Im Gespräch mit den anwesenden Medienschaffenden setzte Bruno Baeriswyl die Anliegen des Datenschutzes in eine weitere Perspektive. Es gehe um das Selbstbestimmungsrecht des Menschen, das etwa durch den Einsatz von Analysetools in den sozialen Medien bedroht werde. Wenn die politische Meinungsbildung manipuliert werde, sei dies anders zu beurteilen als die Beeinflussung des Kaufverhaltens. Mit der Digitalisierung des Staates dürfe solchen Praktiken nicht Vorschub geleistet werden, weshalb Transparenz geschaffen werden müsse.

Die Digitalisierung der Verwaltung ist eine besondere Herausforderung für den Datenschutz. Damit die Bürgerinnen und Bürger nicht das Vertrauen in die Datenbearbeitungen verlieren, muss die Wahrung der Grundrechte ebenfalls eines der Ziele einer Digitalisierungsstrategie sein. Die Digitalisierung muss den liberalen Rechtsstaat und seine Institutionen stärken.

Seit Mai ist die neue europäische Datenschutz-Grundverordnung in Kraft. Dies sei ein wichtiger Schritt zur Stärkung der Rechte der Bürgerinnen und Bürger, auch gegenüber den digitalen Grosskonzernen, erklärte Baeriswyl. Die Schweiz hat hier die Chance, einen eigenständigen Weg einzuschlagen. Die Wirkung der Datenschutzgesetze muss gestärkt werden und den neuen digitalen Herausforderungen gerecht werden. Im Kanton Zürich beschränkt sich die Anpassung des Informations- und Datenschutzgesetzes (IDG) auf den Nachvollzug europäischer Vorgaben.

Digitalisierungsprojekte erhöhen den Druck auf knappe Ressourcen

Der Rückblick auf die Tätigkeit des Datenschutzbeauftragten im Jahr 2017 verdeutlicht den zunehmenden Druck auf seine Behörde durch die Vielzahl der Digitalisierungsprojekte der öffentlichen Organe. So hat dieses Jahr die Anzahl Beratungsanfragen weiter zugenommen. Dies sei vom Datenschutzbeauftragten nur durch Mehrleistungen zu bewältigen gewesen. Auf die Dauer könne dies bei gleichbleibenden Ressourcen nicht garantiert werden.

Besonders häufig sind Anfragen zu den Möglichkeiten des Cloud Computing. Öffentliche Organe erhoffen sich davon, Investitionen in Soft- und Hardware zu sparen. Die Effizienz und der Komfort der Online-Angebote bringen jedoch massiven Kontrollverlust und ungenügende Transparenz mit sich. Dabei liege die Krux meist im Geschäftsmodell, sagte Baeriswyl. Nichts sei gratis, denn wer nicht für einen Dienst bezahle, gebe seine Daten preis. Jedoch bleiben Schulen und andere öffentliche Organe für die Einhaltung des Datenschutzes verantwortlich. Deshalb können sie Tools wie Whatsapp, Dropbox und Co. nicht einsetzen. Hingegen konnte für den Bildungsbereich mit Microsoft ein Rahmenvertrag für die datenschutzkonforme Nutzung von Office 365 abgeschlossen worden.
Auch Institutionen im Gesundheitsbereich setzen zunehmend auf Cloud-Lösungen. Hier gilt es, mit technischen Massnahmen und rechtlichen Vereinbarungen den Schutz des Arzt- und Patientengeheimnisses sicherzustellen.

Seit kurzem bietet der ZVV die Möglichkeit an, dass Reisende einfach per App zu Beginn der Fahrt einchecken und am Ende wieder auschecken. Der vorgängige Kauf eines Billetts ist unnötig. Im Hintergrund zeichnet der Betreiber der App durch Geolokalisation die Fahrtstrecken auf, berechnet daraus den besten Preis und belastet den Betrag direkt auf dem hinterlegten Zahlungsmittel. Die Auswertung der gesammelten Daten könnte Bewegungsprofile ergeben. Im vorliegenden Fall prüfte der Datenschutzbeauftragte das Vorhaben in einer Vorabkontrolle und stellte fest, dass nur Daten gesammelt werden, die für die Berechnung des Preises benötigt werden und zudem der Zugriff auf die Daten restriktiv geregelt ist.

