Sei es im Gesundheitswesen oder im Bildungsbereich, aber auch im Kindes- und Erwachsenenschutz oder bei der Polizei und der Strafverfolgung – von den Datenbearbeitungen sind alle Bürgerinnen und Bürger umfassend betroffen. Die Informatiksysteme werden komplexer und die Abhängigkeit von der Informationstechnologie nimmt zu. Die Digitalisierung bringt neue Cyberrisiken, und die Gefahr des Missbrauchs von persönlichen Daten und digitalen Identitäten wachsen. Das Bewusstsein für die Risiken sei bei den öffentlichen Organen auf allen Ebenen noch zu wenig vorhanden, sagte Baeriswyl. So werde die Digitalisierung zur Hochrisikostrategie mit unberechenbarem Ausgang.

Umfassende Datenflüsse

Im Vergleich zum analogen Zeitalter ist es heute einfach, grosse Mengen von Informationen schnell weiterzuleiten. Dies ändert nichts an der Tatsache, dass persönliche Informationen nur weitergegeben werden dürfen, wenn dafür eine klare rechtliche Bestimmung vorliegt. Dabei ist zu beachten, dass nur die Daten weitergegeben werden, die für den Empfänger geeignet und erforderlich sind.

Das neue Bundesgesetz über die Ausländerinnen und Ausländer verpflichtet die Schulen zur Weitergabe gewisser Informationen wie dem definitiven Schulausschluss von ausländischen Schulkinder an das Migrationsamt. Der Datenschutzbeauftragte weist darauf hin, dass trotz der rechtlichen Grundlage nicht das ganze Dossier über eine Person weitergegeben werden darf, sondern nur die Informationen, die das Migrationsamt für seine Entscheide benötigt.

Beim Einsatz von Smart Metern, digitalen Stromzählern, dürfen die Daten nur zum definierten Zweck verwendet werden, etwa zur Rechnungsstellung. Mit den Verbrauchsdaten kann der Stromanbieter ein umfassendes Persönlichkeitsprofil erstellen über persönliche Gewohnheiten, den Tagesablauf oder die An- oder Abwesenheit von Personen. Die Auswertung der Daten darf nur anonymisiert geschehen.

Auch bei der Publikation von Baugesuchen im Internet ist darauf zu achten, dass nicht unverhältnismässig Daten publiziert werden. So wurde die Adresse eines Einwohners im Baugesuch online gestellt, obwohl er seine Daten bei der Einwohnerkontrolle gesperrt hatte. Das ist rechtlich zulässig, jedoch sind Massnahme zu treffen, damit das Gesuch nur solange wie notwendig im Internet steht und nicht von Suchmaschinen indexiert werden kann.

Die Überwachung von Wohnräumen mit Videokameras ist in jedem Fall ein starker Eingriff in die persönliche Freiheit. Eine Gemeinde wollte die Innenbereiche einer Asylunterkunft mit Kameras überwachen, weil es zu Sachbeschädigungen und Diebstahl gekommen war. Der Datenschutzbeauftragte beurteilte die flächendeckende Massnahme als unverhältnismässig. Eine Videoüberwachung darf nur dort erfolgen, wo sie erforderlich ist. Zudem ist selbstverständlich auch in einer Asylunterkunft das Recht auf Privatheit zu respektieren.

Mit dem Electronic Monitoring, auch bekannt unter dem Begriff elektronische Fussfessel, wird verurteilten Straftäterinnen und Straftätern beispielsweise ermöglicht, während der Verbüssung ihrer Haftstrafe ihrer Arbeit nachzugehen. Die verurteilte Person gewinnt dadurch zwar an Freiheit, jedoch entsteht durch das Monitoring mit GPS oder Radiofrequenz ein detailliertes Bewegungsprofil. Der Datenschutzbeauftragte begrüsste, dass das zuständige Amt ein umfassendes Datenschutz- und Informationssicherheitskonzept erstellt hat und gab Verbesserungsvorschläge ab.

