Allgemein

DS-GVO Fehlkonzept Nr. 5: Die DS-GVO bestraft den Mittelstand

Liest man die Pressenachrichten rund um echte oder vermeintliche Datenschutzverletzungen, dann bewegt sich die Diskussion immer in Richtung der “Grossne”, d.h. Facebook, Google und Co. Man könnte folgern, dass die DS-GVO denn auch diese Anbieter im Visier hat, das ist aber bei weitem nicht so.

Dem EU-Gesetzgeber schien es offenbar egal zu sein, ob das Datenschutzrecht auf den Bäcker im Dorf angewendet wird oder auf einen multinationalen Konzern. Das kann nicht funktionieren: Es kann keine Gleichheit zwischen Verantwortlichen geben!

Der Datenschutz stösst dann an seine Grenzen, wenn der Unternehmer nicht mehr in der Lage ist, seine Tätigkeit wirtschaftlich zu erbringen. Man kann mit Recht argumentieren, dass der Bäcker ein schlechtes Beispiel sei, denn seine Datenschutzaktivitäten sind doch eher überschaubar. Dem stimme ich zu, doch manchmal hat man leider den Eindruck, dass dies die Datenschutzbehörden nicht verstanden haben. Und zwar geht es hier nicht um die Datenhaltung des Bäckers, sondern vor allem um das Verhältnis zwischen kleinen Softwareanbietern und multinationalen Giganten. Selbstverständlich ist es einfach, den kleinen Anbieter an den Karren zu fahren, wenn er seine Software nicht genau so implementiert hat, wie sich das die Behörde vorstellt. 90% aller Softwareanbieter möchten ihren Kunden sinnvolle Lösungen anbieten. Sie sind nicht daran interessiert, Personendaten kommerziell auszuschlachten. Wenn man davon spricht, dass Google 500 Mannjahre in die DS-GVO Konformität habe, dann sollte einem das nicht beeindrucken. Man müsste das im Verhältnis zum Gewinn darstellen. Was jedoch zu denken gibt: Wenn sich der kleine Softwareanbieter verschulden muss, damit der seine Anwaltshonorare zum Aufbau der DS-GVO Konformität bezahlen kann. Es kommt nicht von ungefähr, dass die amerikanischen Anbieter schon vor über zwei Jahren damit begonnen haben, die DS-GVO punktgenau zu implementieren. De facto verschafft die DS-GVO amerikanischen Anbietern einen Wettbewerbsvorteil.

Die daraus resultierenden Konstrukte und AGBs sind so umfangreich und zum Teil auch unverständlich, weil sie den Grundgedanken der DS-GVO exakt wiedergeben. Grosse US-Unternehmen betrachten den Datenschutz als rein legale, nicht existenzielle Angelegenheit. Die Angst vor möglichen Konsequenzen ist vorherrschend, sie reduziert sich aber immer auf monetäre Betrachtungen (Sammelklagen in den USA). Das ist reines Risk Management und unternehmerisch vertretbar (= Griff in die Portokasse). Grosskonzerne können rechtliche Umstellungen rasch anpassen und durchsetzen. Letzteres ist für den kleinen, innovativen Anbieter fast nicht mehr möglich.

Beispiel: Es ist kein Wunder, das Marketing-Automatisierung auf der Basis von Open Source Werkzeugen massiv zunimmt. Schlussendlich möchten auch die kleinen Anbieter die gleich langen Spiesse haben wie die Grossen. Doch damit öffnen sie eine Pandorabüchse, denn plötzlich befinden wir uns im Sumpf von Profiling und automatisierten Einzelentscheidungen, die einen Rattenschwanz von Folgemassnahmen nach sich ziehen.  Ob sie diese noch bezahlen können, ist mehr als fraglich. Das geltende Datenschutzrecht führt dazu, dass die Spiesse noch ungleicher werden.

Es stellt sich die Frage, ob ein kleiner Anbieter unter der DS-GVO überhaupt noch eine Chance hat. Sein Produkt wird teurer und mittelfristig bedeutet das für ihn einen Wettbewerbsnachteil.  Gleiches gilt allerdings auch für die Informationssicherheit. Sicherheit hat ihren Preis und lokale Lösungen sind noch immer besser kontrollierbar und besser abzusichern. Gerade im Zeitalter neu aufkeimender Wirtschaftskriege müsste der EU daran gelegen sein, ihre IT-Industrie zu stützen. Die DS-GVO hilft dabei nicht. In Tat und Wahrheit sind die grossen Herausforderung in der Informationssicherheit zu suchen. Nur wer hier genügend Mittel investieren kann, hat längerfristig eine Chance, auf dem Markt zu bestehen.

DS-GVO Fehlkonzept Nr. 4: Lückenlose Datentransparenz ist machbar

Der WG Kühlschrank

Man kann über die DS-GVO sagen was man will, in ihr steckt wertvolles Gedankengut zum Datenschutz. Es gibt allerdings einige Bestimmungen und Ideen, die so gar nicht mehr mit der heutigen Realität übereinstimmen. Das grösste Defizit zeigt das Gesetz im Zusammenhang mit der Datentransparenz und der Information Governance. Genauer müssten wir von Informationstransparenz sprechen. Datentransparenz könnte man noch halbwegs als machbar bezeichnen, Informationstransparenz ist hingegen eine hohe Kunst. Wir bearbeiten mit dem KRM seit Jahren das Feld der Information Governance und wissen, was es bedeutet, als Organisation seine Informationen im Griff zu haben. Heute beherrschen die meisten Organisationen vielleicht 20% ihrer Daten.

Was bedeutet nun Transparenz im Kontext der Personendaten? Gemäss DS-GVO müssen Sie als Verantwortlicher ein Verfahrensverzeichnis bzw. Verarbeitungsverzeichnis erstellen. Darin müssten sie ihre Personendaten bzw. die Anwendungen erfassen, in welchen sie Personendaten speichern. Zusätzlich müssen sie erfassen was damit geschieht, welche Auswertungen erstellt werden, an wen die Daten gelangen u.a.m.

Man stelle sich vor, jede Excel Datei, die in einzelnen Unternehmen erfasst wird, muss nach diesen Prinzipien erfasst werden. Sie sagen, das geht? O.k., das ist mindestens theoretisch noch machbar. Sofort erinnert man sich an die guten alten Karteikästen, denn dafür wurden Verarbeitungsverzeichnisse konzipiert. Spannend wird es dann, wenn solche Daten mit externen Daten kombiniert werden, ohne dass sie dies bewusst tun (vgl. das Beispiel der Rekrutierung in FK 2). Informationsbildung geschieht vielfach unbewusst, aus Zufall, durch Unachtsamkeit, „on the fly“.

Dies geschieht zum Beispiel immer dann, wenn digitale Adressbücher ausgetauscht werden. Das beste Beispiel dazu ist Microsoft Outlook. Durch den Trend zur Speicherung der Daten in der Cloud werden Personendaten im Hintergrund permanent synchronisiert (haben Sie sich schon gewundert, dass Personen aus Ihrem Adressbuch plötzlich in LinkedIn erscheinen?). Dies zu kontrollieren ist selbst für den Experten kaum möglich. Geschweige denn herauszufinden, wo dies überall geschieht.

Die Grundprinzipien der Datentransparenz sind in der DS-GVO auf der Basis der Achtzigerjahre stecken geblieben. Hier hat die EU schlicht ihre Hausaufgaben nicht gemacht. Information Governance ist eine Disziplin, die seit ca. 15 Jahren durch verschiedene Organisationen, Lehre und Forschung entwickelt und propagiert wird. Der intelligente Umgang mit der Datenhaltung, das Informationsmanagement, ist nun durchaus keine neue Disziplin. Sie wurde aber in der DS-GVO völlig ignoriert.

