Zürcher Datenschützerin deckt Probleme auf

Die Datenschutzbeauftragte des Kantons Zürich hatte im vergangenen Jahr viel zu tun. 2024 standen Kirchgemeinden und Spitex­-Organisationen im Fokus ihrer Kontrollen. Die Datenschützerin hat dabei zum Teil erhebliche Mängel festgestellt. Zudem wird die Cloud-Lösung Microsoft 365 immer mehr zum Zankapfel.

Fangen wir mit dem Positiven an: „Wenn wir kontrollieren, wird auch etwas bewirkt“, sagt Dominika Blonski. So trage man dazu bei, dass der Datenschutz im Kanton Zürich insgesamt besser werde. Blonski ist die Datenschutzbeauftragte des Kantons Zürich. Kürzlich hat sie an einer Medienkonferenz ihren Tätigkeitsbericht 2024 vorgestellt.

Wer den Bericht studiert, stellt schnell fest, dass viele öffentliche Organe punkto Datenschutz Luft nach oben haben. Die Datenschutzbeauftragte hat bei ihren Kontrollen – aber auch durch Meldungen von Datenschutzvorfällen – nämlich teilweise erhebliche Mängel festgestellt.

Das ist ein Problem, denn der Schutz unserer Daten wird angesichts der international zunehmenden Cyberrisiken immer relevanter. Im Vorwort schreibt Blonski, dass gerade deshalb die Umsetzung der datenschutzrechtlichen Vorgaben und der Massnahmen zur Informationssicherheit von hoher Bedeutung sei. „Erfolgt dies nicht, geht das Vertrauen der Bevölkerung verloren – und dieses Vertrauen ist essenziell, damit die öffentlichen Organe ihre Aufgaben erfüllen können“, so die Datentschutzbeauftragte. Sie und ihr Team führten im vergangenen Jahr 74 Kon­trollen durch – deutlich mehr als noch 2023, als es 60 Kontrollen gewesen waren.

Wenn eine Institution kontrolliert wurde, wird ein Kontrollbericht verfasst. Was nicht gut läuft wird festgehalten und die Umsetzung wird dann in Nachkontrollen überprüft. Unter die Lupe genommen hat Zürichs Datenschützerin neben Spitex-Organisationen auch Schulen, Ämter, Direktionen sowie Kirchenorganisationen und Gemeinden.

Flüchtigkeitsfehler als Hauptursache

Im vergangenen Jahr erhielt die Datenschutzbeauftragte diverse Meldungen zu Datenschutzvorfällen. Laut dem Tätigkeitsbericht ereigneten sich die meisten Vorfälle in der kantonalen Verwaltung sowie in Spitälern. Hinzukommen aber immer mehr auch Gemeinden oder Städte. „Von total 82 Meldungen im Jahr 2024 waren rund zwei Drittel auf Fehler beim Versand von Daten zurückzuführen“, heisst es im Bericht. Hauptursache sind Flüchtigkeitsfehler oder falsche Stammdaten, also zum Beispiel Adressen, gewesen.

Weitere Beispiele zeigen, dass Cyberangriffe uns alle im Geschäftsalltag treffen können:

• Einmal wurden die Zugangsdaten eines Mitarbeiters einer Gemeinde missbraucht, um rund 800 Phishing-E-Mails, also betrügerische Nachrichten, von seinem Konto zu verschicken und E-Mails zu löschen.
• Ein anderes Mal stahlen Angreifer die Zugangsdaten von 80 Personen einer Schule. Die Zugangsdaten wurden danach an 500 interne E-Mail-Adressen verschickt – zusammen mit antisemitischen Inhalten.

Doch nicht alles kann auf Internetbetrugsversuche und Cyberkriminelle zurückgeführt werden. So soll ein Patient in einer Klinik mit seinem Smartphone eine Liste mit Patientendaten gefilmt und die Aufnahme anschliessend auf das Videoportal Tiktok gestellt haben. „Die Klinik reagierte sofort und veranlasste deren Löschung. Zudem wurden die Mitarbeitenden unter anderem dahingehend sensibilisiert, dass sämtliche Bild- und Tonaufnahmen auf dem gesamten Gelände der Klinik verboten sind“, heisst es im Tätigkeitsbericht.

