Mehr Da­ten­schutz­vor­fäl­le ge­mel­det

Seit drei Jahren müssen öffentliche Organe der Datenschutzbeauftragten Datenschutzvorfälle melden. Die Statistik zeigt, dass das Bewusstsein für das Bestehen der Meldepflicht unter den öffentlichen Organen des Kantons steigt. Allerdings stammt eine Vielzahl der Meldungen von nur wenigen Institutionen. Die Datenschutzbeauftragte sieht dies als Hinweis dafür, dass in diesen Institutionen Personen mit einem besonders hohen Bewusstsein für Datenschutz und Informationssicherheit arbeiten. Damit sich dieses Bewusstsein weiterverbreitet, informiert sie an Datenschutz-Tagungen zum Thema Meldungen – so etwa am Schulthess-Forum: Datenschutz in Städten und Gemeinden.

Die Datenschutzbeauftragte sieht in der Meldepflicht ein wirksames Instrument. Es vereinigt die drei gesetzlichen Aufgaben der Aufsichtsbehörden.

Die Meldepflicht sensibilisiert die öffentlichen Organe und ihre Mitarbeitenden für die Schwachstellen in ihrem System. Die Datenschutzbeauftragte bekommt durch die Meldungen die Möglichkeit, die Prozesse zu kontrollieren, die offenbar Schwierigkeiten verursachen, und gleichzeitig genau da zu beraten, wo es am notwendigsten ist.

Von fälschlich zugestellten Medikamenten und einem Hackerangriff

Die Bandbreite der Datenschutzvorfälle ist gross, welche der Datenschutzbeauftragten gemeldet wurde.

In vielen Fällen sind Einzelpersonen von der unrechtmässigen Datenbearbeitung betroffen. So wurde ein Operationsaufgebot einer falschen Empfängerin zugesandt oder ein Patient erhielt die Medikamente anderer Patientinnen und Patienten samt ihrer Personalien per Post zugestellt. In der Meldung informiert das Organ die Datenschutzbeauftragte über die bereits getroffenen Massnahmen. Die Datenschutzbeauftragte nimmt in einem standardisierten Prozess Stellung zu Vorfällen, die Einzelpersonen betreffen.

Während der Corona-Pandemie bearbeiteten öffentliche Organe grosse Mengen an besonderen Personendaten, beispielsweise im Contact Tracing. Die Medien berichteten im letzten Jahr darüber, dass Mitarbeitende des Contact Tracings auch nach ihrem Weggang noch Zugang hatten zu den über 900000 Datensätzen positiv getesteter Personen. Die Gesundheitsdirektion meldete den Vorfall der Datenschutzbeauftragten.

Bei einem Vorfall dieses Ausmasses führt die Datenschutzbeauftragte weitergehende Abklärungen durch. Sie ergaben, dass ein mangelhaftes Rechtemanagement bestand. Nach Bekanntwerden des Vorfalls wurden die nicht mehr benötigten Zugriffsberechtigungen gelöscht und die Verantwortlichkeiten wurden geklärt. Inzwischen wurde das Contact-Tracing-System abgeschaltet und alle Daten wurden entsprechend den Fristen des Covid-Gesetzes unwiderruflich gelöscht.

Im Sommer 2022 wurde die Stadt Bülach Opfer eines Ransomware-Hackerangriffs. Über mehrere Tage war die Stadtverwaltung nicht per E-Mail erreichbar. Nach erfolgter Meldung stand die Datenschutzbeauftragte mit der Stadtverwaltung im Austausch und liess sich detailliert informieren.

Die Datenschutzbeauftragte beschrieb in ihrer Stellungnahme zum Vorfall Massnahmen zur Verbesserung der Informationssicherheit. Damit soll weiteren Vorfällen vorgebeugt werden, unter anderem durch die regelmässige Sensibilisierung der Mitarbeitenden für Informationssicherheitsfragen. Für die Umsetzung der Massnahmen wird eine Frist gesetzt. Die Datenschutzbeauftragte kontrolliert die Umsetzung.