Leider ist aber auch die Informationsverarbeitung in den meisten Organisationen  auf diesem Niveau stehen geblieben: Die meisten Unternehmen gehen mit ihren Daten um wie WGs mit ihren Kühlschränken, siehe Video). Der Hauptharst der Daten liegt nach wie vor entweder im Dateisystem verborgen oder das Mailsystem wird als Datenverwaltungssystem missbraucht . Die heutige Vernetzung der Systeme hat dazu geführt, dass kaum jemand die Informationsbildung durchschaut. Wenn man Verarbeitungsverzeichnisse erstellt, dann sind sie selbst in einfachen Verhältnis fast nutzlos. Sobald es aber um komplexe Cloud-Anwendungen und verteilte Systeme geht, nicht mehr realisierbar. Selbst die 60/40 Lösung ist eine grosse Herausforderung, 80/20 unbezahlbar. Da jedoch die Mehrheit der Organisationen nach wie vor ohne richtiges ECM/DMS System auszukommen versucht, wird die Beherrschung der Daten das ein fast unmögliches Unterfangen. Ohne eine systematische Vorgehensweise im Umgang mit Unternehmensdaten wird die Beherrschbarkeit der Daten ein Wunschtraum bleiben.

Auch das Informationsmanagement befindet sich gegenwärtig in einer Phase der Veränderung. Einerseits werden die analytischen Werkzeuge (“Data Analytics”) immer besser, andererseits sind sie noch viel zu wenig gut, um unstrukturierte Datenhaufen ausreichend (im Kontext Compliance: lückenlos!) erfassen zu können. Das bedeutet, dass man ohne Metadaten auch in Zukunft nicht auskommen wird. D.h., dass eine Unternehmenstaxonomie zwingend auch die Metadaten “DS-GVO relevant” berücksichtigen muss. Dies kann unterschiedliche Formen annehmen, der Schritt ist aber zwingend und muss anschliessend auch noch durch die Systeme abgebildet werden können.

Der hilflose Versuch, gemäss DS-GVO eindimensionale Verarbeitungsverzeichnisse zu führen, führt zu absurden Ergebnissen. Dieser Ansatz ist schon im Rahmen des Qualitätsmanagements kläglich gescheitert („führe alle Deine Dokumente in einem Verzeichnis“). Solche Verzeichnisse sind schon zum Publikationszeitpunkt hoffnungslos veraltet und natürlich lückenhaft (eine Abdeckungsquote von 50% würde ich als hoch bezeichnen).

In der DS-GVO hat es diverse Widersprüche, was die Transparenz der Verarbeitung angeht. Einerseits sollte die vollständige Transparenz der Verarbeitung gewährleistet werden, was nur mit Protokollierung, d.h. Datenerzeugung geht, andererseits gilt der Grundsatz der Datensparsamkeit.  Wie soll man zum Beispiel die Datenlöschung jederzeit nachvollziehbar machen? Wenn ich festhalten möchte, dass ich eine E-Mail-Adresse gelöscht habe, muss ich diese protokollieren, um den Nachweis der Löschung erbringen zu können. Der immer währende Anspruch auf Transparenz bedeutet nämlich auch, dass die Aufbewahrungspflichten gestiegen sind. Und ich meine hier nicht die Pflichten, die aus anderen Gesetzen entstanden sind, sondern die Pflichten aus dem Datenschutzrecht selbst. Das Datenschutzgesetz selbst ist die Quelle neuer Datenberge!

Um hier nicht missverstanden zu werden: Ich befürworte die bessere Dokumentation der Informationsverarbeitung, denn sie bildet die Basis für eine gute Information Governance und damit einer zielgerichteten wirtschaftlichen und gesetzeskonformen Haltung von Information.

Umfassende Informationen und Grundlagen zur Information Governance finden Sie auf der Website des KRM.

DS-GVO Fehlkonzept Nr. 3: Einwilligung ist möglich

In den letzten Monaten haben wir zigfach unsere Einwilligung zu Datenschutzerklärungen, Cookie Policies, AGBs, Vertragsergänzungen u.v.a. gegeben. Ich gebe es zu, auch ich lese nicht alle Datenschutzerklärungen, denen ich zustimme. Selbst wenn man weiss, wie solche Erklärungen aufgesetzt sind und was sie beinhalten, bedeuten sie für den Betroffenen primär Ärger (vom volkswirtschaftlichen Schaden, der alleine durch das Lesen entsteht, noch nicht einmal gesprochen).

Denn wir wissen es alle: wir haben praktisch keine Möglichkeit, Dienste zu nutzen, ohne diese Erklärungen zu bestätigen. Sind wir tatsächlich in der Lage, die Tragweite der von uns erteilten Einwilligungen abzuschätzen?

Dabei handelt es sich nicht primär um ein Datenschutzthema. Doch was ist eine Einwilligung? Wenn wir als Kunde ein Online-Angebot nutzen, wird der Anbieter eine Datenschutzerklärung beifügen, die wir als Teil des Vertrags unterzeichnen sollen. Wenn wir das wollen, müssen wir in der Regel einen digitalen Entscheid treffen: Ja oder Nein (und zwar zu Grundvertrag und Datenschutzerklärung). Schwierig wird das Ganze, wenn es sich um ein marktbeherrschendes Unternehmen handelt, bzw. es keine Alternativangebote gibt (typische Monopol- oder Oligopolsituation).

Eine Einwilligung nach Datenschutz bedeutet, dass die betroffene Person mit den Verarbeitungsmethoden, wie sie der Verantwortliche dokumentiert, einverstanden ist. Ist sie dies nicht, dann müsste sie die Möglichkeit haben, einzelne Bearbeitungsformen und -methoden auszuschliessen. Zu diesem Zweck muss der Verantwortliche transparent darüber informieren, wie er mit den Daten arbeitet und welche Verarbeiter (Subunternehmer) er beizieht.

Diese Vorgehensweise setzt voraus, dass volles Wissen über die Datenhaltung herrscht (vgl. FK 4). In heutigen Systemen ist die Vernetzung jedoch so hoch, dass dies Wunschdenken ist. Ich kann als Betroffener höchstens generell eine Meinung äussern. Selbst wenn ich einzelne Opt-in Schalter habe, bedeutet dies noch lange nicht, dass die Verarbeitung dann wirklich meinen Wünschen entspricht.

Erfrischend sind die immer wieder neu auftauchenden, absurden Darstellungen von Opt-in Möglichkeiten auf Webseiten von Anbietern. Da darf man 50 virtuelle Schalter betätigen und entscheidet damit über alle möglichen Formen von Verarbeitungen (vgl. FK 9). Das würde bedeuten, dass man sich über die dazugehörigen Softwareteile genauestens erkundigt und auch noch versteht, was geschieht! Dies kann und will niemand tun (vgl. FK 4). Selbst der Anbieter wird nicht in jedem Fall genau wissen, welche Konsequenzen das Ein-/Ausschalten eines Dienstes tatsächlich hat.

Unter dem Strich bedeutet dies folgendes: Entweder ich lasse mich mit dem Anbieter ein oder ich lasse es bleiben! Zum Glück gibt es in vielen Bereichen Alternativen zu den bekannten Datenkraken. Trotzdem drängt es die Leute aus Bequemlichkeit (und aus Geiz) immer wieder zu Diensten, die den grössten Marktanteil haben.  Diese Anbieter nützen ihre Marktmacht systematisch aus.

Die aktuelle Tendenz, sämtliche Software nur noch als Cloud Version anzubieten, trägt weiter dazu bei, dass der einzelne Nutzer praktisch keine Macht (Kontrolle = Information Governance) mehr über seine Daten besitzt. Es bleibt ihm nur noch die Alternative, entweder nach wie vor alles lokal zu installieren und zu betreiben, oder sich lokale Anbieter zu suchen, die vertrauenswürdig sind und mit denen er einen vernünftigen Vertrag aushandeln kann (Don’t forget: All business is still local).

Doch auch für den kleinen Anbieter wird es jetzt haarig. Meist besteht ein Grundvertrag über eine Leistung, die vom Anbieter (Auftragnehmer) („wir bieten ein CRM in der Cloud an“) angeboten wird. Der Kunde, hier ein Unternehmen, bestellt dieses Angebot auf Basis des Grundvertrags. Gleichzeitig wird er vom Anbieter noch gebeten, einen Auftragsverarbeitungsvertrag zu unterzeichnen, welche den Umgang des Auftragnehmers mit den Personendaten beschreibt (denn Sinn und Zweck des CRM dürfte es u.a. sein, Personendaten zu erfassen).

