klar-1°
DE | FR
burger
Digital
Datenschutz

Office 365: Zürcher Datenschutz-Beauftragte warnt vor Risiken

Zürcher Datenschützerin hat wegen Cloud viel zu tun – und warnt vor Office 365

Auch Polizei und Justiz haben der kantonalen Datenschutz-Beauftragten ziemlich viel Arbeit beschert...
07.06.2023, 16:2607.06.2023, 16:33
Mehr «Digital»

Die oberste Zürcher Datenschützerin hat sich im vergangenen Jahr viel mit Polizei und Justiz auseinandergesetzt. Sie stellt auch kritische Fragen zum Tempo der Digitalisierung und Cloud-Einführung in öffentlichen Institutionen.

Das Streben nach einer digitalisierten Verwaltung sei ein Rennen geworden, hält die Datenschutzbeauftragte Dominika Blonski in ihrem am Mittwoch veröffentlichten Tätigkeitsbericht zum Jahr 2022 fest. Das Vertrauen der Bevölkerung könne aber nur gewonnen werden, wenn sich die Behörden an das gesetzliche Regelwerk hielten.

Dr. iur. Dominika Blonski ist seit Mai 2020 Datenschutzbeauftragte des Kantons Zürich.
Dr. iur. Dominika Blonski ist seit Mai 2020 Datenschutzbeauftragte des Kantons Zürich. Sie kann notfalls Verfügungen erlassen und Datenbearbeitung bei Verwaltungsstellen unterbinden, wenn sie nicht rechtmässig sind.Bild: PD

Wo ist das Problem bei Microsoft 365 und Co.?

Fragen zu den Möglichkeiten und Risiken der Auslagerung in die Cloud gebe es viele. Kein anderes Thema habe die Datenschutzbeauftragte 2022 häufiger beschäftigt.

«Beim Steuergeheimnis oder anderen besonderen Amtsgeheimnissen muss der Cloud-Anbieter die erhöhten Anforderungen an die Geheimhaltung einhalten können.»

Die Datenschutzbeauftragte warnt bei Cloud-Lösungen. Diese liessen fast uneingeschränkte Möglichkeiten zum Datenaustausch zu. Auch Spitäler oder Religionsgemeinschaften nutzten immer häufiger die Cloud. Dabei dürfe das Berufsgeheimnis nicht vergessen gehen, so Blonski.

Das Problem: US-Unternehmen unterstehen dem «CLOUD Act» und müssten den US-Behörden (und Geheimdiensten) auch Zugang zu Schweizer Cloud-Daten geben, selbst wenn diese nicht in den USA gespeichert sind. Mit Personendaten sollte darum zurückhaltend umgegangen werden.

Bei der Einführung von Microsoft 365 müsse in vielen Fällen von besonderen Risiken für die Grundrechte der betroffenen Personen ausgegangen werden.

In diesen Fällen sei das Projekt der Datenschutzbeauftragten zur Vorabkontrolle zu unterbreiten. Dafür müssten die Beschreibung des Projekts, die Darstellung der Rechtslage und eine Übersicht über die Massnahmen zur Verhinderung von Persönlichkeitsverletzungen eingereicht werden.

Aber, so die Datenschutzbeauftragte:

«Bisher reichte noch kein öffentliches Organ im Kanton Zürich der Datenschutzbeauftragten ein Projekt zur Einführung von Microsoft 365 zur Vorabkontrolle ein.»
quelle: datenschutz.ch

Datenleck bei Polizei hat Folgen

Viele Daten werden beim neuen Polizei- und Justizzentrum (PJZ) in Zürich gesammelt. Selbst scheinbar Banales, wie welche Person wann eintritt und wie lange sie drinbleibt, würden gespeichert – und nicht gelöscht. Da brauche es eine klare Regelung, sagte Blonski vor den Medien.

Beim PJZ musste die Zürcher Datenschutzbeauftragte auch im Vorfeld eingreifen. So war eine biometrische Erkennung geplant – ohne gesetzliche Grundlage.

Das Datenleck bei der kantonalen Direktion der Justiz und des Innern (DJI) – Datenträger und andere Computer-Hardware wurden unsachgemäss entsorgt – hat 2022 Schlagzeilen gemacht. Ein besonderes Augenmerk liegt nun auf dem Auslagerungsprozess an externe Dienstleister, wie Blonski auf die Frage eines Journalisten antwortete. Die Direktion überarbeite diesen, für eine Kontrolle durch die Datenschutzbeauftragte sei es noch zu früh.

Negativ fiel der Datenschutzbeauftragten das Amt für Justizvollzug und Wiedereingliederung (Juwe) auf, das auch der DJI angegliedert ist. Bei der digitalen Erfassung von Rayonverboten würden zu viele Daten gespeichert, etwa die Standortdaten der Betroffenen ausserhalb der Verbotszonen. Obwohl sie darauf schon 2018 hingewiesen habe, sei dies nicht behoben worden.

