Die Fachstelle für Datenschutz des Kantons St. Gallen (FDS) hat ihren Tätigkeitsbericht für das Jahr 2024 veröffentlicht. Darin berichtet sie vom Ergebnis einiger konkreter Prüfungen von Applikationen, verweist aber auch auf grundlegende, weiter bestehende Probleme. Insbesondere, so die FDS, habe man "immer wieder" festgestellt, dass bei Vorhaben mit hohem Risiko rechtliche Abklärungen vernachlässigt würden. Die IT-Security werde durch öffentliche Organe zwar geprüft und dokumentiert, aber häufig seien keine Rechtsgrundlagenanalysen vorhanden. Auch die Auseinandersetzung mit der Verhältnismässigkeit finde oft nicht statt.

Aufgrund des Legalitätsprinzips sei aber sämtliches staatliches Handeln an das Recht gebunden. Erst wenn eine genügende Rechtsgrundlage vorhanden ist, könne überhaupt geprüft werden, welche Massnahmen technischer und organisatorischer Art ergriffen werden müssen, um die Datenschutzbestimmungen einzuhalten.

Zu den Projekten mit hohem Risiko zählt die FDS unter anderem die Einführung von M365, die Ablösung von SAP HCM, E-Collecting, Electronic Monitoring und die Fachapplikation Tutoris.

Seit dem Herbst 2024 läuft im Kanton die rollende Einführung von M365. Fachapplikationen, in denen häufig besonders schützenswerte Personendaten bearbeitet werden, und dazu gehört natürlich M365, müssten auch langfristig bestehen bleiben, so die Datenschützer. Vertraglich müsse sichergestellt werden, dass Microsoft die Personendaten nur für die vereinbarten Zwecke verwenden darf. Der Grundsatz der Zweckmässigkeit sei angesichts der Herausforderungen von Künstlicher Intelligenz besonders wichtig. Zudem müssten regelmässig auch Alternativen geprüft werden. Für die Bürgerinnen und Bürger müsse zudem klar ersichtlich sein, wenn ihre Daten in der Cloud von Microsoft bearbeitet werden.

Die Personaladministrationssoftware von SAP sollte abgelöst werden und die Schnittstellenintegration neu über die SAP Integration Suite in der Cloud in Schweizer Rechenzentren erfolgen, so die FDS. Die Fachstelle hat dazu umfangreiche Empfehlungen zur Verhältnismässigkeit und Zweckbestimmung, zur Protokollierung und Logfiles, zur Informationspflicht, Berechtigungen und Zugriffen, Penetrations-Tests und Sensibilisierung abgegeben. Der Vertrag mit Dritten müsse datenschutzkonform ausgestaltet werden, so die FDS, und die Weiterübertragung der Datenbearbeitung an ein anderes Unternehmen müsse vorher schriftlich Zustimmung vom öffentlichen Organ genehmigt werden. Subunternehmer aus einem Land mit nicht angemessenem Datenschutzniveau müssten ausgeschlossen werden. Des Weiteren ist die FDS der Ansicht, dass eine pauschale Aufbewahrungsdauer von zehn Jahren nicht angemessen ist.

Zum E-Collecting halten die Datenschützer fest, dass Logfiles in regelmässigen Abständen mittels Stichproben manuell auf Vollständigkeit und Richtigkeit überprüft werden müssten. Vor der Aufschaltung solle ein Pen-Test durchgeführt werden, um eventuelle Risiken zu minimieren. Mittels Sensibilisierung und Weiterbildung solle zudem sichergestellt werden, dass alle Anwendenden die Rechtsgrundlagen und Voraussetzungen für Datenbekanntgaben kennen.

Ein Fall von mangelnder rechtlicher Abklärung ist wohl das Electronic Monitoring. Dabei handelt es sich um den elektronisch überwachten Vollzug einer Freiheitsstrafe ausserhalb einer Vollzugseinrichtung. Mit der Einführung eines neuen technischen Systems wäre unter anderem auch eine kontinuierliche oder zeitweise Kontrolle von Alkoholwerten im Blut möglich. Dies sei aber rechtlich gar nicht zulässig, wenn es routinemässig geschieht, so die FDS. Diese Massnahme könne nur durch ein Gericht und nur für individuelle Fälle angeordnet werden.

Tutoris ist eine Fachanwendung im Migrationswesen. Bei dieser Anwendung habe man festgestellt, dass die Zugriffsberechtigungen zu weit sind. Es dürften aber nur Personen Zugriff haben, welche die Daten für ihre gesetzliche Aufgabenerfüllung benötigen. Zudem habe man verschiedene technische Empfehlungen, so zur Wiederherstellung von Backups, zur Verschlüsselung und zum Logging gemacht.