"Wenn wir kontrollieren, wird auch etwas bewirkt", sagt die Datenschutzbeauftragte Dominika Blonski. Bild: Pascal TurinDie Datenschutzbeauftragte des Kantons Zürich hatte im vergangenen Jahr viel zu tun. 2024 standen Kirchgemeinden und Spitex-Organisationen im Fokus ihrer Kontrollen. Die Datenschützerin hat dabei zum Teil erhebliche Mängel festgestellt. Zudem wird die Cloud-Lösung Microsoft 365 immer mehr zum Zankapfel.
Fangen wir mit dem Positiven an: „Wenn wir kontrollieren, wird auch etwas bewirkt“, sagt Dominika Blonski. So trage man dazu bei, dass der Datenschutz im Kanton Zürich insgesamt besser werde. Blonski ist die Datenschutzbeauftragte des Kantons Zürich. Kürzlich hat sie an einer Medienkonferenz ihren Tätigkeitsbericht 2024 vorgestellt.
Wer den Bericht studiert, stellt schnell fest, dass viele öffentliche Organe punkto Datenschutz Luft nach oben haben. Die Datenschutzbeauftragte hat bei ihren Kontrollen – aber auch durch Meldungen von Datenschutzvorfällen – nämlich teilweise erhebliche Mängel festgestellt.
Das ist ein Problem, denn der Schutz unserer Daten wird angesichts der international zunehmenden Cyberrisiken immer relevanter. Im Vorwort schreibt Blonski, dass gerade deshalb die Umsetzung der datenschutzrechtlichen Vorgaben und der Massnahmen zur Informationssicherheit von hoher Bedeutung sei. „Erfolgt dies nicht, geht das Vertrauen der Bevölkerung verloren – und dieses Vertrauen ist essenziell, damit die öffentlichen Organe ihre Aufgaben erfüllen können“, so die Datentschutzbeauftragte. Sie und ihr Team führten im vergangenen Jahr 74 Kontrollen durch – deutlich mehr als noch 2023, als es 60 Kontrollen gewesen waren.
Wenn eine Institution kontrolliert wurde, wird ein Kontrollbericht verfasst. Was nicht gut läuft wird festgehalten und die Umsetzung wird dann in Nachkontrollen überprüft. Unter die Lupe genommen hat Zürichs Datenschützerin neben Spitex-Organisationen auch Schulen, Ämter, Direktionen sowie Kirchenorganisationen und Gemeinden.
Flüchtigkeitsfehler als Hauptursache
Im vergangenen Jahr erhielt die Datenschutzbeauftragte diverse Meldungen zu Datenschutzvorfällen. Laut dem Tätigkeitsbericht ereigneten sich die meisten Vorfälle in der kantonalen Verwaltung sowie in Spitälern. Hinzukommen aber immer mehr auch Gemeinden oder Städte. „Von total 82 Meldungen im Jahr 2024 waren rund zwei Drittel auf Fehler beim Versand von Daten zurückzuführen“, heisst es im Bericht. Hauptursache sind Flüchtigkeitsfehler oder falsche Stammdaten, also zum Beispiel Adressen, gewesen.
Weitere Beispiele zeigen, dass Cyberangriffe uns alle im Geschäftsalltag treffen können:
- Einmal wurden die Zugangsdaten eines Mitarbeiters einer Gemeinde missbraucht, um rund 800 Phishing-E-Mails, also betrügerische Nachrichten, von seinem Konto zu verschicken und E-Mails zu löschen.
- Ein anderes Mal stahlen Angreifer die Zugangsdaten von 80 Personen einer Schule. Die Zugangsdaten wurden danach an 500 interne E-Mail-Adressen verschickt – zusammen mit antisemitischen Inhalten.
Doch nicht alles kann auf Internetbetrugsversuche und Cyberkriminelle zurückgeführt werden. So soll ein Patient in einer Klinik mit seinem Smartphone eine Liste mit Patientendaten gefilmt und die Aufnahme anschliessend auf das Videoportal Tiktok gestellt haben. „Die Klinik reagierte sofort und veranlasste deren Löschung. Zudem wurden die Mitarbeitenden unter anderem dahingehend sensibilisiert, dass sämtliche Bild- und Tonaufnahmen auf dem gesamten Gelände der Klinik verboten sind“, heisst es im Tätigkeitsbericht.
Viel Verbesserungspotenzial vorhanden
2024 wurden in einer Stichprobe 17 der insgesamt 71 Spitex-Organisationen mit kommunalen Leistungsaufträgen kontrolliert. Weil die Spitex-Mitarbeitenden meist unterwegs sind und mit mobilen Geräten arbeiten, braucht es besondere Sicherheitsmassnahmen – etwa regelmässige Software-Updates oder eine doppelte Anmeldung (Zwei-Faktor-Authentifizierung), damit Unbefugte keinen Zugriff auf sensible Daten haben. Doch genau diese Vorkehrungen wurden gemäss dem Tätigkeitsbericht der Datenschutzbeauftragten nur selten getroffen.
