Grundrechte gelten auch in der digitalen Cloud
Die kantonale Fachstelle für Datenschutz beschäftigte sich im Jahr 2022 unter anderem mit Microsoft 365. Öffentliche Organe müssen besonders sorgfältig prüfen, welche Daten sie in dieser Cloud bearbeiten dürfen und welche nicht. Gesetzliche Neuerungen bei der präventiven Polizeiarbeit sind datenschutzrechtlich eine Herausforderung. An die gesetzlichen Grundlagen müssen besonders hohe Anforderungen gestellt werden.
Die kantonale Fachstelle für Datenschutz veröffentlichte ihren Tätigkeitsbericht über das Jahr 2022. Thema im Berichtsjahr war die Datenbearbeitung in Microsoft 365, der Cloud von Microsoft. Die Vereinigten Staaten verfügen gemäss der Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten nicht über ein vergleichbares Datenschutzniveau wie die Schweiz. Zudem ermöglicht der Cloud Act den US-Strafbehörden auf in- und ausländische Server Zugriff zu nehmen, ohne Weg über die internationale Rechtshilfe.
Für öffentliche Organe wie Kanton und Gemeinden gelten die rechtsstaatlichen Prinzipien und sie sind an die Grundrechte gebunden. Sie müssen deshalb besonders sorgfältig prüfen, welche Personendaten in einer solchen Cloud bearbeitet werden dürfen und welche nicht. Der Kontrollverlust, der mit einer solchen Datenbearbeitung einhergeht, ist auch zu berücksichtigen. Zudem entsteht eine grosse Abhängigkeit. Es stellt sich die Frage, was geschieht, wenn der Vertrag zum Beispiel wegen einer Vertragsverletzung gekündigt werden muss.
Im Berichtsjahr gingen bei der Fachstelle für Datenschutz zwei Meldungen betreffend Datenschutzverletzung ein. Im einen Fall ging es um einen verlorenen unverschlüsselten USB-Stick mit sensiblen Daten. Die Fachstelle für Datenschutz empfiehlt verschiedene Massnahmen: Den Verzicht auf den Einsatz von Sticks oder dass diese verschlüsselt werden, die Sensibilisierung der Mitarbeitenden und die Bestimmung der Verantwortlichkeiten für die Meldung von Datenschutzverletzungen.
Der zweite gemeldete Fall betraf die Bearbeitung von Personendaten in einem Bereich mit Zugangsbeschränkung. Während einer gewissen Zeit war es möglich, dass Personen Daten einsehen konnten, die sie für ihre Aufgabenerfüllung nicht benötigten. Die Bearbeitung dieses Falles ist noch nicht ganz abgeschlossen.
In der präventiven Polizeiarbeit sind verschiedene Neuerungen vorgesehen, so etwa das predictive policing, die Führung einer Gefährderliste oder Regelungen zum polizeilichen Datenaustausch. Die präventive Polizeiarbeit ist in datenschutzrechtlicher Hinsicht sehr heikel. Es werden Personendaten nicht im Rahmen eines formellen Verfahrens bearbeitet, sondern ungesicherte Informationen verwendet. Es muss vermieden werden, dass umfangreiche Datensammlungen nur aufgrund eines vagen Verdachts entstehen. An die gesetzlichen Grundlagen müssen daher besonders hohe Anforderungen gestellt werden. So ist die Fachstelle für Datenschutz der Ansicht, dass die Speicherdauer beim polizeilichen Datenaustausch im Gesetz selbst geregelt werden muss.
Bei der Arbeit der Fachstelle für Datenschutz spielen sowohl rechtliche als auch technische Fragen eine Rolle. Um beides abdecken zu können, ist seit April 2023 ein Mitarbeiter für IT-Audit bei der Fachstelle tätig. Es zeigt sich, das nicht mehr die Anzahl der Geschäfte ausschlaggebend ist für den Arbeitsaufwand. Vielmehr ist das Volumen von der Komplexität und der Interdisziplinarität abhängig.
Der Bericht kann im Ratsinformationssystem unter diesem Link nachgelesen werden.