St. Galler Datenschutz: Keine heiklen Daten auf US-Servern


News Redaktion
Schweiz / 04.05.21 12:26

Die St. Galler Fachstelle für Datenschutz hat sich 2020 unter anderem mit den Folgen der Pandemie beschäftigt: Für Homeoffice oder Fernunterricht werden teilweise Programme eingesetzt, die nicht gesetzeskonform sind. Ein Dauerbrenner ist die Datenspeicherung auf US-Servern.

Die Pandemie hat  für einen Digitalisierungsschub gesorgt. Nicht alle Anwendungen, die während des Lockdowns in aller Eile heruntergeladen wurden, erfüllen die Vorgaben des Datenschutzes. (Symbolbild) (FOTO: KEYSTONE/GAETAN BALLY)
Die Pandemie hat für einen Digitalisierungsschub gesorgt. Nicht alle Anwendungen, die während des Lockdowns in aller Eile heruntergeladen wurden, erfüllen die Vorgaben des Datenschutzes. (Symbolbild) (FOTO: KEYSTONE/GAETAN BALLY)

Die Tätigkeit der kantonalen Fachstelle für Datenschutz war 2020 - wenig überraschend - von den Auswirkungen der Corona-Pandemie geprägt. Im Frühjahr, als der erste Lockdown begann, gab es einen Digitalisierungsschub: Im grossen Stil wurde unter anderem Software für Videokonferenzen heruntergeladen und genutzt.

Die eilig eingeführten digitale Lösungen hätten wohl nicht immer dem bisherigen Standard entsprochen, heisst es in dem am Dienstag veröffentlichten Bericht der Fachstelle. Anwendungen, etwa im Schulbereich, die nicht vollumfänglich gesetzeskonform seien, müssten nach der Pandemie ersetzt werden.

Ein konkretes Corona-Thema waren Prüfungen in einer Bildungseinrichtung, die online absolviert und mit Video und Audio überwacht wurden. Die Fachstelle entdeckte gleich mehrere Probleme: Die Prüfungsergebnisse seien zwar auf den Servern der Bildungseinrichtung, die Prüfungsumgebung aber auf US-Servern gespeichert worden. Diese Speicherung der Daten in den USA sei nicht angemessen. Auch sei nicht ersichtlich, weshalb bei den schriftlichen Prüfungen Audioaufnahmen notwendig waren.

Die Datenschutzprobleme mit Applikationen, die aus den USA stammen, ziehen sich wie ein roter Faden durch den Tätigkeitsbericht. Eines der Beispiele: Eine öffentliche Stelle wollte eine neue Antivirus-Software eines US-Unternehmens einsetzen, die auf künstlicher Intelligenz und maschinellem Lernen basiert. Dazu gibt es viele Vorbehalte.

Besonders schützenswerte Personendaten und solche, die einem Berufs- oder Amtsgeheimnis unterliegen, dürfen nicht in einer US-Cloud bearbeitet werden, heisst es in den Ausführungen der Fachstelle. Das US-Produkt kann nur verwendet werden, wenn keine vergleichbare Software aus einem Land mit angemessenem Datenschutzniveau verfügbar ist. Und: Es muss Schweizer Recht gelten und der Gerichtsstand muss auch in der Schweiz sein.

Immer mehr Tätigkeiten werden digitalisiert. So wird in einem Spital einen Software eingesetzt, mit der Vorgesetzte abwesendes Personal erfassen kann. Dabei handle es sich um besonders schützenswerte Personendaten. Es müsse eine Applikation gewählt werden, die keinen Bezug zur USA habe. Zugriffe von ausserhalb dürften nur über das interne Netzwerk sowie innerhalb der Schweiz erfolgen, so die Vorgaben.

Fragezeichen gibt es auch zum Einsatz von Office 365 an Schulen oder in der Verwaltung. Eine rechtskonforme Nutzung setze die Unterzeichnung einer Zusatzvereinbarung voraus, die bestimme, dass Schweizer Recht und der Gerichtsstand in der Schweiz gelten. Zudem dürften damit keine besonders schützenswerten Personendaten bearbeitet werden.

Ein klassischer Fall für den Datenschutz war eine Webcam auf einer Baustelle, mit der unter anderem auch Passanten erkennbar aufgenommen wurden. Dafür hätte es eine Rechtsgrundlage gebraucht. Die Fachstelle verlangte, dass die Kamera so aufgestellt wird, dass weder Personen noch Fahrzeuge erkennbar sind und dass die Kamera nur während den Arbeitszeiten auf der Baustelle Bilder aufnimmt.

Es gibt weitere Beispiele von fehlenden Rechtsgrundlagen. Dazu gehört die Applikation Infosearch, mit der die Kantonspolizei verdeckt erhobene Informationen verwalten wollte. Das gleiche Problem hatte eine Software, die das Baudepartement nutzen wollte. In der Anwendung namens Dorian sollten nicht anonymisierte Entscheide, Rechtsauskünfte, Urteile und Verfügungen gesammelt werden.

Die Fachstelle verlangte eine Anonymisierung. Das Baudepartement entgegnete, dass die Namen das Suchkriterium für die Unterlagen seien. Auch hier stellte die Fachstelle fest, dass dafür zuerst die Rechtsgrundlagen vorliegen müssten. Der Tätigkeitsbericht 2020 wird nun dem Kantonsrat vorgelegt und in einer der kommenden Sessionen behandelt.

(sda)


Anzeige

Das könnte Sie auch interessieren

Europäische Bewegung Schweiz für Abkommen mit EU bis Sommer
Schweiz

Europäische Bewegung Schweiz für Abkommen mit EU bis Sommer

Die Europäische Bewegung Schweiz will eine raschen Abschluss des Rahmenabkommens, des "Schlüsselvertrags", mit der EU bis zum Sommer. Das fordert sie in einem Appell, den sie am Samstag an ihrer Generalversammlung verabschiedete. Zudem gab sie sich einen neuen Namen.

Das Schweizer Nationalteam bleibt im Rennen um die EM-Plätze
Sport

Das Schweizer Nationalteam bleibt im Rennen um die EM-Plätze

Die Schweizer Volleyball-Nationalmannschaft gewinnt das zweite Spiel der EM-Qualifikation. Beim 25:18, 25:21, 26:24 gegen Albanien gerät das Team von Trainer Mario Motta nur ansatzweise in Bedrängnis.

Angetrunkener 18-Jähriger spuckt Polizisten an
Schweiz

Angetrunkener 18-Jähriger spuckt Polizisten an

Ein angetrunkener 18-jähriger Schweizer hat am Dienstag einen Polizisten in Winterthur angespuckt. Nun hat er eine Anzeige wegen Gewalt und Drohung gegen Beamte am Hals.

Subventionen abgezweigt: Zürcher Gericht verurteilt 75-Jährige
Regional

Subventionen abgezweigt: Zürcher Gericht verurteilt 75-Jährige

Eine 75-jährige Zürcherin hat während Jahren kantonale Gelder abgezweigt, die eigentlich für Jugendliche ohne Lehrstelle gedacht waren. Das Bezirksgericht hat sie am Mittwoch nun zu einer bedingten Freiheitsstrafe von 12 Monaten verurteilt.