Auch Zürcher Datenschützer braucht mehr Leute

4. Juli 2018, 12:22
image

Baeriswyl warnt vor mangelnden Ressourcen, dem naiven Umgang mit Personendaten und ermahnt Behörden zur Vorsicht beim Schritt in die Cloud.

Baeriswyl warnt vor mangelnden Ressourcen, dem naiven Umgang mit Personendaten und ermahnt Behörden zur Vorsicht beim Schritt in die Cloud.
Der Zürcher Datenschützer warnt im Rahmen der heutigen Präsentation seines Tätigkeitsberichts, er brauche mehr Ressourcen. Bekanntlich ist dies auch in anderen Kantonen ein Thema. Der Luzerner Datenschützer hat deshalb jüngst den Bettel geschmissen
Das Team des Kantonalen Datenschützers Bruno Baeriswyl umfasst 9,2 Vollzeitstellen.
Kurzfristig müsste er bis zu drei Stellen und längerfristig bis zu sechs Stellen mehr haben, um den Kanton Zürich digital auch rechtlich fit zu machen, wie er am Rande einer Medienkonferenz gegenüber der Nachrichtenagentur 'sda' sagte.
Mangelhafte Risikobeurteilung
Schulen und Verwaltungen im Kanton Zürich seien im Umgang mit Personendaten oftmals naiv. Sie möchten bei der Digitalisierung die Nase vorne haben, blenden in ihrer Euphorie aber Risiken aus. "Man will Rückstände aufholen, aber die Risiken werden überhaupt nicht thematisiert", sagte Baeriswyl.
Bei jeder digitalen Aktivität fallen Randdaten and, die Auskunft über den Aufenthalt, das Verhalten und die Interessen der Menschen haben könnten. Deshalb sei bei Digitalisierungsprojekten, von Anfang an auf datenschutzfreundliche Technologien zu setzen. Gleichzeitig müsse die Löschung von Daten fest in die Abläufe integriert werden, fordert der Datenschutzbeauftragte.
In diesem Kontext gab es aber Lob für die ZVV-App, respektive deren Check-In-Ticket. Um ein solches Ticket zu Erwerben müssen Reisende dem Einsteigen über ihre App einchecken und nach dem Aussteigen wieder auschecken. Am Ende des Tages wird automatisch der korrekte Preis verrechnet. Gemäss Bericht sammelt die ZVV nur Daten, die für die Berechnung des Preises benötigt werden. Auch der Zugriff auf die Daten sei restriktiv geregelt.
Passwörter im Klartext
2017 habe der Datenschutzbeauftragte zahlreiche Websites öffentlicher Organe gezielt nach bekannten Sicherheitslücken und Schwachstellen untersucht. Drei der geprüften Websites hätten Passwörter im Klartext gespeichert. In zwei weiteren Fällen sei eine Lücke gefunden worden, die es Angreifern ermöglichen, eigene Befehle in die SQL-Datenbank einzuschleusen.
Die Liste der gefundenen Schwachstellen decke sich weitgehend mit der Schwachstellen-Top-10 des Open Web Application Security Projects (OWASP).
Empfehlungen werden nicht immer umgesetzt
2017 überprüfte der Datenschutzbeauftragte auch, ob seine Empfehlungen aus früheren Berichtsjahren umgesetzt wurden. Häufig sei festgestellt worden, dass Massnahmen ungenügend umgesetzt worden waren. Teilweise habe man gar keine Verbesserungen feststellen können. Baeriswyl will deshalb die Nachkontrollen intensivieren, um die Wirkung und Nachhaltigkeit der Datenschutzreviews sicherzustellen.
Kontrolle eines Outsourcers
Zum ersten Mal habe der Datenschutzbeauftragte auch einen Outsourcing-Dienstleister überprüft, der rund 50 Zürcher Gemeinden als Kunden zählt. Die Resultate seien erfreulich und würden zeigen, dass der Anbieter die Anforderungen an den Datenschutzes und an die Sicherheit sehr gut erfülle.
Schwerpunkt Cloud Computing
Im Zusammenhang mit dem Thema Cloud Computing sehe sich die Datenschutzstelle mit immer mehr Anfragen von Behörden oder Spitälern konfrontiert. Diese erhoffen sich, Investitionen in Soft- und Hardware zu sparen. Aber der Komfort der Online-Angebote bringe einen massiven Kontrollverlust und ungenügende Transparenz mit sich.
Dabei liege die Krux meist im Geschäftsmodell, sagte Baeriswyl. Nichts sei gratis, denn wer nicht für einen Dienst bezahle, gebe seine Daten preis. Jedoch bleiben Schulen und andere öffentliche Organe für die Einhaltung des Datenschutzes verantwortlich. Deshalb können sie Tools wie Whatsapp, Dropbox und Co. nicht einsetzen. Hingegen hat man für den Bildungsbereich mit Microsoft ein Rahmenvertrag für die datenschutzkonforme Nutzung von Office 365 abschliessen können.
Auch Institutionen im Gesundheitsbereich setzen zunehmend auf Cloud-Lösungen. Hier gelte es, mit technischen Massnahmen und rechtlichen Vereinbarungen den Schutz des Arzt- und Patientengeheimnisses sicherzustellen. Der Bearbeitung dürfen grundsätzlich keine Geheimnispflichten entgegenstehen, heisst es im Bericht. Deshalb müssen die Daten verschlüsselt werden, um die Kenntnisnahme der Informationen durch Dritte zu verhindern.
Der vollständige Tätigkeitsbericht 2017 kann auf der Website des Kantonalen Datenschutzbeauftragen heruntergeladen werden. (Katharina Jochum/sda)

Loading

Mehr zum Thema

image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022