Hier spielt nun die DS-GVO wieder den grossen Oligopolen in die Hand. Betrachtet man das Ganze aus der Sicht eines kleinen Softwareanbieters, dann sieht man auch die Absurdität, die das Einwilligungsrecht erzeugt. Nach der DS-GVO ist es theoretisch möglich, eine Einwilligung für eine Verarbeitung jederzeit zurückzuziehen. Was heisst dies nun in einem praktischen Kontext? Ein Betroffener (im oben geschilderten Fall ein beliebiger Mitarbeiter eines Kunden, ein potenzieller Kunde etc.) könnte demnach, darauf bestehen, dass seine Daten aus einem bestehenden System entfernt und gelöscht werden.

Tatsächlich sieht die Praxis anders aus. In 80% aller Fälle bestehen gesetzliche Aufbewahrungspflichten, die den Widerruf verhindern (sogar aus dem Datenschutzrecht selbst, vgl. FK 8). Völlig absurd ist die Forderung, dass Subunternehmer nur eingebunden werden dürfen, wenn jeder Betroffene zustimmt. Theoretisch müsste der Kunde jedes Mal im Vornherein zustimmen, wenn ein Anbieter Daten an einen neuen Unterauftragnehmer weitergeben möchte. Es kommt noch schlimmer, der Anbieter müsste u.U. das Einverständnis aller Betroffenen einholen.

Was heisst das für die Praxis? Cloud Anwendungen werden heute aus vielen Online-Komponenten zusammengebaut. Der Anbieter muss dafür sorgen, dass seine Anwendung zuverlässig und verfügbar ist (übrigens auch eine gesetzliche Datenschutz-Anforderung).  Er muss gegebenenfalls Dienste auswechseln können. Angenommen, der Kunde verweigert die Zustimmung, dann muss er sich überlegen, ob er diese Kunden überhaupt noch haben will. Demgegenüber steht aber eine entsprechende Vertragsgrundlage, die er nicht verletzten darf. In der Regel liegt es im Interesse beider Parteien, dass der Dienst möglichst ohne Unterbrechung weitergeführt wird. Die gegenseitige Abhängigkeit der Unternehmen und Kunden von solchen Diensten wird immer mehr zunehmen. Hier geht es nicht um ein Machtspiel: Kunden wie auch Anbieter sitzen im gleichen Boot und werden alles dafür tun, diese quälenden Vorgaben des Datenschutzrechts möglichst elegant zu umgehen.

Hier zeigen sich wieder die Ungerechtigkeiten bei der Marktmacht. Einem grossen Anbieter ist es ohne weiteres möglich, auf denjenigen Teil seiner Kunden zu verzichten, die mit seinen Optionen in den Verträgen nicht einverstanden sind. Für den kleinen Anbieter kann es jedoch existenzbedrohend sein, würde er die exorbitanten Einwilligungsvorgaben der DS-GVO in jedem Fall erfüllen.

Das Problem mit dem Einwilligungsrecht lässt sich nicht einfach lösen. Es handelt sich hier um eine Thematik, die mit Datenschutzrecht nur bedingt zu tun hat. Solange es gesetzlich zulässig ist, dass man fünfzigseitige AGBs mit einem Klick bestätigen kann, bedeutet dies eine totale Entmachtung des Kunden. Die Opt-in Prinzipien des Datenschutzes sind durchaus sinnvoll, doch müssen sie konsequenterweise auf den gesamten Vertrag angewendet werden. Verträge müssten so modular gestaltet werden, dass sie den Ausschluss einzelner Vertragskomponenten zulassen würden. Die heutigen AGB-Monster sind völlig einseitig gestaltet und dienen in der Regel nur den grossen Anbietern. Der Komplexität der Technologie steht damit eine vergleichsweise ähnliche Komplexität der Verträge gegenüber. Ohne technische Hilfsmittel sehe ich hier keine Chance, dass es eine Verbesserung geben wird. Wissen Sie, wo Sie überall Ihre Einwilligung erteilt haben?

DS-GVO Fehlkonzept Nr. 1: Datenschutz ist global

Mit der DS-GVO hat die EU ein Gesetz geschaffen, welches dazu führt, dass Ländern Datenschutz-Regeln aufgezwungen werden, die in keiner Art und Weise ihrem Verständnis von Datenschutz entsprechen.

Die EU will der Welt ihr Datenschutz-Konzept aufdrängen.

Die meisten Bürger von EU-Mitgliedsstaaten sehen sich primär als Bürger ihres Landes und nicht als Teil eines anonymen (EU)-Verbunds. Datenschutz ist historisch, gesellschaftlich und sozial geprägt.  Wenn wir uns darüber aufregen, dass es Staaten gibt, die dazu übergehen, ihre Bürger systematisch zu kategorisieren und einzuteilen, dann vergessen wir leicht, dass wir in einem sozialen Umfeld aufgewachsen sind, in welchem wir Repression, Unterdrückung oder Zwang zur Uniformität nur noch aus Büchern oder aus dem Internet kennen. Vergleichbarkeit und Messbarkeit sind bei uns Unworte, obwohl sie die gesellschaftliche Realität widerspiegeln. Während wir in der Schule Noten bekämpfen und uns nicht messen wollen („es bekommt jeder einen Preis“), wird in den Sozialen Medien knallhart bewertet, was der Mausklick hergibt. In Systemen, in welchen der Einzelne nur dann aus der Menge auftaucht, wenn er ein hohes Rating hat, hat Datenschutz nur eine geringe Bedeutung („geben wir uns doch gegenseitig die Maximalbewertung..“).

Trotz Fichen-Affäre und alltäglichen Big Data Analysen ist unsere Sensibilisierung zum Thema Datenschutz gering. Das hat damit zu tun, dass wir Schweizer traditionell vom Staat wenig zu befürchten haben und hatten („wir sind der Staat“). Studien zeigen, dass dort, wo das Vertrauen in den Staat hoch ist, dem persönlichen Datenschutz geringes Gewicht beigemessen wird. So ist es nicht überraschend, dass gerade in den skandinavischen Ländern Dinge wie das Implantieren von Chips sozial akzeptabel sind (in Schweden lag die Zahl „gechippter“ Personen bei rund 3000, August 18). Für die Mehrheit ist dies heute noch undenkbar. Trotzdem wächst die Gruppe von Personen stetig, welche sich freiwillig der digitalen Transparenz aussetzt. Wie sollen die Gesellschaft damit umgehen, dass ein Grossteil der Bevölkerung ihre Personendaten verschleudert und sich damit den hoch heiligen Prinzipien des Datenschutzes aktiv widersetzt? Wie man diese Frage auch immer beantwortet: die DS-GVO ist nur ein Weg, Personen vor sich selbst zu schützen. Sie ist aber in keinem Fall geeignet, auf globaler Ebene als verbindliche Norm eingesetzt zu werden.

Ist der Bürger eines ehemals kommunistischen Staates sensibler, wenn es um Datenschutz geht?

30 Jahre im Kampf für Cyber Security – Gedanken eines Pioniers

Ich blicke dieses Jahr auf rund 30 Jahre Erfahrung als Cyber Security Experte und Unternehmer zurück. Was als Gedankenspiel in meiner EDV Anfangszeit begann, setzte sich mit einer intensiven Auseinandersetzung mit EDV-Systemen und deren Verlässlichkeit fort. Während das Fachgebiet der EDV-Revision schon in den sechziger Jahren entwickelt wurde, begann die Diskussion um “Datensicherheit” eigentlich erst Ende der achtziger Jahre. Zuerst im Umfeld der Grosssysteme und mit ersten Angriffsbeschreibungen auf Host-Systeme, später aber zunehmend auch auf Netzwerke.

Parallel entwickelte sich die Kryptologie von einer rein militärisch geprägten Fachrichtung zu einer Wissenschaft, die Hoffnung und Lösungen für die zukünftige Sicherung von Daten versprach. Viele der grundlegenden Umsetzungsansätze wurden in den 90er Jahren entwickelt. Ein wesentlicher Meilenstein war der Schritt: “From Obscurity to Security”, also der Verwendung von publizierten Algorithmen und deren Anwendung für die Sicherung von “Transaktionen” (was dies wirklich bedeutete, war nur den wenigsten im Ansatz klar). Diese bedeutet nämlich u.a., dass die Verschlüsselungsverfahren für die breite Masse einsetzbar wurden, da die Implementierung nun softwarebasiert erfolgen konnte und diese Implementierung nachvollziehbar war. Der Anfangserfolg von Phil Zimmermann’s PGP liefert den Beweis dazu.