Gesundheitsdaten schwierig zu anonymisieren

Die Forschung mit gesundheitsbezogenen Daten verspricht neue Erkenntnisse für die medizinische Versorgung und die Bekämpfung von Krankheiten. Gesundheitsdaten sind jedoch besonders sensitiv. Sie können leicht zu Diskriminierungen führen. Zudem ist die Anonymisierung sehr schwierig, da vor allem durch Verknüpfung verschiedener Datenbanken oft wieder Rückschlüsse auf einzelne Personen möglich sind. Der Datenschutzbeauftragte begutachtete das Anonymisierungskonzept eines Forschungsprojekts mit Patientendaten, die von Krankenkassen zur Verfügung gestellt wurden. Zwar wurde der Personenbezug technisch entfernt, trotzdem hätten einzelne Patientinnen und Patienten eventuell wiedererkannt werden können, weil sie an einer seltenen Krankheit litten oder ein wenig zur Anwendung kommendes Medikament verschrieben bekamen. Der Datenschutzbeauftragte riet deshalb, hierfür Zusatzmassnahmen zu treffen. Diese Fälle müssten vor der Weitergabe herausgefiltert werden. Um das Risiko einer Persönlichkeitsverletzung weiter zu verringern, sollten nicht die genauen Jahrgänge sondern Altersgruppen verwendet werden.

Datenspuren überall

Bei jeder digitalen Aktivität fallen Randdaten an, die Auskunft über den Aufenthalt, das Verhalten und die Interessen der Menschen geben können. Der Staat trage eine ganz besondere Verantwortung für die Daten der Bürgerinnen und Bürger, erklärte Baeriswyl. Deshalb sei bei Digitalisierungsprojekten von Anfang auf datenschutzfreundliche Technologien zu setzen, die verhindern, dass die anfallende Datenmenge überhaupt ausgewertet werden könne. Dazu gehöre, dass die Löschung dieser Daten fest in die Abläufe integriert werde.

Mit der zunehmenden Digitalisierung nehmen auch die Cyberrisiken zu. Kontrollen von Websites öffentlicher Organe zeigten, dass Passwörter im Klartext gespeichert wurden und Zugriffe auf Datenbanken möglich waren, die sogar den Missbrauch des gesamten Systems nicht ausschlossen. Die Kontrollen des Datenschutzbeauftragten sind ein wichtiger Bestandteil, um Schwachstellen möglichst schnell entdecken zu können. Wegen fehlender Ressourcen sind sie aber nur eingeschränkt möglich.

Ausgezeichnete Bewertung

Seit 2003 ist der Datenschutzbeauftragte nach der Qualitätsnorm ISO 9001 zertifiziert. Inzwischen hat er sein Qualitätsmanagementsystem an die neue Version 9001:2015 angepasst und wurde 2018 rezertifiziert. So kann die Behörde weiterhin grösstmögliche Effizienz und Wirkungsorientierung garantieren. Es gehört zu den Vorgaben der ISO-Norm, dass Kundinnen und Kunden nach ihrer Einschätzung der Dienstleistungen gefragt werden. «Wer den Datenschutzbeauftragten einbezieht, ist sehr zufrieden», sagte Baeriswyl mit Blick auf die Resultate der Kundschaftsbefragung 2017. Vertreterinnen und Vertreter der Verwaltung, der Gemeinden und anderer öffentlicher Organe bewerten die Dienstleistungen insgesamt mit 5,3 von 6 möglichen Punkten als sehr gut.