Tätigkeitsbericht 2022 - Mit Datenschutz kann die Digitalisierung gelingen

Die Digitalisierung der Verwaltung beschleunigt sich, Polizei und Justizvollzug bauen den Einsatz neuer elektronischer Systeme aus und Spitäler oder auch Religionsgemeinschaften gehen in die Cloud. Die Intransparenz der Datenbearbeitungen und der Verlust der Kontrolle über die Daten führen zu neuen Risiken für die öffentlichen Organe. Dies führte im Jahr 2022 für die Datenschutzbeauftragte zu umfangreicheren, aber auch komplexeren Beratungen. «In diesem aktuell sehr dynamischen Umfeld bietet das gesetzliche Regelwerk den besten Kompass», stellt die Datenschutzbeauftragte Dominika Blonski fest.

Kurze Wege, viel Technologie und grosse Risiken

Bei vielen elektronischen Zugangssystemen in unserem Alltag bleiben die Daten einfach gespeichert. Für das Polizei- und Justizzentrum (PJZ) verlangte die Datenschutzbeauftragte eine klare Regelung der Aufbewahrungsfristen und der Löschung der Daten. Das elektronische Zugangssystem erfasst eine grosse Anzahl Personendaten, die oft in Zusammenhang mit einer Strafuntersuchung stehen. Daraus entstehen hohe Risiken für die Grundrechte der betroffenen Personen. Im PJZ treffen die Kantonspolizei, die Staatsanwaltschaft, das Zwangsmassnahmengericht sowie das Gefängnis Zürich West aufeinander, Institutionen mit besonderen Sicherheitsbedürfnissen. Rund 2000 Mitarbeitende wie auch Besucherinnen und Besucher müssen ins Gebäude hinein, dort an den richtigen Ort und dann wieder hinausgelangen.
Im Planungssystem des Gefängnisses Zürich West sammeln sich grosse Mengen besonderer Personendaten an. Jede Personenbewegung wird gespeichert, von Einvernahmen über Gespräche mit Rechtsvertreterinnen und Rechtsvertretern hin zu medizinischen Untersuchungen. Auch hier gilt der Grundsatz der Verhältnismässigkeit. Die Datenschutzbeauftragte stellte fest, dass zu viele Datenkategorien bearbeitet werden. Ihr wurde nicht genügend dargelegt, dass diese Daten geeignet und erforderlich sind, um den Zweck zu erreichen. Sie beurteilte den Einsatz von Mitarbeitenden zweier externer Firmen als kritisch, da diese Personen Zugriff auf das System und damit auf die enorme Menge besonders sensitiver Personendaten haben.

Die Amtsstellen stehen in der Pflicht

Wenn eine öffentliche Institution, also ein Amt, eine Schule, die Polizei oder ein Spital, plant, neue Technologie zur Bearbeitung von Personendaten einzusetzen, dann muss sie eine Datenschutz-Folgenabschätzung (DSFA) erstellen. Ergibt die DSFA, dass hohe Risiken für die Persönlichkeitsrechte der betroffenen Personen bestehen, muss das Vorhaben der Datenschutzbeauftragten zur Vorabkontrolle vorgelegt werden.
Im Jahr 2022 wurde sehr viel über die Einführung des cloudbasierten Dienstleistungspakets Microsoft 365 diskutiert. Allerdings sind der Datenschutzbeauftragten bis zum Jahresabschluss keine Vorhaben zur Vorabkontrolle vorgelegt worden.
Die Datenschutzbeauftragte hat den Auftrag, die öffentlichen Institutionen bei der datenschutzkonformen Umsetzung neuer Projekte zu unterstützen. Die Verantwortung für die Einhaltung der Bestimmungen des Datenschutzes liegt allerdings bei den öffentlichen Institutionen.

