Zürich Zürcher Datenschutzbeauftragte fordert bessere Abläufe

Wenn auf einer amtlichen Website plötzlich Namenslisten öffentlich einsehbar sind, sei diese Datenschutzverletzung zwar vordergründig auf einen Fehler eines Mitarbeitenden zurückzuführen, hält die kantonale Datenschutzbeauftragte fest. Doch liege das Problem letztlich bei der eingesetzten Technik und den gewählten Prozessen.

Denn die Fehler des Menschen liessen sich verhindern oder deren Folgen zumindest mindern, indem grundlegende technische und organisatorische Massnahmen umgesetzt werden, schreibt Dominika Blonski in ihrem am Mittwoch vorgestellten Tätigkeitsbericht 2021.

So müssten beispielsweise mobile Datenträger für den Fall, dass sie verloren gehen oder gestohlen werden, immer verschlüsselt sein. Und beim Einsatz von privaten Geräten müssten die Mitarbeitenden regelmässig auf minimale Sicherheitsanforderungen aufmerksam gemacht werden. Dazu gehöre etwa eine Bildschirmsperre, die automatisch nach einer kurzen Zeitspanne der Inaktivität greife.

Meldepflicht für Datenschutzvorfälle

Für öffentliche Organe besteht seit einiger Zeit eine Meldepflicht von Datenschutzvorfällen. Die eingegangenen Meldungen zeigten «die alltäglichen Herausforderungen der öffentlichen Organe im Bereich der Informationssicherheit», heisst es im Bericht.

Ein öffentliches Organ stellte den Gemeinden in einem passwortgeschützten Bereich seiner Website Listen von registrierten Personen zur Verfügung. Über eine externe Suchmaschine konnten diese Listen aber ohne Passwort von jedem Internetsurfenden gefunden und eingesehen werden. Die für den Internetauftritt zuständige Stelle konnte den Konfigurationsfehler denn rasch beheben.

Mehrere Meldungen gingen auch ein, weil beim Versenden von E-Mails immer wieder die Adressen aller Empfängerinnen und Empfänger sichtbar waren. So werden oft auch sensitive Informationen über Personen bekanntgeben, warnt Blonski.

Denn wenn es etwa um Quarantäneverfügungen oder um Mitteilungen von Regionalen Arbeitsvermittlungszentren gehe, seien Rückschlüsse auf den gesundheitlichen Zustand oder die wirtschaftliche Situation möglich. «Hier könnten Mailinglisten einen guten Schutz bieten.»

Den Daten Sorge tragen

Gefahren sieht die Datenschutzbeauftragte unter anderem auch bei Cloud-Lösungen, bei denen grosse internationale Tech-Firmen den Takt vorgeben. «Das öffentliche Organ kann sich seiner Verantwortung für den Schutz der Daten auch bei der Auslagerung nicht entziehen.»

Schliesslich sei den Daten auch Sorge zu tragen – denn wo Daten vorhanden seien, würden sie auch gern nachgefragt, schreibt Blonski. Sie verweist auf das Beispiel einer Liegenschaftenverwaltung, die sich bei der Einwohnerkontrolle erkundigte, ob in ihrem Haus Mieter lebten, die einen Hund hielten – was ihre Hausordnung verbiete.

Ohne gesetzliche Grundlage dürfen die Daten aber nicht herausgegeben werden: «Das Hundegesetz regelt die Anmeldung von Hunden bei der Einwohnergemeinde», heisst es im Tätigkeitsbericht. Es sehe aber nicht vor, dass diese Informationen an Private bekannt gegeben werden.

Die kantonale Datenschutzbeauftragte warnt aber nicht nur: «Die gute Nachricht ist, dass neue Technologien auch eingesetzt werden können, um zusätzliche Sicherheit für Daten zu schaffen.» Es lohne sich, die Anliegen des Datenschutzes früh zu berücksichtigen.

olgr, sda