Viel Verbesserungspotenzial vorhanden

2024 wurden in einer Stichprobe 17 der insgesamt 71 Spitex-Organisationen mit kommunalen Leistungsaufträgen kon­trolliert. Weil die Spitex-Mitarbeitenden meist unterwegs sind und mit mobilen Geräten arbeiten, braucht es besondere Sicherheitsmassnahmen – etwa regelmässige Software-Updates oder eine doppelte Anmeldung (Zwei-Faktor-Authentifizierung), damit Unbefugte keinen Zugriff auf sensible Daten haben. Doch genau diese Vorkehrungen wurden gemäss dem Tätigkeitsbericht der Datenschutzbeauftragten nur selten getroffen. 

Was bei der Spitex ebenfalls Thema ist: Mehrere Mitarbeitende müssen auf die Informationen zu einzelnen Patientinnen und Patienten Zugriff haben. Darum ist es wichtig, dass die jeweiligen Mitarbeitenden nur auf die Daten zugreifen können, die sie für ihre Arbeit benötigen.

Die Datenschutzbeauftragte führte ausserdem in sieben Kirchgemeinden der römisch-katholischen und evangelisch-reformierten Kirche Kontrollen durch. Auch bei den Kirchen ist Verbesserungspotenzial vorhanden. Sie sind ebenfalls durch unsichere mobile Geräte, fehlende Sicherheitsvorgaben und veraltete Betriebssysteme negativ aufgefallen. Auch der Schutz geschäftlicher Daten im Homeoffice muss verbessert werden. Immerhin: „Es gibt ein sehr hohes Bewusstsein für das Thema Datenschutz“, sagt Dominika Blonski. Und Back-ups – also Datensicherungen – waren vorhanden.

Damit sich die Situation in Zukunft verbessert, arbeitet die Datenschutzbeauftragte nun mit dem Synodalrat der katholischen Kirche des Kantons Zürich und der evangelisch-reformierten Landeskirche des Kantons Zürich zusammen. Wie Blonski an der Medienkonferenz ausführte, habe man die Kirchen über die Schwachstellen informiert und mit ihnen angeschaut, wie man sie beheben kann.

Generell gilt: Je grösser die Institution, desto besser hat sie das Thema Datenschutz im Griff. „Je mehr Know-how vorhanden ist, desto besser kann man sich juristisch oder technisch mit dem Thema beschäftigen“, erklärt Blonski.

Datenverschlüsselung ist wichtig

Eine auf Rathuus schon thematisierte und auch im Tätigkeitsbericht angesprochene Problematik sind Cloud-Dienste – insbesondere von US-amerikanischen Anbietern. Viele Verwaltungen in der Schweiz – darunter die Stadt und der Kanton Zürich – setzen beispielsweise auf Microsoft 365 oder planen die Einführung der Cloud-Lösung. Neben allen nützlichen Funktionen, die Microsoft 365 mit den Büroprogrammen Word, Outlook, Excel oder Teams bietet, gibt es aus Sicht des Datenschutzes Risiken.

Einerseits liegen die Daten bei Cloud-Diensten nicht mehr auf dem eigenen Computer, andererseits untersteht Microsoft als US-Unternehmen dem CLOUD Act (Clarifying Lawful Overseas Use of Data Act) der USA – also der Gesetzgebung des US-Kongresses. Der CLOUD Act erlaubt es amerikanischen ­Behörden, auf Daten von US-Firmen zu­zugreifen – unabhängig davon, wo diese Daten auf der Welt gespeichert sind. „Diese Zugriffsmöglichkeit ist aus datenschutzrechtlicher Sicht rechtswidrig“, heisst es dazu im Tätigkeitsbericht.

Sensible Daten, etwa solche, die unter einem besonderen Amtsgeheimnis oder dem Berufsgeheimnis stehen, müssen so verschlüsselt werden, dass die Cloud-Anbieter keine Möglichkeit haben, darauf zuzugreifen. Die Datenschutzbeauftragte hat für die Nutzung von Microsoft 365 einen Leitfaden erstellt.

