Erklärungen für Pannen in der Informationssicherheit oder dafür, dass die öffentlichen Organe in Sachen Digitalisierung hinterherhinken, gibt es viele. Oft wird der Mensch zum Risikofaktor erklärt und dem Datenschutz Verhindern des Fortschritts vorgeworfen. In ihrer Arbeit stellt die Datenschutzbeauftragte fest, dass beide Erklärungen falsch sind.

Von sichtbaren Mailadressen zum Verschlüsselungstrojaner

Trifft bei der Datenschutzbeauftragten eine Meldung über einen Datenschutzvorfall ein, wird sie eingehend geprüft. Die Meldepflicht dient der kontinuierlichen Verbesserung, damit sich Fehler nicht wiederholen. Häufig sind die Meldungen zu Mails an viele Empfängerinnen und Empfänger, bei denen die Adressen für alle sichtbar sind. Dabei werden oft sensitive Informationen über Personen bekanntgegeben, etwa wenn es um Quarantäneverfügungen oder Mitteilungen von Regionalen Arbeitsvermittlungsstellen (RAV) geht. Hier könnten Mailinglisten einen guten Schutz bieten.
Im Jahr 2020 erfuhr die Datenschutzbeauftragte von einem Vorfall in einem Spital. Ein Verschlüsselungstrojaner war über einen E-Mail-Anhang mit einem schädlichen Makro eingedrungen und hatte einen Teil der Daten verschlüsselt. Nachforschungen ergaben, dass keine Daten entwendet worden waren. In diesem Fall verhinderten gut aufgegleiste Prozesse zum Schutz der Informationssicherheit grössere Schäden und das Spital konnte den Betrieb jederzeit aufrechterhalten.
«Diese Beispiele zeigen: Technologie kann die Folgen menschlicher Fehler verstärken oder eben eindämmen», sagt die Datenschutzbeauftragte.

Schulen vor neuen Herausforderungen

Fragen zu Bring Your Own Device waren im Jahr 2021 häufig. Wenn Schulen den Einsatz privater Geräte im Unterricht erlauben, müssen dafür klare Regeln definiert werden. Sie bleiben auch in diesem Fall verantwortlich für den Schutz der Personendaten. Die Schule kann aber die Sicherheit der privaten Geräte nicht direkt gewährleisten. Deshalb sind die Schülerinnen und Schüler zu verpflichten, die grundlegenden Schutzmassnahmen umzusetzen. Das Gerät muss mit einem Passwort geschützt sein. Die Daten müssen verschlüsselt gespeichert werden. Die Software muss immer auf dem neusten Stand gehalten werden. In einer Weisung ist festzuhalten, welche Mitarbeitenden der Schule unter welchen Umständen Zugriff auf das private Gerät haben. Dies kann nötig sein, wenn bei einer Situation der Bedrohung der lokalen Sicherheit beispielsweise Analyse- und Auswertungsdaten abgefragt werden müssen.
Nicht nur bei Fernunterricht greifen Lehrpersonen, Schülerinnen und Schüler häufig über das Internet auf Ressourcen der Schule zu. Sowohl bei der Nutzung von Cloud-Diensten als auch beim Zugriff auf den Schulserver ist eine Zwei-Faktor-Authentifizierung notwendig.
Verunsicherte Studierende, aber auch Medien wandten sich an die Datenschutzbeauftragte mit Fragen zur Überwachung bei Online-Prüfungen. Schulen und Hochschulen müssen gewährleisten, dass die Prüfungen fair ablaufen. Die dafür umgesetzten Massnahmen reichten von Echtzeitüberwachung mit einem Videokonferenzprogramm bis zur softwaregesteuerten Aufzeichnung und Analyse des Nutzerverhaltens. Einzelne Programme verbieten virtuelle Hintergrundbilder, sodass Einblicke in die privaten Wohnräume übertragen oder aufgezeichnet werden. Dies stellt einen Eingriff in das Grundrecht auf Achtung der Wohnung dar. Software wie Proctorio verlangen weitgehende Zugriffsrechte auf dem privaten Gerät des Studierenden. Sie erhalten dadurch zusätzliche Informationen von den Geräten und über die Studierenden selbst. Die Datenschutzbeauftragte konnte die Prüfung von Proctorio noch nicht abschliessen. Für die Überwachung bei Online-Prüfungen ist die Methode zu wählen, die am wenigsten stark in die Grundrechte der Studierenden eingreift.

