Ihr Browser ist veraltet. Bitte aktualisieren Sie Ihren Browser auf die neueste Version, oder wechseln Sie auf einen anderen Browser wie ChromeSafariFirefox oder Edge um Sicherheitslücken zu vermeiden und eine bestmögliche Performance zu gewährleisten.

Zum Hauptinhalt springen
Kanton Zürich
Abonnieren

Tätigkeitsbericht der kantonalen Datenschützerin
In Zürcher Alters- und Pflegeheimen hapert es mit dem Datenschutz

Manche Institutionen nähmen es mit der Datensicherheit nicht so genau, warnt die kantonale Datenschützerin. Dadurch sei ein «unkontrollierter Zugriff» auf Gesundheitsdaten möglich.

Martin Huber
Dominika Blonski, Datenschutzbeauftragte des Kantons Zuerichs, spricht an einer Medienkonferenz ueber ihre 100 Tagen im Amt, aufgenommen am Mittwoch 12. August 2020 in Zuerich. (KEYSTONE/Ennio Leanza)
Stellte bei Kontrollen Mängel fest: Dominika Blonski ist seit 2020 Datenschutzbeauftragte des Kantons Zürich.
Archivbild: Ennio Leanza (Keystone)
Jetzt abonnieren und von der Vorlesefunktion profitieren.
Abo abschliessenLogin
BotTalk

Der Befund wirft kein gutes Licht auf gewisse Alters- und Pflegeheime im Kanton Zürich. Zugriffe auf Daten erfolgten dort häufig über unpersönliche Accounts, als Passwörter kämen oft allgemein bekannte Standardpasswörter wie «Welcome» zum Zug, und starke Authentifizierungsmechanismen fehlten.

Solche teils «grundlegenden Mängel» bei der Datenbearbeitung hat die kantonale Datenschutzbeauftragte Dominika Blonski bei Kontrollen von 16 Zürcher Alters- und Pflegeheimen im vergangenen Jahr festgestellt, wie sie am Mittwoch bei der Präsentation des Jahresberichts sagte.

Mehr noch: Mitarbeitende in den kontrollierten Alters- und Pflegeeinrichtungen sind laut der Datenschützerin in IT-Angelegenheiten häufig schlecht geschult, auf ihren Computern fehlten Back-ups und Updates. All dies führt laut Blonski zu einem «unkontrollierten Zugriff auf Daten und zu einem hohen Missbrauchspotenzial, weil die Daten zweckwidrig verwendet werden können».

Dabei wäre gerade in den Alters- und Pflegezentren ein besonderes Augenmerk auf IT-Sicherheit dringend nötig – weil sie viele heikle Gesundheitsdaten bearbeiten, bei denen dem Datenschutz und der Informationssicherheit ein hoher Stellenwert zukommt.

KI als «besonderes Risiko für die Grundrechte»

Auch der immer häufigere Einsatz von künstlicher Intelligenz (KI) wie Chat-GPT stellt den Datenschutz vor neue Herausforderungen, wie Blonski sagte. Hier brauche es dringend Leitplanken. Wenn etwa Steuerdossiers von einer KI vorsortiert würden, seien Informationen von Steuerzahlerinnen und Steuerzahlern betroffen.

«Beim Einsatz von KI werden Personendaten bearbeitet, deshalb sind die Regeln des Datenschutzes anwendbar», sagte Blonski. So müssten betroffene Personen über eine Entscheidung informiert werden, die ausschliesslich auf einer automatisierten Bearbeitung von Personendaten beruht und mit Rechtsfolgen versehen ist. Zudem sollten Betroffene ihren Standpunkt darlegen und eine Überprüfung der automatisierten Entscheidung durch eine natürliche Person verlangen können. Es brauche Transparenz über den Einsatz von KI, sagte sie. Immerhin definiere das Datenschutzgesetz den Einsatz neuer Technologien wie KI als «besonderes Risiko für die Grundrechte».

Weiter stellte die Datenschützerin klar, dass Online-KI-Generatoren «kein behördliches Arbeitsmittel» seien. So dürften keine behördlichen Personendaten und keine Informationen zum öffentlichen Organ in den Prompts verwendet werden.

Schulen könnten KI-Generatoren zur Bearbeitung von Personendaten verwenden, wenn dafür eine rechtliche Grundlage vorliege, sagte Blonski. Der Bildungsauftrag könne die Verwendung des KI-Generators als Unterrichtsmittel rechtfertigen. Die Schule bleibe aber in jedem Fall verantwortlich für die Datenbearbeitung. Aus Transparenzgründen sollten die Erziehungsberechtigten über den Einsatz von KI-Generatoren informiert werden.

Steuerdaten in der Cloud

Weiter müssen öffentliche Organe laut Blonski auch bei Cloud-Lösungen sicherstellen, dass der Datenschutz so gewährleistet ist, wie wenn sie die Daten selbst bearbeiten würden. So seien etwa das Arztgeheimnis oder das Steuergeheimnis einzuhalten. Eine Liste von Sozialhilfeempfängerinnen und -empfängern dürfe nur in einer Cloud-Variante geführt werden, wenn die Personendaten verschlüsselt würden und das Schlüsselmanagement bei den Gemeinden bleibe. Dasselbe gelte für die Ablage einer Steuerverfügung in der Cloud.

Zudem müssten die Behörden sicherstellen, dass Dritte in Umgehung von Bestimmungen der internationalen Rechtshilfe nicht auch auf Daten zugreifen könnten, die in der Schweiz gespeichert seien. Dies sei aufgrund von Bestimmungen des US-Rechts bei amerikanischen Cloud-Anbietern möglich.

«Es geht um das Vertrauen der Bevölkerung»

Mit der Digitalisierung wachse die Komplexität der Datenbearbeitung, was zu zusätzlichen Risiken führe, gab Dominika Blonski zu bedenken. Gerade angesichts der international zunehmenden Cyberrisiken sei die Umsetzung der datenschutzrechtlichen Vorgaben und Massnahmen zur Informationssicherheit von höchster Bedeutung. Mängel in diesem Bereich führten zum Verlust des Vertrauens der Bevölkerung, und dieses sei «essenziell, damit die öffentlichen Organe ihre Aufgaben erfüllen können».

Martin Huber ist Redaktor im Ressort Zürich Politik & Wirtschaft und berichtet schwerpunktmässig über die Stadt Zürich.

Jetzt aktuell

Mehr

Die Redaktion empfiehlt

Mehr

Mehr aus dieser Kategorie

Mehr