Tätigkeitsbericht 2014: Dank Kontrollen mehr Sicherheit

17.06.2015 - Medienmitteilung

Zurück zu Medienmitteilungen

Bruno Baeriswyl, der Datenschutzbeauftragte des Kantons Zürich, hat heute anlässlich einer Medienkonferenz seinen Tätigkeitsbericht 2014 der Öffentlichkeit vorgestellt. Schwerpunkte waren der Datenschutz im Schulbereich und die Kontrolltätigkeit.  

Bei den Diskussionsrunden mit Schulklassen verschiedener Schulstufen zeigte sich, dass die Jugendlichen bei ihren digitalen Aktivitäten grossen Wert auf den Schutz der Privatsphäre und die informationelle Selbstbestimmung legen und auch bereit sind, entsprechende Vorkehrungen zu treffen. Damit sie ihre Absichten in die Tat umsetzen können, ist es wichtig, dass die Jugendlichen genau wissen, welchen Verwendungszwecken ihrer persönlichen Daten sie bei der Genehmigung der Allgemeinen Geschäftsbedingungen einer bestimmten Informationsdienstleisterfirma zustimmen und welche Folgen damit verbunden sein können. Der Schule kommt hier im digitalen Zeitalter eine wichtige Aufklärungsrolle zu.

Datenschutz als Teil des Bildungsauftrags

Bruno Baeriswyl unterstrich in seinen Ausführungen, dass die Institution Schule auf allen Stufen im Unterricht und in der Organisation den verantwortungsvollen Umgang mit Informationen berücksichtigen kann. Sie sollte mit gutem Beispiel vorangehen und sowohl die modernen Informations- und Kommunikationsmittel als auch die in den Unterrichtsräumen immer zahlreicher anzutreffenden IT-Produkte datenschutzkonform einsetzen.

Vor diesem Hintergrund hat der Datenschutzbeauftragte verschiedene dieser IT-Produkte  geprüft und feststellen müssen, dass nur wenige die gesetzlichen Anforderungen an Datenschutz und Informationssicherheit erfüllen. Soweit mit den Herstellern eine Anpassung der Vertragsbedingungen erreicht werden konnte, lassen sich diese nun auch datenschutzkonform einsetzen. Auf andere IT-Produkte sollten die Schulen entweder gänzlich verzichten oder die Verwendung auf nicht personenbezogene Informationen beschränken.

Sicherheit an erster Stelle

Ausgewählte Schulen wurden in Bezug auf die Einhaltung der Informationssicherheitsstandards geprüft. Dabei hat der Datenschutzbeauftragte festgestellt, dass die technischen Massnahmen überwiegend angemessen implementiert wurden. In zahlreichen Fällen fehlte es aber an klaren organisatorischen Vorgaben, wie Benutzerweisungen und/oder Rollen- und Berechtigungskonzepten. Alle geprüften Volksschulen erhalten vom Datenschutzbeauftragten eine detaillierte Analyse ihres Informationssicherheitsniveaus sowie Hinweise zur Behebung allfälliger Schwachstellen.

Websites von Schulen wurden auch einer systematischen Kontrolle auf Sicherheitslücken unterzogen. Aufgrund bestehender Lücken war es in Einzelfällen möglich, von aussen auf Daten zuzugreifen oder Inhalte der Website zu verändern. Der Datenschutzbeauftragte zeigte den Einsatz eines Webscanning Tools anhand zweier Schulwebsites.

Datenschutz-Nachschlagewerk für den Schulalltag

Weiter berichtete Bruno Baeriswyl aus der Beratungspraxis, in der Fragen rund um das Thema Datenschutz in der Schule einen grossen Anteil ausmachten. Grund dafür ist, dass im Schulumfeld zahlreiche und zum grossen Teil auch sensitive Personendaten von verschiedenen Stellen bearbeitet werden. Um den verschiedenen Beteiligten eine datenschutzkonforme Handhabung der Informationen zu erleichtern und ihnen einen Überblick über datenschutzrelevante Anliegen im Schulbereich zu geben, hat der Datenschutzbeauftragte ein Datenschutz-Lexikon für die Volksschule erarbeitet.

Für die anderen Schulstufen sind analoge Hilfsmittel bereits in Planung.

Kontrollaufgaben des Datenschutzbeauftragten

Gestützt auf das Gesetz über die Information und den Datenschutz (IDG) führt der Datenschutzbeauftragte bei den öffentlichen Organen Kontrollen durch. Auslöser für Kontrollen auf Anlass können sowohl systematische als auch individuelle Anhaltspunkte sein. Der Datenschutzbeauftragte führt insbesondere dann Kontrollen durch, wenn die Datenbearbeitungen eine Vielzahl von Personen betreffen und besondere Personendaten bearbeitet werden. 2014 wurden insgesamt drei Kontrollen auf Anlass durchgeführt, welche die flächendeckende Auswertung von E-Mail- und Telefon-Daten, das systematische Monitoring der Aktivitäten einer politischen Gruppierung und das Einsichtsrecht in die Patientendokumentation betrafen.

Kontrollen in den Gemeinden

Auch die Gemeinden werden regelmässig kontrolliert. Dabei konnte der Datenschutzbeauftragte feststellen, dass die von ihm zur Verfügung gestellten Arbeitsdokumente wie die Sicherheitsleitlinie und das Rollen- und Berechtigungskonzept sowie die Vorlagen und Checklisten zur Informationssicherheit sich in der Praxis bewähren und von den IT-Verantwortlichen gerne und rege eingesetzt werden. Weniger erfreulich ist, dass rund ein Viertel der kontrollierten Stellen die Sicherheitsanforderungen nicht in einem befriedigenden Ausmass erfüllen, während sich weitere rund 40 Prozent bei einem mittleren Erfüllungsgrad befinden.

Breite Themenpalette in der Beratungs- und Informationstätigkeit

Der Einsatz moderner IT-Produkte in der Verwaltung und die Wahrung der Datenschutzrechte beinhalten ein breites Themenspektrum, über das der Tätigkeitsbericht 2014 im weiteren Auskunft gibt.

Die Broschüre „Datenschutz – meine Rechte“ klärt die Bürgerinnen und Bürger über die wichtigsten Instrumente des Datenschutzes auf und präsentiert Hinweise, wie die diesbezüglichen Rechte einzufordern sind

Zurück zu Medienmitteilungen