Die oberste Zürcher Datenschützerin hat sich im vergangenen Jahr viel mit Polizei und Justiz auseinandergesetzt. Sie stellt auch kritische Fragen zum Tempo der Digitalisierung und Cloud-Einführung in öffentlichen Institutionen.
Das Streben nach einer digitalisierten Verwaltung sei ein Rennen geworden, hält die Datenschutzbeauftragte Dominika Blonski in ihrem am Mittwoch veröffentlichten Tätigkeitsbericht zum Jahr 2022 fest. Das Vertrauen der Bevölkerung könne aber nur gewonnen werden, wenn sich die Behörden an das gesetzliche Regelwerk hielten.
Fragen zu den Möglichkeiten und Risiken der Auslagerung in die Cloud gebe es viele. Kein anderes Thema habe die Datenschutzbeauftragte 2022 häufiger beschäftigt.
Die Datenschutzbeauftragte warnt bei Cloud-Lösungen. Diese liessen fast uneingeschränkte Möglichkeiten zum Datenaustausch zu. Auch Spitäler oder Religionsgemeinschaften nutzten immer häufiger die Cloud. Dabei dürfe das Berufsgeheimnis nicht vergessen gehen, so Blonski.
Das Problem: US-Unternehmen unterstehen dem «CLOUD Act» und müssten den US-Behörden (und Geheimdiensten) auch Zugang zu Schweizer Cloud-Daten geben, selbst wenn diese nicht in den USA gespeichert sind. Mit Personendaten sollte darum zurückhaltend umgegangen werden.
Bei der Einführung von Microsoft 365 müsse in vielen Fällen von besonderen Risiken für die Grundrechte der betroffenen Personen ausgegangen werden.
In diesen Fällen sei das Projekt der Datenschutzbeauftragten zur Vorabkontrolle zu unterbreiten. Dafür müssten die Beschreibung des Projekts, die Darstellung der Rechtslage und eine Übersicht über die Massnahmen zur Verhinderung von Persönlichkeitsverletzungen eingereicht werden.
Aber, so die Datenschutzbeauftragte:
Viele Daten werden beim neuen Polizei- und Justizzentrum (PJZ) in Zürich gesammelt. Selbst scheinbar Banales, wie welche Person wann eintritt und wie lange sie drinbleibt, würden gespeichert – und nicht gelöscht. Da brauche es eine klare Regelung, sagte Blonski vor den Medien.
Beim PJZ musste die Zürcher Datenschutzbeauftragte auch im Vorfeld eingreifen. So war eine biometrische Erkennung geplant – ohne gesetzliche Grundlage.
Das Datenleck bei der kantonalen Direktion der Justiz und des Innern (DJI) – Datenträger und andere Computer-Hardware wurden unsachgemäss entsorgt – hat 2022 Schlagzeilen gemacht. Ein besonderes Augenmerk liegt nun auf dem Auslagerungsprozess an externe Dienstleister, wie Blonski auf die Frage eines Journalisten antwortete. Die Direktion überarbeite diesen, für eine Kontrolle durch die Datenschutzbeauftragte sei es noch zu früh.
Negativ fiel der Datenschutzbeauftragten das Amt für Justizvollzug und Wiedereingliederung (Juwe) auf, das auch der DJI angegliedert ist. Bei der digitalen Erfassung von Rayonverboten würden zu viele Daten gespeichert, etwa die Standortdaten der Betroffenen ausserhalb der Verbotszonen. Obwohl sie darauf schon 2018 hingewiesen habe, sei dies nicht behoben worden.
Ebenso verwende das Juwe Google Maps. Es sei nicht auszuschliessen, dass Google die Daten der überwachten Personen erhalte. Generell müsse man sich fragen, ob «wir uns dem Diktat der Grossunternehmen» unterwerfen sollen.
(dsc/sda)
Datenschutz, wie es in diesem Artikel gefordert wird, hat den Schutz von Personendaten vor dem Amerikanischen Staat im Fokus…
Der Nutzen ist sehr bescheiden…
Viel grösser ist der Nutzen von Informationssicherheit. Also den Schutz aller Informationen vor Hackern, vor Mitarbeitern, vor der Konkurrenz, vor Staaten etc.
Wenn jedoch diverse "eigene Lösungen" und kleinen/mittleren IT-Dienstleistern gehackt werden und die Daten komplett veröffentlicht werden, stellt sich die Frage nach dem kleineren Übel. Bisher ist mir noch kein Hack von O365 bekannt.