Ein Datenschutzvorfall im Rampenlicht
Die Direktion der Justiz und des Innern (JI) meldete der Datenschutzbeauftragten Ende November 2020 einen Datenschutzvorfall. In den Jahren 2000 bis 2014 waren Desktop-Computer und Server der Staatsanwaltschaft Zürich nicht fachgerecht entsorgt worden. Möglicherweise habe ein Datenmissbrauch durch Drittpersonen stattgefunden.
Welche Art von Personendaten vom Vorfall betroffen waren, wurde zu diesem Zeitpunkt noch abgeklärt. Die JI hatte bereits Strafanzeige erstattet und eine Administrativuntersuchung in Auftrag gegeben, um den Vorfall abzuklären.
Die Datenschutzbeauftragte prüft bei Eingang einer Meldung im Rahmen ihrer Aufsichtsfunktion den Sachverhalt und die bereits getroffenen Massnahmen zur Wiederherstellung der Informationssicherheit und zur Verhinderung von zukünftigen Vorfällen. Sie kann zusätzliche Massnahmen anordnen und verlangen, dass die betroffenen Personen informiert werden.
Öffentliche Organe sind verpflichtet, der Datenschutzbeauftragten unbefugte Datenbearbeitungen oder den Verlust von Personendaten zu melden, wenn die Grundrechte der betroffenen Personen gefährdet sind.
Nach mehrmaligem Nachfragen erhielt die Datenschutzbeauftragte den Schlussbericht der Administrativuntersuchung sowie die Liste der Massnahmen und Zuständigkeiten Ende Mai 2021. Sie prüfte die Unterlagen und verfasste ihre Stellungnahme zum meldepflichtigen Datenschutzvorfall.
Die Datenschutzbeauftragte stellte fest, dass die JI ihre Meldepflicht erfüllt hatte. Wie die Administrativuntersuchung kam auch die Datenschutzbeauftragte zum Schluss, dass die JI teilweise ihre datenschutzrechtliche Verantwortung nicht genügend wahrgenommen hatte. Die Aufträge an externe Dienstleister waren ohne standardisierte Prozesse und Vorgaben erfolgt. Die externen Dienstleister wurden ungenügend überprüft. Sie erachtete die unsystematische Vernichtung von physischen Akten ohne Sicherstellung der Dokumentation aus datenschutzrechtlicher Sicht als bedenklich.
Der Schlussbericht der Administrativuntersuchung empfiehlt mehrere Massnahmen mit hoher Priorität. Dazu gehören der Erlass von Organisationsvorschriften, die für die ganze JI verbindlich sind, sowie die systematische Kontrolle der Einhaltung der Vorschriften und die Aktualisierung von Unterlagen zur Informationsverwaltung und Informationssicherheit, beispielsweise der Zugriffskonzepte. Zudem sollen Vorschriften für die Auswahl von externen Dienstleistern erstellt werden, um sicherzustellen, dass diese die datenschutzrechtlichen Vorgaben umsetzen. Die Datenschutzbeauftragte kam zum Schluss, dass diese Massnahmen geeignet sind, um die Risiken von Persönlichkeitsverletzungen durch den Vorfall zu mindern, die Informationssicherheit wiederherzustellen und künftige ähnliche Vorfälle zu verhindern.
Zum Zeitpunkt der Stellungnahme der Datenschutzbeauftragten war nicht bekannt, welche Personen vom Vorfall betroffen waren, was der Inhalt der Dokumente war und mit welchen Vorkehrungen die betroffenen Personen sich vor den Folgen des Vorfalls schützen könnten.
Bei einem meldepflichtigen Vorfall sieht das IDG vor, dass das öffentliche Organ die vom Vorfall betroffenen Personen über den Vorfall informiert, wenn die Umstände es erfordern oder die Datenschutzbeauftragte es verlangt. Die betroffenen Personen sollen so die Möglichkeit erhalten, sich vor den Folgen des Datenschutzvorfalls zu schützen, indem sie beispielsweise ihre Passwörter ändern. Das öffentliche Organ hat abzuwägen, ob ein überwiegendes öffentliches oder privates Interesse gegen eine Information der Betroffenen besteht. Dann kann es die Information der betroffenen Person einschränken. Die Datenschutzbeauftragte prüfte deshalb, ob sie aus datenschutzrechtlicher Perspektive verlangen soll, dass die JI die vom Vorfall betroffenen Personen über den Vorfall informiert. Sie verlangte dies nicht.
Zum Zeitpunkt der Stellungnahme der Datenschutzbeauftragten war nicht bekannt, welche Personen vom Vorfall betroffen waren, was der Inhalt der Dokumente war und mit welchen Vorkehrungen die betroffenen Personen sich vor den Folgen des Vorfalls schützen könnten. Deshalb verzichtete die Datenschutzbeauftragte darauf, die Information der betroffenen Personen zu fordern. Damit sagte sie nichts darüber aus, ob aus anderen Gründen über den Datenschutzvorfall informiert werden sollte. Die Datenschutzbeauftragte verfügt nicht über die Kompetenz, eine solche Aussage zu machen.
In ihrer Stellungnahme von Mitte September 2021 an die JI hielt die Datenschutzbeauftragte fest, dass die mit hoher Priorität festgehaltenen Massnahmen des Schlussberichts der Administrativuntersuchung umzusetzen sind. Die Umsetzung der übrigen Massnahmen wurde von der Datenschutzbeauftragten empfohlen. Sie setzte für die Umsetzung der Massnahmen mit hoher Priorität eine einjährige Frist und verlangte, dass sie über den Verlauf dokumentiert werde.
Nach Ablauf dieser Frist mahnte sie die Direktion der Justiz und des Innern und setzte eine Nachfrist bis Ende November 2022 an. Die JI äusserte Ende November 2022 gegenüber der Datenschutzbeauftragten den Wunsch, sich im Januar 2023 zum Stand der Umsetzung der Massnahmen mit der Datenschutzbeauftragten auszutauschen. Die Sache solle grundsätzlich angegangen werden.