Kanton Zürich: Tätigkeitsbericht 2023 – zunehmende Risiken beim Datenschutz
VON Polizei.news Redaktion Internetkriminalität Polizeinews Schweiz Verbrechen Zürich
Cyberangriffe machen vor der staatlichen Infrastruktur nicht halt. Kontrollen und auch die Meldepflicht für Datenschutzvorfälle zeigen, dass oft grundlegende Sicherheitsvorkehrungen nicht getroffen werden.
Zudem wächst mit der Digitalisierung die Komplexität der Datenbearbeitungen, was zu zusätzlichen Risiken führt, wie die Datenschutzbeauftragte Dominika Blonski bei der Präsentation ihres Tätigkeitsberichts 2023 betonte.
Die Umsetzung der datenschutzrechtlichen Vorgaben und der Massnahmen zur Informationssicherheit sind von grundlegender Bedeutung für das Vertrauen der Bevölkerung in die staatlichen Datenbearbeitungen.
Digitale Transformation: neue Herausforderungen und gelungene Beispiele
Mit dem Zürikonto will der Kanton für seine Einwohnenden einen zentralen Einstiegspunkt für den Bezug digitaler Leistungen der Verwaltung schaffen. Die Datenschutzbeauftragte wirkt beim Projekt Zürikonto seit 2021 im Rahmen einer begleitenden Beratung mit. Sie verlangte eine konsequente Umsetzung des Grundsatzes der Datensparsamkeit, so dass nur so viele Daten wie notwendig erfasst werden. Das Zürikonto ist als Portal konzipiert und somit der Zugang zu den entsprechenden Dienstleistungen. Die Datenschutzbeauftragte machte darauf aufmerksam, dass für das Zürikonto neue Rechtsgrundlagen geschaffen werden müssen, damit gegenüber den Nutzenden die notwendige Transparenz besteht. Sie begleitete drei Gesetzgebungsprojekte und gab regelmässig Hinweise für die Regelung der Datenbearbeitungen.
Für Ärztinnen über Chiropraktiker bis zu Akupunkteurinnen soll das elektronische Bewilligungssystem im Gesundheitswesen (eBeGe) vieles vereinfachen. Statt bei der Gesundheitsdirektion, der kantonalen Heilmittelkontrolle, dem Kantonsärztlichen Dienst und der Abteilung für Gesundheitsberufe und Bewilligungen einzelne Bewilligungen zu beantragen, soll dies über ein zentrales Portal geschehen. So kommen sehr viele, oft sehr heikle Personendaten an einer einzigen Stelle zusammen. Für die Bewilligungen werden beispielsweise Sonderprivatauszüge angefragt, in denen auch Strafurteile aufgeführt werden, die im regulären Auszug nicht aufgeführt sind. Die Datenschutzbeauftragte beriet die Gesundheitsdirektion und zeigte die Risiken auf, die eine Digitalisierung des Prozesses mit sich bringt. Es entstehen weitgehende Persönlichkeitsprofile, die ein sehr umfassendes Bild einer Person zeichnen. Die Datenschutzbeauftragte unterstützte die Gesundheitsdirektion bei der Eruierung der Risiken dieser Datenbearbeitungen sowie bei der Erstellung der Datenschutz-Folgenabschätzung und des ISDS-Konzepts.
Kontrollen zeigen Schwachstellen
Im Jahr 2023 führte die Datenschutzbeauftragte erstmals 60 Kontrollen durch. Neben den Datenschutzreviews mit Selbstdeklaration bei Gemeinden setzte sie Schwerpunkte im Gesundheits- und Bildungsbereich.
