Datenbearbeitungen brauchen Transparenz. Die Bürgerinnen und Bürger sollen wissen, welche Daten die staatlichen Organe über sie bearbeiten. Nur so können sie ihr Recht auf Privatheit wahren und sich gegen unrechtmässige Datenbearbeitungen wehren. In der Auseinandersetzung um den Datenschutz in der Praxis geht oftmals vergessen, dass es dabei immer um die persönliche Freiheit der Bürgerinnen und Bürger geht. Das Recht auf Achtung der Privatsphäre und auf informationelle Selbstbestimmung ist ein Grundanliegen der liberalen Rechts- und Wirtschaftsordnung.


Grundrecht auf Datenschutz

Das Datenschutzgesetz konkretisiert dieses Anliegen, indem es Rahmenbedingungen für die datenbearbeitenden Stellen formuliert. Werden diese eingehalten, so besteht auch Gewähr, dass die Grundrechte der Bürgerinnen und Bürger respektiert sind. Regierungsrat Markus Notter, Vorsteher der Direktion der Justiz und des Innern, betonte bei der Präsentation des Tätigkeitsberichts des Datenschutzbeauftragten, dass auch angesichts neuer Herausforderungen für die Verwaltung dem Grundrecht auf Datenschutz Respekt verschafft werden muss.

Der Datenschutzbeauftragte des Kantons Zürich, Bruno Baeriswyl, sieht die Herausforderungen vor allem in drei Bereichen: Die technologische Entwicklung lässt immer weiter gehende Datenbearbeitungen zu, beispielsweise durch biometrische Verfahren. Die Nutzung der Daten in den unterschiedlichsten Bereichen wird immer intensiver, was mit der Schaffung einer einheitlichen Personenidentifikationsnummer noch verschärft wird. Das Sicherheitsbedürfnis toleriert sehr undifferenziert Eingriffe in die Privatsphäre, ohne dass über die Wirkung Klarheit geschaffen wird, wie die Videoüberwachung zeigt, bei der nicht die flächendeckende Anwendung, sondern nur ein gezielter Einsatz angemessen und effektiv ist.


Prinzipien des Datenschutzes

Für die Wahrung der Privatheit der Bürgerinnen und Bürger ist es deshalb entscheidend, dass bei allen Datenbearbeitungen die Prinzipien des Datenschutzgesetzes beachtet werden. Dabei steht die Transparenz im Vordergrund: Jede Datenbearbeitung hat auf einer ausreichenden Rechtsgrundlage zu beruhen. Sie muss aber auch geeignet und erforderlich sein, um einen bestimmten Zweck zu erfüllen. Des Weiteren sind alle Daten vor Missbrauch angemessen zu schützen. Obwohl diese Prinzipien klar sind, ist deren Umsetzung durch die Verwaltung noch oftmals zögerlich, da deren Wichtigkeit für den Schutz der Privatheit der Bürgerinnen und Bürger verkannt wird.

Der 10. Tätigkeitsbericht des Datenschutzbeauftragten enthält zahlreiche Fälle, die zeigen, wie unterschiedlich die Respektierung der datenschutzrechtlichen Prinzipien in der Praxis ist.


Austausch von Steuerdaten

Für den Austausch von Steuerdaten zwischen den Gemeindesteuerämtern und dem kantonalen Steueramt soll eine Datendrehscheibe verwendet werden, die bereits jetzt für den Austausch von Gebäudedaten benutzt wird. Gleichzeitig sollen aber auch Daten des Steueramtes in diese Datendrehscheibe eingespeist und für andere Stellen zur Verfügung gestellt werden. Dabei ist nicht transparent, zu welchen Zwecken und in welchen Kombinationen diese Daten Verwendung finden sollen, da weder diese Datendrehscheibe noch die Datenbekanntgabe des Steueramts über eine Rechtsgrundlage verfügen. Auf Intervention des Datenschutzbeauftragten hin sollen nun die längst fälligen Rechtsgrundlagen geschaffen werden, damit für die Verwaltung und die Bürgerinnen und Bürger klar wird, was mit diesen Daten geschehen darf.


