Der Datenschutzbeauftrage des Kantons Zürich präsentierte seinen Bericht fürs Jahr 2015 und legte die Ergebnisse seiner Arbeit vor. Neben dem Staatstrojaner trieben ihn auch die Spitäler und Schwimmbäder um.

Tobias Urech

Bruno Baeriswyl, Datenschutzbeauftragter des Kantons Zürich, stellte den Medien vergangenen Mittwoch seinen Bericht fürs Jahr 2015 vor. Der Datenschutzbeauftragte ist unabhängig und direkt der Geschäftsleitung des Kantonsrates unterstellt. Er hat die Aufgabe, dafür zu sorgen, dass die Privatheit der BürgerInnen respektiert wird. Ihm fallen verschiedene Kompetenzen zu; so beaufsichtigt er die Datenbearbeitungen der kantonalen Verwaltungen, führt Kontrollen durch und gibt verbindliche Empfehlungen ab.

Für seinen Tätigkeitsbericht über 2015 wählte er das Motto «Datenschutz ist Prävention» und erklärte an der Medienkonferenz: «Der Schutz der Privatsphäre ist der Sauerstoff in der Gesellschaft. Und wie beim Sauerstoff merkt man auch beim Datenschutz erst dann, dass er fehlt, wenn er weg ist.» Dass die Luft offenbar in gewissen Bereichen der Verwaltung dünner ist, als in anderen, wird bei seinen Ausführungen klar.

Staatstrojaner

«Ein wichtiges Instrument sind die Vorabkontrollen», meinte Baeriswyl. Bei den Vorabkontrollen handelt es sich um teils obligatorische Kontrollen, bei denen die Behörden dem Datenschutzbeauftragten Projekte vorlegen, die mit Personendaten zu tun haben. Daraufhin prüft er das Projekt auf Herz und Nieren. Leitfragen dabei sind: Gibt es eine rechtliche Grundlage für die Verwendung von Personendaten in diesem Fall? Welche technischen Sicherheitsmassnahmen könnte man treffen? Nach der Vorabkontrolle legt Baeriswyl einen Bericht vor, in dem er Massnahmen vorschlägt. Dass man beispielsweise eine Rechtsgrundlage schaffen soll, oder gar sein Aufruf, auf das Projekt zu verzichten. «Das ist ein Instrument für Vertrauensbildung in die Verwaltung, sogenanntes ‹Good Governance›», hielt Baeriswyl fest. Er stellte allerdings auch fest: «Nicht alle Vorhaben, die vorgelegt werden sollten, werden auch vorgelegt.» Und nicht alle Massnahmen, die er vorschlage, würden auch ausgeführt. «Damit wird eine Chance verpasst.»

Während der Medienkonferenz wird Baeriswyl nicht konkreter. Erst bei der Lektüre des 46-seitigen Tätigkeitsberichts wird klar, dass er unter anderem einen ganz bestimmten Fall meint: Unter dem Titel «Trojaner ausser Kontrolle» äussert sich der Datenschutzbeauftragte zum Staatstrojaner, dessen Kauf durch die Kantonspolizei im Sommer 2015 wegen eines Hacking-Angriffs zutage kam, und der Sicherheitsdirektor Mario Fehr (SP) eine Strafanzeige von den JungsozialistInnen einhandelte. Gerade erst befasste sich die Geschäftsprüfungskommission des Kantonsrates mit dem Staatstrojaner und befand seinen Kauf für gerechtfertigt, auch wenn dieser – so sehen es andere – rechtlich auf wackligen Füssen steht.

Der Datenschutzbeauftragte schreibt zum Trojaner, dass er sich mehrmals an die Kantonspolizei gewendet habe mit der Forderung, den Staatstrojaner einer Vorabkontrolle zu unterziehen. Die Kantonspolizei habe daraufhin die Kontrollpflicht verneint. Die Begründung: Der Einsatz des Trojaners sei in der Strafprozessordnung geregelt und nicht im Bereich des Informations- und Datenschutzgesetzes. Baeriswyl pflichtete diesem Argument jedoch nicht bei und wandte sich erneut an die Kantonspolizei, die ihn wiederum abblitzen liess. Er verlangte daraufhin eine Aussprache mit dem Sicherheitsdirektor und stellte zugleich weitere Fragen zur Verwendung von Überwachungstechnologien durch die Polizei. Dazu zählen beispielsweise die Videoüberwachung in Polizeifahrzeugen oder eine Software zur Abhörung von Smartphones. Allerdings schreibt der Datenschutzbeauftragte im Bericht: «Bis zum Redaktionsschluss des Tätigkeitsberichts konnten die offenen Fragen mit der Sicherheitsdirektion noch nicht geklärt werden.» Es bleibt also noch offen, ob die Sicherheitsdirektion dem Datenschutzbeauftragten in dieser und den anderen grundlegenden Fragen mehr Kompetenzen zur Kontrolle der Polizei zuspricht oder nicht.

Schwimmbäder und Spitäler

Nicht nur bei der Kantonspolizei ist die «Privatsphäre-Luft» dünner als anderswo. So befasste sich Baeriswyl im vergangenen Jahr auch mit der Überwachung in Schwimmbädern und PatientInnendaten in Spitälern.

Eine Gemeinde wandte sich letztes Jahr mit der Bitte an Baeriswyl, ihr Reglement zur Videoüberwachung im Hallenbad zu überprüfen. Der Datenschutzbeauftragte betonte dabei, dass Auswertungen von Videoaufnahmen in Schwimmbädern nur bei konkreten Anlässen zulässig ist. Zudem dürfen Mitarbeitende nicht permanent überwachbar sein. In Umkleidekabinen ist die Videoüberwachung generell verboten. Zum Thema Gesundheitsdaten hält Baeriswyl fest, dass diese besonders sensitiv seien. Leider habe eine Überprüfung von drei Spitälern letztes Jahr ergeben, dass es keine flächendeckenden Sicherheitsmassnahmen gibt. «Es gibt zwar Regelungen zur Sicherheit – wie Passwörter – doch diese können einfach umgangen werden», stellte Baeriswyl fest. Zudem fehle eine Datenverschlüsselung und es gebe ein grosses Problem mit der Datensicherheit bei mobilen Geräten, deren Gebrauch in Spitälern vermehrt Einzug hält. Auch diesen Problemen möchte sich der Datenschutzbeauftragte annehmen.

Für die nächsten Jahre kommen zudem einige Änderungen auf den Datenschutz in der Schweiz zu: Die EU passt Datenschutzregelungen an, die aufgrund des Schengen-Abkommens auch für die Schweiz relevant sein werden. Baeriswyl rechnet mit einer Umsetzung des EU-Rechts nach 2018.