Themen: Datenrecht, Technologierecht, Datenschutz Schweiz, Cloud-Sicherheit, Datenschutzpraxis, Hold Your Own Key, Microsoft 365 Datenschutz, risikobasierter Ansatz, Datenschutzbehörden, Herausforderungen, Karrieretipps, VISCHER.
Informationen zur Person auf Weblaw People: David Rosenthal.
Kommentieren Sie gerne auf LinkedIn.
Lesezeit: 7 Minuten.

Guten Tag Herr Rosenthal. Ihr Karriereweg im Daten- und Technologierecht ist sehr vielfältig. Könnten Sie uns bitte schildern, welche Stationen und Ereignisse Sie besonders geprägt und in diese Rechtsgebiete geführt haben?

Eine davon war ein Gespräch mit meinem Vater als junger Erwachsener. Mein Hobby war damals Programmieren, und wir diskutierten darüber, ob ich Softwareingenieur werden sollte. Wir sprachen aber auch über die Juristerei. Beide Disziplinen haben vieles gemein; beide handeln von Regeln, wie die Dinge ablaufen müssen, damit sie funktionieren. Ich hatte das Gefühl, dass ich bei der Juristerei mehr Spiel- und Wirkungsraum habe, und so entschied ich mich in akademischer Hinsicht dafür, während ich meine technischen Skills autodidaktisch vertiefte. Analytisches Denken erfordert aber beides. Das dritte Standbein, den Journalismus, entdeckte ich, als ich - ich denke - erster Online-Journalist der Schweiz war, als ich Content für mein BBS-System, quasi der Vorläufer heutiger Blogs, benötigte und mich um Pressekonferenzen und -mitteilungen bemühte. Ein Journalist der Basler Zeitung hatte mir erklärt, wie das so läuft. Ich war zudem von Anfang an selbständiger Unternehmer, also schon während meiner Schulzeit. Dieser Mix prägte mich.

Wie sieht Ihr typischer Arbeitsalltag, insbesondere als Partner von  VISCHER, aus, und welche Erfahrung ist Ihnen besonders in Erinnerung geblieben?

Er ist lang und unter der Woche geprägt von Kontakten mit anderen Menschen, neuen Themen und immer wieder dem Lösen von Problemen. Es gibt viele Video-Besprechungen und Workshops mit Klienten, Besprechungen mit den Kolleginnen und Kollegen in meinem Team oder anderen Leuten im Büro und natürlich das Vearbeiten von dutzenden Mails pro Tag. Der Grund für die langen Arbeitstage ist allerdings nicht nur die übliche Arbeit, sondern auch, dass ich sehr viele Ideen habe, was ich sonst noch alles machen könnte: neue Publikationen, neue Lösungsansätze für rechtliche Probleme und seit einem Jahr auch wieder Software entwickeln. Das will ich dann umsetzen.

Wenn ich grössere Herausforderungen oder eingehendere Arbeiten erledigen muss, zum Beispiel eine rechtliche Analyse zu einem neuen Thema verfassen, einen Aufsatz schreiben oder einen komplexeren Vertrag verfassen, dann brauche ich Ruhe – und diese finde ich oft nur früh am Morgen, am Abend oder am Wochenende. Administratives habe ich auch, aber zum Glück nicht so viel – hier habe ich ein ausgezeichnetes Sekretariatsteam, das mir beispielsweise die gesamte Terminorganisation abnimmt.

Bei VISCHER haben Sie nicht zuletzt die Datenschutzpraxis aufgebaut und geleitet. Könnten Sie einige der grössten Herausforderungen teilen, vor denen Sie standen, und erläutern, wie Sie diese gemeistert haben?

Ich leite sie immer noch, und wir sind inzwischen rund ein Dutzend Leute. Meine persönlich grösste Herausforderung ist neben meinem Zeitmanagement die Führung unseres Teams. Das lernen wir an der Uni nicht. Ich brauchte zudem Überwindung, um Dinge auch delegieren zu können und kein Mikromanagement zu betreiben. Das reicht von der erwähnten Verwaltung meines Terminkalenders bis hin zur Interaktion mit Klienten. Gerade Letzteres ist meiner Ansicht nach wichtig für die jüngeren, motivierten Anwältinnen und Anwälte in unserem Team: Sie sollen lernen, Verantwortung zu übernehmen, unternehmerisch zu denken und neben all der Juristerei ihre psychologischen Skills zu schärfen. Damit meine ich zum Beispiel, zu erkennen, wo etwa einem Klienten der Schuh drückt, was es in einer Rechtsauskunft wirklich braucht oder was in einer Vertragsverhandlung zum Ziel führt. Wenn ich jemanden mit einer Aufgabe betraue, geht es für mich nicht nur um mein Vertrauen in dessen Fähigkeiten, sie erledigen zu können. Ich muss auch sicherstellen, dass er denselben Anspruch und dieselben Standards hat wie ich, wie er Aufgaben erledigt. Das ist nach meiner Erfahrung die grössere Herausforderung.