Datenschutz-Folgenabschätzungen beschleunigen Digitalisierungsprojekte

Neue Technologien können massive Arbeitserleichterungen bringen. So können beispielsweise bei der Polizei Datenbanken schneller abgeglichen und dadurch gesuchte kriminelle Personen effizienter gefunden werden. Auch diese Vorhaben müssen der Datenschutzbeauftragten zur Vorabkontrolle vorgelegt werden. Aufgrund der zahlreichen und komplexen Abklärungen besteht die Gefahr, dass die Aufsichtsbehörde mit ihren begrenzten Ressourcen zum Nadelöhr wird. «Wir wollen diese Projekte nicht verzögern,» sagt die Datenschutzbeauftragte Dominika Blonski, «deshalb sind wir sehr froh darüber, dass die Polizei die Datenschutz-Folgenabschätzungen so detailliert durchführt.» Ihre Spezialistinnen und Spezialisten für Datenschutzrecht und Informationssicherheit können so die möglichen Risiken für die betroffenen Personen schnell erkennen und geeignete Massnahmen vorschlagen.

Spitäler und Religionsgemeinschaften gehen in die Cloud

Auch Gesundheitsdaten werden immer häufiger in die Cloud ausgelagert. Spitäler planen, Microsoft 365 umfassend zu nutzen. Im Jahr 2022 musste die Datenschutzbeauftragte jedoch mehrfach darauf hinweisen, dass Personendaten unter dem Berufsgeheimnis, aber auch Gesundheitsdaten ganz allgemein nur in die Cloud eines US-amerikanischen Unternehmens ausgelagert werden dürfen, wenn sie verschlüsselt sind und der Schlüssel ausschliesslich dem Spital bekannt ist. US-amerikanische Unternehmen unterstehen dem CLOUD Act. Sie müssen US-Behörden Zugang zu Daten geben, selbst wenn sie nicht in den USA gespeichert sind. Die Geheimnispflicht kann deshalb nur eingehalten werden, wenn das US-Unternehmen die Personendaten nicht zur Kenntnis nehmen kann.
Die Datenschutzbeauftragte weist in ihrem Tätigkeitsbericht auch auf die Bestrebungen von Religionsgemeinschaften hin, Personendaten in der Cloud zu bearbeiten. «Daten zu religiösen Aktivitäten sind in jedem Fall besondere Personendaten», sagt Dominika Blonski. Sie beurteilte das Vorhaben einer Landeskirche zur Förderung einer nachhaltigen E-Mobilität ihrer Mitarbeitenden. Die Datenschutzbeauftragte wies darauf hin, bei der Evaluation darauf zu achten, dass keine Rückschlüsse auf einzelne Personen möglich sind. Wenn die Nutzung beispielsweise nach gleichem Aufgabenfeld aufgeschlüsselt wird, kann aufgrund der geringen Anzahl an Teilnehmenden auf Personen rückgeschlossen werden. Die Entfernung von Namen führt also nicht zur Anonymisierung der Daten.

Mehr Selbstbestimmung, mehr Lebensqualität: Lernplattform, Lehrmittel und Information

