datenrecht.ch

DSB Zürich: Tätig­keits­be­richt 2022

Die Daten­schutz­be­auf­trag­te des Kan­tons Zürich (DSB) hat ihren Tätig­keits­be­richt für das Kalen­der­jahr 2022 vor­ge­legt. Er ist hier online und als PDF abruf­bar: https://www.datenschutz.ch/tb/2022.

Der Tätig­keits­be­richt betrifft aus­zugs­wei­se fol­gen­de Themen:

  • Umfang­rei­che Bera­tun­gen und Vorabkontrollen
  • Das neue IDG nimmt Gestalt an
  • Poli­zei: Daten­aus­tausch über Kan­tons­gren­zen und Staats­ebe­nen hinweg
  • PJZ: Besu­cher­ma­nage­ment und Sicherheitssupportsystem
  • Elec­tro­nic Moni­to­ring im Zivil­recht oder die Ver­ant­wor­tung des öffentlichen
    Organs
  • Drang der Spi­tä­ler in die Cloud
  • Hoch­schul­in­sti­tut Psy­cho­lo­gie und Micro­soft 365
  • Bio­me­tri­sche Aus­wer­tung beim Online-Assessment
  • Ver­hält­nis­mä­ssig­keit bei Online-Prüfungen
  • Infor­ma­ti­ons­si­cher­heit bei Gemein­den stärken
  • Beson­de­rer Schutz für reli­giö­se Aktivitäten
  • Prak­ti­sche Tipps für die Digi­ta­li­sie­rung in der Verwaltung
  • ZKB, neue AGB und die Auf­sicht der DSB
  • Über­mä­ssi­ge Datenbearbeitung
  • Daten­schutz­auf­sicht bei den Gerichten
  • Schu­len, Schul­pfle­ge, Eltern­rat und die Informationsflüsse
  • Ein Daten­schutz­vor­fall im Rampenlicht
  • Mehr Daten­schutz­vor­fäl­le gemeldet

Inter­es­sant bzw. im Fokus ist sicher das The­ma Cloud. Hier wie­der­holt der Tätig­keits­be­richt die bekann­te Hal­tung der DSB:

Zu­erst muss eine Ana­ly­se der Rechts­grund­la­gen durch­ge­führt wer­den. Da­für müs­sen die gel­ten­den Ge­heim­nis­pflich­ten eru­iert wer­den. Zu­griffs­mög­lich­kei­ten von aus­län­di­schen Be­hör­den (CLOUD Act) sind fest­zu­stel­len. Erst da­nach kann und muss über Ri­si­ko­min­de­rung durch tech­ni­sche und or­ga­ni­sa­to­ri­sche Mass­nah­men nach­ge­dacht werden.

Dann folgt die Kernaussage:

Bei Per­so­nen­da­ten, die un­ter ei­nem be­son­de­ren Amts­ge­heim­nis oder ei­nem Be­rufs­ge­heim­nis ste­hen, hält das Ge­setz fest: Die ver­ant­wort­li­che Per­son macht sich straf­bar, wenn sie Un­be­rech­tig­ten auch nur die Mög­lich­keit gibt, sol­che Da­ten zur Kennt­nis zu neh­men. So ist die Ent­schei­dung ein­fach. Da­ten un­ter ei­nem be­son­de­ren Amts­ge­heim­nis oder ei­nem Be­rufs­ge­heim­nis kön­nen nur aus­ge­la­gert wer­den, wenn sie ver­schlüs­selt sind und aus­schliess­lich die ver­ant­wort­li­che Per­son oder ihre Hilfs­per­so­nen den Schlüs­sel kennen.

Die gän­gigs­ten ge­samt­heit­li­chen Cloud-Lö­sun­­­gen stam­men von US-ame­ri­­ka­­ni­­schen Un­ter­neh­men. Sie un­ter­ste­hen dem CLOUD Act. Der CLOUD Act er­mög­licht ame­ri­ka­ni­schen Be­hör­den, Zu­griff auf die Da­ten zu ver­lan­gen, un­ab­hän­gig da­von, wo sie ge­spei­chert sind. Da­mit wer­den die Ab­kom­men zur Rechts­hil­fe um­gan­gen. Das Vor­ge­hen ver­stösst ge­gen die schwei­ze­ri­sche Rechts­ord­nung. Ver­trag­li­che Ab­si­che­run­gen hel­fen nicht. Es steht dem US-ame­ri­­ka­­ni­­schen Un­ter­neh­men nicht frei, we­gen ei­nes Ver­trags das Ge­setz der USA nicht einzuhalten.