Was bei der Spitex ebenfalls Thema ist: Mehrere Mitarbeitende müssen auf die Informationen zu einzelnen Patientinnen und Patienten Zugriff haben. Darum ist es wichtig, dass die jeweiligen Mitarbeitenden nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen.
Die Datenschutzbeauftragte führte ausserdem in sieben Kirchgemeinden der römisch-katholischen und evangelisch-reformierten Kirche Kontrollen durch. Auch bei den Kirchen ist Verbesserungspotenzial vorhanden. Sie sind ebenfalls durch unsichere mobile Geräte, fehlende Sicherheitsvorgaben und veraltete Betriebssysteme negativ aufgefallen. Auch der Schutz geschäftlicher Daten im Homeoffice muss verbessert werden. Immerhin: „Es gibt ein sehr hohes Bewusstsein für das Thema Datenschutz“, sagt Dominika Blonski. Und Back-ups – also Datensicherungen – waren vorhanden.
Damit sich die Situation in Zukunft verbessert, arbeitet die Datenschutzbeauftragte nun mit dem Synodalrat der katholischen Kirche des Kantons Zürich und der evangelisch-reformierten Landeskirche des Kantons Zürich zusammen. Wie Blonski an der Medienkonferenz ausführte, habe man die Kirchen über die Schwachstellen informiert und mit ihnen angeschaut, wie man sie beheben kann.
Generell gilt: Je grösser die Institution, desto besser hat sie das Thema Datenschutz im Griff. „Je mehr Know-how vorhanden ist, desto besser kann man sich juristisch oder technisch mit dem Thema beschäftigen“, erklärt Blonski.
Datenverschlüsselung ist wichtig
Eine auf Rathuus schon thematisierte und auch im Tätigkeitsbericht angesprochene Problematik sind Cloud-Dienste – insbesondere von US-amerikanischen Anbietern. Viele Verwaltungen in der Schweiz – darunter die Stadt und der Kanton Zürich – setzen beispielsweise auf Microsoft 365 oder planen die Einführung der Cloud-Lösung. Neben allen nützlichen Funktionen, die Microsoft 365 mit den Büroprogrammen Word, Outlook, Excel oder Teams bietet, gibt es aus Sicht des Datenschutzes Risiken.
Einerseits liegen die Daten bei Cloud-Diensten nicht mehr auf dem eigenen Computer, andererseits untersteht Microsoft als US-Unternehmen dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) der USA – also der Gesetzgebung des US-Kongresses. Der CLOUD Act erlaubt es amerikanischen Behörden, auf Daten von US-Firmen zuzugreifen – unabhängig davon, wo diese Daten auf der Welt gespeichert sind. „Diese Zugriffsmöglichkeit ist aus datenschutzrechtlicher Sicht rechtswidrig“, heisst es dazu im Tätigkeitsbericht.
Sensible Daten, etwa solche, die unter einem besonderen Amtsgeheimnis oder dem Berufsgeheimnis stehen, müssen so verschlüsselt werden, dass die Cloud-Anbieter keine Möglichkeit haben, darauf zuzugreifen. Die Datenschutzbeauftragte hat für die Nutzung von Microsoft 365 einen Leitfaden erstellt.
Der Softwarekonzern Microsoft selbst setzt sich laut eigener Aussage „intensiv für den Datenschutz unserer Kunden und die Wahrung ihrer Privatsphäre ein“. Ein Microsoft-Sprecher sagte im März gegenüber Rathuus: „Wir haben umfangreiche technische, vertragliche und organisatorische Massnahmen getroffen, um Daten zu schützen und sicherzustellen, dass wir bei der Beantwortung von Anfragen von Strafverfolgungsbehörden die geltenden Gesetze einhalten.“
Microsoft 365 sorgt für Zoff in Luzern
Auch in den Behörden sind nicht alle mit der Umstellung auf Microsoft 365 glücklich. „Der Luzerner Regierungsrat stellt den kantonalen IT-Sicherheitschef frei – aufgrund von dessen Kritik an der Einführung der Microsoft-Cloud“, schrieb vor kurzem die „Republik“. Das Onlinemagazin verwies im Artikel auf mehrere nicht genannte Quellen.
Die Geschichte geht aber noch weiter: Wie das Onlineportal Zentralplus gestern Montag berichtete, hat die Luzerner Regierung bekannt gegeben, dass sie Anzeige gegen Unbekannt erstattet – wegen Amtsgeheimnisverletzung. „Im veröffentlichten Artikel wurden drei Dokumente zitiert und in ihrer Gesamtheit öffentlich zugänglich gemacht, die dem Amtsgeheimnis unterliegen“, heisst es in der Mitteilung des Kantons Luzern. Es handle sich um den Regierungsratsbeschluss zur Einführung von Microsoft 365, eine Stellungnahme des vormaligen kantonalen Datenschutzbeauftragten an die Dienststelle Informatik sowie eine Stellungnahme des Kantonsgerichtes an den Regierungsrat. „Der Regierungsrat toleriert die unbefugte Herausgabe von amtlichen Dokumenten an Externe nicht“, schreibt der Kanton Luzern.
