St. Galler Datenschutz: Keine heiklen Daten auf US-Servern


News Redaktion
Schweiz / 04.05.21 12:26

Die St. Galler Fachstelle für Datenschutz hat sich 2020 unter anderem mit den Folgen der Pandemie beschäftigt: Für Homeoffice oder Fernunterricht werden teilweise Programme eingesetzt, die nicht gesetzeskonform sind. Ein Dauerbrenner ist die Datenspeicherung auf US-Servern.

Die Pandemie hat  für einen Digitalisierungsschub gesorgt. Nicht alle Anwendungen, die während des Lockdowns in aller Eile heruntergeladen wurden, erfüllen die Vorgaben des Datenschutzes. (Symbolbild) (FOTO: KEYSTONE/GAETAN BALLY)
Die Pandemie hat für einen Digitalisierungsschub gesorgt. Nicht alle Anwendungen, die während des Lockdowns in aller Eile heruntergeladen wurden, erfüllen die Vorgaben des Datenschutzes. (Symbolbild) (FOTO: KEYSTONE/GAETAN BALLY)

Die Tätigkeit der kantonalen Fachstelle für Datenschutz war 2020 - wenig überraschend - von den Auswirkungen der Corona-Pandemie geprägt. Im Frühjahr, als der erste Lockdown begann, gab es einen Digitalisierungsschub: Im grossen Stil wurde unter anderem Software für Videokonferenzen heruntergeladen und genutzt.

Die eilig eingeführten digitale Lösungen hätten wohl nicht immer dem bisherigen Standard entsprochen, heisst es in dem am Dienstag veröffentlichten Bericht der Fachstelle. Anwendungen, etwa im Schulbereich, die nicht vollumfänglich gesetzeskonform seien, müssten nach der Pandemie ersetzt werden.

Ein konkretes Corona-Thema waren Prüfungen in einer Bildungseinrichtung, die online absolviert und mit Video und Audio überwacht wurden. Die Fachstelle entdeckte gleich mehrere Probleme: Die Prüfungsergebnisse seien zwar auf den Servern der Bildungseinrichtung, die Prüfungsumgebung aber auf US-Servern gespeichert worden. Diese Speicherung der Daten in den USA sei nicht angemessen. Auch sei nicht ersichtlich, weshalb bei den schriftlichen Prüfungen Audioaufnahmen notwendig waren.

Die Datenschutzprobleme mit Applikationen, die aus den USA stammen, ziehen sich wie ein roter Faden durch den Tätigkeitsbericht. Eines der Beispiele: Eine öffentliche Stelle wollte eine neue Antivirus-Software eines US-Unternehmens einsetzen, die auf künstlicher Intelligenz und maschinellem Lernen basiert. Dazu gibt es viele Vorbehalte.

Besonders schützenswerte Personendaten und solche, die einem Berufs- oder Amtsgeheimnis unterliegen, dürfen nicht in einer US-Cloud bearbeitet werden, heisst es in den Ausführungen der Fachstelle. Das US-Produkt kann nur verwendet werden, wenn keine vergleichbare Software aus einem Land mit angemessenem Datenschutzniveau verfügbar ist. Und: Es muss Schweizer Recht gelten und der Gerichtsstand muss auch in der Schweiz sein.

Immer mehr Tätigkeiten werden digitalisiert. So wird in einem Spital einen Software eingesetzt, mit der Vorgesetzte abwesendes Personal erfassen kann. Dabei handle es sich um besonders schützenswerte Personendaten. Es müsse eine Applikation gewählt werden, die keinen Bezug zur USA habe. Zugriffe von ausserhalb dürften nur über das interne Netzwerk sowie innerhalb der Schweiz erfolgen, so die Vorgaben.

Fragezeichen gibt es auch zum Einsatz von Office 365 an Schulen oder in der Verwaltung. Eine rechtskonforme Nutzung setze die Unterzeichnung einer Zusatzvereinbarung voraus, die bestimme, dass Schweizer Recht und der Gerichtsstand in der Schweiz gelten. Zudem dürften damit keine besonders schützenswerten Personendaten bearbeitet werden.

Ein klassischer Fall für den Datenschutz war eine Webcam auf einer Baustelle, mit der unter anderem auch Passanten erkennbar aufgenommen wurden. Dafür hätte es eine Rechtsgrundlage gebraucht. Die Fachstelle verlangte, dass die Kamera so aufgestellt wird, dass weder Personen noch Fahrzeuge erkennbar sind und dass die Kamera nur während den Arbeitszeiten auf der Baustelle Bilder aufnimmt.

Es gibt weitere Beispiele von fehlenden Rechtsgrundlagen. Dazu gehört die Applikation Infosearch, mit der die Kantonspolizei verdeckt erhobene Informationen verwalten wollte. Das gleiche Problem hatte eine Software, die das Baudepartement nutzen wollte. In der Anwendung namens Dorian sollten nicht anonymisierte Entscheide, Rechtsauskünfte, Urteile und Verfügungen gesammelt werden.

Die Fachstelle verlangte eine Anonymisierung. Das Baudepartement entgegnete, dass die Namen das Suchkriterium für die Unterlagen seien. Auch hier stellte die Fachstelle fest, dass dafür zuerst die Rechtsgrundlagen vorliegen müssten. Der Tätigkeitsbericht 2020 wird nun dem Kantonsrat vorgelegt und in einer der kommenden Sessionen behandelt.

(sda)


Anzeige

Das könnte Sie auch interessieren

Freispruch für Vater - Babytod in Breitenbach bleibt ungeklärt
Schweiz

Freispruch für Vater - Babytod in Breitenbach bleibt ungeklärt

Das Amtsgericht Dorneck-Thierstein hat am Donnerstag einen knapp 35-jährigen Mann vom Vorwurf der vorsätzlichen Tötung seines Babys freigesprochen. Die Indizien reichten nicht aus, um alle Zweifel des Gerichts auszuräumen.

Auftaktsiege für Kadetten und Kriens-Luzern
Sport

Auftaktsiege für Kadetten und Kriens-Luzern

Die Playoff-Viertelfinals beginnen mit Favoritensiegen. Die Kadetten Schaffhausen mühen sich zu einem 30:29 gegen den BSV Bern, Kriens-Luzern bleibt beim 29:23 gegen Wacker Thun ungefährdet.

Autoverkäufe erholen sich langsam von Coronakrise
Wirtschaft

Autoverkäufe erholen sich langsam von Coronakrise

Die Autoverkäufe in der Schweiz und im Fürstentum Liechtenstein sind im April verglichen mit dem coronabedingt sehr schwachen Vorjahr in die Höhe gesprungen. Das Niveau der Neuzulassungen von vor der Coronakrise liegt aber noch in weiter Ferne.

Kantonsspital Obwalden weist für 2020 einen Gewinn aus
Regional

Kantonsspital Obwalden weist für 2020 einen Gewinn aus

Das Kantonsspital Obwalden hat 2020 einen Gewinn erwirtschaftet. Dieser war indes nur dank staatlichen Zuschüssen möglich. Angesichts des Lockdowns von 1,5 Monaten sei dies aber ein hervorragendes Ergebnis, teilte das Spital am Donnerstag mit.