In dieser Zeit konzipierten wir bei r3 security engineering bereits Sicherheitsverfahren im Hinblick auf die neue Welt des Internets. Wir schufen für die damalige Telekurs einen Standard (TBSS = Telematics Base Security Services) der  die Grundlage geliefert hat, wie man im E-Banking ein einheitliches Sicherheits-Front End hätte anbieten können. Also ein System, welches die sicherer Authentifizierung und Verschlüsselung, unabhängig von der E-Banking-Lösung, realisiert hätte. Wie viele andere bahnbrechende Ideen wurde auch diese durch die uneinige Bankenlobby erfolgreich versenkt. Statt dessen haben wir heute für jedes Online-Banking eine eigene Sicherheitslösung (sic!).

Ein grosser Dank gilt Bruce Schneier, er hatte erstmals ein Kryptobuch publiziert, welches auch für den Nichtmathematiker lesbar und verständlich war (was natürlich bei den Hardcore-Kryptologen gar nicht gut ankam). Er hat aus meiner Sicht wesentlich dazu beigetragen, dass sich die Verschlüsselungsverfahren schneller ausbreiteten.

1999 wurde das Thema Informationssicherheit erstmals auch für die Chefetage zum Thema: “Mein Sohn hat übers Wochenende mit meinem Laptop gespielt, jetzt geht er nicht mehr”. So oder ähnlich wurden die ersten Viren wahrgenommen. Von da an war das Thema Sicherheit zumindest bei Grossunternehmen etabliert, wenngleich noch mit schmalen Budgets und wenig Know-how. In diese Phase fällt auch die starke Entwicklung der PKI-Infrastrukturen und dem Entstehen des eCommerce sowie der Schaffung der ersten Gesetze dazu (z.B. Signaturgesetze). Verschiedene EU-Forschungsprojekte, an welchen auch wir teilnahmen, hatten seit ca. 1993 die Grundlagen für die Umsetzung in Europa geschaffen. Mit der Dotcom-Krise starben auch hier viele ausgezeichnete Konzepte, die bis heute nicht wiedergekommen sind.

Die Nullerjahre waren geprägt durch die Konsolidierung des Anbietermarktes. Nachdem die amerikanischen Behörden 1997 mit der Strategie gescheitert waren, Verschlüsselungsverfahren zu schwächen (die berühmte 56bit Netscape-Verschlüsselungs-Diskussion), begannen sie, subtiler zu agieren.  Sie habe sich über Tarnfirmen systematisch an Sicherheitsfirmen zu beteiligt um diese zu beherrschen (man möge mir hier den Beweis erlassen, wir bewegen uns hier in einem Umfeld, welches für Transparenz nicht wirklich empfänglich ist). Gleichzeitig wurden Backdoors in Software eingebaut und die Spionageaktivitäten (Echelon) massiv ausgebaut. Transantlantische Netzverbindungen wurden angezapft und so ist heute eigentlich jegliche Art von Netzwerkverkehr für Geheimdienste und deren Auftraggeber transparent (was durch die Politik in der Regel einfach ignoriert wird).

Die Nullerjahre waren auch NULL was die Entwicklung der Cybersecurity angeht. Grundlegende Konzepte, welche in den Neunziger entwickelt wurden, wurden kaum mehr weiterentwickelt (das hat sicher auch damit zu tun, dass Cybersecurity auf die Ebene der strategischen Kriegsführung kam). De facto treten wir hier seit Langem an Ort. Ist das für die Praxis von Bedeutung? Nicht wirklich, denn die Grundübel oder politisch korrekter ausgedrückt, Schwachstellen in den Infrastrukturen wurden nicht verringert, sondern erhöht. Mit dem Einsatz von Windows als flächendeckender Infrastruktur setzte man auf ein Betriebssystem, welches zu Beginn nur als Desktop-OS konzipiert war. Kein Mensch hätte in den achtzigern Jahren darauf gewettet, dass dies eine  Konkurrenz für “ernsthafte” Betriebssysteme sein würde. Oder anders formuliert: Die Sicherheit der Welt hängt heute von einem Betriebssystem ab, welches als Schreibmaschinen-Ersatz (DOS) für die erste Intel-Prozessorgeneration konzipiert wurde. Gleiches gilt aber auch für die Kommunikationsschicht. Das Internet war und ist technisch gesehen eine Spielerei. Die UDP/TCP Protokolle waren als Konzepte interessant und im wissenschaftlichen, bzw. universitären Umfeld auch spannend. Eine Anwendung als globales Netz, an dem die Schicksale ganzer Volkswirtschaften hängen, hätten wohl alle Erfinder weit von sich gewiesen. Es gibt in der Internet Architektur haufenweise Lücken, die nachträglich gefüllt werden mussten (meist nur schlecht oder recht). Ein Thema davon ist die Sicherheit. Noch wichtiger wäre es gewesen, die jederzeitige Nachvollziehbarkeit der Verlinkung zu implementieren. Dies hätte es ermöglicht, jederzeit zu wissen, wer einen eigenen Inhalt verlinkt hat.  Damit hätte man auf einen Schlag  haufenweise Probleme verhindert, z.B. Fake news,  copyright infringements etc.

Kurz und gut, alles was wir in der Cyber Security tun ist “aufgesetzt”. Wir stehen bei der Entwicklung etwa dort, wo Volvo war, als sie den ersten 3-Punkt Sicherheitsgurt serienmässig eingebaut hatten. Vorher war das System “Auto” brandgefährlich, die Sicherheitsmittel mehr als bescheiden. Trotzdem hat es Jahre gedauert, bis die Gurtpflicht eingeführt wurde. Dummerweise hat ein Unfall im Internet wesentlich grössere Auswirkungen, als wenn ich mit 120 Sachen in einen Baum rase.

Die Cyber Security Industrie setzt im Jahr weltweit rund 90 Mia. USD um, das Sicherheitsbefinden der Anwender ist seit Jahren rückläufig und die erfolgreichen Angriffe nehmen zu. Fasst man die wesentlichen Fehler zusammen, welche die Industrie (Wir!) gemacht haben, dann lassen sie sich wie folgt summieren (vgl. auch den 2011 mit Rolf Oppliger verfassten Artikel “Biggest misconceptions in information security“):

  1. Die Basisinfrastruktur (HW, SW, Netzwerke) ist nicht geeignet, um sicher zu sein.
  2. Jahrelange wurde versucht, 1. zu negieren. Die Industrie suggeriert, man könne Sicherheit “einbauen”.
  3. Schäden wurden und werden nicht transparent gemacht, die Quantifizierung von erlittenen Schäden ist bis heute nicht etabliert. Die Hemmschwelle, Erfahrungen auszutauschen, hat sich eher erhöht.
  4. Organisationen banalisieren das Problem oder blocken ab, wenn unpopuläre Massnahmen getroffen werden müssten..
  5. Sicherheitssoftware ist teilweise katastrophal kompliziert (versuchen Sie mal, auf Ihrem PC ein Zertifikat zu installieren und damit eine Mali zu verschlüsseln). Zum Vergleich: Das Anlegen des Sicherheitsgurts war zwar am Anfang mit Überzeugungsarbeit verbunden, der Akt selbst war aber einfach.
  6. Die Organe (VR, GL) haben sich jahrzehntelang erfolgreich gewehrt, sich mit diesem “technischen Kram” herumzuschlagen.
  7. Die Technik kann die Probleme alleine nicht lösen. Trotzdem verspricht sie alles. Die Industrie kreiert immer wieder falsche Versprechung. Der grösste Schabernack der letzten Jahre: “Data Leakage Prevention”, implizierend, man könne das Abfliessen von Information verhindern.  Noch schlimmer ist “Firewall” = nichts Böses kann da durchdringen, dies ist eine der schlimmsten Wortschöpfungen des Internetzeitalters. Prävention wurde immer in den Vordergrund geschoben, obwohl seit Anfang des Internets klar ist, dass dem Monitoring die mindestens gleich hohe Bedeutung zukommt.
  8. Der Einfluss der nationalen Interessen (“Cyberwar”) wurde negiert oder verharmlost. Das wahre Bild zeigt sich jetzt mit den Angriffen auf die Meinungsbildung in den USA, Frankreich und später wohl auch in Deutschland.
  9. Die Rechtsdurchsetzung ist nicht möglich: Die beherrschenden Grossanbieter sowie verschiedenen Nationalstaaten foutieren sich de facto darum, dass es so etwas wie nationales Gesetz gibt. Nur was die grossen Anbieter akzeptieren, kann durchgesetzt werden. Damit wurde ein Recht geschaffen welches nicht auf  demokratischen Prinzipien basiert.
  10. Die Politik hat das Thema mangels Fachwissen und mangelndem Lobbyismus völlig ignoriert.