Vorgehen bei der Auswahl von Cloud-Produkten

Cloud-Lösungen werden in der kantonalen Verwaltung, den Gemeinden und anderen öffentlichen Organen immer weitgehender eingesetzt. Dabei geben oft grosse internationale Tech-Firmen den Takt vor. Sie bieten ihre Software zunehmend ausschliesslich in der Cloud an. So wird die Unterstützung des Produkts Skype for Business von Microsoft eingestellt, das oft standardmässig für die Telefonie eingesetzt wurde. Hier war die lokale Speicherung der Randdaten möglich. Beim Nachfolgeprodukt Teams werden die Randdaten in jedem Fall beim Anbieter gespeichert. Randdaten können Aufschluss über die persönliche, wirtschaftliche oder strafrechtliche Situation der Kontaktperson geben. Die Tatsache, dass die Kindes- und Erwachsenenschutzbehörde (KESB) mit einer Person kommuniziert, kann beispielsweise ein besonderes Personendatum sein. Deshalb ist die Nutzung für den internen Austausch verhältnismässig, wenn keine Dokumente gespeichert werden. Mit ihren Klientinnen und Klienten kann die KESB jedoch nicht über Teams kommunizieren. Die Nutzung von Cloud-Produkten ist ein Bearbeiten im Auftrag. Die geltenden Bedingungen sind in den Leitfäden zum Thema Auslagerung auf der Website der Datenschutzbeauftragten datenschutz.ch publiziert. Die Entscheidung, Daten in die Cloud auszulagern, verunsichert Mitarbeitende öffentlicher Organe. Der Weg zum richtigen Produkt und dessen sicheren Nutzung führt über die richtigen Fragen, die gestellt werden müssen, eine sorgfältige Risikoanalyse unter Einbezug aller möglichen Varianten und die Prüfung von Alternativen. Auch mächtige Marktführer müssen die gesetzlichen Anforderungen erfüllen. Das öffentliche Organ kann sich seiner Verantwortung für den Schutz der Daten auch bei der Auslagerung nicht entziehen.

Sorge tragen für Personendaten

Im Jahr 2021 konnte in Zusammenarbeit mit dem kantonalen Steueramt die Online-Steuererklärung massgeblich sicherer gestaltet werden. Zwar entspricht die Lösung noch nicht dem Standard für Online-Angebote im Finanzbereich. Die Datenschutzbeauftragte stimmte der Übergangslösung einer unvollständigen Zwei-Faktor-Authentifizierung mit SMS-Code zu aufgrund der Herausforderungen der Zusammenarbeit zwischen kantonalen und kommunalen Steuerämtern. Mit der Einführung des Zürikontos muss eine vollständige Zwei-Faktor-Authentifizierung umgesetzt werden.
Seit 2018 verfügt die ZVV-Ticket-App über eine Check-in-Funktion. Die oder der Reisende kann vor der Reise ein- und nach der Reise wieder auschecken. Anschliessend wird der Preis in Rechnung gestellt. Der bisherige Anbieter des Systems stellt den Betrieb ein. Das einzige Alternativsystem wird durch das Privatunternehmen Fairtiq angeboten. Zur Betrugsbekämpfung werden Personendaten aufbewahrt, um Muster von Fehlverhalten erkennen zu können. Dafür werden auch die Angaben aus Apps anderer öffentlicher Verkehrsbetriebe abgeglichen. Diese Möglichkeit besteht erst, seitdem Fairtiq einziger Anbieter der Check-in-Funktion ist. Die Verbindung der Daten ist eine neue zusätzliche Datenbearbeitung. Die Datenschutzbeauftragte kann aufgrund der vorliegenden Informationen nicht abschliessend beurteilen, ob für das vorgesehene Vorgehen eine ausreichende Rechtsgrundlage besteht.
Zudem bat ein ZVV-Kunde die Datenschutzbeauftragte um eine Beurteilung der Zugriffsberechtigungen der neuen Lösung. Sie verlangt den permanenten Zugriff auf die aktuellen Standortdaten der Person. Die bisherige Lösung griff nur bei der aktiven Nutzung auf diese zu. Die Datenschutzbeauftragte beurteilte diesen erweiterten Zugriff als unverhältnismässig. Inzwischen legte der ZVV dar, dass die Einstellung aus technischen Gründen notwendig ist. Bis zum eigentlichen Check-In findet jedoch keine Ortung statt. Vertragliche Regelungen verbieten dem Anbieter eine Ortung ausserhalb der aktiven Nutzung des Check-In-Funktion. Damit beurteilt die Datenschutzbeauftragte die Lösung als datenschutzkonform.
Die Dienstleistungen der öffentlichen Institutionen im Kanton sollen komfortabler werden. Neue Technologien machen das möglich. Öffentliche Organe tragen jedoch eine besondere Verantwortung für die Informationen der Einwohnerinnen und Einwohner, denn diese vertrauen ihre Daten dem Staat nicht freiwillig an. «Die gute Nachricht ist, dass neue Technologien auch eingesetzt werden können, um zusätzliche Sicherheit für Daten schaffen», sagt Dominika Blonski. Es lohnt sich, die Anliegen des Datenschutzes früh zu berücksichtigen. So verwandelt sich die Technologie von einem Risiko für die Persönlichkeitsrechte zu einem Instrument zum Schutz der Privatsphäre. Ein erfreuliches Beispiel ist die Neugestaltung der ZHservices. Die Projektverantwortlichen zogen die Datenschutzbeauftragte früh bei. Das neue modulare System ermöglicht einerseits, dass in einem dynamischen Umfeld ständig die neusten Sicherheitstechnologien integriert werden können. Andererseits können für die unterschiedlichen Kategorien an Personendaten und die verschiedenen Dienste immer die angemessenen Schutzmassnahmen eingesetzt werden.
Im Rahmen eines anderen Projektes wurden Kameras an einer Brücke über die Limmat montiert, um den Kunststoffabfall zu analysieren, der durchfliesst. Da im Aufnahmebereich der Kameras ein Schwimmverbot herrscht und auch die Passagierschiffe nicht erfasst werden, liegt keine Bearbeitung von Personendaten vor. Die Datenschutzbeauftragte prüfte die geplanten Massnahmen für den Fall, dass das Schwimmverbot missachtet wird oder ein Passagierschiff ein unvorhergesehenes Manöver fahren muss. Dann würden die Aufnahmen nachträglich anonymisiert und manuell gelöscht. Auch sahen die Projektverantwortlichen eine kurze Aufbewahrungsdauer vor. Die Datenschutzbeauftragte beurteilte die Vorkehrungen als angemessen. «Bei diesem Projekt wurde besonders deutlich, dass die Beteiligten einen starken Willen hatten, sorgfältig mit Personendaten umzugehen», freut sich die Datenschutzbeauftragte.

