Was war Ihr erster Gedanke, als Sie gehört haben, dass bei Sony mehr als 70 Millionen Kundenkonten gehackt worden sind?
Hanspeter Thür: Dass dazu wohl auch die Kreditkartenangaben gehören. Und das ist dramatisch. Das ist der grösste anzunehmende Unfall, der im Bereich des Datenschutzes denkbar ist. Dabei stellt sich die Frage, ob Sony ausreichend Sicherheitsvorkehrungen installiert hatte. Das kann ich allerdings nicht beurteilen.
Was haben Sie als nationaler Datenschutzbeauftragter für eine Handhabe, wenn so etwas passiert?
Es war ja ein Unfall. So gesehen kann man jetzt nur versuchen, die Konsequenzen gering zu halten und die Leute schnell zu informieren. Und wenn Kosten entstehen, muss Sony etwas anbieten. Aber für uns gibt es nach aktuellem Recht keine Handhabe, etwas zu tun oder zu verlangen, keine Sanktionen, die für einen solchen Vorfall vorgesehen sind. Ausser, dem Betroffenen ist ein Schaden entstanden. Dann gibt es das normale zivilprozessuale Vorgehen, Schadensersatz geltend zu machen und gegebenenfalls gerichtlich durchzusetzen.
Ist das überhaupt möglich im Fall Sony?
Es gibt die Gerichtsstandsproblematik – es ist bei internationalen Organisationen nicht einfach, Ansprüche gerichtlich durchzusetzen. Daher ist es für Sony umso wichtiger, den erlittenen Vertrauensverlust auf eine kulante Art und Weise wiedergutzumachen.
Sollte es eine gesetzliche Handhabe geben? Sind in der Schweiz Änderungen von Nöten?
Ich denke, dass Fälle von grossem Datenmissbrauch und -diebstahl zunehmen werden. Daher braucht es Sanktionsmöglichkeiten, um Unternehmen in die Pflicht zu nehmen, die Datenbestände nicht mit ausreichender Sorgfalt sichern.
Braucht es dafür eine gesetzliche Grundlage?
Ja, natürlich. Allerdings wird das Problem insofern komplexer, als dass immer mehr grosse Unternehmen Datenverarbeitungen auslagern. Daher stellt sich die Frage, ob wir nicht auch strengere Regeln für dieses Outsourcing einführen sollten.
Ist die Politik da nun in der Pflicht?
Ja. Aber der Fall Sony zeigt, dass solche Fälle meist nicht der Schweizer Gesetzgebung unterliegen, sondern es sich um eine internationale Problematik handelt. Daher müssen gerade auch auf dieser Ebene die Datenschutzregeln besser harmonisiert, abgestimmt und verschärft werden. Sonst sucht sich jedes Unternehmen das Land aus, das ihm am wenigsten Prügel in die Beine wirft.
Was würden Sie Betroffenen im Fall Sony raten?
Sie sollten in Betracht ziehen, ihre Kreditkarte zu sperren und eine neue zu beantragen. Und generell sollte man als Konsument vorsichtig umgehen mit der Kreditkartenangabe. Im Zweifelsfall verzichtet man besser darauf und bezahlt auf die etwas kompliziertere Art über herkömmliche Kanäle. Denn der aktuelle Fall zeigt, dass auch ein renommiertes Unternehmen wie Sony Ziel einer illegalen Aktion sein kann und die Daten dann nicht mehr sicher sind.
(laf)