Schaut man in die nahe Zukunft, dann gibt es ein paar beunruhigende Tendenzen/Prognosen:

  1. Die erfolgreichen Angriffe werden weiter zunehmen.
  2. Die Internetprotokolle werden kurzfristig nicht abgelöst werden können, weil keine Einigung erzielbar ist.
  3. Der Druck auf die Politik wächst, die allerdings nichts tun kann. Sie wird panisch reagieren und wirkungslose Massnahmen erlassen oder versuchen, das Problem mit Geld zuzudecken.
  4. Die Netzneutralität stirbt, mit ihr die neutrale Internet Governance.
  5. Der Datenschutz wird im Interesse der “Prävention” weiter ausgehebelt. Die schwachen Versuche der Industrie, sich von den Landesinteressen zu lösen, werden endgültig scheitern.
  6. Als Folge der beschriebenen Entwicklung wird das Internet “balkanisiert” werden: Auftrennung von kommerziellem vs. staatlichem vs. “verseuchtem” Internet (mache weitere, einleuchtende Beispiele…).
  7. Die Staaten erlassen zur Beruhigung der Bevölkerung eigene Cybergesetze, die aber nicht durchsetzbar sind.
  8. Schlaue Köpfe werden sichere Parallelsysteme aufbauen. Die Nutzung des Darknets steigt, es bilden sich Parallelstrukturen (vergleichbar mit Pay TV).
  9. Der Anwender steht dieser Entwicklung hilflos gegenüber. Viele werden sich wieder vom Netz entkoppeln.
  10. Die grossen Anbieter übernehmen die umfassende Kontrolle über unsere Daten und auch gleich deren Schutz.

Es stellt sich die berechtigte Frage, was der Unternehmer selbst tun kann, um seine Risiken möglichst in den Begriff zu bekommen:

  1. Sensibilisierung: Schaffen Sie persönliche Betroffenheit (leider wird Ihnen das jetzt schon fast durch die aktuelle Entwicklung abgenommen); Kommunikation und Schulung hören nie auf. Setzen Sie Password-Policies durch und sanktionieren Sie knallhart, wenn diese nicht beachtet werden. Letzteres gilt für alle früheren Gentleman-Delikte im Umgang mit Cybersecurity.
  2. Es wird passieren! Deshalb muss Cybersecurity muss auf die Risk-Management Agenda. Ein regelmässige Security-Status (KPI) gehört in die GL/VR Agenda.
  3. Es braucht einen Kümmerer auf GL Ebene. Dieser muss sowohl operativ wie auch strategisch wirken können.
  4. Monitoring ist das A und O, dazu gehört auch ein ausgetestetes Krisen-Management sowie getestete Disaster-Recovery Konzepte. Sind Sie nicht in der Lage, diese Aufgabe selbst zu übernehmen beauftragen Sie Profis mit klaren SLA’s
  5. Information Governance: Das Wissen um die Daten und deren Speicherorte ist der Schlüssel für alle Sicherheitsmassnahmen. Planen Sie neue Anwendungen (Coud) oder Datenhaltungen und überlegen Sie, welche Auswirkungen diese auf die Sicherheit haben.
  6. Tauschen Sie Erfahrungen mit “Peers” aus. Machen Sie Druck auf Anbieter, welche die notwendigen Sicherheitsmassnahmen nicht umsetzen wollen.
  7. Etablieren Sie Business Continuity Konzepte, welche den Worst Case beinhalten (Nichtverfügbarkeit von Systemen und Netzwerken). Koppeln Sie Kernsystem konsequent vom Netz ab.
  8. Führen Sie umfassende Authentifizierungs- und Verschlüsselungsverfahren ein. Führen Sie Verfahren zum Schlüsselmanagement ein und überwachen Sie diese konsequent. Machen Sie Druck auf die Anbieter, brauchbare Software zu liefern.
  9. Üben Sie Druck auf die Anbieter/Hersteller aus und verlangen Sie nach geprüften Systemen und lassen sich dies vertraglich bestätigen. Verlangen Sie ebenfalls regelmässige Informationen zur Sicherheit der Produkte (z.B. Ergebnisse von Pentests).
  10. Die Zertifizierung von Software führt dazu, dass das darunter liegende OS nicht  geändert werden darf. Diese Praxis ist unhaltbar. Zertifizierer müssen ihre Verantwortung wahrnehmen,  d.h. entweder schwache Betriebssysteme grundsätzlich verbieten oder Schwachstellen darin akzeptieren. Akzeptieren Sie als Anwender keine Systeme, die nicht an die  aktuellen Sicherheitsbedrohungen adaptierbar sind.

Schlussfolgerung: Was für die Digitalisierung gilt, gilt auch für die Cybersecurity. Man hätte vieles schon lange machen können, hat es aber aus verschiedensten Gründen nicht gemacht, Bequemlichkeit ist nur einer davon. Während der Unternehmer in seinem Betrieb einigermassen Ordnung herstellen kann, sind ihm die Hände gebunden, wenn es um die internationalen Themen geht. Hier ist die Politik gefordert.

 

Revision des Schweizerischen Datenschutzgesetzes

Worum geht es?

Kurz vor Weihnachten 2016 hat der Bundesrat den Entwurf für das neue Datenschutzgesetz der Schweiz präsentiert. Seit längerem hat man darauf gewartet, dass die Verwaltung einen Vorschlag präsentiert, wie das in die Jahre gekommene Datenschutzgesetz erneuert werden soll. Zudem besteht ein hoher Druck, die geltende Gesetzesvorschrift anzupassen. Dieser Druck kommt von der Europäischen Gemeinschaft, die mit der neuen Datenschutz Grundverordnung (DS-GVO), eine Rechtsgrundlage geschaffen hat, um den Datenschutz den neuen Gegebenheiten anzupassen und europaweit zu standardisieren.

Es herrscht folglich ein grosser Zugzwang, da die EU-Verordnung ab 25.5.2018 direkt Wirkung entfaltet, auch wenn keine nationale Umsetzung stattfindet. Damit die Schweiz nicht als unsicheres Drittland gilt (und damit faktisch ein Datenbearbeitungs- und Weitergabeverbot für EU-Unternehmen greift), muss sie ihre gesetzlichen Grundlagen anpassen. Dies ist einer der wesentlichen Gründe, wieso vor Weihnachten ein neuer Gesetzesentwurf in die Vernehmlassung geschickt worden ist. Auf Grund der Dauer der Vernehmlassung und der folgenden parlamentarischen Behandlung wird es schwierig sein, das Gesetz bis zum Inkrafttreten der EU Verordnung in der Schweiz in Kraft zu setzen.

Was sind die wichtigsten Inhalte und wo gibt es wesentliche Änderungen?

Die Schweiz übernimmt die wesentlichen Änderungen, welche in der DS-GVO aufgenommen wurden. Dieser Artikel beleuchtet vorab einige zentrale Aspekte des Datenschutzgesetzes. Es würde zu weit führen, hier sämtliche Änderungen aufzulisten, hierzu wird noch ausführlich Stellung genommen. Eine Arbeitsgruppe des SWICO wird den Vorentwurf detailliert analysieren und eine umfassende Stellungnahme abgeben (der Schreibende ist Mitglied dieser Arbeitsgruppe).