Der Softwarekonzern Microsoft selbst setzt sich laut eigener Aussage „intensiv für den Datenschutz unserer Kunden und die Wahrung ihrer Privatsphäre ein“. Ein Microsoft-Sprecher sagte im März gegenüber Rathuus: „Wir haben umfangreiche technische, vertragliche und organisatorische Massnahmen getroffen, um Daten zu schützen und sicherzustellen, dass wir bei der Beantwortung von Anfragen von Strafverfolgungsbehörden die geltenden Gesetze einhalten.“

Microsoft 365 sorgt für Zoff in Luzern

Auch in den Behörden sind nicht alle mit der Umstellung auf Microsoft 365 glücklich. „Der Luzerner Regierungsrat stellt den kantonalen IT-Sicherheits­chef frei – aufgrund von dessen Kritik an der Einführung der Microsoft-Cloud“, schrieb vor kurzem die „Republik“. Das Onlinemagazin verwies im Artikel auf mehrere nicht genannte Quellen.

Die Geschichte geht aber noch weiter: Wie das Onlineportal Zentralplus gestern Montag berichtete, hat die Luzerner Regierung bekannt gegeben, dass sie Anzeige gegen Unbekannt erstattet – wegen Amtsgeheimnisverletzung. „Im veröffentlichten Artikel wurden drei Dokumente zitiert und in ihrer Gesamtheit öffentlich zugänglich gemacht, die dem Amtsgeheimnis unterliegen“, heisst es in der Mitteilung des Kantons Luzern. Es handle sich um den Regierungsratsbeschluss zur Einführung von Microsoft 365, eine Stellungnahme des vormaligen kantonalen Datenschutzbeauftragten an die Dienststelle Informatik sowie eine Stellungnahme des Kantonsgerichtes an den Regierungsrat. „Der Regierungsrat toleriert die unbefugte Herausgabe von amtlichen Dokumenten an Externe nicht“, schreibt der Kanton Luzern.

Kanton Zürich muss Stellung nehmen

Die Debatte zu Microsoft 365 beschränkt sich nicht auf den Kanton Luzern. Auch am Zürcher Regierungsrat zieht das Thema nicht vorbei. Er musste sich kürzlich hinsichtlich des Einsatzes der Cloud-Lösung in der kantonalen Verwaltung äussern. Hintergrund ist eine Anfrage der Kantonsrätinnen und Kantonsräte Selma L’Orange Seigo (Grüne), Tobias Langenegger (SP), Marc Bochsler (SVP), Tina Deplazes (Die Mitte), Martin Huber (FDP) und Markus Schaaf (EVP).

„Vor der Inbetriebnahme von Microsoft 365 wurde eine umfassende Bewertung der Risiken in Bezug auf die Informationssicherheit und den Datenschutz durchgeführt“, schreibt der Regierungsrat. Bestandteil dieser Analyse sei unter anderem die Bewertung des Risikos eines behördlichen Zugriffs, der sich auf einen Rechtserlass stütze und ein Unternehmen unter bestimmten Voraussetzungen zur Herausgabe von Kundendaten zwinge.

„Der Regierungsrat ist der Ansicht, dass sich der gewählte Ansatz zur Risikoanalyse bewährt hat und dass die Fragestellung, die dem gewählten Modell in Bezug auf die Bewertung des Risikos eines ‚Lawful Access‘ zugrunde liegt, nach wie vor treffend ist und die gegenwärtigen Risiken widerspiegelt“, heisst es in der Antwort auf Behördendeutsch. Mit „Lawful Access“ meint der Regierungsrat den Fall, dass US-Behörden auf Grundlage des CLOUD Acts Cloud-Anbieter wie Microsoft zur Herausgabe gespeicherter Kundendaten zwingen können.

Die Frage bleibt, ob Verwaltungen zwingend auf Microsoft 365 angewiesen sind. Sie hätten durchaus die Möglichkeit, auf andere Software oder andere Dienstleister aus der Europäischen Union oder der Schweiz zu setzen oder zumindest einen Wechsel ins Auge zu fassen. Dominika Blonski riet an der Medienkonferenz auf Nachfrage zwar nicht direkt von der Nutzung von Microsoft 365 ab. Sie liess aber durchblicken, dass es Alternativen zu amerikanischen Produkten gibt.