Alters- und Pflegezentren bearbeiten viele Gesundheitsdaten. Bei diesen besonderen Personendaten muss dem Datenschutz und der Informationssicherheit ein hoher Stellenwert zukommen. Die Datenschutzbeauftragte ist für die Aufsicht bei rund 160 Alters- und Pflegezentren zuständig. Die Kontrollen in einer repräsentativen Stichprobe aus kleinen und grossen Zentren, die als Gemeindeorgane, Stiftungen oder auch Aktiengesellschaften organisiert sind, zeigten einige grundlegende Mängel. So erfolgten Zugriffe zu den Daten über unpersönliche Accounts mit allgemein bekannten Passwörtern und starke Authentifizierungsmechanismen, die beim der Bearbeitung von besonderen Personendaten Pflicht sind, fehlten. Dies führt zu einem unkontrollierten Zugriff auf Daten und zu einem hohen Missbrauchspotential, weil Daten zweckwidrig verwendet werden können.
Bisher konnte in 62 der 160 Gemeinden des Kantons ein Datenschutzreview mit Selbstdeklaration gestartet werden. Dabei begleitet die Datenschutzbeauftragte die Gemeinden bei der Erstellung der Informationssicherheitsdokumentation. Die Dokumente geben eine Übersicht und ermöglichen damit die Risikobewertung der eingesetzten Geräte, Software und Dienstleister. Zudem sind die Rollen und die Verantwortlichkeiten klar definiert. So ist eine Grundsicherheit gewährleistet und ein kontinuierlicher Verbesserungsprozess wird angestossen.
Die Datenschutzbeauftragte hat auch die automatische Passkontrolle am Flughafen kontrolliert. Sie überprüfte beim sogenannten E-Gate-System die Bereiche Recht, Organisation und Technik umfassend. Die Kontrolle zeigte, dass die Prozesse im Bereich Datenschutz und Informationssicherheit vorbildlich definiert sind und auch eingehalten werden.
Leitplanken für den Einsatz Künstlicher Intelligenz (KI)
Chatbots bearbeiten Informationen über die Personen, die Fragen stellen. Werden Steuerdossiers von einer KI vorsortiert, sind Informationen von Steuerzahlerinnen und Steuerzahlern betroffen. Beim Einsatz von KI werden somit Personendaten bearbeitet. Deshalb sind die Regeln des Datenschutzes anwendbar. So sind betroffene Personen über eine Entscheidung zu informieren, die ausschliesslich auf einer automatisierten Bearbeitung von Personendaten beruht und mit Rechtsfolgen versehen ist oder sie erheblich beeinträchtigt. Zudem ist vorzusehen, dass betroffene Personen ihren Standpunkt darlegen dürfen und eine Überprüfung der automatisierten Entscheidung durch eine natürliche Person verlangen können. Online-KI-Generatoren wie ChatGPT werden meist von Dritten betrieben. Ihr Einsatz stellt deshalb eine Auslagerung der Datenbear¬beitung dar, womit bei deren Einsatz auch die Voraussetzungen für die Auftragsdatenbearbeitung erfüllt sein müssen. Das IDG definiert den Einsatz neuer Technologien wie KI als besonderes Risiko für die Grundrechte. Somit sind alle KI-Projekte der Verwaltung der Datenschutzbeauftragten zur Vorabkontrolle vorzulegen.
Die Staatskanzlei hat für die kantonale Verwaltung ein Merkblatt zur Nutzung von Online-KI-Generatoren publiziert. Die Datenschutzbeauftragte lieferte Inputs. Das Merkblatt definiert, wie ein reduzierter Einsatz von Online-KI-Generatoren für öffentliche Organe möglich ist. Die Online-KI-Generatoren sind kein behördliches Arbeitsmittel. So dürfen keine behördlichen Personendaten und keine Informationen zum öffentlichen Organ in den Prompts verwendet werden.
Die Nutzung von KI-Generatoren durch Schülerinnen und Schüler muss separat von der Nutzung durch Lehrpersonen und andere Mitarbeitende von Schulen beurteilt werden. Schon die Verwendung eines KI-Generators zur Erstellung von Texten durch eine Schülerin oder einen Schüler ist personenbezogen – meistens bereits aufgrund der Verknüpfung mit den Nutzendendaten. Es können aber auch Personendaten in den Texten selbst vorhanden sein, die dann mit dem KI-Generator bearbeitet werden. Schulen können KI-Generatoren zur Bearbeitung von Personendaten verwenden. Der Bildungsauftrag kann die Verwendung des KI-Generators als Unterrichtsmittel rechtfertigen. Die Schule bleibt aber in jedem Fall verantwortlich für die Datenbearbeitung.
