Ein USB-Stick und die Microsoft-Cloud halten St. Galler Datenschutzbehörde auf Trab
Im Jahr 2022 hat sich die St. Galler Fachstelle für Datenschutz mit der Datenbearbeitung in Microsoft 365 befasst. Ausserdem erhielt sie zwei Meldungen zu Datenschutzverletzungen, darunter eine über einen verlorengegangenen USB-Stick mit sensiblen Daten.
Die Fachstelle für Datenschutz des Kantons St. Gallen hat ihren Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin legt die Behörde einen Schwerpunkt auf Microsoft 365. Der Kanton St. Gallen will den Microsoft-Cloud-Service künftig für seine Verwaltung einsetzen, wie Sie hier lesen können.
Die Vereinigten Staaten, wo Microsoft seinen Hauptsitz hat, verfügen gemäss der Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) nicht über ein vergleichbares Datenschutzniveau wie die Schweiz. Zudem ermögliche der Cloud Act den US-Strafbehörden auf in- und ausländische Server Zugriff zu nehmen, ohne Weg über die internationale Rechtshilfe, teilt die St. Galler Behörde mit.
Für öffentliche Organe wie Kanton und Gemeinden gelten die rechtsstaatlichen Prinzipien und sie sind an die Grundrechte gebunden. Sie müssen deshalb besonders sorgfältig prüfen, welche Personendaten in einer solchen Cloud bearbeitet werden dürfen und welche nicht. Der Kontrollverlust, der mit einer solchen Datenbearbeitung einhergeht, ist auch zu berücksichtigen. Des Weiteren macht die Behörde auf die grosse Abhängigkeit aufmerksam. In dem Zusammenhang stelle sich die Frage, was im Fall einer Vertragskündigung – beispielsweise wegen einer Vertragsverletzung – passiere.
Heikle Polizeiarbeit
Ein weiteres Thema im Tätigkeitsbericht der Fachstelle ist die präventive Polizeiarbeit. Hier seien verschiedene Neuerungen vorgesehen, so etwa das Predictive Policing, die Führung einer Gefährderliste oder Regelungen zum polizeilichen Datenaustausch.
Die Datenschutzbehörde bezeichnet die präventive Polizeiarbeit als "in datenschutzrechtlicher Hinsicht sehr heikel". Dies, weil Personendaten nicht im Rahmen eines formellen Verfahrens bearbeitet, sondern ungesicherte Informationen verwendet werden. Es müsse vermieden werden, dass umfangreiche Datensammlungen nur aufgrund eines vagen Verdachts entstehen. Daher seien die Anforderungen an die gesetzlichen Grundlagen besonders hoch. So sei etwa die Speicherdauer beim polizeilichen Datenaustausch im Gesetz selbst zu regeln, findet die Behörde.
Verlorener USB-Stick und zu umfangreicher Datenzugriff
Im Jahr 2022 erhielt die Behörde zudem zwei Meldungen zu Datenschutzverletzung. Im einen Fall ging es um einen verlorenen unverschlüsselten USB-Stick mit sensiblen Daten. Die Fachstelle für Datenschutz empfiehlt dabei verschiedene Massnahmen: Den Verzicht auf den Einsatz von Sticks oder dass diese verschlüsselt werden, die Sensibilisierung der Mitarbeitenden und die Bestimmung der Verantwortlichkeiten für die Meldung von Datenschutzverletzungen.
Der zweite gemeldete Fall betraf die Bearbeitung von Personendaten in einem Bereich mit Zugangsbeschränkung. Während einer gewissen Zeit war es möglich, dass Personen Daten einsehen konnten, die sie für ihre Aufgabenerfüllung nicht benötigten. Die Bearbeitung dieses Falles ist noch nicht ganz abgeschlossen, wie die Datenschutzbehörde schreibt.
Der Eidgenössische Datenschutzbeauftragte konstatierte in seinem im Sommer 2022 veröffentlichten Tätigkeitsbericht eine "wachsende Geringschätzung der Privatsphäre". Er fordert mehr Transparenz von den Bundesbehörden, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.