Biometrische Gesichtserkennung

Mit einer Verordnung hat der Regierungsrat Rahmenbedingungen geschaffen, die den Umgang mit den Daten, die beim biometrischen Gesichtserkennungssystem im Flughafen Zürich erfasst werden, regeln. Damit reagierte er auf die Risiken, die diese neue Technologie für die Privatheit der betroffenen Personen beinhaltet. Biometrische Daten wie die Gesichtserkennung, der Iris-Scan oder der digitale Fingerprint entstehen durch die Vermessung eindeutiger Körpermerkmale. Durch die Digitalisierung werden diese Daten austauschbar und in unterschiedlichen Zusammenhängen verwendbar. Deshalb braucht es Rahmenbedingungen, wie solche biometrischen Daten zu handhaben sind. Bereits gibt es in einzelnen Gemeinden des Kantons Zürich Projekte, den Zutritt zu Sportanlagen wie Hallenschwimmbädern nur noch mit biometrischer Identifikation zuzulassen.


Diagnosecodes auf Spitalrechnungen

Mit einem Kompromiss reagiert der Kanton Zürich auf die Forderung, der Krankenkassen, es sei bei den Spitalrechnungen auch jeweils die Krankheitsdiagnose mitzuteilen. Mit einem auf zwei Stellen verkürzten Code erfolgt eine weniger detaillierte Angabe der Diagnose. Es stellt sich indessen die Grundsatzfrage, ob die Bekanntgabe der Krankheitsdiagnose für die Versicherer zu Überprüfung der Rechnungsstellung und der Wirtschaftlichkeit der Leistung – insbesondere im Rahmen von Tarmed und Fallkostenpauschalen - überhaupt geeignet und erforderlich ist. Was mit diesen Diagnosedaten bei den Versicherern geschieht, ist nicht transparent, und die Wirtschaftlichkeit von Leistungen kann auch mit anonymisierten Daten überprüft werden.


Kein Recht auf Löschung

Wiederholt haben sich betroffene Personen an den Datenschutzbeauftragten gewandt, weil sie in ein polizeiliches Ermittlungsverfahren einbezogen wurden, das wieder eingestellt wurde, da ihnen nichts vorzuwerfen war. Doch der Eintrag in die Datenbank POLIS wird nicht gelöscht, sondern lediglich mit einer entsprechenden Anmerkung versehen. Da dieser Eintrag jederzeit einsehbar bleibt, wird in schwerwiegender Weise in die verfassungsrechtliche Unschuldsvermutung der betroffenen Person eingegriffen. Mindestens müsste ein solcher Eintrag aus dem operativen Teil der Datenbank entfernt werden.


Sicherheit der Daten

Der Schutz vor Missbrauch der Daten erfordert von den Verwaltungsstellen angesichts der rasanten technologischen Entwicklung immer grössere Anstrengungen. Mit der Datenschutzreview nimmt der Datenschutzbeauftragte bei den kantonalen und kommunalen Stellen regelmässig Kontrollen vor. Ziel dieser Kontrollen ist einerseits die Sensibilisierung für die Anliegen der Sicherheit und andererseits das Aufdecken von elementaren Schwachstellen. Eine Analyse mit den Mitteln der Datenschutzreview ist nun für alle Stellen auch mittels einer Online-Version auf der Website des Datenschutzbeauftragten möglich.


Weitere Themen

Der 10. Tätigkeitsbericht 2004, der weitere Themen enthält, ist in elektronischer Form auf der Website des Datenschutzbeauftragten abrufbar: www.datenschutz.ch, Rubrik «Tätigkeitsbericht».

(Medienmitteilung der Direktion der Justiz und des Innern)