Aufgrund der Datenschutzrevisionen in Europa – vor allem die Modernisierung der Europarats-Konvention 108+ und der Erlass der schengen-relevanten EU-Richtlinie 2016/680 für die justizielle und polizeiliche Zusammenarbeit – müssen auch die Datenschutzgesetze der Kantone den neuen Anforderungen angepasst werden. Einen Überblick über den Stand der Revisionen gibt diese periodisch aktualisierte Liste.

Bern, 15.12.2022 – Wahlen und Abstimmungen auf allen föderalen Stufen der Schweiz spielen sich in der globalen Realität der Digitalisierung ab. Die Akteure der politischen Meinungsbildung nutzen deren Potentiale, um ihre Botschaften bei den Stimmberechtigten möglichst adressatenspezifisch abzusetzen. Dies ist mit hohen Risiken für die Selbstbestimmung und Privatsphäre der Betroffenen verbunden. Ein aktualisierter Leitfaden sorgt rechtzeitig vor den Eidgenössischen Wahlen 2023 für Orientierung.

Wer Daten im Kontext von Wahlen und Abstimmungen bearbeitet, muss sich bewusst sein, dass Informationen zu politischen und weltanschaulichen Ansichten sowohl im geltenden, als auch im neuen Bundesgesetz über den Datenschutz als besonders schützenswert eingestuft werden. Das neue Gesetz wird am 1. September 2023 – also kurz vor Durchführung der anstehenden eidgenössischen Erneuerungswahlen – in Kraft treten.

Mit der Aktualisierung ihres Leitfadens unterstreichen der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) und die Konferenz der schweizerischen Datenschutzbeauftragten (privatim) insbesondere die herausragende Bedeutung, die dem datenschutzrechtlichen Grundsatz der Transparenz im Kontext mit Wahlen und Abstimmungen zukommt: Die Stimmberechtigten haben ein Recht darauf, nachvollziehen zu können, aufgrund welcher digitaler Bearbeitungsmethoden und Technologien sie angesprochen werden.

Leitfaden Wahlen und Abstimmungen – Aktualisierung Dezember 2022

In den vergangenen Monaten haben verschiedene kantonale Regierungen Entscheide zur Nutzung von «Microsoft 365» (M365) in der Verwaltung publiziert. Der Beschluss des Regierungsrats des Kantons Zürich (RRB 542/2022 vom 30. März 2022) hat dabei eine breite Aufmerksamkeit gefunden.

privatim hat im Februar 2022 ein «Merkblatt Cloud-spezifische Risiken und Massnahmen» publiziert, das den öffentlichen Organen insbesondere auch die Beurteilung des Einsatzes von M365 ermöglichen soll. Der Entscheid des Regierungsrates des Kantons Zürich bedeutet für die öffentlichen Organe grundsätzlich nicht, dass sie vom Inhalt und dem empfohlenen Vorgehen in diesem Merkblatt abweichen können. Dies wird in Äusserungen zum Entscheid suggeriert, weshalb privatim sich veranlasst sieht, zu einigen Punkten des RRB, die in diesem Sinne eine Wirkung über den Kanton Zürich hinaus haben, Stellung zu beziehen.

privatim hat die neuen Entwicklungen und Erkenntnisse im Zusammenhang mit Cloud Computing zum Anlass genommen, sein Merkblatt zu den cloud-spezifischen Risiken und Massnahmen gründlich zu überarbeiten. Am 3. Februar 2022 hat das Büro von privatim die neue Version 3.0 verabschiedet. Sie ersetzt die Version 2.1 vom 17. Dezember 2019.

Das überarbeitete Merkblatt findet sich hier.

Bern, 28.01.2021 – Das revidierte Datenschutzgesetz (DSG) wirft seine Schatten voraus. Es wird voraussichtlich im Jahr 2022 in Kraft treten und führt schon heute zu einem Modernisierungsdruck auf die kantonalen Datenschutzgesetze. Beim Übergang zum neuen Recht arbeiten die Datenschutzorgane von Bund und Kantonen eng und pragmatisch zusammen. Im dynamischen Spannungsfeld der Pandemie wirken sie darauf hin, die Einschränkungen auf das private und selbstbestimmte Leben, welches durch die Digitalisierung bereits unter Druck steht, möglichst gering zu halten.

Die Bevölkerung ist heute einer immer weitreichenderen sowie stärker automatisierten und personalisierten Datenbearbeitung ausgesetzt. War bislang die globale Digitalisierung aller Lebensbereiche der zentrale Treiber dieser Entwicklung, so gesellte sich im Jahr 2020 die Pandemie hinzu, welche das Gros der Bevölkerung hinter die Bildschirme der digitalen Heimarbeit verbannte. In diesem spannungsgeladenen Umfeld setzen sich die Datenschutzbeauftragten von Bund und Kantonen für den Erhalt des privaten und selbstbestimmten Lebens ein, welches die Bundesverfassung der Bevölkerung garantiert. 