Die Rechts­fra­ge kann nicht mit Wahr­schein­lich­keits­rech­nun­gen um­gan­gen wer­den. Wenn ein Zu­griff rechts­wid­rig ist, hilft es nicht, dass die Wahr­schein­lich­keit ei­nes sol­chen Zu­griffs klein sein könn­te. Ein öf­fent­li­ches Or­gan hat sich im­mer recht­mässig zu ver­hal­ten (Le­ga­li­täts­prin­zip). Die Aus­sa­gen zur Wahr­schein­lich­keits­be­rech­nung im Re­gie­rungs­rats­be­schluss zu Mi­cro­soft 365 (RRB 542/2022) wur­den in­zwi­schen re­la­ti­viert. Die Fi­nanz­di­rek­ti­on schränk­te mit der All­ge­mei­nen Nut­zungs­richt­li­nie Mi­cro­soft 365 vom 29. Juni 2022 die Nut­zung der Diens­te ein. Dies ent­spricht auch der Re­ge­lung, die für die Bun­des­ver­wal­tung gilt.

Mit “beson­de­res Amts­ge­heim­nis” ist ein Geheim­nis gemeint, das beson­ders gere­gelt ist und über das Amts­ge­heim­nis i.S.v. Art. 320 StGB hinausgeht.

Die Mei­nung, beson­de­re Amts­ge­heim­nis­se stün­den einer Aus­la­ge­rung per se ent­ge­gen, weil damit immer ein Rest­ri­si­ko eines Zugriffs durch aus­län­di­sche Behör­den ein­her­ge­he, ist schwer nachzuvollziehen.

Zwar ist auch der Ver­such einer Offen­ba­rung straf­bar, aber auch der Ver­such setzt zumin­dest Even­tu­al­vor­satz vor­aus – es gibt kei­nen fahr­läs­si­gen Ver­such. Ein Ver­such setzt daher vor­aus, dass der prä­sump­ti­ve Täter mit sei­nem Ver­hal­ten – z.B. der Ver­wen­dung einer Cloud für gehei­me Daten – den straf­ba­ren Erfolg mit­will, also die Offen­ba­rung, oder ihn zumin­dest bewusst in Kauf nimmt. Das ist nur mög­lich, wenn er dem Erfolg eine gewis­se Wahr­schein­lich­keit bei­misst (auch wenn die Wahr­schein­lich­keits­ein­schät­zung allei­ne eigent­lich nicht auf den Tat­wil­len schlie­ssen lässt).

Hier spielt die Risi­ko­ein­schät­zung eine Rol­le: Wenn das Rest­ri­si­ko als sehr nied­rig ein­ge­schätzt wird, kann man nicht sagen, der Täter wol­le den Erfolg oder neh­me ihn bewusst in Kauf – im Gegen­teil, er will ihn nicht und geht davon aus, dass er nicht ein­tritt. Es ist des­halb falsch zu sagen, die Rechts­fra­ge wer­de durch eine Risi­ko­ein­schät­zung ersetzt – viel­mehr ist die Risi­ko­ein­schät­zung ein Ele­ment des sub­jek­ti­ven Tat­be­stands und damit gera­de Teil der mass­geb­li­chen Rechtsfrage.

Selbst wenn eine Geheim­nis­be­stim­mung aus­nahms­wei­se aus­drück­lich schon die Mög­lich­keit der Kennt­nis­ver­schaf­fung erfasst, was sel­ten ist: Auch hier genügt nicht jede theo­re­ti­sche Mög­lich­keit, denn die­se gibt es immer – kei­ne Sicher­heits­mass­nah­me wirkt voll­stän­dig. Es kann nur um eine tat­be­stands­mä­ssi­ge Risi­ko­er­hö­hung gehen. Wäre eine mini­mal­ste Risi­ko­er­hö­hung tat­be­stands­mä­ssig, müss­te das (Straf-)Recht dies bezo­gen auf einen bestimm­ten, eng umschrie­be­nen Sach­ver­halt einer ganz ausser­ge­wöhn­li­chen Schutz­be­dürf­tig­keit festlegen.

Betrach­tet man die Sache aus Distanz, tritt der Wer­tungs­wi­der­spruch deut­lich zu Tage. Es leuch­tet nicht ein, dass Daten gegen den Zugriff aus­län­di­scher Behör­den viel stär­ker zu schüt­zen wären als gegen jenen rus­si­scher Hacker.

Any­bo­dy who claims per­fect secu­ri­ty is eit­her lying or they do not know what they are tal­king about (hier)

Behörde

Gebiet

Themen

Ähnliche Beiträge

Newsletter

News abonnieren →