Dominika Blonski, die Datenschutzbeauftragte des Kantons Zürich, hat ihren Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin nimmt sie Bezug auf die Digitalisierung der Verwaltung, den Einsatz neuer elektronischer Systeme bei der Polizei und im Justizvollzug sowie das Bedürfnis von Spitälern, in die Cloud zu gehen. "Die Intransparenz der Datenbearbeitungen und der Verlust der Kontrolle über die Daten führen zu neuen Risiken für die öffentlichen Organe", schreibt Blonski.
Deshalb hat sie im Jahr 2022 zahlreiche umfangreiche und auch komplexe Beratungen durchgeführt. Unter anderem verlangte die Datenschutzbeauftragte für das kantonale Polizei- und Justizzentrum (PJZ) eine klare Regelung für die Aufbewahrungsfrist und die Löschung von Daten. Das elektronische Zugangssystem im Justizgebäude erfasst eine grosse Anzahl Personendaten, die oft in Zusammenhang mit einer Strafuntersuchung stehen.
Daraus entstünden hohe Risiken für die Grundrechte der betroffenen Personen. Rund 2000 Mitarbeitende wie auch Besucherinnen und Besucher betreten und verlassen das Gebäude täglich. Zudem werden auch im Gefängnis Zürich West grosse Mengen besonderer Personendaten gesammelt. Doch auch hier sei der Grundsatz der Verhältnismässigkeit zu wahren, schreibt Blonski.
Insgesamt stellte die Datenschutzbeauftragte fest, dass in der Strafvollzugsanstalt zu viele Datenkategorien bearbeitet werden. Auch sei ihr nicht genügend dargelegt worden, dass diese Daten geeignet und erforderlich sind, um die gewünschten Ziele zu erreichen. Zudem beurteilte sie den Einsatz von externen Mitarbeitenden als kritisch, weil sie Zugriff auf das System und damit auf sensitive Personendaten haben.
Cloud nur mit Verschlüsselung
Im Jahr 2022 wurde ebenfalls viel über die Einführung und Anwendung von Microsoft 365 diskutiert. Zwar seien ihr bis zum Jahresabschluss keine Vorhaben zur Vorabkontrolle vorgelegt worden, aber die Datenschutzbeauftragte habe öffentliche Institutionen bei der datenschutzkonformen Umsetzung von neuen Projekten unterstützt. "Die Verantwortung für die Einhaltung der Bestimmungen des Datenschutzes liegt allerdings bei den öffentlichen Institutionen", heisst es im Bericht.
Dominika Blonski bezieht sich im Bericht auch auf die Nutzung von M365 in Spitälern. Immer häufiger werden Gesundheitsdaten in die Cloud ausgelagert, schreibt sie. 2022 musste die Behörde mehrfach darauf hinweisen, dass Personendaten unter dem Berufsgeheimnis, aber auch Gesundheitsdaten ganz allgemein, nur dann in Clouds von amerikanischen Anbietern ausgelagert werden dürfen, wenn sie ausreichend verschlüsselt sind und der Schlüssel beim Spital liegt.
Sie verweist darauf, dass die US-Unternehmen dem "Cloud Act" unterstehen, der den dortigen Behörden auch einen Zugriff auf Daten gewährt, selbst wenn diese nicht in den USA gespeichert sind. Die Geheimhaltungspflicht könne deshalb nur eingehalten werden, wenn die amerikanischen Anbieter die Personendaten nicht entschlüsseln können. Gleiches gelte auch für Bestrebungen von Religionsgemeinschaften, personenbezogene Daten in der Cloud zu bearbeiten.
"Daten zu religiösen Aktivitäten sind in jedem Fall besondere Personendaten", sagt die Datenschützerin. Sie beurteilte zum Beispiel ein Vorhaben einer Landeskirche, die nachhaltige E-Mobilität bei ihren Mitarbeitenden fördern will. Dabei wies sie darauf hin, dass bei der Evaluation darauf zu achten sei, dass keine Rückschlüsse auf einzelne Personen möglich sind. Nur die Entfernung des Namens würde nicht automatisch Daten anonymisieren, schreibt Blonski in ihrem Bericht.