In Bezug auf die Gewährleistung des Datenschutzes in der Schweiz, insbesondere im Umgang mit der MS-Cloud und dem Einsatz von HYOK (Hold Your Own Key), welche technischen und rechtlichen Herausforderungen sehen Sie und wie kann diesen effektiv begegnet werden?

Wir wissen heute recht gut, was es für den rechtlich sicheren Einsatz der Cloud in der Schweiz braucht. Der Datenschutz war eigentlich nie wirklich das Problem, sondern der Schutz des Berufs- und Amtsgeheimnisses, allen Unkenrufen der Datenschutzbehörden zum Trotz. Doch auch diese merken inzwischen, dass ihre ablehnende Haltung eher durch Unwissen und teilweise auch emotional begründet war.

Das von Ihnen erwähnte "Hold-your-own-key", also eine Verschlüsselung, bei der der Provider keinen Zugang zum Schlüssel hat, braucht es in aller Regel nicht und würde heute auch die meisten Anwendungen "killen" – ich will ja gerade, dass der Provider mit meinen Daten etwas tut. Aber es gibt andere Dinge wie die Speicherung in der Schweiz, Zugangsbeschränkungen und spezielle vertragliche Pflichten. Die grösseren Herausforderungen sind meiner Ansicht nach jedoch andere, wie etwa die wachsende Abhängigkeit von den grossen Hyperscalern wie Microsoft, AWS und Google. Bisher konnten wir für unsere Klienten in vielen Punkten Lösungen finden, weil die Hyperscaler in den Markt wollten und daher kompromissbereit waren. Aber wie wird das in Zukunft sein? Wir schaffen uns mit ihnen zum Beispiel auch Klumpenrisiken, etwa bei der Sicherheit. Und die mangelnde Transparenz, sich ständig ändernde Systeme und Verträge sowie deren Komplexität sind Herausforderungen, die oft unterschätzt werden.

Welche Vorteile hat ein risikobasierter Ansatz, insbesondere in der Schweizer Verwaltung, und halten Sie eine Exit-Strategie für relevant?

Die Frage geht davon aus, dass wir eine Wahl hätten. Der risikobasierte Ansatz gilt einfach, weil unser Datenschutz und auch viele andere Rechtsbereiche darauf basieren. Auch hier werden seitens der Datenschutzbehörden teilweise befremdliche Ansätze vertreten, ohne dass diese wirklich begründet werden. Unser Leben ist voller Risiken, und "Null-Risiko" gibt es nicht. Es gibt das Risiko, beim Wandern von einer Kuh getötet oder vom Blitz erschlagen zu werden. Es ist gering, und wir können es senken. Es ist aber nie Null. Die totale Fokussierung auf Einzelrisiken, wie im Cloud-Bereich den US CLOUD Act, ist fehlgeleitet und hat wohl damit zu tun, dass dieser manchen hiesigen Behördenvertretern unbekannt ist. Sie stellen sich irgendwelche schlimmen Dinge vor, statt sich damit näher zu beschäftigen und zu merken, dass wir in Europa das alles auch haben. Geht eine Verwaltung in die Cloud, muss sie dabei alle Risiken und Chancen gegeneinander abwägen. Keines darf unakzeptabel hoch sein, aber sind sie das nicht, muss und darf abgewogen werden. Damit haben die öffentlichen Verwaltungen auch kein Problem. Wir haben mit unserer kostenlosen, frei verfügbaren Methode "CCRA-PS" zudem ein Werkzeug entwickelt, diese Entscheide sorgfältig zu treffen. Es wird bereits vielerorts benutzt. Eine Exit-Strategie ist immer wichtig (und wird vom CCRA-PS auch verlangt), weil es viele Gründe für Kurswechsel geben kann, etwa weil ein Provider die Anforderungen nicht mehr erfüllt. Da sollte auch eine öffentliche Verwaltung einen Plan haben.

Welche technischen und (staatlichen) Abwehrmassnahmen können bei der Nutzung von Microsoft 365 getroffen werden, um Grundrechtseingriffe zu verhindern?

Da wäre zunächst die Speicherung von Daten in der Schweiz, weil das ein wirksames Mittel zur Abwehr ausländischer Zugriffe darstellt. Weiter wird in der Praxis dafür gesorgt, dass Mitarbeitende des Providers im normalen Betrieb keinen Zugriff auf die Daten im Klartext haben, was wegen der hohen Automatisierung auch kein Problem ist. Es wird mit einer zusätzlichen Verschlüsselung gearbeitet; der Schlüssel ist zwar beim Provider, aber der Kunde bestimmt, wer ihn wie benutzen darf. Bestimmte Dokumente können mit sogenannten Sensitivity Labels so geschützt werden, dass sie selbst bei einem Datendiebstahl oder versehentlichen Verlust geschützt sind. Dann sind da natürlich die Verträge, die aber im Falle von M365 basierend auf unseren Verhandlungen heute mehr oder weniger standardisiert sind. Schliesslich sind eine ganze Reihe von internen organisatorischen Massnahmen zu treffen, wie zum Beispiel die regelmässige Überprüfung der Konfiguration (Microsoft ändert da gerne mal einfach etwas) wie auch die Überprüfung der gelebten Sicherheit und Hinweise auf Anomalien. Mit dem bereits erwähnten CCRA-PS können diese Punkte systematisch durchgeprüft und dokumentiert werden. Das wird vor allem für grössere und heiklere Projekte genutzt, weil es nahrhaft ist. Und dann wäre noch meine Methode zur Ermittlung der Wahrscheinlichkeit von Behördenzugriffen aus den USA oder bei Bedarf auch anderer Länder. Es freut mich, dass sie heute Standard ist. Es sollte aber auch eine Gesamtrisikobeurteilung durchgeführt werden. Da erleben wir in Workshops bei Stellen, die geglaubt haben, an alles gedacht zu haben, immer wieder Aha-Momente.

