Datenschutz St. Galler Datenschutz: Keine heiklen Daten auf US-Servern

ka, sda

4.5.2021 - 12:54

Die Pandemie hat  für einen Digitalisierungsschub gesorgt. Nicht alle Anwendungen, die während des Lockdowns in aller Eile heruntergeladen wurden, erfüllen die Vorgaben des Datenschutzes. (Symbolbild)
Die Pandemie hat für einen Digitalisierungsschub gesorgt. Nicht alle Anwendungen, die während des Lockdowns in aller Eile heruntergeladen wurden, erfüllen die Vorgaben des Datenschutzes. (Symbolbild)
Keystone

Die St. Galler Fachstelle für Datenschutz hat sich 2020 unter anderem mit den Folgen der Pandemie beschäftigt: Für Homeoffice oder Fernunterricht werden teilweise Programme eingesetzt, die nicht gesetzeskonform sind. Ein Dauerbrenner ist die Datenspeicherung auf US-Servern.

ka, sda

Die Tätigkeit der kantonalen Fachstelle für Datenschutz war 2020 – wenig überraschend – von den Auswirkungen der Corona-Pandemie geprägt. Im Frühjahr, als der erste Lockdown begann, gab es einen Digitalisierungsschub: Im grossen Stil wurde unter anderem Software für Videokonferenzen heruntergeladen und genutzt.

Die eilig eingeführten digitale Lösungen hätten «wohl nicht immer dem bisherigen Standard entsprochen», heisst es in dem am Dienstag veröffentlichten Bericht der Fachstelle. Anwendungen, etwa im Schulbereich, die nicht vollumfänglich gesetzeskonform seien, müssten nach der Pandemie ersetzt werden.

Prüfungsdaten in den USA gespeichert

Ein konkretes Corona-Thema waren Prüfungen in einer Bildungseinrichtung, die online absolviert und mit Video und Audio überwacht wurden. Die Fachstelle entdeckte gleich mehrere Probleme: Die Prüfungsergebnisse seien zwar auf den Servern der Bildungseinrichtung, die Prüfungsumgebung aber auf US-Servern gespeichert worden. Diese Speicherung der Daten in den USA sei «nicht angemessen». Auch sei nicht ersichtlich, weshalb bei den schriftlichen Prüfungen Audioaufnahmen notwendig waren.

Die Datenschutzprobleme mit Applikationen, die aus den USA stammen, ziehen sich wie ein roter Faden durch den Tätigkeitsbericht. Eines der Beispiele: Eine öffentliche Stelle wollte eine neue Antivirus-Software eines US-Unternehmens einsetzen, die auf künstlicher Intelligenz und maschinellem Lernen basiert. Dazu gibt es viele Vorbehalte.

Besonders schützenswerte Personendaten und solche, die einem Berufs- oder Amtsgeheimnis unterliegen, «dürfen nicht in einer US-Cloud bearbeitet werden», heisst es in den Ausführungen der Fachstelle. Das US-Produkt kann nur verwendet werden, wenn keine vergleichbare Software «aus einem Land mit angemessenem Datenschutzniveau» verfügbar ist. Und: «Es muss Schweizer Recht gelten und der Gerichtsstand muss auch in der Schweiz sein».

Immer mehr Tätigkeiten werden digitalisiert. So wird in einem Spital einen Software eingesetzt, mit der Vorgesetzte abwesendes Personal erfassen kann. Dabei handle es sich um besonders schützenswerte Personendaten. Es müsse eine Applikation gewählt werden, die keinen Bezug zur USA habe. Zugriffe von ausserhalb dürften nur über das interne Netzwerk sowie innerhalb der Schweiz erfolgen, so die Vorgaben.

Fragezeichen gibt es auch zum Einsatz von Office 365 an Schulen oder in der Verwaltung. Eine rechtskonforme Nutzung setze die Unterzeichnung einer Zusatzvereinbarung voraus, die bestimme, dass Schweizer Recht und der Gerichtsstand in der Schweiz gelten. Zudem dürften damit keine besonders schützenswerten Personendaten bearbeitet werden.

Fehlende Rechtsgrundlagen

Ein klassischer Fall für den Datenschutz war eine Webcam auf einer Baustelle, mit der unter anderem auch Passanten erkennbar aufgenommen wurden. Dafür hätte es eine Rechtsgrundlage gebraucht. Die Fachstelle verlangte, dass die Kamera so aufgestellt wird, dass weder Personen noch Fahrzeuge erkennbar sind und dass die Kamera nur während den Arbeitszeiten auf der Baustelle Bilder aufnimmt.

Es gibt weitere Beispiele von fehlenden Rechtsgrundlagen. Dazu gehört die Applikation Infosearch, mit der die Kantonspolizei verdeckt erhobene Informationen verwalten wollte. Das gleiche Problem hatte eine Software, die das Baudepartement nutzen wollte. In der Anwendung namens Dorian sollten nicht anonymisierte Entscheide, Rechtsauskünfte, Urteile und Verfügungen gesammelt werden.

Die Fachstelle verlangte eine Anonymisierung. Das Baudepartement entgegnete, dass die Namen das Suchkriterium für die Unterlagen seien. Auch hier stellte die Fachstelle fest, dass dafür zuerst die Rechtsgrundlagen vorliegen müssten. Der Tätigkeitsbericht 2020 wird nun dem Kantonsrat vorgelegt und in einer der kommenden Sessionen behandelt.