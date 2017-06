Ein junger Mann schaut in die Kamera und fragt rhetorisch: «Was ist eigentlich Ihr grösster persönlicher Albtraum? Dass Sie am Morgen aufwachen und in irgendeinem Spinnennest feststecken?» Er heisst Lionel und ist Youtuber. Er soll die Zürcherinnen und Zürcher für den Datenschutz sensibilisieren, vor den Gefahren von Hackern warnen. Dazu hat der Datenschutzbeauftragte des Kantons Zürich im vergangenen Jahr einen Youtube-Kanal eingerichtet.

Youtube-Kanal des Datenschutzbeauftragten. Video: Youtube

«Why privacy matters» lautet das Motto des Kanals. Und weshalb das so ist, erläutert der kantonale Datenschützer Bruno Baeriswyl in seinem konventionellen Kommunikationsmittel: seinem jährlichen Tätigkeitsbericht, welchen er heute Mittwoch an einer Medienkonferenz präsentiert hat. Und wie der Youtuber mit seiner Frage nach dem grössten Albtraum, wird auch er darin grundsätzlich: Beim Umgang mit Daten gehe es um nichts weniger als um das Vertrauen der Bürgerinnen und Bürger.

Der Bericht liest sich wie eine Packungsbeilage. Hier die «Chancen» der Digitalisierung in der Verwaltung, da der richtige Umgang damit und dort die zunehmend hohen Risiken und Nebenwirkungen. Die Risiken, die unsere Personendaten betreffen, seien gross – und real. Konkret: Die Zürcher Verwaltung wurde Ziel von Cyberangriffen und Erpressungsversuchen. «Teilweise waren die Angreifer sogar erfolgreich», sagt Baeriswyl. Weitere Details will er aber «lieber nicht» bekannt geben.

Erhebliche Mängel

«Es war ein turbulentes Jahr», sagt Baeriswyl, «es stehen uns aber keine ruhigeren bevor, da die Digitalisierung weitergeht.» Das Problem: Bei den Kontrollen hat er erhebliche Mängel bei der Sicherheit von Personendaten in der Verwaltung, bei Gemeinden und Spitälern des Kantons Zürich festgestellt. Sensitive Gesundheitsdaten seien weit weniger geschützt als Finanzdaten bei Banken. Der Schutz von Steuerdaten auf Gemeindeebene sei sogar noch schwächer, ergänzt Baeriswyl.

Baeriswyl sieht «akuten Handlungsbedarf» – selbst in Bezug auf Grundschutzmassnahmen bei der IT-Sicherheit. Zum Beispiel fehlten häufig Passwortrichtlinien: «Da konnten sensitive Daten mit dem Passwort 1234 geschützt werden.» Der Datenschützer fordert angesichts der kritischen Lage die Einsetzung einer Taskforce zur Informationssicherheit. Der Kanton habe zwar in diesem Jahr 20 zusätzliche Stellen für die Verfolgung von Cyberkriminalität bewilligt, jedoch: «Die Prävention ist für den Schutz vor Cyberattacken um einiges wichtiger, was aber bisher vernachlässigt wurde.»

Weiter plädiert Baeriswyl dafür, das Informations- und Datenschutzgesetz (IDG) zu revidieren. Er rät hingegen dem Regierungsrat ab, die geplante Verordnung über die Informationsverwaltung und -sicherheit zu verabschieden. Der Entwurf weise in die falsche Richtung. Er verpasse es, das Sicherheitsniveau in der Verwaltung zu vereinheitlichen. Der Datenschützer fürchtet Rück- anstatt Fortschritte.

Die einzelnen öffentlichen Organe seien sich heute der Risiken für ihre Daten oftmals nicht bewusst. Deshalb brauche es klare Vorgaben für die Verwaltung im Umgang mit Daten. Nur so könnten die Bürgerinnen und Bürger die Datenbearbeitung nachvollziehen und damit auch ihre Rechte wahrnehmen. «Ein Absturz beim Datenschutz wäre für alle Beteiligten verheerend», schreibt Baeriswyl. Können sich Bürgerinnen und Bürger nicht mehr auf den Schutz ihrer Privatsphäre und die Sicherheit ihrer Daten verlassen, würden sie das Vertrauen in die Datenbearbeitung durch den Staat verlieren.

Wenn Kinder im Spital überwacht werden

Im vergangenen Jahr hat der Datenschützer 518 Beratungen von öffentlichen Organen und Privatpersonen durchgeführt, an 14 Vernehmlassungen teilgenommen, 28 Weiterbildungsveranstaltungen und 22 Kontrollen durchgeführt.

In einem Fall musste der Datenschützer eine Schule beraten: Weil Prüfungen in Fachhochschulen vermehrt mit privaten Laptops absolviert werden, hat der Spickzettel ausgedient. Um gegen neue Betrügereien vorzugehen, hat eine Fachhochschule deshalb einen Analysesoftware eingesetzt, welche die privaten Geräte überwacht hat. Da sich persönliche Bilder, Adressen oder E-Mails auf den Rechnern befinden, ist eine solche Überwachung heikel. Die Schule wandte sich an den Datenschützer. Seine Einschätzung: Die Überwachung ist zulässig, wenn sie sich auf die Prüfungsdauer beschränkt und nur eingeschränkt persönliche Daten aufzeichnet. Letztere müssten spätestens nach der Auswertung der gesammelten Daten vernichtet werden. Weiter muss die Schule ihren Schülern Alternativen anbieten, nämlich eigens konfigurierte Laptops der Schule, die nicht überwacht werden.

In einem anderen Fall gelang eine Meldung an den Datenschützer, dass in einer Kindernotfallstation die Behandlungsräume gefilmt würden. Abklärungen des Datenschützers bestätigten die Meldung. Laut Spital dient diese Überwachung dem Schutz der Kinder. Die Videoaufzeichnungen seien dann zum Beispiel wichtig, wenn sich der Zustand eines Kindes verschlechtert, ohne dass medizinisches Personal im Zimmer war. Die Aufnahmen seien schliesslich für den Entscheid der Weiterbehandlung hilfreich und könnten auch zur Weiterbildung dienen. Der Datenschützer hiess die Überwachung gut, weil sie Bestandteil der Behandlung sei. Er stellte aber auch fest, dass die Aufnahmen nur dann zu Aus- und Fortbildungszwecken genutzt werden dürfen, wenn die Betroffenen damit einverstanden sind.

Chancen nutzen

Der Datenschützer will angesichts der vielen Risiken und Nebenwirkungen allerdings der Digitalisierung positiv gegenüber eingestellt bleiben. Es gelte, die Chancen zu nutzen. «Jene Bereiche, die der Digitalisierung positiv gegenüber eingestellt sind», sagt Datenschützer Baeriswyl, «erkennen auch die Risiken am besten und minimieren diese gezielt.» (Tages-Anzeiger)