Tä­tig­keits­be­richt

Zu­neh­men­de Ri­si­ken beim Da­ten­schu­tz – Tä­tig­keits­be­richt 2023

Cyberangriffe machen vor der staatlichen Infrastruktur nicht halt. Kontrollen und auch die Meldepflicht für Datenschutzvorfälle zeigen, dass oft grundlegende Sicherheitsvorkehrungen nicht getroffen werden. Zudem wächst mit der Digitalisierung die Komplexität der Datenbearbeitungen, was zu zusätzlichen Risiken führt, wie die Datenschutzbeauftragte Dominika Blonski bei der Präsentation ihres Tätigkeitsberichts 2023 betonte.

Die Umsetzung der datenschutzrechtlichen Vorgaben und der Massnahmen zur Informationssicherheit sind von grundlegender Bedeutung für das Vertrauen der Bevölkerung in die staatlichen Datenbearbeitungen.

Di­gi­ta­le Trans­for­ma­ti­on: neue Her­aus­for­de­run­gen und ge­lun­ge­ne Bei­spie­le

Mit dem Zürikonto will der Kanton für seine Einwohnenden einen zentralen Einstiegspunkt für den Bezug digitaler Leistungen der Verwaltung schaffen. Die Datenschutzbeauftragte wirkt beim Projekt Zürikonto seit 2021 im Rahmen einer begleitenden Beratung mit. Sie verlangte eine konsequente Umsetzung des Grundsatzes der Datensparsamkeit, so dass nur so viele Daten wie notwendig erfasst werden. Das Zürikonto ist als Portal konzipiert und somit der Zugang zu den entsprechenden Dienstleistungen. Die Datenschutzbeauftragte machte darauf aufmerksam, dass für das Zürikonto neue Rechtsgrundlagen geschaffen werden müssen, damit gegenüber den Nutzenden die notwendige Transparenz besteht. Sie begleitete drei Gesetzgebungsprojekte und gab regelmässig Hinweise für die Regelung der Datenbearbeitungen.

Für Ärztinnen über Chiropraktiker bis zu Akupunkteurinnen soll das elektronische Bewilligungssystem im Gesundheitswesen (eBeGe) vieles vereinfachen. Statt bei der Gesundheitsdirektion, der kantonalen Heilmittelkontrolle, dem Kantonsärztlichen Dienst und der Abteilung für Gesundheitsberufe und Bewilligungen einzelne Bewilligungen zu beantragen, soll dies über ein zentrales Portal geschehen. So kommen sehr viele, oft sehr heikle Personendaten an einer einzigen Stelle zusammen. Für die Bewilligungen werden beispielsweise Sonderprivatauszüge angefragt, in denen auch Strafurteile aufgeführt werden, die im regulären Auszug nicht aufgeführt sind. Die Datenschutzbeauftragte beriet die Gesundheitsdirektion und zeigte die Risiken auf, die eine Digitalisierung des Prozesses mit sich bringt. Es entstehen weitgehende Persönlichkeitsprofile, die ein sehr umfassendes Bild einer Person zeichnen. Die Datenschutzbeauftragte unterstützte die Gesundheitsdirektion bei der Eruierung der Risiken dieser Datenbearbeitungen sowie bei der Erstellung der Datenschutz-Folgenabschätzung und des ISDS-Konzepts.

Kon­trol­len zei­gen Schwach­stel­len

Im Jahr 2023 führte die Datenschutzbeauftragte erstmals 60 Kontrollen durch. Neben den Datenschutzreviews mit Selbstdeklaration bei Gemeinden setzte sie Schwerpunkte im Gesundheits- und Bildungsbereich.

Alters- und Pflegezentren bearbeiten viele Gesundheitsdaten. Bei diesen besonderen Personendaten muss dem Datenschutz und der Informationssicherheit ein hoher Stellenwert zukommen. Die Datenschutzbeauftragte ist für die Aufsicht bei rund 160 Alters- und Pflegezentren zuständig. Die Kontrollen in einer repräsentativen Stichprobe aus kleinen und grossen Zentren, die als Gemeindeorgane, Stiftungen oder auch Aktiengesellschaften organisiert sind, zeigten einige grundlegende Mängel. So erfolgten Zugriffe zu den Daten über unpersönliche Accounts mit allgemein bekannten Passwörtern und starke Authentifizierungsmechanismen, die beim der Bearbeitung von besonderen Personendaten Pflicht sind, fehlten. Dies führt zu einem unkontrollierten Zugriff auf Daten und zu einem hohen Missbrauchspotential, weil Daten zweckwidrig verwendet werden können.

Bisher konnte in 62 der 160 Gemeinden des Kantons ein Datenschutzreview mit Selbstdeklaration gestartet werden. Dabei begleitet die Datenschutzbeauftragte die Gemeinden bei der Erstellung der Informationssicherheitsdokumentation. Die Dokumente geben eine Übersicht und ermöglichen damit die Risikobewertung der eingesetzten Geräte, Software und Dienstleister. Zudem sind die Rollen und die Verantwortlichkeiten klar definiert. So ist eine Grundsicherheit gewährleistet und ein kontinuierlicher Verbesserungsprozess wird angestossen.

