Teils erhebliche Mängel durch Kontrollen aufgedeckt
Im Jahr 2024 führte die Datenschutzbeauftragte 74 Kontrollen durch. Kontrolliert wurden Spitex-Organisationen, Schulen, Kirchgemeinden, Alterszentren sowie Ämter oder Direktionen. Zudem wurden Gemeinden zur Kontrolle per Selbstdeklaration eingeladen.
Das Amt für Informatik (AFI) stattet die Mitarbeitenden der kantonalen Verwaltung mit dem neuen Digitalen Arbeitsplatz (DAP) aus. Der DAP basiert unter anderem auf den Microsoft-Produkten Exchange Online und Sharepoint Online. Bei der Nutzung dieser Produkte handelt es sich um eine Auslagerung (Bearbeiten im Auftrag im Sinne des Gesetzes über die Information und den Datenschutz, IDG). Daten werden nicht mehr auf den eigenen Servern oder den Servern eines Hosting-Anbieters, sondern in der Cloud von Microsoft bearbeitet und gespeichert.
Microsoft untersteht als US-amerikanisches Unternehmen dem sogenannten CLOUD Act. Damit können US-Behörden Microsoft verpflichten, Daten ihrer Kundinnen und Kunden herauszugeben, selbst wenn diese Daten nicht in Datenzentren in den USA gespeichert sind. Microsoft darf unter Umständen das öffentliche Organ nicht einmal über die entsprechende Anordnung informieren. Zudem haben das öffentliche Organ respektive die betroffenen Personen keine Verfahrensrechte. Diese Zugriffsmöglichkeit ist aus datenschutzrechtlicher Sicht rechtswidrig. Deshalb dürfen Daten, die unter einem besonderen Amtsgeheimnis oder dem Berufsgeheimnis stehen, nur in der Cloud von Microsoft bearbeitet oder gespeichert werden, wenn technische Massnahmen eine einseitige Möglichkeit zur Kenntnisnahme durch Microsoft ausschliessen. Alternativ können diese Daten bei der Nutzung von M365 im Rahmen einer hybriden Lösung ausserhalb der Microsoft-Cloud bearbeitet und gespeichert werden.
In einer Stichprobe hat die Datenschutzbeauftragte den Einsatz des DAP überprüft. Beim kontrollierten öffentlichen Organ untersteht ein Grossteil der Daten einem besonderen Amtsgeheimnis. Zudem werden viele besondere Personendaten bearbeitet. Der Fokus lag auf der Verwendung des DAP und der Auslagerung an Microsoft.
Bei der Kontrolle stellte die Datenschutzbeauftragte aus rechtlicher Perspektive insbesondere fest, dass der E-Mail-Server Exchange Online ohne umfassende Verschlüsselung verwendet wird und damit Zugriffe von US-Behörden auf die Inhalte der E-Mails nicht verhindert. Die Absicherung (Härtung) der Geräte und Dienste des DAP ist ungenügend. So werden beispielsweise nur acht statt zwölf Zeichen lange Passwörter verwendet. Schliesslich waren Umfang, Aufbewahrung sowie Löschung von Telemetriedaten nicht geregelt. Verbesserungspotential gibt es zudem unter anderem beim Vulnerability-Management, dem Risikomanagement sowie der Schulung und Sensibilisierung der Mitarbeitenden.
Lücken bei Prozessen und Vorgaben
Die Datenschutzbeauftragte hat das Generalsekretariat einer Direktion mit dem Fokus auf den Prozessen und Vorgaben zum Datenschutz kontrolliert. Die Kontrolle zeigte eine hohe Sensibilisierung bei den verantwortlichen Personen. Es besteht ein systematischer und sinnvoller Ansatz zum Aufbau eines Datenschutzmanagementsystems. Verbesserungspotenzial besteht in der vollständigen Umsetzung der Datenschutzanforderungen in der ganzen Direktion (wie beispielsweise Klärung der detaillierten Verantwortlichkeiten, Vervollständigung von Prozessen zu Datenschutzvorfällen, Datenschutz-Folgeabschätzungen, Informationszugangs-, Berichtigungs- und Löschgesuchen sowie die vertragliche Regelung der Auslagerung an die Entsorgungsunternehmung).
