St. Galler Datenschutzbehörde plädiert für klare Zuständigkeiten und fristgerechtes Löschen

Sensible Daten auf einem unverschlüsselten Datenträger zu speichern, ist keine gute Idee. Mehr noch: "Unverschlüsselte Datenträger sind für besonders schützenswerte Personendaten nicht zulässig." Dies schrieb die Fachstelle Datenschutz (FDS) des Kantons St. Gallen, als sie sich mit dem Fall einer gestohlenen Festplatte befasste. Diese sei für Backups genutzt, und üblicherweise "von einer Mitarbeiterin oder einem Mitarbeiter mit nach Hause genommen und in der Wohnung aufbewahrt" worden. Gestohlen worden sei der Datenträger aus einem Auto, wie die FDS im Tätigkeitsbericht 2024 zusammenfasst. In ihrer Beurteilung des Falles weist die Behörde darauf hin, dass "Festplatten nicht nach Hause genommen und dort aufbewahrt werden" sollten und empfiehlt, die Sensibilisierung aller Mitarbeitenden weiter zu optimieren.

Drei Herausforderungen

Die gestohlene Festplatte ist nur einer von vielen Fällen, die die FDS in ihrem Tätigkeitsbericht 2024 (PDF) schildert. Auch mit einem gemeldeten Ransomware-Angriff oder einem falsch zugeordneten (gelabelten) Dokument in einer digitalen Ablage befasste sich die Stelle.

Im Abschnitt über Herausforderungen lässt die FDS durchblicken, wie unterschiedlich verschiedene Behörden ihre Klienten über mögliche Datenschutzvorfälle informieren. "Einige pflegen eine transparente Kommunikation und informieren eher einmal zu viel, andere informieren auch in Grenzfällen nicht", schreibt die Fachstelle. Mit letzterem nehme man den betroffenen Personen die Möglichkeit, adäquat und vorausschauend zu reagieren. "Ein offener und transparenter Umgang der Verwaltung tendenziell zu Gunsten einer Information kommt letztlich nicht nur den betroffenen Personen zugute. Es zeichnet auch ein öffentliches Organ aus, das eine offene Fehlerkultur pflegt und sich seiner Verantwortung gegenüber den Bürgerinnen und Bürgern bewusst ist."

Eine zweite Herausforderung - und ein Dauerbrenner bei manchen Datenschutzbehörden - ist Microsoft 365, welches der Kanton St. Gallen im Verlauf von 2024 einführte. Zwar gelte seit 2024 ein neuer Datenschutzrahmen zwischen der Schweiz und den USA und Microsoft sei diesbezüglich auch zertifiziert, schreibt die Fachstelle. Nichts geändert habe sich jedoch bezüglich des Cloud-Acts. Dieser ermöglicht US-staatlichen Stellen "ohne Weg über die internationale Rechtshilfe auf in- und ausländische Server Zugriff zu nehmen. Damit besteht die Gefahr einer Offenbarung etwa des Berufsgeheimnisses ohne Rechtfertigungsgrund", so die FDS. Für die Bearbeitung von Personendaten, die einem Berufs- oder besonderen Amtsgeheimnis unterstehen, gilt darum weiterhin: Die Bearbeitung ist "nur zulässig, wenn die Personendaten verschlüsselt werden und das Schlüsselmanagement beim öffentlichen Organ liegt."

Die dritte Herausforderung sieht die FDS im Umgang mit Vorabklärungen. Vor allem bei Vorhaben mit hohem Risiko klären die öffentlichen Organe zwar nachweislich die IT-Sicherheit ab. Rechtliche Abklärungen fehlten dagegen oft "teilweise oder vollständig" und häufig seien keine Rechtsgrundlagenanalysen vorhanden. Zudem setzten sich viele Stellen nicht mit der Verhältnismässigkeit ihrer Vorhaben auseinander. Doch "erst wenn eine genügende Rechtsgrundlage vorhanden ist, kann überhaupt geprüft werden, welche Massnahmen technischer und organisatorischer Art ergriffen werden müssen, um die Datenschutzbestimmungen einzuhalten", stellt die FDS klar. Darum seien entsprechende Prüfungen vor jedem Vorhaben nötig, das die Bearbeitung von Personendaten betreffe.

Grenzen und Fristen

Zu den von der FDS geprüften E-Government-Projekten gehörte "Pupil Connect", ein Messenger für die Kommunikation zwischen Volksschulen und Eltern. Da die datenschutzrechtliche Aufsicht über die Volksschulträger bei den jeweiligen Gemeindefachstellen liegt, waren auch diese in die Prüfung involviert. Ganz allgemein seien bei E-Government-Projekten viele Anspruchsgruppen auf verschiedenen Staatsebenen mit unterschiedlichen Bedürfnissen involviert. "Das macht diese Vorhaben sehr komplex", schreibt die FDS. Entsprechend wichtig sei es, "die Zuständigkeiten und Verantwortlichkeiten klar zu regeln". Bei "Pupil Connect" stellen die Endnutzenden eine Herausforderung dar, "die sich allenfalls nicht überlegen, ob eine Mitteilung heikel sein könnte". Die FDS betont darum, dass anwendenden Personen die Bearbeitungsregeln bekannt sein müssen und dass keine Besonders schützenswerten Personendaten mit der Applikation bearbeitet werden dürfen.

In der Mitteilung zum Tätigkeitsbericht erwähnt die FDS schliesslich noch mehrere behandelte Anfragen zur Publikationsplattform, auf der St. Galler Behörden zum Beispiel amtliche Mitteilungen veröffentlichen. Bei den Anfragen an die FDS ging es darum, dass Personendaten auf der Plattform waren, obwohl Rechtsmittelfristen verstrichen waren oder ein Löschgesuch gutgeheissen wurde. In allen geprüften Fällen kam die FDS zum Schluss, es bestehe kein Grund für die weitere Publikation und sprach sich für die Löschung der Angaben aus. Die fristgerechte Löschung sei umso wichtiger, als mit einer neuen Suchfunktion nicht nur der Suchbegriff selbst, sondern auch semantisch ähnliche Begriffe gefunden werden, ergänzt die Fachstelle in der Mitteilung.

Scharfe Worte zur Microsoft-365-Migration äusserte im Frühling 2025 Danielle Kaufmann, die neue Datenschutzbeauftragte des Kantons Basel-Stadt. Hier lesen Sie mehr dazu.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.