Mangelhafter Datenschutz im Kanton Zürich
Beim Datenschutz im Kanton Zürich gibt es noch viele Baustellen, findet der Datenschutzbeauftragte. Vor allem Spitäler nehmen den Datenschutz auf die leichte Schulter. Den Staatstrojaner sieht der Datenschützer kritisch.
Der Datenschutzbeauftragte (DSB) des Kantons Zürich, Bruno Baeriswyl, hat seinen Tätigkeitsbericht für das Jahr 2015 vorgelegt. Der grundlegende Tenor des Berichts ist eher pessimistisch.
Fehlendes Bewusstsein bemängelt
Zu den Zuständigkeiten des DSB gehören Kontrollen bei der Datenbearbeitung von öffentlichen Einrichtungen. Mehrheitlich prüfte der Datenschützer Institutionen im Gesundheitswesen, Schulen und Polizei. Erstmals kontrollierte er ein Klinikinformationssystem (KIS).
Bei allen Überprüfungen zeigte sich, dass "grundlegende Sicherheitsmassnahmen nicht umgesetzt werden", heisst es wörtlich. Bereits Grundschutzmassnahmen würden nicht ausreichend umgesetzt und das Bewusstsein für Gefahren sei nicht sehr stark ausgeprägt.
Problematisch ist dies gemäss dem Bericht bei der Bearbeitung von personenbezogenen Daten und der Auslagerung von Datenbearbeitungen.
Spitäler besonders betroffen
Die Informationssicherheit in Spitälern findet im Bericht besondere Erwähnung. Diese Einrichtungen würden sehr sensible Daten handhaben. Die Ergebnisse der Kontrollen waren alarmierend. Vor allem die "Diskrepanz zwischen den erforderlichen und den umgesetzten Schutzmassnahmen", hebt der Bericht negativ hervor.
In den geprüften Spitälern waren viele der erforderlichen Sicherheitsmassnahmen "inexistent", heisst es. Organisatorische Massnahmen wie Informationssicherheits- oder Datenschutzmanagementsysteme fehlten zumeist.
Zahlreiche Schwachstellen aufgedeckt
Die Zuständigkeiten sind offenbar vielerorts unklar. Technische Massnahmen wie der Einsatz von sicheren Passwörtern, Verschlüsselung und Gerätemanagement würden nur ungenügend umgesetzt, bemängelt der Bericht weiter.
Bei einer Kontrolle eines Klinikinformationssystems von einem grossen Spital zeigten sich zahlreiche Schwachstellen. Der Zugriff auf Daten wurde nicht ausreichend eingeschränkt, Aufbewahrungsfristen nicht nach den Vorgaben der Gesetze eingestellt und eine Risikoanalyse inklusive Gegenmassnahmen fehlte.
"Anderseits war der organisatorische Überbau mit den entsprechenden Zielsetzungen und Verantwortlichkeiten im geprüften Spital vorbildlich festgelegt", hob der Bericht positiv hervor.
Der DSB wird künftig weitere KIS überprüfen.
Kritik am Staatstrojaner
Im Bericht kritisiert der DSB die Anschaffung eines sogenannten Staatstrojaners durch die Kantonspolizei. Diese beschönigend "Government Software" genannten Programme sollen heimlich Durchsuchungen von Computern ermöglichen.
Das heimliche Ausspähen von Computern ist laut dem Bericht ein "schwerer Eingriff in das verfassungsmässige Recht auf persönliche Freiheit und Datenschutz". Eine Prüfung durch den DSB sei daher notwendig.
Kantonspolizei verwehrte Einblick
Die Kantonspolizei lehnte diese Prüfung jedoch ab. Der Einsatz der Software betreffe nicht das Datenschutzrecht sondern das Strafrecht. Hier sei eine Prüfung des DSB nicht vorgesehen.
Der Datenschützer teilte diese Auffassung aber nicht. Er wandte sich an die Sicherheitsdirektion zur Abklärung. Bis zur Vorlage des Berichts fällte diese jedoch noch keine Entscheidung.
Der vollständige Bericht kann über die Website des DSB kostenlos als PDF heruntergeladen werden.
Microsoft muss KI-Modell Wizard LM 2 zurückziehen
BBV Software Services hat einen neuen COO
PPDS bringt Disney+, Netflix und Co. ins Hotelzimmer
Protonmail lanciert Dark Web Monitoring
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Hamster entrinnt dem Regenbogen-Labyrinth
IBM übernimmt Hashicorp
Die Stimmen zu den Best of Swiss Web Awards 2024
KI bei Cyberangriffen: Zukunftsmusik oder reale Bedrohung?