Grundprinzipien

Voraus sei gesagt: Vom Grundsatz der „Informationellen Selbstbestimmung“ wird nicht abgewichen. Dies ist zumindest schon mal bemerkenswert, denn damit wird das verfassungsmässige Grundrecht, dass jede Person über ihre Daten selbst entscheiden kann, weitergeführt. Das Nutzungsverhalten bei modernen Kommunikationsdiensten (Social Media wie Facebook, Messenger wie Whatsapp, Instagram oder Snapchat,) sieht allerdings anders aus. Diese Dienste verleiten die Benutzer zu einem leichtfertigen Umgang mit persönlichen Daten, was bis anhin allerdings kaum auf Kritik stiess. Man kann sich deshalb also durchaus fragen, ob dieser Schutz der Persönlichkeit noch einem gesellschaftlichen Bedürfnis entspricht,. Diese Diskussion muss zwingend geführt werden, hat jedoch derzeit keinen Einfluss auf die mittelfristige Umsetzung. Es ist sicher damit zu rechnen, dass die Durchsetzung der europäischen Prinzipien international auf starken Widerstand stossen wird (vgl. die Lobbyarbeit der amerikanischen Anbieter im Rahmen der Verhandlungen im EU-Parlament).

Es wurden viele begriffliche Anpassungen gemacht. Dies insbesondere, um die Begriffe mit der EU abzustimmen. Das vereinfacht die Abstimmung und das Verständnis. Der Schutz der juristischen Personen wurde aufgehoben, damit passt man sich den europäischen Regelungen an.

Berücksichtigung neuer Techniken

Eine wesentliche Neuerung betrifft die Berücksichtigung neuer Techniken, die sich in den letzten Jahren im Internet etabliert haben. Dazu zählt zum Beispiel das so genannte Profiling (Art. 3 Abs.1 lit. f.), also die Generierung von Persönlichkeitsprofilen aufgrund öffentlich vorhandener Daten (Teilbereich von „Big Data“). Ebenfalls von grosser Bedeutung sind so genannte automatische oder autonome Entscheide (Art. 15). Dabei handelt es sich um Online-Entscheide, die aufgrund von automatischen Prozessen gefällt werden (keine Interaktion durch einen Menschen, wie z.B. die vollautomatische Bonitätsprüfungen).

Rechte der Betroffenen

Die Rechte der Betroffenen wurden massiv verbessert. Es gibt mehr Arbeit für den eidgenössischen Datenschutzbeauftragten. Sein Aufgabenkatalog wurde wesentlich erweitert (u.a. Art. 37, Art. 5, Art. 7, Art. 16, Art. 17), was einen grösseren Ausbau dieser Behörde zur Folge haben wird. Hier dürften die Rückmeldungen aus der Vernehmlassung, je nach politischer Gesinnungslage, entsprechend kritisch ausfallen.

Pflichten des Verantwortlichen und des Bearbeiters

Den Verantwortlichen treffen nur wenig neue Pflichten. Allerdings haben es einige davon in sich. Der Bearbeiter muss z.B. in der Lage sein, Daten zu berichtigen und den Datenschutzbeauftragten zu informieren, wenn Manipulationen oder Verluste von Personendaten zu befürchten sind (Art. 17).

Der Betroffene hat ein jederzeitiges Auskunftsrecht über alle Datenbestände und Aktionen, welche diese Daten betreffen (Art. 20). Dies ist zwar nicht neu, wird jedoch im Gesetz nochmals ausdrücklich festgehalten. Das Auskunftsrecht bezieht sich explizit auch auf die Aufbewahrungsdauer.

Neu festgehalten wird ein explizites Recht auf Löschung, welches auch durch die Erben ausgeübt werden kann („Digitaler Tod“, Art. 12). Auch dieses gilt selbstverständlich über alle angelegten Datenbestände. Nach wie vor gilt natürlich auch das Recht auf die Datenberichtigung. Offensichtlich unrichtige Daten müssen durch den Verantwortlichen oder durch den Bearbeiter jederzeit angepasst werden können. Hier gibt es einen Konflikt mit den Vorschriften des Aufbewahrungsrechts, welche gelöst werden müssen. Der Verantwortliche muss also Verfahren zur Verfügung stellen, die es den Betroffenen ermöglichen, unrichtige Daten so anzupassen, dass sie mit der äusseren Realität in Einklang stehen. Das ist eine Herausforderung für die Archivierung, bzw. die Gestaltung des Daten-Management-Konzepts.

Neu werden die Pflichten im Rahmen der Auftragsdatenverarbeitung explizit geregelt und es soll dazu eine Verordnung erstellt werden (Art. 7). Der Verantwortliche hat umfassende Pflichten zur Meldung verschiedenster Tatbestände rund um den Datenschutz. Im europäischen Ausland ist die Regelung der Auftragsdatenbearbeitung ein wesentlicher Auslöser von vertraglichen und technischen Kontrollsystemen und wird damit auch für die Schweiz wesentlich wichtiger.

Neu aufgenommen und von grosser Bedeutung für die Unternehmen ist die Pflicht zur Dokumentation der Verfahren. Art. 19 fordert explizit eine Dokumentation aller Verfahren. Damit bewegt man sich auf einem ähnlichen Terrain, wie bei der Verfahrensdokumentation im Rahmen der Aufbewahrungspflichten der Geschäftsbücherverordnung, der Mehrwertsteuer und damit auch allen Rechtsnormen, welche auf diese grundlegenden Vorschriften verweisen.

Risikoanalyse, Prüfung und Zertifizierung

Neu verlangt das Gesetz nach einer Vorprüfung, wenn die Rechte der Betroffenen durch die geplante Bearbeitung gefährdet sein könnten. Diese Prüfung wird Datenschutz-Folgenabschätzung genannt (Art. 16). Auch hier handelt es sich um eine Übernahme aus dem EU-Recht. Dabei geht es im wesentlichen um eine Risikoanalyse, welche durchgeführt werden muss, bevor die Datenbearbeitung (App, Service) in Betrieb geht. Diese Datenschutz-Folgenabschätzung muss erstellt werden und ist dem eidgenössischen Datenschutzbeauftragten vorzulegen. Hierbei handelt es sich folglich um eine präventive Massnahme, die aber etwas schwerfälliger ausgestaltet wurde. Der eidgenössische Datenschutzbeauftragte hat drei Monate Zeit, um diese Folgenabschätzung zu beurteilen. Diese Frist, wird sich höchstwahrscheinlich in der Praxis nicht durchsetzen können. Es ist damit zu rechnen, dass es hier Widerstand im Rahmen der Vernehmlassung auszugeben geben wird. Das Instrument der Datenschutz-Folgenabschätzung ist unbedingt zu begrüssen. Es verhindert Implementationen von Lösungen, die später mit viel Aufwand angepasst werden müssen (und unter Umständen zur strafrechtlichen Verantwortlichkeit führen).

Nach wie vor möglich ist die Zertifizierung, d.h. sie wird im Rahmen der Neugestaltung des Rechts wesentlich verbessert (Art. 10). Da sie sich an den europäischen Vorgaben orientiert, wird es möglich sein, auch europäische Zertifizierungen zu nutzen, die auf Produkte wie auch auf Verfahren ausgestellt wurden.

Strafandrohungen

Inhaltlich hat die Revision des Datenschutzgesetzes wenig Brisanz. Es gibt eine zentrale Ausnahme, das ist die neue Strafandrohung. Die Schweiz muss sich den EU Vorgaben anpassen, indem Sie die Strafbestimmungen wesentlich verschärft. In der EU gilt eine Strafandrohung von 2-4 % des weltweiten Konzernumsatzes bei Verletzung der zentralen Datenschutzpflichten. In der Schweiz hat man auf eine Prozentzahl verzichtet, nimmt jedoch als Höchstgrenze den absoluten Betrag von Fr. 500’000.- an (Art. 50, allerdings nur bei Vorsatz, bei Fahrlässigkeit gilt die Hälfte). In der Praxis dürfte es kaum je zu Verurteilungen kommen, bei denen der Vorsatz nachweisbar ist. Das dürfte noch zu Diskussionen Anlass geben. Ob diese Grenze im Rahmen der Vernehmlassung so standhalten wird, kann man derzeit schwer beurteilen. Die Schweiz hat hier allerdings wenig Spielraum, denn es gilt der Grundsatz, dass der Datenschutz nur dann mit der EU kompatibel ist, wenn auch die wesentlichen Strafbestimmungen mit der DSG-VO mithalten können. Da die maximale Geldbusse in der DS-GVO 20 Millionen Euro beträgt ist für Diskussionsstoff gesorgt.

