Datenschutz wahren trotz Digitalisierungseuphorie
Der Zürcher Datenschutzbeauftragte hat dem Stadtrat und dem Gemeinderat den Tätigkeitsbericht 2017 vorgelegt. Darin berichtet er über den Stand des Datenschutzes. Zudem warnt er, die Risiken und Folgen von unkontrollierten Datenbearbeitungen in der herrschenden Digitalisierungseuphorie zu unterschätzen.
Der Kanton Zürich hat seinen Tätigkeitsbericht 2017 veröffentlicht. Wie jedes Jahr berichtet der Datenschutzbeauftragte über Umfang und Schwerpunkte der Tätigkeiten, über wichtige Feststellungen und Beurteilungen sowie über die Wirkung des Gesetzes über die Information und den Datenschutz.
Die Risiken und Folgen von unkontrollierten Datenbearbeitungen werden in der herrschenden Digitalisierungseuphorie häufig ausgeblendet. Auch die Verwaltung lasse sich bei der Digitalisierung oft von der Technologie statt vom geltenden Recht treiben, meinte der Zürcher Datenschutzbeauftragte Bruno Baeriswyl in einem Mediengespräch zum Tätigkeitsbericht 2017. Er forderte, dass vermehrt Technologiefolgenabschätzungen durchgeführt werden, um die Risiken zu ermitteln.
Der Mitteilung zufolge setzte Bruno Baeriswyl im Gespräch mit den Medienschaffenden die Anliegen des Datenschutzes in eine weitere Perspektive. Es gehe um das Selbstbestimmungsrecht des Menschen, das beispielsweise durch den Einsatz von Analysetools in den sozialen Medien bedroht werde. Wenn die politische Meinungsbildung manipuliert werde, sei dies anders zu beurteilen als die Beeinflussung des Kaufverhaltens. Mit der Digitalisierung des Staates dürfe solchen Praktiken nicht Vorschub geleistet werden, weshalb Transparenz geschaffen werden müsse.
Die Digitalisierung der Verwaltung ist laut Baeriswyl eine Herausforderung für den Datenschutz. Damit das Vertrauen in die Datenbearbeitungen nicht verloren gehe, müsse die Wahrung der Grundrechte ebenfalls eines der Ziele einer Digitalisierungsstrategie sein. Die Digitalisierung soll den liberalen Rechtsstaat und seine Institutionen stärken.
Seit Mai ist die neue europäische Datenschutz-Grundverordnung (EU-DSGVO) in Kraft. Dies sei ein wichtiger Schritt zur Stärkung der Rechte der Menschen, auch gegenüber den digitalen Grosskonzernen, erklärte Baeriswyl in einer Mitteilung. Die Schweiz habe die Chance, einen eigenständigen Weg einzuschlagen. Die Wirkung der Datenschutzgesetze müsse gestärkt werden und den neuen digitalen Herausforderungen gerecht werden. Die Anpassung des Informations- und Datenschutzgesetzes beschränkt sich im Kanton Zürich der Mitteilung zufolge auf den Nachvollzug europäischer Vorgaben.
Digitalisierungsprojekte erhöhen den Druck auf knappe Ressourcen
Der Rückblick auf die Tätigkeit des Datenschutzbeauftragten im Jahr 2017 habe den zunehmenden Druck auf seine Behörde durch die Vielzahl der Digitalisierungsprojekte der öffentlichen Organe verdeutlicht. So hat laut Mitteilung dieses Jahr die Anzahl Beratungsanfragen weiter zugenommen. Dies sei vom Datenschutzbeauftragten nur durch Mehrleistungen zu bewältigen gewesen. Auf die Dauer könne dies bei gleichbleibenden Ressourcen nicht garantiert werden.
Besonders häufig seien Anfragen zu den Möglichkeiten des Cloud-Computing. Öffentliche Organe erhoffen sich davon, Investitionen in Soft- und Hardware zu sparen. Die Effizienz und der Komfort der Online-Angebote bringe jedoch einen massiven Kontrollverlust und ungenügende Transparenz mit sich. Dabei liege die Krux meist im Geschäftsmodell, sagte Baeriswyl in einer Mitteilung. Nichts sei gratis, denn wer nicht für einen Dienst bezahle, gebe seine Daten preis.