Datenschutz ist nicht verhandelbar
Öffentliche Organe müssen auch bei Cloud-Lösungen sicherstellen, dass der Datenschutz so gewährleistet ist, wie wenn sie die Daten selbst bearbeiten würden. So sind gesetzliche Schweigepflichten wie etwa das Arztgeheimnis oder das Steuergeheimnis einzuhalten. Insbesondere ist sicherzustellen, dass nicht Dritte in Umgehung von Bestimmungen der interantionalen Rechtshilfe auch auf Daten, die in der Schweiz gespeichert sind, zugreifen können. Dies ist aufgrund von Bestimmungen des US-Rechts bei amerikanischen Cloud-Anbietern möglich.
Die öffentlichen Organe können nicht einfach mit einer Einwilligung das Risiko auf die betroffenen Personen abwälzen, wie dies im privatrechtlichen Vertragsverhältnis möglich ist. Im staatlichen Umfeld besteht für Einwilligungen kein Raum. Ein öffentliches Spital kann die Behandlung von Patientinnen und Patienten nicht davon abhängig machen, dass diese dazu einwilligen, ihre Patientendokumentation in einer Cloud zu speichern, die nicht datenschutzkonform ist. Die Gesundheitsversorgung muss für alle gewährleistet sein.
Eine Liste von Sozialhilfeempfängerinnen und -empfängern darf nur in einer Cloud-Variante geführt werden, wenn die Personendaten verschlüsselt werden und das Schlüsselmanagement bei den Gemeinden bleibt. Dasselbe gilt, wenn eine Steuerveranlagungsverfügung in der Cloud abgelegt werden soll.
Staatliche Datenbearbeitungen haben das Grundrecht auf Datenschutz zu gewährleisten. Die betroffenen Personen müssen sich darauf verlassen können, dass der Staat nicht durch Einwilligungen und Risiko- und Compliance-Überlegungen ihre Rechte einzuschränken versucht. Gerade bei der Beurteilung von Cloud-Lösungen schleichen sich privatrechtliche Argumentationen immer mehr in den öffentlichen Bereich ein – dort gehören sie nicht hin.
Tätigkeitsbericht 2023 | Kanton Zürich
Datenschutzbeauftragte des Kantons
Die Datenschutzbeauftragte beaufsichtigt die Datenbearbeitungen der kantonalen Verwaltung, der Gemeinden und der übrigen Behörden und öffentlichen Einrichtungen im Kanton, um die Privatsphäre der Einwohnerinnen und Einwohner sicherzustellen. Sie berät die öffentlichen Organe, beurteilt datenschutzrelevante Vorhaben und nimmt Stellung zu Erlassen.Mit Kontrollen überprüft sie bei öffentlichen Organen, ob die Anforderungen des Datenschutzes in rechtlicher, organisatorischer und sicherheitstechnischer Hinsicht eingehalten sind.Öffentliche Organe sind verpflichtet, Datenschutzvorfälle zu melden. Die Datenschutzbeauftragte kann die Umsetzung von Massnahmen verfügen. Die Datenschutzbeauftragte berät Privatpersonen über ihre datenschutzrechtlichen Ansprüche und vermittelt in Konfliktfällen zwischen Privatpersonen und öffentlichen Organen. Sie informiert die Öffentlichkeit über die Anliegen des Datenschutzes und der Informationssicherheit.Die Datenschutzbeauftragte führt alle Tätigkeiten in vollständiger Unabhängigkeit durch. Sie leistet damit einen wichtigen Beitrag für den Erhalt eines der zentralen Grundrechte einer liberalen Gesellschaft – das Recht auf den Schutz der Privatsphäre.
Quelle: Kanton Zürich
Titelbild: Symbolbild © Song_about_summer – shutterstock.com