Verantwortung übernehmen und die Zukunft gestalten
Lange vor Corona nahm die Digitalisierung in öffentlichen Institutionen Fahrt auf. Während der Pandemie wurde allen klar, welches Potenzial die neuen Technologien zur Lösung der aktuellen Herausforderungen mitbringen. So ist aus dem Streben nach einer digitalisierten Verwaltung ein Rennen geworden.
Druck von aussen spielt eine Rolle, geopolitische Fragen werden wichtig und übergeordnete Interessen grosser Konzerne bringen die öffentlichen Institutionen in Schwierigkeiten. Die Datenschutzbeauftragte berät und kontrolliert immer komplexere Projekte.
In diesem sehr dynamischen Umfeld ist es wichtig, dass sich die verantwortlichen Personen am gesetzlichen Regelwerk orientieren. Es bietet den besten Kompass. Damit wird auch das Vertrauen der Bevölkerung erhalten. Denn ohne Vertrauen der Bevölkerung wird die Arbeit von Politik und öffentlichen Institutionen schwierig.
Es bezweckt,
a. das Handeln der öffentlichen Organe transparent zu gestalten und damit die freie Meinungsbildung und die Wahrnehmung der demokratischen Rechte zu fördern sowie die Kontrolle des staatlichen Handelns zu erleichtern,
b. die Grundrechte von Personen zu schützen, über welche die öffentlichen Organe Daten bearbeiten.
§ 1 Abs. 2 Gesetz über die Information und den Datenschutz (IDG)
Polizei: viele Möglichkeiten, besondere Risiken und ressourcensparendes Vorgehen
Der Polizei bieten die neuen Technologien viele interessante Möglichkeiten. Die Polizei bearbeitet meistens besonders schützenswerte Personendaten. Diese Digitalisierungsprojekte müssen der Datenschutzbeauftragten zur Vorabkontrolle vorgelegt werden. Die Polizei will schnell vorwärts machen. Das ist verständlich. Die Vorhaben sind zum Teil sehr komplex, die Ressourcen der Datenschutzbeauftragten jedoch beschränkt. Die mit Umsicht erstellten Datenschutz-Folgenabschätzungen (DSFA) der Kantonspolizei erleichtern nicht nur die Arbeit der Kantonspolizei, sondern auch jene der Datenschutzbeauftragten wesentlich.
Beim Polizei- und Justizzentrum (PJZ) treffen verschiedene öffentliche Institutionen mit besonderen Sicherheitsbedürfnissen aufeinander. Es beherbergt Abteilungen der Kantonspolizei, der Staatsanwaltschaft, des Justizvollzugs und des Zwangsmassnahmengerichts. Im PJZ arbeiten rund 2000 Personen. Neben den Mitarbeitenden müssen auch Besucherinnen und Besucher ins Gebäude hinein, dort an den richtigen Ort und dann wieder hinausgelangen.
Die im elektronischen Zugangssystem bearbeiteten Personendaten stehen oft in Zusammenhang mit einer Strafuntersuchung. Es werden sehr viele Daten bearbeitet und das System wird von verschiedenen Organisationen benutzt. Die Datenschutzbeauftragte verlangte eine klare Regelung der Aufbewahrungsfristen und der Löschung der Daten.
Datenschutz: Amtsstellen stehen in der Pflicht
Die Verantwortung für die Umsetzung der Hinweise der Datenschutzbeauftragten liegt bei den verantwortlichen öffentlichen Institutionen. Dies gilt auch beim Electronic Monitoring im Zivilrecht, das zur Überwachung des Rayonverbots eingesetzt wird. Das zuständige Amt für Justizvollzug und Wiedereingliederung (Juwe) legte das vorgesehene System der Datenschutzbeauftragten zur Vorabkontrolle vor. Im Jahr 2018 beriet die Datenschutzbeauftragte das Juwe zum Electronic Monitoring im Zivilrecht. Sie wies damals darauf hin, dass das System mehr Daten bearbeitet, als für die Überwachung des Rayonverbots nötig sind. Beispielsweise werden auch die Standortdaten ausserhalb des verbotenen Gebiets aufgezeichnet. Dies ist rechtswidrig. Zudem wird Kartenmaterial von Google Maps verwendet. Es wird nicht nachgewiesen, dass die Daten der überwachten Personen nicht an den privaten Anbieter weitergeleitet werden. Die Datenschutzbeauftragte hatte diesen Zustand 2018 bemängelt. In der Vorabkontrolle im Jahr 2022 stellte sie fest, dass die Mängel nicht behoben worden sind.
Cloud-Lösungen: Gesetze respektieren, Geheimnispflichten einhalten
Bis vor wenigen Jahren wurden Cloud-Produkte punktuell eingesetzt. Jetzt nehmen gesamtheitliche Lösungen überhand. Microsoft 365 ist dafür nur eines der Beispiele, wenn auch das dominanteste. Lösungen, die darauf ausgelegt sind, alle Datenbearbeitungen zu integrieren, bringen auch höhere Risiken mit sich. Die enge Verzahnung der Dienste untereinander erhöht die Gefahr, dass Dokumente durchrutschen, die vertraulich oder durch eine besondere Geheimnispflicht geschützt sind.
