Zürichs Datenschutzbeauftragte berät Strafverfolger, Schulen und Kirchgemeinden
Die Datenschutzbeauftragte des Kantons Zürich hat 2022 umfangreichere und komplexere Beratungen durchgeführt als im Vorjahr. Sie schaute sich unter anderem das Besuchermanagement eines Polizeizentrums, Überwachungssoftware für Onlineprüfungen und das E-Mobility-Projekt einer Landeskirche an.
In ihrem neuesten Tätigkeitsbericht blickt Dominika Blonski, die Datenschutzbeauftragte des Kantons Zürich, zurück auf das Jahr 2022. Im Vergleich zum Vorjahr führte ihre Behörde "umfangreichere, aber auch komplexere" Beratungen durch, wie es in der Mitteilung heisst. Gründe dafür gibt es mehrere: "Die Digitalisierung der Verwaltung beschleunigt sich, Polizei und Justizvollzug bauen den Einsatz neuer elektronischer Systeme aus und Spitäler oder auch Religionsgemeinschaften gehen in die Cloud. Die Intransparenz der Datenbearbeitungen und der Verlust der Kontrolle über die Daten führen zu neuen Risiken für die öffentlichen Organe." Die Anzahl der Beratungen hat jedoch abgenommen, von 753 im Jahr 2021 auf 569 im Jahr 2022.
Besuchermanagement, Prüfungskontrollen, Nachhaltigkeitsprojekt
Zu den im Bericht genannten Beispielen dieser Beratungen gehört das System für das Besuchermanagement des neu erstellten Polizei- und Justizzentrums Zürich (PJZ). Für das System gelten hohe Anforderungen an die Sicherheit und den Datenschutz, zumal dort erfasste Personendaten zu einem grossen Teil im Zusammenhang mit einer Strafuntersuchung stehen. Die Nutzung des Systems berge besondere Risiken für die Grundrechte der betroffenen Personen. Die Datenschutzbeauftragte führte deshalb eine Vorabkontrolle durch und befand, dass das System den rechtlichen sowie organisatorischen und technischen Anforderungen grundsätzlich genügte. Sie habe jedoch darauf hingewiesen, dass dass die rechtlichen Grundlagen für die Datenbearbeitung in den Unterlagen nicht aufgeführt waren. Weiter machte sie darauf aufmerksam, dass die Aufbewahrungsfrist und die Löschung der Personendaten nicht geregelt waren.
Auch Überwachungsmassnahmen während online abgelegter Prüfungen waren ein Thema bei der Datenschutzbehörde. Eine Hochschule müsse die redliche und rechtsgleiche Durchführung überwachen können, schreibt sie im Bericht. Bezüglich konkreter Massnahmen fällt ihr Urteil differenzierter aus. So beurteilt die Datenschutzbeauftragte etwa eine Sperrfunktion, die die Nutzung des Browsers während der Prüfung einschränkt, als zumutbar. "Damit kann bei Fernprüfungen wie bei Prüfungen vor Ort unredliches Verhalten besser erfasst werden als mit bisherigen Möglichkeiten", heisst es dazu. Nicht zumutbar findet sie dagegen die Aufzeichnung und Auswertung von Bild und Ton, denn: "Die Funktionsweise der Algorithmen ist für die Studierenden intransparent. Dies kann dazu führen, dass sie ihr Verhalten aus Unsicherheit ändern, auch wenn dies nicht nötig wäre."
Ebenfalls als unverhältnismässig befand die Datenschutzbeauftragte das Vorhaben einer Direktion, während Online-Assessments im Rahmen der Personalrekrutierung Bildaufnahmen zu machen und automatisch biometrisch auszuwerten. Mit der Massnahme wollte die Direktion sicherstellen, dass die Bewerberin oder der Bewerber das Assessment selbst durchführt und keine zusätzliche Person mithilft. Die Datenschutzbehörde riet ihr dazu, "mildere Mittel einzusetzen".
