zwingende gesellschaftliche Voraussetzung schaffe ein digitales Ökosystem mit Geschäftsmodellen und einem eGovernment, denen die Leute vertrauen, wie DigiGes-Geschäftsführer Erik Schöneberger ausführt.
„Mit der Initiative soll eine positive Vision von Datennutzung und Datenschutz verwirklicht werden, bei denen konkrete Schutzziele für einen Grundschutz sorgen, auf den sich alle Menschen in der Schweiz verlassen können. Mit dem ersten Datenschutz-Festival wurde die Debatte zu einem solchen Datenschutz-Konzept lanciert. Aktuell wird ein Entwurf erarbeitet und der Initiativ-Text verfeinert. Für Ende 2023 ist das zweite Datenschutz-Festival geplant; mit dem Start der Unterschriftensammlung ist im Frühling 2024 zu rechnen.„
Erik Schöneberger, Geschäftsführer Digitale Gesellschaft
2023 ist also das Jahr, in dem die grossen gesellschaftlichen Grundsatzdiskussionen zu Internetpolitik endlich geführt werden und wir vielleicht aus dem Klein-Klein der Internet-Regulierung rauskommen. Die Frage ist und bleibt: ob sich aus den Verfassungskonzepten dann konkrete Pflichten ableiten lassen für die (Digital-) Wirtschaft und sich der Paradigmenwechsel konkret gesetzgeberisch niederschlägt. Denn auf dem systemischen Level würde das bedeuten, dass „Opt-In“ (also eine explizite Zustimmung VOR DER Erhebung und Verarbeitung der Daten) verpflichtend wäre. Die Schweiz ist momentan ein Opt-Out-Land, Einwohner:innen müssen hier oft zuerst die Voreinstellungen bei Apps und Webseiten proaktiv ändern oder bei der Kundenhotline aktiv sagen, dass sie keine Auswertung ihres Gesprächs oder ihrer Stimme möchten.
Doch dafür braucht es mehr als eine Genfer Verfassungsinitiative. Der FDP-Präsident aus dem Kanton Genf relativiert die hohen Erwartungen, was den Paradigmenwechsel in der Digitalwirtschaft angeht: „Unsere Kantonsverfassung kann hier leider nicht die Digitalwirtschaft der Schweiz von heute auf morgen ändern.“
Update, 19.06.2023: Genf hat das Recht auf digitale Unversehrtheit mit 94% JA-Stimmen angenommen.
Serge Kuhn von der Bundeskanzlei antwortete zwischenzeitlich dass dieses JA keine Auswirkungen auf die Public Cloud-Projekte haben wird: «Die Bundeskanzlei äussert sich nicht zu laufenden Abstimmungen in kantonaler Hoheit. Generell können wir sagen: Kantonale Vorgaben, die sich an den Kanton richten, haben grundsätzlich keinen Einfluss auf Projekte des Bundes, die sich nach Bundesrecht richten.»“
Die konkreten Verhandlungen und die Reaktion aus Genf bleiben abzuwarten.