Zürcher Datenschutzbeauftragte lobt "Zürikonto" und kritisiert Pflegezentren
Im Rahmen von Stichproben hat die Datenschutzbeauftragte des Kantons Zürich Datenschutzmängel bei Alters- und Pflegezentren entdeckt. In ihrem Tätigkeitsbericht 2023 lobt sie die Arbeiten am Projekt "Zürikonto" und spricht Klartext bezüglich unverschlüsselter Personendaten in der Cloud.
Digitale Behördenportale, Gesundheitsdaten und die Cloud haben die Datenschutzbeauftragte des Kantons Zürich 2023 auf Trab gehalten. Beispiele ihrer Arbeit liefert die Behörde im Tätigkeitsbericht des vergangenen Jahres, der online verfügbar ist.
Im Bericht warnt die Datenschutzbeauftragte Dominika Blonski vor zunehmenden Risiken beim Datenschutz, wie der Kanton Zürich mitteilt. Ursache dafür sei, dass mit der Digitalisierung die Komplexität der Datenbearbeitungen wachse. Die Umsetzung der datenschutzrechtlichen Vorgaben und der Massnahmen zur Informationssicherheit seien von grundlegender Bedeutung für das Vertrauen der Bevölkerung in die staatlichen Datenbearbeitungen, schreibt die Behörde.
Datensparsamkeit für Behördenportale
Bereits seit 2021 begleiten Blonski und ihre Behörde das entstehende "Zürikonto". Es soll als zentraler Einstiegspunkt für den Bezug digitaler Leistungen der Zürcher Verwaltung fungieren. Laut der Mitteilung begleitete die Datenschutzbeauftragte drei damit in Zusammenhang stehende Gesetzgebungsprojekte und gab regelmässig Hinweise für die Regelung der Datenbearbeitungen. Konkret plädierte sie für den Grundsatz der Datensparsamkeit, so dass nur so viele Daten wie notwendig erfasst werden. Neue Rechtsgrundlagen waren nötig, damit gegenüber den Nutzenden die notwendige Transparenz bestehe.
Auch das entstehende elektronische Bewilligungssystem im Gesundheitswesen (eBeGe) beschäftigte die Datenschutzbeauftragte. Über das Portal sollen medizinische Fachpersonen künftig zentral Bewilligungen einholen können. Bislang müssen sie zuweilen bei mehreren Ämtern einzelne Bewilligungen einholen. Im eBeGe laufen demnach "sehr viele, oft sehr heikle Personendaten an einer einzigen Stelle" zusammen. Für die Bewilligungen würden beispielsweise Sonderprivatauszüge angefragt, in denen auch Strafurteile aufgeführt werden, die im regulären Auszug nicht aufgeführt seien, schreibt die Behörde. Mit diesen Daten könnten weitgehende Persönlichkeitsprofile entstehen, die ein sehr umfassendes Bild einer Person zeichnen. Die Datenschutzbeauftragte beriet die Gesundheitsdirektion und zeigte die Risiken auf, die eine Digitalisierung des Prozesses mit sich bringt.
Datenschutzmängel bei Alters- und Pflegezentren
Im Jahr 2023 führte die Datenschutzbeauftragte erstmals 60 Kontrollen durch. Einen Schwerpunkt legte sie dabei auf Alters- und Pflegezentren. Bei den repräsentativen Stichproben unter kleinen und grossen Zentren fand sie einige grundsätzliche Datenschutzmängel, wie es in der Mitteilung heisst: So seien Zugriffe zu den Daten über unpersönliche Accounts mit allgemein bekannten Passwörtern erfolgt und starke Authentifizierungsmechanismen, die bei der Bearbeitung von besonderen Personendaten Pflicht sind, hätten gefehlt. "Dies führt zu einem unkontrollierten Zugriff auf Daten und zu einem hohen Missbrauchspotential, weil Daten zweckwidrig verwendet werden können", schreibt die Behörde.
Risiko abwälzen ist keine Option
Der Datenschutz in der Cloud beschäftigte Blonskis Team nicht zum ersten Mal. In der Mitteilung zum Tätigkeitsbericht äussert die Datenschutzbeauftragte ihre Ansicht klar und deutlich: "Öffentliche Organe müssen auch bei Cloud-Lösungen sicherstellen, dass der Datenschutz so gewährleistet ist, wie wenn sie die Daten selbst bearbeiten würden. So sind gesetzliche Schweigepflichten wie etwa das Arztgeheimnis oder das Steuergeheimnis einzuhalten", schreibt sie. Namentlich erinnert sie an den nach wie vor problematischen US-amerikanischen Cloud-Act.
"Die öffentlichen Organe können nicht einfach mit einer Einwilligung das Risiko auf die betroffenen Personen abwälzen, wie dies im privatrechtlichen Vertragsverhältnis möglich ist. Im staatlichen Umfeld besteht für Einwilligungen kein Raum", macht Blonski deutlich. Ein öffentliches Spital könne die Behandlung von Patientinnen und Patienten nicht davon abhängig machen, dass diese dazu einwilligen, ihre Patientendokumentation in einer Cloud zu speichern, die nicht datenschutzkonform sei. Und eine Liste von Sozialhilfeempfängerinnen und -empfängern darf nur in einer Cloud-Variante geführt werden, wenn die Personendaten verschlüsselt seien und das Schlüsselmanagement bei den Gemeinden bleibe.
Ein ausführliches Interview mit Dominika Blonski lesen Sie hier.
Diese Forderung, Daten in der Cloud zu verschlüsseln, bleibt nicht ohne Widerspruch. Der Branchenverband SwisICT warnte in diesem Zusammenhang unlängst vor einem drohenden Cloud-Verbot. Mehr dazu lesen Sie hier.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.