Ebenso verwende das Juwe Google Maps. Es sei nicht auszuschliessen, dass Google die Daten der überwachten Personen erhalte. Generell müsse man sich fragen, ob «wir uns dem Diktat der Grossunternehmen» unterwerfen sollen.

Datenschutz, kennst du dich aus?
Mit der neuen Lernplattform lerne.datenschutz.ch sollen Mitarbeitende von Schulen, Einwohnerregistern, Spitälern und anderen öffentlichen Institutionen den datenschutzkonformen Umgang mit Personendaten üben. Wer mehr wisse, mache weniger Fehler, so die Zürcher Datenschutzbeauftragte.

Quellen

(dsc/sda)

Das sind die gefährlichsten Entwicklungen im IT-Bereich, die auch dich betreffen

Darum warnen Informatiker eindringlich vor Office 365 an Schulen

DANKE FÜR DIE ♥
Würdest du gerne watson und unseren Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet, um die Zahlung abzuschliessen.)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.
Themen
Die Zuckerbergs kaufen Hawaii – um dort zu bauern
1 / 12
Die Zuckerbergs kaufen Hawaii – um dort zu bauern
Kauai ist die viertgrösste Insel Hawaiis und wird auch die «Garteninsel» genannt. Die älteste und am nördlichsten gelegene ist von Tälern, spitzen Berggipfeln und zerklüfteten Klippen umgeben. Die Zuckerbergs ...
Auf Facebook teilenAuf X teilen
16 Lügen, die wir alle benutzen
Video: watson
Das könnte dich auch noch interessieren:
56 Kommentare
Zum Login
user avatar
Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 24 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
Die beliebtesten Kommentare
avatar
Treebonesteak
07.06.2023 20:09registriert April 2021
Immer wieder erfrischend, dass zwischen Hosting Partner und Cloud ein Unterschied gemacht wird. Aus diesem Artikel schliesse ich, dass der ganze Öffentliche Sektor auf eigene Server setzen sollte.
512
Melden
Zum Kommentar
avatar
Rethinking
07.06.2023 21:29registriert Oktober 2018
Hier hat es offensichtlich viele die zwar eineMeinung haben, aber nicht unbedingt viel Ahnung…

Datenschutz, wie es in diesem Artikel gefordert wird, hat den Schutz von Personendaten vor dem Amerikanischen Staat im Fokus…

Der Nutzen ist sehr bescheiden…

Viel grösser ist der Nutzen von Informationssicherheit. Also den Schutz aller Informationen vor Hackern, vor Mitarbeitern, vor der Konkurrenz, vor Staaten etc.
377
Melden
Zum Kommentar
avatar
Redaktionsmaus
07.06.2023 17:39registriert August 2022
Ich verstehe die Vorbehalte gegenüber O365 und dem Cloud-Act.

Wenn jedoch diverse "eigene Lösungen" und kleinen/mittleren IT-Dienstleistern gehackt werden und die Daten komplett veröffentlicht werden, stellt sich die Frage nach dem kleineren Übel. Bisher ist mir noch kein Hack von O365 bekannt.
2516
Melden
Zum Kommentar
56
    Grossbritannien will Zugriff auf alle iCloud-Backups – Apples Reaktion ist beispiellos
    Grossbritannien fordert einen Hintertür-Zugang zu den verschlüsselten Backups der iCloud-Nutzer – und dies weltweit. Apple reagiert.

    Apple-Kunden in Grossbritannien können ihre iCloud-Daten nicht mehr vollständig verschlüsseln. Das kündigte der iPhone-Konzern an. Dieser beispiellose Schritt erfolgt natürlich nicht freiwillig. Die britische Regierung hatte zuvor Apple aufgefordert, eine Hintertür in die Funktion «Advanced Data Protection» (ADP) einzubauen, welche seit 2022 die Ende-zu-Ende-Verschlüsselung auf ein breites Spektrum von iCloud-Daten ausdehnt. Diese umfassende Verschlüsselung sorgt dafür, dass selbst Apple keinen Einblick in die Daten hat, und diese entsprechend auch nicht gegenüber Behörden herausgeben kann. Der zusätzliche Schutz ist allerdings nur aktiv, wenn die «Advanced Data Protection» von den Usern manuell aktiviert wurde.

    Der britischen Regierung geht es darum, den Sicherheitsbehörden mit einer Hintertüre trotzdem Zugang zu den Cloud-Daten zu ermöglichen. Die Briten möchten sich so auch Zugriff auf iPhone-Backups sichern, die von nicht britischen Usern in der Cloud erstellt wurden.

    Zur Story