Tä­tig­keits­be­richt

In der Kri­se ist nicht al­les an­ders – Tä­tig­keits­be­richt 2020

Die Grundrechte gelten immer. Auch die Überlegungen zum Datenschutz sind immer gleich – in einer Krise können sie aber zu einem anderen Ergebnis führen. In der Pandemie nahmen die Bearbeitungen von Personendaten massiv zu. Entsprechend rückte die Verantwortung der öffentlichen Organe für die Einhaltung des Datenschutzes und der Informationssicherheit noch stärker in den Blickpunkt.

Gleich blieb im Krisenjahr 2020 auch, dass in manchen Bereichen weder das Bewusstsein noch das Interesse für die Gefahren einer Digitalisierung ohne Datenschutz besteht. Aber es gibt auch andere Bereiche, die versuchen, die Gefahren früh zu erkennen und einzudämmen. Der Bevölkerung ist der sorgsame Umgang mit ihren Daten wichtig. Dies zeigte sich 2020 in der Rekordzahl an Anfragen, die die Datenschutzbeauftragte bearbeitete.

Datenschutz im Datenüberfluss

Die Gesundheitsdirektion musste beim Contact Tracing grosse Mengen Personendaten bearbeiten. Gesundheitsdaten sind besondere Personendaten und verlangen einen zusätzlichen Schutz. Die betroffenen Personen mussten sich auch in Krisenzeiten auf den Schutz ihrer Privatsphäre verlassen können. Die Gesundheitsdirektion arbeitete von Beginn der Krise an eng mit der Datenschutzbeauftragten zusammen. So auch als zur Entlastung des Kantonsärztlichen Dienstes das Contact Tracing teilweise an ein privates Unternehmen ausgelagert wurde. Die Sicherheit der Daten der quarantänepflichtigen Personen bei der Übermittlung musste gewährleistet werden.

Die Gesundheitsdirektion bat die Datenschutzbeauftragte um eine Stellungnahme, ob im Rahmen des Contact Tracings die Identität der infizierten Person – Indexfall genannt – bekanntgegeben werden dürfe. Für die erkrankte Person ist dies jedoch ein zusätzlicher und einschneidender Eingriff in ihre Persönlichkeitsrechte. Bei einem Infektionsfall in einem Restaurant könnte eine sehr persönliche Information einer erheblichen Zahl von Personen bekanntgegeben werden. Die Datenschutzbeauftragte regte ein schrittweises Vorgehen an, bei dem die Identität nur dann bekanntgegeben wird, wenn dies notwendig ist, damit sich eine Person gegen die Quarantäneanordnung auf dem Rechtsweg wehren kann.

Die Covid-Schutzkonzepte stellten viele Bereiche des gesellschaftlichen Lebens vor neue Herausforderungen. Eine Kirchgemeinde wollte die Anmeldung zum Kirchenbesuch über Doodle lösen. Informationen über religiöse Aktivitäten sind jedoch besondere Personendaten mit hohem Diskriminierungspotenzial. Ähnliche Schwierigkeiten tauchten beim Contact Tracing bei Teilnehmenden von Arbeitsintegrations-Massnahmen des RAV und der IV auf. Diese Kontaktdaten geben Auskunft über die aktuelle soziale oder gesundheitliche Situation der Personen. Die Datenschutzbeauftragte beriet pragmatisch und schlug Lösungen vor, die der Eindämmung der Pandemie förderlich waren, die Ressourcen der betroffenen Institutionen schonten und gleichzeitig den Schutz der Privatsphäre gewährleisteten.

Komplexe Herausforderungen der digitalen Zusammenarbeit

Die digitalen Zusammenarbeitstools, die das Funktionieren von Verwaltung, Wirtschaft und Schule während des Lockdowns ermöglichten, zeichnen sich dadurch aus, dass riesige Datenmengen transportiert, ausgewertet, verknüpft und gespeichert werden. Vor dem Einsatz eines Produkts muss immer wieder eine Risikoabwägung vorgenommen werden. Homeoffice wie auch Fernunterricht verlangen von den Mitarbeitenden zusätzliche Disziplin. Sie müssen immer neu entscheiden, welches der richtige Kanal ist für den Austausch von Informationen, je nachdem ob es sich beispielsweise um Unterrichtsmaterialien, Steuerdaten, Kontaktdaten oder Krankenakten handelt. Zudem entfällt bei der Fernarbeit der Grundschutz, der sonst durch die geschlossene Büro- oder Schulumgebung gewährleistet ist.

Seit Herbst 2020 beurteilen die EU und die Schweiz die USA als Land mit einem minderwertigen Datenschutz. Dadurch sind die öffentlichen Organe verpflichtet, die Schutzmassnahmen für Personendaten zu verstärken, die in die USA ausgelagert werden. Dies trifft auf die Nutzung fast aller digitalen Zusammenarbeitsplattformen zu.