In einem weiteren Abschnitt widmet sich die Datenschutzbeauftragte den Aktivitäten religiöser Gemeinschaften. Sie berichtet von einer Landeskirche, die die im Rahmen eines Konzepts zur E-Mobilität ihren Gemeinden E-Bikes, E-Cargo-Bikes und Ladestationen zur Verfügung stellte. Die Nutzung sollte danach evaluiert werden. Dafür sollte kein Umfragetool eines US-Unternehmens eingesetzt werden, riet die Behörde, da es sich wegen dem Zusammenhang mit einer religiösen Aktivität in jedem Fall um besondere Personendaten handle. Zudem müsse die Landeskirche bei der Evaluation darauf achten, dass keine Rückschlüsse auf einzelne Personen möglich sind – aufgrund der geringer Teilnehmerzahl reiche es nicht aus, dabei lediglich die Namen der Teilnehmenden zu entfernen.
Mehr Datenschutzvorfälle gemeldet
Der besondere Schutz für Personendaten in Zusammenhang mit religiösen Aktivitäten ist auch zu beachten, wenn religiöse Gemeinschaften in die Microsoft-365-Cloud migrieren, merkt die Datenschutzbeauftragte an.
Nicht in die Microsoft-Cloud gehören Daten, die dem Berufsgeheimnis unterstehen, schreibt die Behörde in Zusammenhang mit dem Fall eines Hochschulinstituts der Psychologie. Dies gilt auch, wenn die sogenannte Kunden-Lockbox, eine zusätzliche Schutzmassnahme gegen Datenzugriffe, aktiviert ist.
An Spitäler erging 2022 mehrfach der Hinweis, "dass Personendaten unter dem Berufsgeheimnis, aber auch Gesundheitsdaten ganz allgemein nur in die Cloud eines US-amerikanischen Unternehmens ausgelagert werden dürfen, wenn sie verschlüsselt sind und der Schlüssel ausschliesslich dem Spital bekannt ist", wie es in der Mitteilung zum Tätigkeitsbericht heisst.
Viel diskutiert wurde im Jahr 2022 die Einführung von Microsoft 365 in der Zürcher Verwaltung. Dazu hält die Datenschutzbeauftragte fest, ihr seien "bis zum Jahresabschluss keine Vorhaben zur Vorabkontrolle vorgelegt worden".
Angestiegen (von 27 auf 35) ist die Anzahl gemeldeter Datenschutzvorfälle. Rund zwei Drittel stammen dabei aus dem Gesundheitsbereich. So hatten etwa die Mitarbeitende des während der Coronapandemie eingeführten Contact-Tracings auch nach ihrem Weggang noch Zugang zu den über 900'000 Datensätzen positiv getesteter Personen.
Nach einem Hackerangriff nahm auch die Stadt Bülach Kontakt zur Datenschutzbehörde auf und erhielt Empfehlungen für "Massnahmen zur Verbesserung der Informationssicherheit".
Für Schlagzeilen sorgte letztes Jahr schliesslich der Datenschutzvorfall der Zürcher Justizbehörden. Während mehrerer Jahre tauchten sensible Daten der Strafverfolgungsbehörden im Drogenmilieu auf, wie Sie hier lesen können.
Laut ihrem Tätigkeitsbericht hatte die Datenschutzbehörde bereits im September 2021 eine Stellungnahme an die Direktion der Justiz und des Innern verfasst. Im November 2022 ermahnte sie die Behörde an die geforderte Umsetzung der Massnahmen. Darauf habe die Direktion den Wunsch geäussert, "sich im Januar 2023 zum Stand der Umsetzung der Massnahmen mit der Datenschutzbeauftragten auszutauschen. Die Sache solle grundsätzlich angegangen werden."
Auch die Datenschutzbehörde des Kantons St. Gallen veröffentlichte unlängst ihren Tätigkeitsbericht. Auch sie befasste sich mit der Datenbearbeitung in Microsoft 365, aber auch mit einem verlorengegangenen USB-Stick, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.