Die Mär von den innovativen Schweizer Unternehmen

Jedes Jahr geht ungläubiges Raunen durch die Menge: Die Schweiz ist das innovativste Land der Welt, juhee!! Dummerweise ist diese Aussage aus dem Kontext gerissen, denn Innovation bedeutet noch lange nicht wirtschaftlichen Erfolg! Ich behaupte, die Schweiz ist nach wie vor eine Blut und Boden Gesellschaft und eigentlich knapp nach der Industrialisierung stehen geblieben.Wir bringen die Innovationskraft aber nicht auf den Boden, sprich in die Realwirtschaft.

Ein paar Beweise dazu?

  1. Platz 44 auf der Innovationsrangliste der innovativsten Firmen belegt Nestlé – no comment.
  2. Kein Geld für Start-ups: 90% aller Startups, welche in den letzten Jahren Erfolge feierten, mussten dem Umweg über die USA nehmen.  Es gibt löbliche Ausnahmen: Doodle, Digitec, aber eine echte Start-up Industrie fehlt in der Schweiz. Die Förderungsprogramme sind Tropfen auf einen heissen Stein.
  3. Die Landwirtschaft wird seit ewigen Zeiten durchgefüttert. Bauern sind seit Jahren Staatsangestellte.  Jüngstes Beispiel: 500 Mio., die durch den Bundesrat in die Bauernrachen geschoben werden. Innovation ist bei den Bauern ein Fremdwort, wozu auch, denn da fehlt schlicht der finanzielle Anreiz. Lieber Prämien für das Geranienkistchen am Balkon bezahlen!
  4. Eine ausser Rand und Band geratene Bauindustrie: Die Bauquote in der Schweiz (Anteil am BSP) ist seit Jahrzehnten viel zu hoch. Es wird dauernd über Zersiedelung etc. gejammert, aber die Politik und die Finanz unterstützt die primitivste Form der Investition mit irrwitzigen Beträgen.

Die Gründe:

  • Die Bildungs-Investitionen werden  völlig falsch verteilt. Hochschulen wie die ETH bekommen viel zuviel Geld und bilden damit Studenten aus, die zum grossen Teil ins Ausland abwandern. Die ETH erhält doppelt soviel Geld wie alle anderen Hochschulen zusammen (10 Mia. vs. 5 Mia.). Die Grundlagenforschung ist völlig überbezahlt, der Nationalfonds erhält fast 10x mehr als die KTI Projekte, also diejenigen, Projekte, die ein nutzbares Ergebnis erzielen. Fachhochschulen bieten Studiengänge an, die in der Praxis überhaupt nicht gefragt sind. Solange genügend zahlungskräftige Studenten gefunden werden, ist das ja toll (ob sie dann einen Job bekommen oder nicht ist Nebensache)!
  • Der Bundesrat und die Politiker werden durch die “alten” Branchen bezahlt und aktiv bei ihren Fehlentscheiden unterstützt. Beispiel: Die Versicherungswirtschaft, gemeinsam mit der Bauindustrie, wollen dafür sorgen, dass Gelder der 2. Säule weiterhin zum Erwerb von Grundeigentum genutzt werden können, nicht aber um ins eigene Unternehmen zu investieren!
  • Die Finanz verweigert seit Jahr und Tag eine Förderung von Start-ups. Für die Banken bedeutet Innovation = Gefahr (ausser als Spekulationsvehikel für ihre Kunden).
  • Falsche Ansiedelungspolitik: Es wird Grossunternehmen wie Google und co. hofiert, welche sich nicht um die schweizerischen Gegebenheiten kümmern (duale Ausbildung) und lieber nach der vollständigen Personenfreizügigkeit schreien. Für Start-ups gibt es keine oder falsche Anreize: Was soll ein Jungunternehmer mit Steuerbefreiung für 3 Jahre, wenn er zuerst auf einen minimalen Umsatz kommen muss?
  • Alte Messgrössen, welche die  Innovation nicht  wiedergeben können.  In der aktuellen Phase des “2nd machine age”  sind die heutigen Messgrösse der Wirtschaftskraft (BSP)  völlig veraltet. Erik Brynjolfsson und Andrew McAfee zeigen exemplarisch, dass wir eine völlig neue Bewertung der Wirtschaftsleistung benötigen.

 

 

Digitalisierung- der nächste Sündenbock?

In verschiedenen Artikeln von renommierten Medien wurde in den letzten Monaten vor den Gefahren der Digitalisierung gewarnt. Ins gleiche Horn stösst der aktuelle Economiesuisse Präsident Heinz Karrer. Dabei wird immer wieder dieselbe Studie zitiert, nämlich eine Untersuchung der Universität Oxford. Darin wird auf die Gefahr des Verschwindens von über 90 % bestimmter Arbeitsstellen hingewiesen. Begründet wird die Abnahme bestimmter Jobs v.a. durch die fortschreitende Digitalisierung.

Wie in unserem Buch „Information Governance“ ausführlich beschrieben, haben sich bereits viele Vordenker, unter anderem Jérome Lanier, mit diesem Phänomen befasst. In diesem, von ihm behandelten Kontext geht es um die Gefahr des Datensammelns. Es entsteht eine schleichende Konzentration der Machtverhältnisse auf die potentesten Datensammler. Lanier schliesst daraus, dass den meisten Geschäftsmodellen das Schicksal der Musikindustrie droht. Solche Gedanken müssen wir ernst nehmen, auch wenn wir sie heute vielleicht als überzogen bewerten,

Eine nüchterne Betrachtung dieser Artikel und Mutmassungen lässt jedoch immer nur den einen Schluss zu: Wir sind schon seit Jahren daran, manuelle Tätigkeiten durch die technische Weiterentwicklung abzulösen. Dies ist keine neue Entwicklung und findet so seit der Industrialisierung statt. Es sollte also nicht primär darüber lamentiert werden, dass diese Stellen einen Wechsel erfahren oder verschwinden, sondern, WIE sie kompensiert werden könnten.

Kompensation kann hier zweierlei bedeuten:

  1. Bereitstellung von finanziellen Mitteln zu Gunsten der „Geschädigten“, also Personen, die „dummerweise“ den falschen Beruf erlernt haben (Stichwort Grundeinkommen).
  2. Die Schaffung neuer Jobprofile, die sich den Digitalisierungstendenzen entziehen.
  3. Ein unternehmerisches Handeln, welche die erwähnten Aspekte berücksichtig.

Auf Punkt 1 werde ich hier nicht weiter eingehen, wenngleich dies ein interessanter, allerdings heute politisch fast aussichtsloser Ansatz ist. Er wird uns in Zukunft aber sicherlich noch beschäftigen.

Meiner Meinung nach hat die zweite Strategie klar ihre Grenzen. Denn es wird sich nicht vermeiden lassen, dass viele Jobs, die heute als reine Hilfsjobs eingestuft werden, verschwinden werden.

Es wird sich also jeder Unternehmer die Frage stellen müssen, wie die erzeugte Wertschöpfung verteilt werden kann, dass sie auch den Verlierern zukommt. Die Gewinnmaximierung im Interesse der Aktionäre wird sich mit der Verschärfung der Arbeitslosigkeit nicht mehr rechtfertigen lassen. Gleichzeitig lässt sich aber auch nicht rechtfertigen, dass Jobs beliebig ins Ausland verschoben werden. Die Verschiebung von Jobs geschieht meistens unter dem Deckmantel der Kosteneinsparung. Hätten die Unternehmen ihre realen Gestehungskosten tatsächlich im Griff, dann würden sie sehr schnell feststellen, dass Kommunikationsverluste, welche sie in Zusammenarbeitsmodellen mit vernetzten internationalen Standorten entstehen, die vermeintliche Kosteneinsparung mehr als kompensieren.