Bei der Abklärung der Frage, ob eine Datenbearbeitung in die Cloud ausgelagert werden kann, ist ein methodisches Vorgehen zu wählen. Zuerst muss eine Analyse der Rechtsgrundlagen durchgeführt werden. Dafür müssen die geltenden Geheimnispflichten eruiert werden. Zugriffsmöglichkeiten von ausländischen Behörden (CLOUD Act) sind festzustellen. Erst danach kann und muss über Risikominderung durch technische und organisatorische Massnahmen nachgedacht werden.
Bei Personendaten, die unter einem besonderen Amtsgeheimnis oder einem Berufsgeheimnis stehen, hält das Gesetz fest: Die verantwortliche Person macht sich strafbar, wenn sie Unberechtigten auch nur die Möglichkeit gibt, solche Daten zur Kenntnis zu nehmen. So ist die Entscheidung einfach. Daten unter einem besonderen Amtsgeheimnis oder einem Berufsgeheimnis können nur ausgelagert werden, wenn sie verschlüsselt sind und ausschliesslich die verantwortliche Person oder ihre Hilfspersonen den Schlüssel kennen.
Die gängigsten gesamtheitlichen Cloud-Lösungen stammen von US-amerikanischen Unternehmen. Sie unterstehen dem CLOUD Act. Der CLOUD Act ermöglicht amerikanischen Behörden, Zugriff auf die Daten zu verlangen, unabhängig davon, wo sie gespeichert sind. Damit werden die Abkommen zur Rechtshilfe umgangen. Das Vorgehen verstösst gegen die schweizerische Rechtsordnung. Vertragliche Absicherungen helfen nicht. Es steht dem US-amerikanischen Unternehmen nicht frei, wegen eines Vertrags das Gesetz der USA nicht einzuhalten.
Die Rechtsfrage kann nicht mit Wahrscheinlichkeitsrechnungen umgangen werden. Wenn ein Zugriff rechtswidrig ist, hilft es nicht, dass die Wahrscheinlichkeit eines solchen Zugriffs klein sein könnte. Ein öffentliches Organ hat sich immer rechtmässig zu verhalten (Legalitätsprinzip). Die Aussagen zur Wahrscheinlichkeitsberechnung im Regierungsratsbeschluss zu Microsoft 365 (RRB 542/2022) wurden inzwischen relativiert. Die Finanzdirektion schränkte mit der Allgemeinen Nutzungsrichtlinie Microsoft 365 vom 29. Juni 2022 die Nutzung der Dienste ein. Dies entspricht auch der Regelung, die für die Bundesverwaltung gilt.
Keine Übersicht über die Verwendung von Microsoft 365
Ist eine neue Bearbeitung von Personendaten beabsichtigt, dann muss das öffentliche Organ eine Datenschutz-Folgenabschätzung (DSFA) durchführen. Eine sorgfältig durchgeführte DSFA zur Einführung von Microsoft 365 würde in den meisten Fällen auf erhöhte Risiken hinweisen. Dies, weil einerseits eine grosse Menge an Personendaten bearbeitet wird. Oft kommt dazu, dass es sich um besonders schützenswerte Personendaten und solche unter besonderen Geheimnispflichten handelt. Andererseits werden neue Technologien mit neuen Möglichkeiten eingesetzt. In diesen Fällen ist das Projekt der Datenschutzbeauftragten zur Vorabkontrolle vorzulegen.
Bisher reichte jedoch kein öffentliches Organ im Kanton Zürich der Datenschutzbeauftragten ein Projekt zur Einführung von Microsoft 365 zur Vorabkontrolle ein.
Intransparenz von Anbietern
Die Beurteilung von Cloud-Projekten ist aufwendig. Die integrierten Cloud-Lösungen zeichnen sich durch eng verzahnte und beinahe unüberblickbare Verbindungsuniversen aus. Die einfachen und fast uneingeschränkten Möglichkeiten zum Datenaustausch bergen eine Vielzahl an Risiken für widerrechtliche Datenbekanntgaben. Die Anbieter sind zudem nicht bereit, transparent zu kommunizieren, wofür sie etwa die Randdaten über die Nutzung der Dienste genau verwenden. Die öffentlichen Organe tragen jedoch die Verantwortung für ihre Daten, auch wenn sie diese in der Cloud bearbeiten. So besteht eine Kluft zwischen dem Auftrag des Organs und den realen Möglichkeiten.
Entscheiden, wie wir in Zukunft leben wollen
Als Grund für Digitalisierungsprojekte wird angeführt, dass Private es auch so machen. Ein weiteres Argument ist, dass die Attraktivität der öffentlichen Organe als Arbeitgeberinnen oder als Arbeitgeber sonst gefährdet sei. Solche Begründungen werden der Tragweite der Entscheidungen nicht gerecht. Es geht immerhin darum, wie wir mit den Personendaten der Menschen im Kanton Zürich umgehen. Sie müssen den öffentlichen Organen viele und oft sehr persönliche Informationen anvertrauen.
Wir stehen mitten in einem spannenden und herausfordernden Prozess des Strukturwandels. Wie wir welche Technologie zu welchem Zweck einsetzen, bestimmt, wie wir in Zukunft zusammenleben werden. Deshalb lohnt sich, zu diskutieren, welche Werte wir schützen und fördern wollen. Dann können wir entscheiden.