In Zeiten eines Umbruchs biete das gesetzliche Regelwerk den besten Kompass, erklärte Dominika Blonski bei der Präsentation des Tätigkeitsberichts 2022 ihrer Behörde. Das Gesetz über die Information und den Datenschutz (IDG) bezweckt, die freie Meinungsbildung und die Wahrnehmung der demokratischen Rechte zu fördern sowie die Grundrechte von Personen zu schützen.
Die Datenschutzbeauftragte setzt deshalb verstärkt auf Information und Sensibilisierung. «Es geht nicht einfach um die Einhaltung eines Gesetzes. Der Datenschutz und der Schutz der Privatsphäre sind Menschen- und Grundrechte, gehören also zum Fundament einer freien demokratischen Gesellschaft.»
Mit der neuen Lernplattform lerne.datenschutz.ch können Mitarbeitende von Schulen, Einwohnerregistern, Spitälern und anderen öffentlichen Institutionen den datenschutzkonformen Umgang mit Personendaten üben. Wer mehr weiss, macht weniger Fehler, weiss die Datenschutzbeauftragte aus der Beratungspraxis.
Was passiert, wenn zu viel über uns bekannt ist, zeigt der Gewinnerbeitrag des Datenschutz-Video-Wettbewerbs 2022. Im Internet werden unablässig Informationen über uns gesammelt. Unternehmen setzen diese gezielt ein, um uns daran zu hindern, das zu tun, was uns am meisten Freude bereitet. Max, der Protagonist des Gewinnervideos, verbringt so seine Zeit beim Scrollen auf seinem Smartphone, statt Fussball zu spielen. Wenn die Privatsphäre schwindet, verlieren wir also Lebensqualität.
In Zusammenarbeit mit der Pädagogischen Hochschule Zürich (PHZH) erstellte die Datenschutzbeauftragte das Online-Lehrmittel «Selbstbestimmt digital unterwegs». Die Unterrichtseinheiten für Zyklus 1 und 2 des Lehrplans 21 stehen auf www.datenschutzlernen.ch bereit. Die Inhalte für Zyklus 3 folgen im Sommer 2023. Die Technologie verändert sich rasant. Das Lehrmittel fokussiert deshalb nicht auf aktuelle Tools. Vielmehr sollen die Lernenden eine Haltung entwickeln, die ihnen eine selbstbestimmte Entscheidung in allen neuen Situationen ermöglicht. «Die Schulkinder fühlen sich ernstgenommen», sagt eine Lehrperson in einem als Video veröffentlichten Erfahrungsbericht, «es trifft ihre Welt und sie wissen genau, dass sie das brauchen können.» Eine andere Lehrperson lobt den geringen Vorbereitungsaufwand und meint: «Das Thema Datenschutz sollte früh gelehrt werden. Es ist besser, präventiv zu arbeiten, als im Nachhinein ein Feuer löschen zu müssen.»

Die Freiheitsrechte der Bevölkerung garantieren

Die gesetzlichen Vorgaben beinhalten die Werte, die durch die Politik aufgrund von gesellschaftlichen Diskussionen festgehalten wurden. Die öffentlichen Organe sind in der Pflicht, die gesetzlichen Vorgaben einzuhalten und so die Freiheitsrechte der Bevölkerung zu garantieren.
Digitalisierung darf nicht durch Sachzwänge gerechtfertigt werden, sondern durch ihren Nutzen zur Förderung der Persönlichkeitsrechte und der freien demokratischen Gesellschaft. Wie wir welche Technologie zu welchem Zweck einsetzen, bestimmt, wie wir in Zukunft zusammenleben werden.
 

Datenschutzbeauftragte des Kantons Zürich

Die Datenschutzbeauftragte beaufsichtigt die Datenbearbeitungen der kantonalen Verwaltung, der Gemeinden und der übrigen Behörden und öffentlichen Einrichtungen im Kanton, um die Privatsphäre der Einwohnerinnen und Einwohner sicherzustellen.
Sie berät die öffentlichen Organe, beurteilt datenschutzrelevante Vorhaben und nimmt Stellung zu Erlassen.
Mit Kontrollen überprüft sie bei öffentlichen Organen, ob die Anforderungen des Datenschutzes in rechtlicher, organisatorischer und sicherheitstechnischer Hinsicht eingehalten sind.
Öffentliche Organe sind verpflichtet, Datenschutzvorfälle zu melden. Die Datenschutzbeauftragte kann die Umsetzung von Massnahmen verfügen.
Die Datenschutzbeauftragte berät Privatpersonen über ihre datenschutzrechtlichen Ansprüche und vermittelt in Konfliktfällen zwischen Privatpersonen und öffentlichen Organen. Sie informiert die Öffentlichkeit über die Anliegen des Datenschutzes und der Informationssicherheit.
Die Datenschutzbeauftragte führt alle Tätigkeiten in vollständiger Unabhängigkeit durch. Sie leistet damit einen wichtigen Beitrag für den Erhalt eines der zentralen Grundrechte einer liberalen Gesellschaft – das Recht auf den Schutz der Privatsphäre.
 

Kontakt

Datenschutzbeauftragte des Kantons Zürich - Kommunikationsverantwortlicher

Telefon

+41 43 259 46 07

E-Mail

hanspeter.waltisberg@dsb.zh.ch