Das Hauptproblem im Bereich der Datenschutzregulierung sind leider diverse Datenschutzbehörden, die glauben, sich nicht ans Gesetz halten zu müssen und ihre Stellung dazu benutzen, den Datenschutz nach ihrem Gusto über das hinaus auszudehnen, was der Gesetzgeber vorgab. - David Rosenthal

Welche Aspekte sprechen dafür und dagegen, dass der Datenschutz in der Schweiz überreguliert ist?

Ich bin nicht der Ansicht, dass der Datenschutz in der Schweiz überreguliert ist. Wir haben ein gutes, vernünftiges Datenschutzrecht. Es ist viel besser als die DSGVO der EU. Es ist im Kern prinzipienbasiert. Das hat den Nachteil, dass es für Nicht-Fachleute schwerer zu verstehen ist, aber den grossen Vorteil, dass es zeitlos ist und den jeweiligen gesellschaftlichen Werten folgt und auch gut mit technischen Entwicklungen zurechtkommt.

Das Hauptproblem im Bereich der Datenschutzregulierung sind leider diverse Datenschutzbehörden, die glauben, sich nicht ans Gesetz halten zu müssen und ihre Stellung dazu benutzen, den Datenschutz nach ihrem Gusto über das hinaus auszudehnen, was der Gesetzgeber vorgab. Darauf angesprochen sagen sie bloss, dass betroffene Unternehmen ja vor Gericht gehen können, wenn ihnen das nicht passt. Diese tun das aber aus opportunistischen Gründen oft nicht und machen stattdessen die Faust im Sack. Die Datenschutzbehörden fühlen sich dann bestärkt und gehen immer weiter. Solches Verhalten einer Behörde passt nicht zu meiner Vorstellung eines Rechtsstaats, und ich bin damit nicht allein. Es hat leider nicht nur in der EU, sondern auch in der Schweiz Methode.

Zuletzt möchten wir Sie um Ratschläge an diejenigen bitten, die sich für eine Karriere im Daten- und Technologierecht interessieren.

Sie müssen bereit sein, ständig Neues zu lernen, und zwar nicht nur im Recht, sondern auch in Bezug auf die Technik und Use Cases. Praxiswissen ist hier wichtig. Zum Beispiel zu verstehen, wie der Datenhandel in der Online-Werbung abläuft oder wie grosse Sprachmodelle wirklich funktionieren und aufgebaut sind. Die gute Nachricht ist, dass es für all das kostenlose und sehr gute Informationsquellen gibt. Die schlechte Nachricht ist, dass es ein hohes zeitliches Investment über die Arbeitszeit hinaus erfordert. Das sind manche nicht bereit zu erbringen. Ich kann gut verstehen, dass jemand einen "9-to-5" Job oder vielleicht noch "8-to-6" sucht, aber sonst nur andere Dinge im Kopf hat. Hier ist meine Erfahrung allerdings, dass jemand damit in meinem Bereich nicht in die Oberliga kommt. Dazu entwickelt sich der Bereich zu schnell und zu vielfältig, rechtlich wie technisch. So wie es aber im Sport nicht nur Spitzensportler braucht, bietet das Datenschutz- und Technologierecht auch sonst spannende Möglichkeiten für junge Leute.

Darüber hinaus gilt, was für jede Karriere zutrifft: Etwas tun, um aus der Masse herauszustechen. Beispielsweise Publikationen, und zwar nicht einfach das Zusammenfassen, was andere sagen, sondern sich mit eigener Meinung oder neuen Ansätzen profilieren. Feuer zeigen. Ich will bei meinen Mitarbeitenden auch nicht, dass sie mir nachplappern, sondern eigene Ansichten vertreten und mich herausfordern. Anders als in anderen Gebieten des Rechts gibt es im Daten- und Technologierecht zudem noch immer sehr viele Gelegenheiten, an der Rechtsentwicklung aktiv mitzuwirken. 

Vielen Dank für die spannenden Einblick in Ihre Arbeit und das Schweizer Datenschutzrecht. Wir wünschen Ihnen weiterhin alles Gute.