St. Galler Datenschutz: Keine heiklen Daten auf US-Servern


News Redaktion
Schweiz / 04.05.21 12:26

Die St. Galler Fachstelle für Datenschutz hat sich 2020 unter anderem mit den Folgen der Pandemie beschäftigt: Für Homeoffice oder Fernunterricht werden teilweise Programme eingesetzt, die nicht gesetzeskonform sind. Ein Dauerbrenner ist die Datenspeicherung auf US-Servern.

Die Pandemie hat  für einen Digitalisierungsschub gesorgt. Nicht alle Anwendungen, die während des Lockdowns in aller Eile heruntergeladen wurden, erfüllen die Vorgaben des Datenschutzes. (Symbolbild) (FOTO: KEYSTONE/GAETAN BALLY)
Die Pandemie hat für einen Digitalisierungsschub gesorgt. Nicht alle Anwendungen, die während des Lockdowns in aller Eile heruntergeladen wurden, erfüllen die Vorgaben des Datenschutzes. (Symbolbild) (FOTO: KEYSTONE/GAETAN BALLY)

Die Tätigkeit der kantonalen Fachstelle für Datenschutz war 2020 - wenig überraschend - von den Auswirkungen der Corona-Pandemie geprägt. Im Frühjahr, als der erste Lockdown begann, gab es einen Digitalisierungsschub: Im grossen Stil wurde unter anderem Software für Videokonferenzen heruntergeladen und genutzt.

Die eilig eingeführten digitale Lösungen hätten wohl nicht immer dem bisherigen Standard entsprochen, heisst es in dem am Dienstag veröffentlichten Bericht der Fachstelle. Anwendungen, etwa im Schulbereich, die nicht vollumfänglich gesetzeskonform seien, müssten nach der Pandemie ersetzt werden.

Ein konkretes Corona-Thema waren Prüfungen in einer Bildungseinrichtung, die online absolviert und mit Video und Audio überwacht wurden. Die Fachstelle entdeckte gleich mehrere Probleme: Die Prüfungsergebnisse seien zwar auf den Servern der Bildungseinrichtung, die Prüfungsumgebung aber auf US-Servern gespeichert worden. Diese Speicherung der Daten in den USA sei nicht angemessen. Auch sei nicht ersichtlich, weshalb bei den schriftlichen Prüfungen Audioaufnahmen notwendig waren.

Die Datenschutzprobleme mit Applikationen, die aus den USA stammen, ziehen sich wie ein roter Faden durch den Tätigkeitsbericht. Eines der Beispiele: Eine öffentliche Stelle wollte eine neue Antivirus-Software eines US-Unternehmens einsetzen, die auf künstlicher Intelligenz und maschinellem Lernen basiert. Dazu gibt es viele Vorbehalte.

Besonders schützenswerte Personendaten und solche, die einem Berufs- oder Amtsgeheimnis unterliegen, dürfen nicht in einer US-Cloud bearbeitet werden, heisst es in den Ausführungen der Fachstelle. Das US-Produkt kann nur verwendet werden, wenn keine vergleichbare Software aus einem Land mit angemessenem Datenschutzniveau verfügbar ist. Und: Es muss Schweizer Recht gelten und der Gerichtsstand muss auch in der Schweiz sein.

Immer mehr Tätigkeiten werden digitalisiert. So wird in einem Spital einen Software eingesetzt, mit der Vorgesetzte abwesendes Personal erfassen kann. Dabei handle es sich um besonders schützenswerte Personendaten. Es müsse eine Applikation gewählt werden, die keinen Bezug zur USA habe. Zugriffe von ausserhalb dürften nur über das interne Netzwerk sowie innerhalb der Schweiz erfolgen, so die Vorgaben.

Fragezeichen gibt es auch zum Einsatz von Office 365 an Schulen oder in der Verwaltung. Eine rechtskonforme Nutzung setze die Unterzeichnung einer Zusatzvereinbarung voraus, die bestimme, dass Schweizer Recht und der Gerichtsstand in der Schweiz gelten. Zudem dürften damit keine besonders schützenswerten Personendaten bearbeitet werden.

Ein klassischer Fall für den Datenschutz war eine Webcam auf einer Baustelle, mit der unter anderem auch Passanten erkennbar aufgenommen wurden. Dafür hätte es eine Rechtsgrundlage gebraucht. Die Fachstelle verlangte, dass die Kamera so aufgestellt wird, dass weder Personen noch Fahrzeuge erkennbar sind und dass die Kamera nur während den Arbeitszeiten auf der Baustelle Bilder aufnimmt.

Es gibt weitere Beispiele von fehlenden Rechtsgrundlagen. Dazu gehört die Applikation Infosearch, mit der die Kantonspolizei verdeckt erhobene Informationen verwalten wollte. Das gleiche Problem hatte eine Software, die das Baudepartement nutzen wollte. In der Anwendung namens Dorian sollten nicht anonymisierte Entscheide, Rechtsauskünfte, Urteile und Verfügungen gesammelt werden.

Die Fachstelle verlangte eine Anonymisierung. Das Baudepartement entgegnete, dass die Namen das Suchkriterium für die Unterlagen seien. Auch hier stellte die Fachstelle fest, dass dafür zuerst die Rechtsgrundlagen vorliegen müssten. Der Tätigkeitsbericht 2020 wird nun dem Kantonsrat vorgelegt und in einer der kommenden Sessionen behandelt.

(sda)


Anzeige
Anzeige

Das könnte Sie auch interessieren

Kataloniens Separatisten einigen sich auf Regierungskoalition
International

Kataloniens Separatisten einigen sich auf Regierungskoalition

In der spanischen Konfliktregion Katalonien haben sich die beiden grössten separatistischen Parteien mehr als drei Monate nach der Regionalwahl grundsätzlich auf eine Koalitionsregierung geeinigt.

Milan nur mit Remis
Sport

Milan nur mit Remis

Die AC Milan verpasst es in der Serie A, zuhause gegen den Tabellen-16. aus Cagliari einen grossen Schritt zur Champions-League-Qualifikation zu machen.

Tausende Migranten schwimmen zu spanischer Nordafrika-Exklave Ceuta
International

Tausende Migranten schwimmen zu spanischer Nordafrika-Exklave Ceuta

Mindestens 3000 Migranten haben am Montag durch das Mittelmeer schwimmend oder bei Ebbe am Strand entlang laufend von der marokkanischen Stadt Fnideq aus die spanische Nordafrika-Exklave Ceuta erreicht.

Langjähriger Verwaltungsratspräsident der Stoosbahnen tritt ab
Wirtschaft

Langjähriger Verwaltungsratspräsident der Stoosbahnen tritt ab

Der Verwaltungsrat der Stoosbahnen AG wird im Herbst 2021 personell erneuert. Thomas D. Meyer, der das Gremium seit 2004 präsidiert, tritt zurück, genauso Verwaltungsrat Bruno Lifart, der das Schwyzer Tourismusunternehmen bis Anfang 2021 als Geschäftsführer geleitet hatte.