(weiterlesen…)

Der weitgehende Lockdown zur Bewältigung der Corona-Krise hatte (und hat teils noch immer) aus Datenschutzsicht zwei Abweichungen vom gewohnten Zustand zur Folge: Einerseits konnte die stets erforderliche Interessen- und Risikoabwägung teilweise zu anderen Ergebnissen führen. So durften z.B. zur Erfüllung des schulischen Bildungsauftrags Videokonferenzlösungen eingesetzt werden, welche die Anforderungen an den Datenschutz und die Informationssicherheit nicht (oder noch nicht) vollumfänglich erfüllen, wenn andernfalls der schulische Bildungsauftrag nicht hätte erfüllt werden können. Andererseits wurden die eingesetzten Lösungen von den Datenschutzaufsichtsstellen teils gar nicht oder nur summarisch geprüft.

Mit der Rückkehr zum «Regelbetrieb» – wenn etwa die Klassen an den obligatorischen Schulen den normalen Präsenzunterricht wieder aufnehmen können – sind auch für den Datenschutz die Risikoabwägungen wieder im Lichte «normaler» Umstände anzustellen, und wegen der Krise eingeführte ICT-Lösungen sind ordentlich – wo nötig unter Beizug der Datenschutzaufsichtsstellen – zu prüfen und bei Bedarf entweder nachzubessern oder durch rechtskonforme Lösungen zu ersetzen.

Dabei ist zu berücksichtigen, dass Tempo und Umfang der Lockerungen in den einzelnen Verwaltungsbereichen variieren; entsprechend können auch die Risikoabwägung und die Prüfungstiefe für das gleiche Produkt je nach Behörde und Aufgaben unterschiedlich ausfallen. Im Einzelfall ist es sogar denkbar, dass eine Behörde ihre provisorische Lösung punktuell (etwa zum Kontakt mit Kindern, die risikobedingt weiterhin im Fernunterricht betreut werden) weiterhin einsetzt, im Übrigen aber wieder ausschliesslich ordentliche geprüfte und rechtskonforme Mittel einsetzt.

Zurzeit suchen Verwaltungen und Schulen dringend nach digitalen Lösungen, mit denen die Zusammenarbeit während der ausserordentlichen Lage aufgrund der Corona-Krise gewährleistet werden kann.

Ausserordentliche Lagen verlangen auch nach ausserordentlichen Massnahmen. Aus diesem Grund kann während der Dauer der ausserordentlichen Lage der Einsatz von Diensten/Lösungen als zulässig erscheinen, deren Datenschutzkonformität zurzeit nicht vollständig gegeben ist. Für den Einsatz nach der ausserordentlichen Lage gelten wieder die ordentlichen Voraussetzungen.

Der Datenschutzbeauftragte des Kantons Zürich prüft in Zusammenarbeit mit anderen privatim-Mitgliedern laufend Dienste/Lösungen. Die Resultate werden in einer Liste zusammengestellt und aktualisiert. Aufgeführt sind einerseits Dienste/Lösungen, die als datenschutzkonform beurteilt werden und deren Einsatz empfohlen werden kann, und andererseits Dienste/Lösungen, deren Einsatz während der Dauer der ausserordentlichen Lage aufgrund der Corona-Krise möglich sein soll, bei denen aber die Voraussetzungen für einen Einsatz nach der ausserordentlichen Lage zurzeit nicht gegeben sind (z.B. Office 365 ausserhalb des Bildungsbereichs). Bei dieser zweiten Kategorie ist darauf zu achten, dass nach der ausserordentlichen Lage wieder vollständig ausgestiegen werden kann und die ordentlichen Voraussetzungen wieder eingehalten werden.

Die öffentlichen Organe bleiben unverändert verantwortlich für den Einsatz solcher Dienste/Lösungen. Insbesondere ist weiterhin auf die notwendige Informationssicherheit zu achten. Ein erfolgreicher Cyberangriff auf eine (z.B. Spital-)IT kann mehr Schaden anrichten, als wenn vorher möglicherweise nicht optimal digital zusammengearbeitet werden konnte.

Auch während der Corona-Krise beraten die jeweiligen kantonalen Datenschutzbeauftragten die öffentlichen Organe beim Einsatz solcher Dienste/Lösungen und bleiben zuständig für die Aufsicht.

Die Liste finden Sie hier: https://dsb.zh.ch/internet/datenschutzbeauftragter/de/themen/digitale-zusammenarbeit.html

Zunehmende Vermessung der Privatsphäre bei der Mobilität – neues Datenschutzgesetz überfällig

(weiterlesen…)

Am 20. Dezember 2019 beschliesst nach dem Bundesrat auch die Konferenz der Kantonsregierungen (KdK) die neue E-Government-Strategie von Bund, Kantonen und Gemeinden für die Jahre 2020–2023. Damit soll weiterer Schub in die Digitalisierung der öffentlichen Verwaltungen gebracht werden. Hierfür werden personelle und finanzielle Ressourcen auf allen Staatsebenen gesprochen.