Unrechtmässige Abfragen beim Schengener Informationssystem
Die Schweiz ist Teil des Schengener Abkommens. Damit haben Schweizer Behörden wie Polizei oder Einwohnerkontrollen Zugriff auf das Schengener Informationssystem (SIS). Darin sind unter anderem Personen gespeichert, welche zur Fahndung ausgeschrieben, vermisst oder mit einer Einreisesperre belegt sind. Die Zugriffe auf das SIS sind stark reglementiert und sind auf das notwendige Minimum zu beschränken. Wie gemäss den europäischen Erlassen gefordert, hat die Datenschutzbeauftragte in einer Zürcher Behörde überprüft, ob dies der Fall ist. Dabei wurde festgestellt, dass Mitarbeitende aus Neugier auch Prominente oder Verwandte abgefragt haben. Das ist nicht zulässig. Die Behörde wird nun die Mitarbeiter stärker schulen.
Verbesserungen bei Polis-Zugriffskontrollen
Im Polizei-Informationssystem Polis speichern die beteiligten Polizeien einen Grossteil ihrer Daten. Dazu gehören Freisprüche, Einstellungen und Nichtanhandnahmen im Strafverfahren, die von den Strafbehörden regelmässig übermittelt und von den beteiligten Polizeien nachzuführen sind. Das Polizeigesetz sieht vor, dass die Datenschutzbeauftragte die Aktualität und die Nachführung der in den Datenbearbeitungssystemen gespeicherten Daten überwacht. Eine entsprechende Kontrolle hat die Datenschutzbeauftragte im Jahr 2024 vorgenommen. Zusätzlich wurde geprüft, ob und wie die Zugriffe auf das Polis kontrolliert werden. Die Kontrolle zeigte eine ausführliche interne Prozessdokumentation für die Nachführung der polizeilichen Datenbearbeitungssysteme sowie eine umfassende Protokollierung der Zugriffe.
Eine Absicherung der mobilen Geräte für Spitex-Mitarbeitende, regelmässige Updates sowie die konsequente Verwendung einer Zwei-Faktor-Authentifizierung sind sehr wichtig. Die Datenschutzbeauftragte stellte fest, dass dies meist nicht der Fall war.
Teils erhebliche Mängel bei Spitex-Organisationen
Im Kanton Zürich gibt es 71 Spitex-Organisationen mit Leistungsaufträgen von Gemeinden. Rund 5’500 Mitarbeitende versorgen so mehrere zehntausend Patientinnen und Patienten während rund 2,5 Millionen Stunden. Die Datenschutzbeauftragte kontrollierte in einer Stichprobe die Informationssicherheit bei 17 Spitex-Organisationen. Sie haben mit ähnlichen Problemen zu kämpfen wie die Alterszentren, welche die Datenschutzbeauftragte 2023 kontrolliert hat. Der Mensch steht im Zentrum und nicht der Computer. Zudem ist die Fluktuation hoch und die Spitex-Mitarbeitenden sind häufig unterwegs bei den Patientinnen und Patienten.
Die festgestellten Mängel sind grundsätzlich sehr ähnlich wie bei Alterszentren. Im Gegensatz zur stationären Pflege sind Spitex-Mitarbeitende jedoch fast ausschliesslich unterwegs. Darum sind eine Absicherung der mobilen Geräte, regelmässige Updates sowie die konsequente Verwendung einer Zwei-Faktor-Authentifizierung sehr wichtig. Die Datenschutzbeauftragte stellte fest, dass dies meist nicht der Fall war.
Nur wenige Spitex-Organisationen verfügen über ein umfassendes Konzept zur Informationssicherheit und zum Datenschutz. Darum wurden bei den Kontrollen häufig Mängel bei der Schulung und Sensibilisierung, bei der Weisung über die Informationssicherheit und zum Datenschutz sowie den zugehörigen Prozessen wie beispielsweise Verhalten bei Informationssicherheitsvorfällen festgestellt. Die Datenschutzbeauftragte stellt öffentlichen Organen umfangreiche Vorlagen für ein Informationssicherheits- und Datenschutz-Managementsystem zur Verfügung.
In der Pflegedokumentation einer Spitex sind viele heikle Informationen über die Patientinnen und Patienten gespeichert, wie etwa Arztberichte, Dosierung von Medikamenten oder Sturzprotokolle. Damit sich Spitex-Mitarbeitende gegenseitig vertreten können, haben meist alle Nutzenden Zugriff auf sämtliche Patienteninformationen. Sie dürfen jedoch nur Informationen zu Patientinnen und Patienten lesen, für die sie auch verantwortlich sind. Um unrechtmässige Zugriffe zu erkennen, müssen Lesezugriffe aufgezeichnet und regelmässig kontrolliert werden. Dies war bei fast keiner Spitex der Fall.