Patientendaten müssen sicher bleiben

Besonders sensitiv ist der Umgang mit Gesundheitsdaten. Bei Kontrollen von Klinischen Informationssystemen stellt der Datenschutzbeauftragte immer wieder unzureichende Massnahmen zum Schutz der Daten und ihrer Sicherheit fest. Er hat die Spitäler zudem beraten, wie Gesundheitsdaten anonymisiert in der Forschung verwendet werden können. Mit der Einführung des Elektronischen Patientendossiers erhöht sich die Notwendigkeit des sorgfältigen Umgangs mit Gesundheitsdaten noch zusätzlich. Die Bürgerinnen und Bürger werden den digitalen Lösungen nur vertrauen, wenn der Schutz und die Sicherheit der Daten mit konkreten
Massnahmen garantiert wird. Damit Patientinnen und Patienten ihre Rechte kennen, hat der Datenschutzbeauftragte zusammen mit der Gesundheitsdirektion und dem Verband Zürcher Spitäler eine Broschüre über die Rechte und Pflichten beim Spitalaufenthalt herausgegeben.

Informationssicherheit: Das schwächste Glied ist entscheidend

Oft werden Cloud-Dienstleistungen durch die Verwaltung ohne die notwendigen rechtlichen und technischen Massnahmen eingesetzt. Bei Sicherheitschecks von Webanwendungen fand der Datenschutzbeauftragte immer wieder grundlegende Sicherheitsmängel, die zum Verlust der Vertraulichkeit sensitiver Daten führen können. Bei zwei öffentlichen Organen gelangten persönliche Daten von Bürgerinnen und Bürgern über das Internet in die Öffentlichkeit. Im einen Fall waren die Unterlagen von Bewerbenden ungeschützt online einsehbar. Im anderen konnte über ein Online-Antragsformular für Spezialbewilligungen direkt auf die vollständige Datenbank der Bewilligungsadministration zugegriffen werden. Insgesamt stellte der Datenschutzbeauftragte fest, dass sich die Sicherheit der Daten nicht nachhaltig verbessert hat.

Persönliche Freiheit unter Druck

In der Dynamik der technologischen Entwicklung werden mögliche negative Auswirkungen auf die persönliche Freiheit oft ausgeblendet. Damit schon die Kleinsten für ein selbstbestimmtes digitales Leben gewappnet sind, entwickelte der Datenschutzbeauftragte zusammen mit der Pädagogischen Hochschule Zürich ein Lehrmittel für die 4- bis 9-jährigen Schulkinder. Die Unterrichtsmaterialien sind als E-Book kostenlos verfügbar. Mit zahlreichen Veranstaltungen im Rahmen des Zurich Film Festivals, von Kunstausstellungen und mit einem Filmzyklus schaffte der Datenschutzbeauftragte eine Plattform für die Diskussion über die persönliche Freiheit, die Privatheit und die Selbstbestimmung in Zeiten von Big Data und Künstlicher Intelligenz.

Bevölkerung verlangt Datenschutz und Sicherheit

Eine Studie der ZHAW im Auftrag der Staatskanzlei und des Vereins der Zürcher Gemeindeschreiber und Verwaltungsfachleute (VZGV) zeigt, dass die Bevölkerung bei elektronischen Dienstleistungen dem Datenschutz und der Datensicherheit einen sehr hohen Stellenwert einräumt. Je vertraulicher die Daten sind, desto mehr Schutzmassnahmen erwarten die Bürgerinnen und Bürger. Der Kanton Zürich hat letztes Jahr eine ambitionierte Digitalisierungsstrategie lanciert. Um das Vertrauen der Bevölkerung in die neuen Datenbearbeitungen zu erhalten, muss also dem Datenschutz der notwendige Stellenwert eingeräumt werden. Der Datenschutzbeauftragte setzt sich für einen konsequenten Datenschutz auch bei der Digitalisierung ein. Für die zunehmend anspruchsvolleren Aufgaben braucht er die notwendigen Ressourcen. Datenschutz sei Prävention, meinte Baeriswyl. Richtig gewichtet, müsste er bei der Digitalisierung kein Thema sein.