Zürcher Datenschützerin kritisiert Polizei- und Justizzentrum

7. Juni 2023 um 10:16
image
Dominika Blonski. Foto: Datenschutzbeauftragte des Kantons Zürich

Die kantonale Datenschutzbehörde hatte 2022 alle Hände voll zu tun. Besonders beschäftigten sie digitale Systeme in der Justiz und Cloud-Anwendungen von Spitälern.

Dominika Blonski, die Daten­schutz­beauftragte des Kantons Zürich, hat ihren Tätigkeitsbericht für das Jahr 2022 vorgelegt. Darin nimmt sie Bezug auf die Digitalisierung der Verwaltung, den Einsatz neuer elektronischer Systeme bei der Polizei und im Justizvollzug sowie das Bedürfnis von Spitälern, in die Cloud zu gehen. "Die Intransparenz der Datenbearbeitungen und der Verlust der Kontrolle über die Daten führen zu neuen Risiken für die öffentlichen Organe", schreibt Blonski.
Deshalb hat sie im Jahr 2022 zahlreiche umfangreiche und auch komplexe Beratungen durchgeführt. Unter anderem verlangte die Datenschutz­be­auf­tragte für das kantonale Polizei- und Justizzentrum (PJZ) eine klare Regelung für die Aufbewahrungsfrist und die Löschung von Daten. Das elektronische Zugangssystem im Justizgebäude erfasst eine grosse Anzahl Personendaten, die oft in Zusammenhang mit einer Strafuntersuchung stehen.
Daraus entstünden hohe Risiken für die Grundrechte der betroffenen Personen. Rund 2000 Mitarbeitende wie auch Besucherinnen und Besucher betreten und verlassen das Gebäude täglich. Zudem werden auch im Gefängnis Zürich West grosse Mengen besonderer Personendaten gesammelt. Doch auch hier sei der Grundsatz der Verhältnismässigkeit zu wahren, schreibt Blonski.
Insgesamt stellte die Datenschutzbeauftragte fest, dass in der Strafvoll­zugs­an­stalt zu viele Datenkategorien bearbeitet werden. Auch sei ihr nicht genügend dargelegt worden, dass diese Daten geeignet und erforderlich sind, um die gewünschten Ziele zu erreichen. Zudem beurteilte sie den Einsatz von externen Mitarbeitenden als kritisch, weil sie Zugriff auf das System und damit auf sensitive Personendaten haben.

Cloud nur mit Verschlüsselung

Im Jahr 2022 wurde ebenfalls viel über die Einführung und Anwendung von Microsoft 365 diskutiert. Zwar seien ihr bis zum Jahresabschluss keine Vorhaben zur Vorabkontrolle vorgelegt worden, aber die Daten­schutz­be­auf­tragte habe öffentliche Institutionen bei der datenschutzkonformen Umsetzung von neuen Projekten unterstützt. "Die Verantwortung für die Einhaltung der Bestimmungen des Datenschutzes liegt allerdings bei den öffentlichen Institutionen", heisst es im Bericht.
Dominika Blonski bezieht sich im Bericht auch auf die Nutzung von M365 in Spitälern. Immer häufiger werden Gesundheitsdaten in die Cloud ausgelagert, schreibt sie. 2022 musste die Behörde mehrfach darauf hinweisen, dass Personendaten unter dem Berufsgeheimnis, aber auch Gesundheitsdaten ganz allgemein, nur dann in Clouds von amerikanischen Anbietern ausgelagert werden dürfen, wenn sie ausreichend verschlüsselt sind und der Schlüssel beim Spital liegt.
Sie verweist darauf, dass die US-Unternehmen dem "Cloud Act" unterstehen, der den dortigen Behörden auch einen Zugriff auf Daten gewährt, selbst wenn diese nicht in den USA gespeichert sind. Die Geheimhaltungspflicht könne deshalb nur eingehalten werden, wenn die amerikanischen Anbieter die Personendaten nicht entschlüsseln können. Gleiches gelte auch für Bestrebungen von Religionsgemeinschaften, personenbezogene Daten in der Cloud zu bearbeiten.
"Daten zu religiösen Aktivitäten sind in jedem Fall besondere Personendaten", sagt die Datenschützerin. Sie beurteilte zum Beispiel ein Vorhaben einer Landeskirche, die nachhaltige E-Mobilität bei ihren Mitarbeitenden fördern will. Dabei wies sie darauf hin, dass bei der Evaluation darauf zu achten sei, dass keine Rückschlüsse auf einzelne Personen möglich sind. Nur die Entfernung des Namens würde nicht automatisch Daten anonymisieren, schreibt Blonski in ihrem Bericht.

Loading

Mehr zum Thema

image

Schaffhauser eID+ wird Ende Jahr eingestellt

Die kantonseigene elektronische Identität wird durch das Agov-Login des Bundes ersetzt.

publiziert am 4.10.2024
image

EuGH schränkt Datennutzung durch Facebook und Co. ein

Die zeitlich unbeschränkte Datenspeicherung sowie die Aggregierung aller möglichen Daten für Werbezwecke entspricht laut dem EU-Gericht nicht den Grundsätzen der DSGVO.

publiziert am 4.10.2024
image

OpenAI holt sich 6,6 Milliarden Dollar von Investoren

Der ChatGPT-Entwickler hat Investoren offenbar gebeten, konkurrierende KI-Startups wie Anthropic und xAI nicht zu unterstützen.

publiziert am 4.10.2024
image

Erneut keine Einigung über Chatkontrolle in der EU

Die Abstimmung wurde im zuständigen Ausschuss ein weiteres Mal verschoben. Ist die Chatkontrolle damit endgültig ein "totes Pferd"?

publiziert am 4.10.2024