Elek­tro­ni­sche Mel­dun­gen zu über­trag­ba­ren In­fek­ti­ons­krank­hei­ten

Auf dieser Plattform werden Gesundheitsdaten bearbeitet. Diese gehören zu den besonderen Personendaten im Sinne des Gesetzes über die Information und den Datenschutz (IDG), bei denen von einem erhöhten Risiko für die Grundrechte der Betroffenen auszugehen ist. Ausserdem läuft die Plattform in der Cloud eines privaten Auftragnehmers. Die Bearbeitung von besonderen Personendaten in der Cloud kann erhöhte Risiken in Bezug auf den Persönlichkeitsschutz von betroffenen Personen mit sich bringen. Deshalb führte die Datenschutzbeauftragte vor dem Einsatz dieser Lösung eine Vorabkontrolle durch. Im Rahmen der Vorabkontrolle prüfte die Datenschutzbeauftragte, ob die Voraussetzungen der geplanten Datenbearbeitung erfüllt sind.

Bezüglich der Rechtmässigkeit der Datenbearbeitung hielt die Datenschutzbeauftragte fest, dass besondere Personendaten wie Gesundheitsdaten nur bearbeitet werden dürfen, wenn dies in einer gesetzlichen Grundlage vorgesehen ist. Entsprechende rechtliche Grundlagen für die Bearbeitung von Gesundheitsdaten finden sich im Zusammenhang mit der Bekämpfung von übertragbaren Krankheiten auf Bundesebene im Epidemiengesetz und auf kantonaler Ebene in der Vollzugsverordnung zur eidgenössischen Epidemiengesetzgebung. Personendaten dürfen ausserdem nur zu dem Zweck bearbeitet werden, für den sie erhoben wurden. Auch diese Voraussetzung war vorliegend erfüllt, denn die Gesundheitsdaten werden für die Überwachung und Früherkennung von übertragbaren Krankheiten erhoben. Die Plattform soll genau diese Früherkennung durch eine Standardisierung vereinfachen.

Das Datenschutzrecht verlangt weiter, dass jede Datenbearbeitung zur Erfüllung der gesetzlichen Aufgaben geeignet und erforderlich ist und die Bearbeitung den Betroffenen vor dem Hintergrund der öffentlichen Interessen zugemutet werden kann. Nur dann ist eine Bearbeitung verhältnismässig. Die neue Plattform ist geeignet, um die öffentliche Gesundheit zu schützen. Zum Schutz der öffentlichen Gesundheit gehört auch die Früherkennung von gefährlichen Krankheiten sowie die damit verbundene Prävention. Durch die Formalisierung des Meldeprozesses wird zudem die Effizienz der Aufgabenerfüllung gesteigert und Fehler bei manuellen Datenbearbeitungsschritten werden vermieden. Eine weniger eingreifende Massnahme, die gleich gut geeignet ist, wurde der Datenschutzbeauftragten nicht vorgelegt.

Mit der Bearbeitung von Gesundheitsdaten geht ein erhebliches Risiko für die Privatsphäre der betroffenen Personen einher. Deshalb ist diese nur dann zumutbar, wenn der Einsatz der neuen Bearbeitung gewichtigen öffentlichen Interessen dient und zum Schutz der besonderen Personendaten entsprechend technische und organisatorische Massnahmen getroffen werden. Der Schutz der öffentlichen Gesundheit vor Infektionskrankheiten dient einem gewichtigen öffentlichen Interesse. Das öffentliche Interesse überwiegt in diesem Fall die privaten Interessen der betroffenen Personen, weshalb die Datenbearbeitung zumutbar ist, sofern auch dem Risiko angemessene technische und organisatorische Massnahmen durch den Kantonsärztlichen Dienst getroffen werden.

Das IDG sieht vor, dass die Nachvollziehbarkeit der Bearbeitung gewährleistet sein muss. Bei der Bearbeitung von Personendaten auf dieser Plattform werden dazu sämtliche Veränderungen, Zugriffe, Zugriffsversuche und Fehlermeldungen aufgezeichnet. Dadurch kann jederzeit nachvollzogen werden, wie die Personendaten bearbeitet werden. Ausserdem müssen die betroffenen Personen stets Zugang zu den eigenen Personendaten haben. Bei der Plattform fehlte dazu ein Konzept und die Bezeichnung einer zuständigen Stelle. Die Datenschutzbeauftragte wies deshalb darauf hin, dass ein entsprechendes Konzept erarbeitet werden muss, bevor mit dem Einsatz begonnen wird. Die Datenschutzbeauftragte beriet dahingehend, dass sowohl die Nachvollziehbarkeit als auch der Ablauf für Zugangsgesuche berücksichtigt werden muss und entsprechende Prozesse zu erstellen sind.

Da die Plattform in der Cloud eines externen Auftragnehmers läuft, lag ausserdem ein Bearbeiten im Auftrag beziehungsweise eine Auftragsdatenbearbeitung vor. Für Auslagerungen hat der Regierungsrat die allgemeinen Geschäftsbedingungen bei der Auslagerung von Datenbearbeitungen unter Inanspruchnahme von Informatikdienstleistungen beschlossen und für die zentrale Verwaltung für verbindlich erklärt. Die AGB setzen das IDG in Vertragsbestimmungen um und legen die Mindeststandards des Datenschutzes fest. Die Datenschutzbeauftragte wies deshalb auf die Pflicht hin, die AGB in das Vertragsverhältnis mit dem externen Auftragnehmer zu integrieren. Den Mindeststandards ist in der Vertragshierarchie der höchste Rang zu geben. Sie dürfen weder durch den Hauptvertrag noch durch andere Vertragsdokumente aufgeweicht werden. Weiter ist der Auftragnehmer, der die Cloud betreibt, einer Geheimhaltungs- und Schweigepflicht zu unterstellen. Die Datenschutzbeauftragte wies daraufhin, dass der Vertrag zur neuen Plattform entsprechend angepasst werden muss.

Die AGB des Regierungsrats sorgten im konkreten Fall für die Bereinigung diverser Lücken: Bei der Nutzung einer Cloud ist zum Beispiel erforderlich, dass der Auftragnehmer, der die Cloud betreibt, das öffentliche Organ über die verwendete Technik und die möglichen Orte einer Datenbearbeitung informiert. Sämtliche besonderen Personendaten müssen umfassend verschlüsselt sein. Ausserdem muss der Anbieter die Verschlüsselung während des gesamten Bearbeitungsprozesses inklusive Vernichtung garantieren. Diese Bestimmungen fehlten im ursprünglichen Vertrag. Dieser sah zudem vor, dass der Anbieter bei einer eventuellen Vertragsauflösung für Unterstützungshandlungen entschädigt werden sollte. Auch hier stellte die Datenschutzbeauftragte einen Widerspruch gegen die Mindeststandards der AGB fest, da die Unterstützungshandlungen danach unentgeltlich zu erbringen sind.

Zusätzlich zu diesem rechtlichen Schutz überprüfte die Datenschutzbeauftragte auch die technischen und organisatorischen Massnahmen, die den Datenschutz ergänzend sicherstellen sollen. Dazu gehörte beispielsweise eine klare Definition der Personendaten, die mit den Bundesbehörden ausgetauscht werden, die Beschränkung der zugriffsberechtigten Personen auf die notwendigen Personenkreise und das Erstellen von Gruppen mit verschiedenen Zugriffsberechtigungen. Es müssen Gefährdungsanalysen und umfassende Sicherheitsprüfungen durchgeführt sowie entsprechende Konzepte erstellt werden.