Was bedeutet dies nun für den verantwortungsbewussten Unternehmer in der Schweiz? Hier einige Grundsätze, die mir in diesem Zusammenhang als wichtig erscheinen:

  1. 1. „All Business is local“ bleibt ein zentrales Strategieelement. Viele Produkte werden bewusst bei lokalen Anbietern gekauft, weil der Mehrwert des neuen Zugangs und der besseren Qualität eine wesentliche Rolle spielt. Dies gilt vor allem für hochwertige Produkte, wird sich aber auch auf weitere Angebote ausdehnen. Wir werden eine stärkere Abschottung der Märkte sehen, die Globalisierung hat ihr Limit erreicht.
  1. Die Digitalisierung ist der Auslagerung von Arbeitsplätzen vorzuziehen. Im Zusammenhang mit Grundsatz eins stellt man immer wieder fest, dass es vielfach wesentlich sinnvoller wäre, bestimmte Geschäftsprozesse zu automatisieren, statt sie an ein unfähiges Dienstleistungszentrum auszulagern. Lieber vereinfachte und günstige Prozesse im Inland, als komplizierte und schwerfällige im Ausland, denn Zeit bleibt Geld. Das Potenzial ist hier enorm und noch lange nicht ausgeschöpft.
  1. Es gibt Tätigkeiten, die man heute als hochqualifiziert bezeichnet, dies freilich nie waren. Ich denke hier z.B. an die Programmierung. Eine Tätigkeit, die man eigentlich schon lange hätte automatisieren können. Hier soll den die Automatisierungsmöglichkeiten tatsächlich ausgeschöpft, bzw. stark verbessert werden. Hier besteht ein grosses Kostenersparnispotenzial.
  1. Weg von der Anonymisierung und der Automatisierung von Kundenanbindungen. Kunden wollen von einem echten Menschen bedient werden. Automatisierte Portale mögen zwar eine nette technische Spielerei sein, sie ersetzen jedoch den Mensch zu Mensch Kontakt nie. Wenn eine Ur-Schweizer Firma sich erlaubt, einen automatisierten Help Desk im Ausland einzurichten, dann verspielt sie damit bereits 50% ihrer Glaubwürdigkeit.
  1. Es gibt Geschäftsmodelle die sich nicht dafür eignen, automatisiert zu werden. Dazu gehören meiner Meinung nach Finanzberatungen, obwohl dies die Fintech Auguren derzeit zu widerlegen versuchen.
  1. Wehren Sie sich gegen das Überhandnehmen der Normierung und den Regulierungswahn. Was wir in den letzten 20 Jahren am Produktivität gewonnen haben, haben wir zur Hälfte durch völlig sinnlose Normierungen und Standards vernichtet. Wir schaffen sinnlose Jobs und versuchen, diese mit Ressourcen zu besetzen, die sich noch nicht einmal im Inland befinden. Das ist ökonomisch gesehen ein völliger Blödsinn und so rasch als möglich abzustellen. So leid es mir tut, aber es gibt Dienstleistungsbranchen, die ihr Kerngeschäft mit 50% des Personalbestands problemlos abwickeln könnten. Im Rahmen von Kundenmandaten trifft man immer wieder auf Wertvernichtungen unter dem Denkmantel der „Compliance“, die einem die Haare zu Berge stehen lassen.
  1. Suchen Sie nur hochqualifizierte Fachkräfte, die dieses Prädikat auch verdienen. 90 % der so genannt hochqualifizierten Jobs verdienen dieses Prädikat in keiner Art und Weise. Braucht man eine hochqualifizerte Persönlichkeit, dann nimmt man auch ein halbjähriges Bewilligungsverfahren in Kauf.
  1. Folgen Sie nicht den großen Beratungsunternehmen wie McKinsey & Co., sondern stellen sie sich ihre eigenen Gedanken an. Das ist zwar keine neue Weisheit, doch man stellt immer wieder fest, dass Verwaltungsräte gnadenlos kopieren, was ihre „Peer„-Organisation gerade getan hat. Bestes Beispiel dazu ist das Outsourcing wurde von vermeintlich unterqualifizierten Bürojobs. in Unkenntnis der realen Kosten, werden die Jobs ausgelagert, was zu den bereits oben erwähnten Nachteilen für das Unternehmen führt. Frei nach Dilbert „Wenn alle nur noch „best practice“ machen, sind sie alle nur noch mittelmässig“.
  1. Als Verwaltungsrat sind sie in der Pflicht, sich auch darüber Gedanken zu machen, wie sich das Unternehmen trotz all dieser Widrigkeiten im Sturm bewegen kann. Viele gute Beispiele werden Ihnen zeigen, dass dies auch weiterhin möglich ist. Das allgemeine Lamentiergehabe, welche sich derzeit ausbreitet, ist wohl das beste Gift zur Ausrottung einer gesunden Wirtschaft.
  1. Vernetztes Denken ist Pflicht und er kann sich weder auf die Ratschläge von überbezahlten Funktionären noch Politikern verlassen. Lassen Sie Doom-Propheten wie Karrer und Co. links liegen, die ihre Sporen als Schönwetterkapitäne verdient haben und uns jetzt erzählen wollen, worauf wir achten sollen. Dies gilt auch für Schönwetterpolitiker, die uns vormachen wollen, dass wir die Schönsten und Besten sind.

Denken Sie selbst nach, handelt sie als Unternehmer machen sie Dinge, welche nicht „in“ sind. Setzen Sie sich mit Ihren Arbeitnehmern aktiv auseinander und lassen Sie auch sie zu Wort kommen.

 

 

Das FUD Prinzip

Manchmal fragt man sich wirklich, ob Juristen nur dann in der Lage sind,  einen Auftrag zu akquirieren, wenn sie ihren potentiellen Auftraggebern möglichst viel Angst einjagen.

Kürzlich in einem, an Unternehmer vertriebenen Zeitungsprodukt, gelesen. In der aktuellen Nummer äussert sich ein hier nicht genannt sein müssender “Fach”Anwalt zum Thema Datenschutzrecht, Überschrift: Es drohen hohe Bussen! Im Artikel wird eindringlich darauf hingewiesen, dass sich der Unternehmer grundsätzlich kurz vor dem wirtschaftlichen Absturz befindet, wenn er Daten bearbeitet. Mit mehr oder weniger blumigen Worten wird davor gewarnt, dass die Firma, halte sie denn die neuen EU-Datenschutzrichtlinie nicht ein, eigentlich kurz vor dem Bankrott stehe. Lieber Anwaltskollege: 1. ist diese Datenschutzrichtlinie noch nicht in Kraft, 2. wird sie national implementiert werden und es ist völlig offen, wie die einzelnen Länder dies tun werden, 3. ist es bei Leibe nicht so ist, dass jedes Unternehmen, welches in der Schweiz tätig ist auch automatisch vom EU Recht betroffen sein wird.

Keine Unternehmer wird ernsthaft in Aktionen rund um den Datenschutz investieren, wenn er nicht weiss, welche Regeln  tatsächlich anzuwenden sind und ob er damit ein Risiko eingeht. Das FUD-Prinzip (Fear Uncertainty & Doubt) funktioniert nun einmal nicht, wenn die angedrohten Nachteile weder konkretisierbar noch direkt absehbar sind. Ich bin es leid, und gleiches gilt für 99 % der Unternehmer die ich kenne, von Juristen nur zu hören, was man nicht machen darf, selbst wenn noch völlig unklar ist, was dies konkret bedeutet. Genau aus diesem Grund haben wir vor Jahren die Mission 100 gegründet, einen Verein, der sich zum Ziel gesetzt hat, datenschutzkonforme Lösungen bei den Kunden umzusetzen, dies aber immer so zu tun, dass der unternehmerische Hauptanspruch, nämlich die Gewinnerzielung, damit vereinbar ist. Dies verlangt nach einem hohen Mass an Geschäftsverständnis und transparenter Kommunikation der vorhandenen Risiken. Heute genügt es schon lange nicht mehr, nur auf die Angstpauke zu hauen. Zum Glück sind Manager und Unternehmer in den letzten Jahren so gereift, dass sie diesem Winken mit dem imaginären Zaunpfahl kein Gehör mehr schenken.