Kanton Zürich muss Stellung nehmen
Die Debatte zu Microsoft 365 beschränkt sich nicht auf den Kanton Luzern. Auch am Zürcher Regierungsrat zieht das Thema nicht vorbei. Er musste sich kürzlich hinsichtlich des Einsatzes der Cloud-Lösung in der kantonalen Verwaltung äussern. Hintergrund ist eine Anfrage der Kantonsrätinnen und Kantonsräte Selma L’Orange Seigo (Grüne), Tobias Langenegger (SP), Marc Bochsler (SVP), Tina Deplazes (Die Mitte), Martin Huber (FDP) und Markus Schaaf (EVP).
„Vor der Inbetriebnahme von Microsoft 365 wurde eine umfassende Bewertung der Risiken in Bezug auf die Informationssicherheit und den Datenschutz durchgeführt“, schreibt der Regierungsrat. Bestandteil dieser Analyse sei unter anderem die Bewertung des Risikos eines behördlichen Zugriffs, der sich auf einen Rechtserlass stütze und ein Unternehmen unter bestimmten Voraussetzungen zur Herausgabe von Kundendaten zwinge.
„Der Regierungsrat ist der Ansicht, dass sich der gewählte Ansatz zur Risikoanalyse bewährt hat und dass die Fragestellung, die dem gewählten Modell in Bezug auf die Bewertung des Risikos eines ‚Lawful Access‘ zugrunde liegt, nach wie vor treffend ist und die gegenwärtigen Risiken widerspiegelt“, heisst es in der Antwort auf Behördendeutsch. Mit „Lawful Access“ meint der Regierungsrat den Fall, dass US-Behörden auf Grundlage des CLOUD Acts Cloud-Anbieter wie Microsoft zur Herausgabe gespeicherter Kundendaten zwingen können.
Die Frage bleibt, ob Verwaltungen zwingend auf Microsoft 365 angewiesen sind. Sie hätten durchaus die Möglichkeit, auf andere Software oder andere Dienstleister aus der Europäischen Union oder der Schweiz zu setzen oder zumindest einen Wechsel ins Auge zu fassen. Dominika Blonski riet an der Medienkonferenz auf Nachfrage zwar nicht direkt von der Nutzung von Microsoft 365 ab. Sie liess aber durchblicken, dass es Alternativen zu amerikanischen Produkten gibt.
Die Staatsgewalt wird im Kanton Zürich in drei verschiedene Bereiche aufgeteilt: die Legislative, die Exekutive und die Judikative. Bild: Pascal Turin
Gewaltenteilung im Kanton Zürich (v. l.): Die Illustration soll Parlament, Regierung und Justiz darstellen. Bild: Generiert mit DALL-E von OpenAI
Ferienstimmung im Rathuus-Podcast: Während Lorenz Steinmann gedanklich noch über den Alpen kreist, versucht Pascal Turin den Landeanflug auf die Zürcher Politik. Bild: Generiert mit DALL-E von OpenAI
Quartiervereine sorgen für Leben in den Quartieren, etwa mit der Unterstützung dieses Turnfestes in Affoltern im Jahr 2024. Doch bei den Finanzen sind sich die Quartierkonferenz und die Stadt in die Haare geraten. Bild: Lorenz Steinmann
Haben wir alle die gleichen Chancen und wie gerecht ist unser Bildungssystem? Es braucht nicht viel zu Fantasie, um zu glauben, dass es Kinder aus weniger bildungsaffinen Familien schwerer haben. Bild: Pascal Turin, Bildmontage: Rathuus
Michael Schmid (AL): "Mein grösster politischer Erfolg? Dass das Parlament kürzlich Einschränkungen zur Werbung im öffentlichen Raum gutgeheissen hat." Bild: Diana Studerus
Noch vor dem Mittagsansturm posiert Yiea Wey Te (42) für Fotos. Seit seine Eltern im Ruhestand sind, führt der FDP-Politiker das Thai-Restaurant Ah-Hua gemeinsam mit seinen Brüdern. Bild: Pascal Turin
„Die illegale Migration muss eingeschränkt werden. Sie nimmt den echten Schutzbedürftigen die Plätze und die Ressourcen weg“, sagt FDP-Kantonsrat Yiea Wey Te. Bild: Pascal Turin
Bald drohen Verhältnisse wie hier an der französischen Mittelmeerküste: komplizierte Parkuhren, bei denen man die Autonummer eingeben muss. Bild: Lorenz Steinmann
"Die derzeitige Zürcher Politik ist sehr von links-grünen Ideologien geprägt", findet die Stadtzürcher Mitte-Gemeinderätin Karin Stepinski. Bild: zvg
Das wäre eine Punktlandung gewesen. Mit den jährlichen 600 Franken des neuen städtischen Mobilitätsbeitrags hätte es 1977 dieses Velo der Marke Eddy Merckx gegeben. Bild: ETH-Bibliothek Zürich, Bildarchiv / Com_L26-0009-0008-0001