Die Demokratie muss es uns wert sein

Wo Daten vorhanden sind, werden sie gerne nachgefragt. Die Bürgerinnen und Bürger und alle anderen betroffenen Personen müssen aber sicher sein, dass ihre Daten nur zu den Zwecken genutzt werden, für die sie erhoben wurden. Darauf baut das grosse Vertrauen auf, das die Bevölkerung dem Staat entgegenbringt. So wollte eine Liegenschaftsverwaltung Auskunft darüber, ob Bewohnerinnen und Bewohner einer Liegenschaft einen Hund halten, da sie dies nicht erlaube. Die Datenschutzbeauftragte riet der Einwohnergemeinde, die Liegenschaftsverwaltung zu fragen, welche gesetzliche Grundlage für ihre Anfrage vorliege. Das Hundegesetz regelt die Anmeldung von Hunden bei der Einwohnergemeinde. Es sieht jedoch nicht vor, dass diese Daten an Liegenschaftsverwaltungen oder andere Private bekannt gegeben werden.
Die Datenschutzbeauftragte hat zum Entwurf des Gesetzes über den selbstbestimmten Leistungsbezug durch Menschen mit Behinderung (Selbstbestimmungsgesetz) Stellung genommen. Das Gesetz führt zu einem Systemwechsel hin zur Subjektfinanzierung. Dies führt zu einer systematischen Erhebung von sensitiven Personendaten, wodurch Persönlichkeitsprofile der Leistungsberechtigten entstehen. Der Gesetzesentwurf sah sehr weitgehende Zugriffsrechte für Behörden vor, die diese Personendaten für die Erfüllung ihrer Aufgaben nicht benötigen. Die Einhaltung der datenschutzrechtlichen Grundsätze, besonders die Verhältnismässigkeit, sind auch in der Gesetzgebung zu beachten. Die Anregungen der Datenschutzbeauftragten zu Verbesserungen wurden übernommen. Der Datenschutz der betroffenen Personen wird im Selbstbestimmungsgesetz nun gewahrt.
Für Datenbearbeitungen zu Forschungszwecken ist grundsätzlich eine ausdrückliche Einwilligung der betroffenen Person nach vollständiger Aufklärung nötig. Für das Krebsregister ist eine Ausnahme vorgesehen. Die betroffenen Personen haben nur ein Widerspruchsrecht. Die Schwächung des Selbstbestimmungsrechts ist vor dem Hintergrund der verfolgten Ziele hinzunehmen. Allerdings muss sichergestellt werden, dass jede betroffene Person über ihr Widerspruchsrecht informiert ist. Deshalb muss dem Krebsregister das Datum der Patienteninformation gemeldet werden. Die Meldepflicht wurde in der Praxis zu wenig befolgt. Mit einer Gesetzesrevision sollte sie nun gestrichen werden, da die Nachforschungen zu aufwendig seien. «Das Vertrauen der betroffenen Personen kann nicht aufs Spiel gesetzt werden, nur weil eine Pflicht Aufwände bedeutet», meinte die Datenschutzbeauftragte. «Vielmehr muss dafür gesorgt werden, dass die Meldepflicht ernster genommen wird.» Die Datenschutzbeauftragte unterstützte den Vorschlag der Gesundheitsdirektion. Sie schlug vor, dass die meldepflichtigen Gesundheitseinrichtungen, Ärztinnen und Ärzte besser informiert und aufsichtsrechtliche Massnahmen angedroht werden sollen. Im nachfolgenden Beschluss des Bundesrates ist die Meldepflicht weiterhin vorgesehen.

Der Tätigkeitsbericht ist als PDF unter www.datenschutz.ch/tb2021 verfügbar.
Auf dieser Webseite veröffentlicht die Datenschutzbeauftragte zudem Videos zu einzelnen Berichtsteilen und ihrer Tätigkeit. Teil 1: Datenschutzvorfälle: Der Mensch ist nicht der Risikofaktor