Die Digitalisierung der Verwaltung bringt neue Herausforderungen für den Schutz der Privatsphäre der betroffenen Personen. Mit den Grundsätzen «Digital first» und «Once only» und der gemeinsamen Datenverwaltung über alle Staatsebenen hinweg werden neue Risiken geschaffen. Die Digitalisierung der Verwaltung wird aber nur erfolgreich sein, wenn das Vertrauen der Bürgerinnen und Bürger gewonnen werden kann. Es wird entscheidend sein, dass auch in der digitalen Verwaltung der Schutz ihres Grundrechts auf Datenschutz und auf informationelle Selbstbestimmung garantiert ist.

Die Projektleitenden der zunehmend komplexen Digitalisierungsprojekte brauchen für die anspruchsvollen Datenschutzfragen kompetente Ansprechpartner. Dafür sind die Datenschutzbehörden da. Nur fehlen ihnen die dazu notwendigen Ressourcen. Im Juni 2018 hat privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, auf die prekäre Ressourcensituation bei der Mehrheit der Kantone hingewiesen. Auch die Empfehlungen im Anschluss an die Schengen-Evaluation 2018 halten den Finger u.a. auf diesen wunden Punkt.

Zwar haben in einzelnen Kantonen zaghafte Aufstockungen bei den Ressourcen der Datenschutzbehörden stattgefunden oder sind geplant. In der grossen Mehrheit der Kantone genügen diese Ressourcen aber weiterhin in keiner Weise für die Erfüllung der Aufgaben der Datenschutzbehörden.

privatim nimmt deshalb die Verabschiedung der E-Government-Strategie 2020–2023 zum Anlass, einmal mehr darauf hinzuweisen: Digitalisierung braucht Vertrauen. Datenschutz schafft Vertrauen. Datenschutz braucht kompetente, unabhängige und wirksame Datenschutzbehörden. Und dazu brauchen diese die zur Erfüllung ihrer Aufgaben notwendigen finanziellen und personellen Ressourcen.

Die Datenschutzbeauftragten werden aufgefordert, den Ressourcenbedarf in den Kantonen anzumelden. Die Parlamente werden aufgefordert, in den Budgets der Datenschutzbehörden die für die Erfüllung von deren gesetzlichen Aufgaben notwendigen personellen und finanziellen Ressourcen zu bewilligen.

Bern, 18. Dezember 2019

Ansprechpersonen
(deutsch): Beat Rudin, Präsident von privatim, +41 61 201 16 40, beat.rudin@dsb.bs.ch
(französisch): Christian Flückiger, Mitglied des Büros von privatim,
+41 32 420 90 90, christian.flueckiger@ppdt-june.ch

Resolution als PDF lesen.

privatim hat sein im Februar 2019 veröffentlichtes Merkblatt zu den cloud-spezifischen Risiken und Massnahmen ergänzt um Ausführungen zum US CLOUD Act. Nach diesem Erlass müssen dem CLOUD Act unterstehende Cloud-Anbieter US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA, sondern z.B. in einem EU-Mitgliedstaat oder in der Schweiz erfolgt. Dieses durch die US-amerikanische Gesetzgebung geschaffene Risiko ist in der umfassenden Risikoanalyse zu beachten, die vorzunehmen ist, bevor staatliche Behörden Cloud-Dienstleistungen nutzen dürfen.

Das überarbeitete Merkblatt findet sich hier.

A new report by the Irish Council for Civil Liberties (ICCL) uncovers a paralysis at the heart of the EU General Data Protection Regulation (GDPR) and reveals why data protection authorities (DPAs) are unable to police how big tech firms use people’s data. Its conclusion: The European Commission has the duty to intervene. 
Report: The Irish Council for Civil Liberties (ICCL), September 2021
Video: https://vimeo.com/601138490

In Europa, aber auch in den USA werden immer mehr kartellrechtliche Verfahren gegen Plattformkonzerne wie Google, Facebook, Apple oder Amazon lanciert. Internationale Kooperation würde sie noch effektiver machen.

28.5.21, Tages-Anzeiger

We can have democracy, or we can have a surveillance society, but we cannot have both, writes Shoshana Zuboff, professor emeritus at Harvard Business School and author of “The Age of Surveillance Capitalism.

29.01.2021, New York Times

Kampf um Schweizer Daten Winterthur, Rümlang, Dielsdorf oder Rafz: Im Kanton Zürich werden riesige digitale Lagerhallen gebaut. Drei US-Giganten stehen im Wettbewerb. Einblick in eine verschwiegene Branche.

15.2.21, Tages-Anzeiger

Warum fordert der Datenschutz bestimmte Maßnahmen? Um Beschäftigte dafür zu sensibilisieren, helfen konkrete Beispiele, die jeder kennt. Die Kritik der Datenschützer, wie etwa Gaststätten mit den Kontaktdaten umgehen, die sie im Zuge der Corona-Verordnungen erheben müssen, eignet sich daher sehr gut für Ihre Datenschutz-Schulung.

13.10.20, www.datenschutz-praxis.de