Schulen und andere öffentliche Organe sollen für die Einhaltung des Datenschutzes verantwortlich bleiben. Deshalb sollen sie Tools wie Whatsapp, Dropbox und Co. nicht einsetzen. Hingegen sei für den Bildungsbereich mit Microsoft ein Rahmenvertrag für die datenschutzkonforme Nutzung von Office 365 abgeschlossen worden. Auch Institutionen im Gesundheitsbereich sollen zunehmend auf Cloud-Lösungen setzen. Hier gelte es, mit technischen Massnahmen und rechtlichen Vereinbarungen den Schutz des Arzt- und Patientengeheimnisses sicherzustellen.
Seit kurzem biete der Zürcher Verkehrsverbund die Möglichkeit an, dass Reisende einfach per App zu Beginn der Fahrt einchecken und am Ende wieder auschecken können. Der vorgängige Kauf eines Billetts ist unnötig. Im Hintergrund zeichnet der Betreiber der App durch Geolokalisation die Fahrtstrecken auf, berechnet daraus den besten Preis und belastet den Betrag direkt auf dem hinterlegten Zahlungsmittel. Die Auswertung der gesammelten Daten ergebe Bewegungsprofile . Im vorliegenden Fall habe der Datenschutzbeauftragte das Vorhaben in einer Vorabkontrolle geprüft und festgestellt, dass Daten nur für die Berechnung des Preises benötigt werden. Zudem sei der Zugriff auf die Daten restriktiv geregelt.
Gesundheitsdaten schwierig zu anonymisieren
Die Forschung mit gesundheitsbezogenen Daten verspricht laut Mitteilung neue Erkenntnisse für die medizinische Versorgung und die Bekämpfung von Krankheiten. Gesundheitsdaten sind jedoch besonders sensitiv. Sie können leicht zu Diskriminierungen führen. Zudem sei die Anonymisierung schwierig, da vor allem durch Verknüpfung verschiedener Datenbanken oft wieder Rückschlüsse auf einzelne Personen möglich sind. Der Datenschutzbeauftragte begutachtete das Anonymisierungskonzept eines Forschungsprojekts mit Patientendaten, die von Krankenkassen zur Verfügung gestellt wurden. Zwar sei der Personenbezug technisch entfernt worden, trotzdem hätten einzelne Patienten eventuell wiedererkannt werden können. Der Datenschutzbeauftragte habe deshalb geraten, hierfür Zusatzmassnahmen zu treffen.
Bei jeder digitalen Aktivität fallen Randdaten an, die Auskunft über den Aufenthalt, das Verhalten und die Interessen der Menschen geben können. Der Staat trage eine besondere Verantwortung für die Daten der Bevölkerung, erklärte Baeriswyl. Deshalb sei bei Digitalisierungsprojekten von Anfang an auf datenschutzfreundliche Technologien zu setzen. Sie sollen verhindern, dass die anfallende Datenmenge überhaupt ausgewertet werden könne. Dazu gehöre, dass die Löschung dieser Daten fest in die Abläufe integriert werde.
Mit der zunehmenden Digitalisierung nehmen auch Cyberrisiken zu. Kontrollen von Websites öffentlicher Organe zeigten, dass Passwörter im Klartext gespeichert wurden. Deshalb seien Zugriffe auf Datenbanken möglich gewesen, die sogar den Missbrauch des gesamten Systems nicht ausschlossen. Die Kontrollen des Datenschutzbeauftragten seien ein wichtiger Bestandteil, um Schwachstellen möglichst schnell entdecken zu können. Wegen fehlender Ressourcen seien sie aber nur eingeschränkt möglich.
Bewertung "sehr gut"
Der Mitteilung zufolge ist der Datenschutzbeauftragte seit 2003 nach der Qualitätsnorm ISO 9001 zertifiziert. Inzwischen passte er sein Qualitätsmanagementsystem an die neue Version 9001:2015 an und wurde 2018 rezertifiziert. So soll die Behörde weiterhin grösstmögliche Effizienz und Wirkungsorientierung garantieren können. Es gehöre zu den Vorgaben der ISO-Norm, dass Kunden nach ihrer Einschätzung der Dienstleistungen gefragt werden.
"Wer den Datenschutzbeauftragten einbezieht, ist sehr zufrieden", lässt sich Baeriswyl mit Blick auf die Resultate der Kundschaftsbefragung 2017 in einer Mitteilung zitieren. Vertreter der Verwaltung, der Gemeinden und anderer öffentlicher Organe bewerten die Dienstleistungen insgesamt mit 5,3 von 6 möglichen Punkten als sehr gut.