Die Datenschutzbeauftragte hat auch die automatische Passkontrolle am Flughafen kontrolliert. Sie überprüfte beim sogenannten E-Gate-System die Bereiche Recht, Organisation und Technik umfassend. Die Kontrolle zeigte, dass die Prozesse im Bereich Datenschutz und Informationssicherheit vorbildlich definiert sind und auch eingehalten werden.

Leit­plan­ken für den Ein­sa­tz Künst­li­cher In­tel­li­genz (KI)

Chatbots bearbeiten Informationen über die Personen, die Fragen stellen. Werden Steuerdossiers von einer KI vorsortiert, sind Informationen von Steuerzahlerinnen und Steuerzahlern betroffen. Beim Einsatz von KI werden somit Personendaten bearbeitet. Deshalb sind die Regeln des Datenschutzes anwendbar. So sind betroffene Personen über eine Entscheidung zu informieren, die ausschliesslich auf einer automatisierten Bearbeitung von Personendaten beruht und mit Rechtsfolgen versehen ist oder sie erheblich beeinträchtigt. Zudem ist vorzusehen, dass betroffene Personen ihren Standpunkt darlegen dürfen und eine Überprüfung der automatisierten Entscheidung durch eine natürliche Person verlangen können. Online-KI-Generatoren wie ChatGPT werden meist von Dritten betrieben. Ihr Einsatz stellt deshalb eine Auslagerung der Datenbearbeitung dar, womit bei deren Einsatz auch die Voraussetzungen für die Auftragsdatenbearbeitung erfüllt sein müssen. Das IDG definiert den Einsatz neuer Technologien wie KI als besonderes Risiko für die Grundrechte. Somit sind alle KI-Projekte der Verwaltung der Datenschutzbeauftragten zur Vorabkontrolle vorzulegen.

Die Staatskanzlei hat für die kantonale Verwaltung ein Merkblatt zur Nutzung von Online-KI-Generatoren publiziert. Die Datenschutzbeauftragte lieferte Inputs. Das Merkblatt definiert, wie ein reduzierter Einsatz von Online-KI-Generatoren für öffentliche Organe möglich ist. Die Online-KI-Generatoren sind kein behördliches Arbeitsmittel. So dürfen keine behördlichen Personendaten und keine Informationen zum öffentlichen Organ in den Prompts verwendet werden.

Die Nutzung von KI-Generatoren durch Schülerinnen und Schüler muss separat von der Nutzung durch Lehrpersonen und andere Mitarbeitende von Schulen beurteilt werden. Schon die Verwendung eines KI-Generators zur Erstellung von Texten durch eine Schülerin oder einen Schüler ist personenbezogen – meistens bereits aufgrund der Verknüpfung mit den Nutzendendaten. Es können aber auch Personendaten in den Texten selbst vorhanden sein, die dann mit dem KI-Generator bearbeitet werden. Schulen können KI-Generatoren zur Bearbeitung von Personendaten verwenden. Der Bildungsauftrag kann die Verwendung des KI-Generators als Unterrichtsmittel rechtfertigen. Die Schule bleibt aber in jedem Fall verantwortlich für die Datenbearbeitung.

Da­ten­schu­tz ist nicht ver­han­del­bar

Öffentliche Organe müssen auch bei Cloud-Lösungen sicherstellen, dass der Datenschutz so gewährleistet ist, wie wenn sie die Daten selbst bearbeiten würden. So sind gesetzliche Schweigepflichten wie etwa das Arztgeheimnis oder das Steuergeheimnis einzuhalten. Insbesondere ist sicherzustellen, dass nicht Dritte in Umgehung von Bestimmungen der interantionalen Rechtshilfe auch auf Daten, die in der Schweiz gespeichert sind, zugreifen können. Dies ist aufgrund von Bestimmungen des US-Rechts bei amerikanischen Cloud-Anbietern möglich.

Die öffentlichen Organe können nicht einfach mit einer Einwilligung das Risiko auf die betroffenen Personen abwälzen, wie dies im privatrechtlichen Vertragsverhältnis möglich ist. Im staatlichen Umfeld besteht für Einwilligungen kein Raum. Ein öffentliches Spital kann die Behandlung von Patientinnen und Patienten nicht davon abhängig machen, dass diese dazu einwilligen, ihre Patientendokumentation in einer Cloud zu speichern, die nicht datenschutzkonform ist. Die Gesundheitsversorgung muss für alle gewährleistet sein.

Eine Liste von Sozialhilfeempfängerinnen und -empfängern darf nur in einer Cloud-Variante geführt werden, wenn die Personendaten verschlüsselt werden und das Schlüsselmanagement bei den Gemeinden bleibt. Dasselbe gilt, wenn eine Steuerveranlagungsverfügung in der Cloud abgelegt werden soll.

Staatliche Datenbearbeitungen haben das Grundrecht auf Datenschutz zu gewährleisten. Die betroffenen Personen müssen sich darauf verlassen können, dass der Staat nicht durch Einwilligungen und Risiko- und Compliance-Überlegungen ihre Rechte einzuschränken versucht. Gerade bei der Beurteilung von Cloud-Lösungen schleichen sich privatrechtliche Argumentationen immer mehr in den öffentlichen Bereich ein – dort gehören sie nicht hin.