Der Kanton Zürich kann Digitalisierung noch lernen

Die Krise machte in vielen Bereichen den Mangel an Bewusstsein für die Anliegen des Datenschutzes in der Digitalisierung sichtbar. Die Probleme sind aber nicht direkt mit der Pandemie zu erklären. Auch ohne Druck einer weltweiten Ausnahmesituation werden Datenschutz und Informationssicherheit vernachlässigt. Während für Online-Aktivitäten im Finanzbereich die Zwei-Faktor-Authentifizierung anerkannter Standard ist, wurde beispielsweise bei der Einführung der Zürcher Online-Steuererklärung darauf verzichtet. Die Datenschutzbeauftragte arbeitet mit dem Steueramt zusammen, damit die Einwohnerinnen und Einwohner in Zukunft eine sichere Lösung nutzen können. Auch beim neuen Webauftritt des Kantons sind nicht alle Anforderungen umgesetzt worden. Öffentliche Organe dürfen nur Personendaten bearbeiten, wenn dies zur Erfüllung ihrer Aufgabe notwendig ist. Die Information mit einer Website gehört zu diesen Aufgaben. Das Tracking der Websitebesucherinnen und -besucher gehört nicht dazu. Die Weiterleitung von der Website zur Routenberechnung durch Google Maps ohne Warnhinweis und damit die Weitergabe von Personendaten ist nicht zulässig.

«Wenn die Datenschutzperspektive in einer frühen Phase einbezogen wird, führt die Digitalisierung zu sicheren und benutzerfreundlichen Angeboten, was auch einen Standortvorteil für den Kanton Zürich bedeutet», sagt die Datenschutzbeauftragte Dominika Blonski. Der Druck auf den Datenschutz und den Schutz der Privatsphäre entsteht nicht durch die eingesetzte Technologie, sondern durch mangelndes Interesse, Unwissenheit oder falsche Geschäftsmodelle. Öffentliche Organe dürfen Personendaten nur zur Erfüllung ihrer gesetzlichen Aufgaben bearbeiten. Durch diese Bestimmung sind sie frei vom Zwang, dem die Unternehmen der Digitalindustrie unterliegen, mit der Auswertung und der Vermarktung persönlicher Informationen Geld zu verdienen. Deshalb ist es erfreulich, wie konstruktiv die Zusammenarbeit der Datenschutzbeauftragten mit den Verantwortlichen der Digitalisierungsprojekte des Kantons verläuft. Sie muss in ihrer Aufgabe als Aufsichtsbehörde zwar auch öffentlich immer wieder Kritik üben. Die Situation stimmt sie jedoch zuversichtlich: Der Kanton Zürich kann Digitalisierung noch lernen.

Überlegen in der Digitalisierung

Besonders intensiv diskutiert wurde das Once-Only-Prinzip, wonach Personendaten nur einmal erhoben und danach von verschiedenen Stellen weiterverwendet werden sollen. Eine vollständige Umsetzung dieses Prinzips würde das Grundrecht auf Privatsphäre gefährden. Die Aufhebung der Zweckbestimmung für erhobene Personendaten ist beispielsweise nicht verfassungskonform und kann nicht durch eine kantonale gesetzliche Regelung gerechtfertigt werden.

Die Digitalisierung kann vorangetrieben werden, um die Dienste der öffentlichen Organe für die Einwohnerinnen, die Einwohner und die Unternehmen weiter zu verbessern. Mit Blick auf die Diskussion um den Einsatz Künstlicher Intelligenz und Blockchain ruft Dominika Blonski in Erinnerung: «Es geht um einen sinnvollen Einsatz. Wir wollen Technologien einsetzen, weil sie sinnvoll sind, nicht, weil es etwas Lustiges ist.»

Wirksame neue Instrumente

Im Dezember 2019 bewilligte der Kantonsrat der Datenschutzbeauftragten drei zusätzliche Vollzeitstellen. Die Behörde konnte sich also im letzten Jahr in den Bereichen Recht und Informationssicherheit verstärken. Gleichzeitig erweiterte das revidierte Gesetz über die Information und den Datenschutz (IDG) 2020 die Kompetenzen der Datenschutzbeauftragten. Sie leitete Prozesse in die Wege, damit die neuen Instrumente maximale Wirkung für den Datenschutz und die Verbesserung der Informationssicherheit entwickeln können, während die Ressourcen der öffentlichen Organe geschont werden. Bei jeder neuen Datenbearbeitung muss eine Datenschutz-Folgenabschätzung erstellt werden. Die Datenschutzbeauftragte konnte erreichen, dass diese Aufgabe fester Bestandteil des Projektmanagements nach Hermes-Methode ist, die bei allen Digitalisierungsprojekten der kantonalen Verwaltung eingesetzt werden muss.

Die neu eingeführte Meldepflicht für Datenschutzvorfälle zeigte schon im ersten Jahr ihr Potenzial zur Verbesserung der Informationssicherheit. Meldepflichtig ist beispielsweise, wenn sich ein Hacker Zugriff auf Daten verschafft oder auch wenn ein Mitarbeiter oder eine Mitarbeiterin einen USB-Stick mit Personendaten verloren hat. Aufgrund der Meldungen konnte die Datenschutzbeauftragte zusammen mit den betroffenen Organen Prozesse implementieren, die künftige Datenverluste vermeiden helfen.

Der konstruktive und kooperative Umgang zwischen der Datenschutzbeauftragten und den beaufsichtigten Organen hat sich bewährt. Das Verantwortungsbewusstsein für die Personendaten ist in den meisten Institutionen sehr hoch. Allerdings ist die Datenschutzbeauftragte darauf vorbereitet, auch die neue Verfügungsmöglichkeit einzusetzen und beispielsweise den Abbruch einer Datenbearbeitung oder die Löschung von Daten durchzusetzen.