Im Dschungel der Datenspuren

Aus dem Arbeitsalltag der Informationssicherheit und der Fachstelle Datenschutz

Corinne Suter Hellstern, Leiterin Fachstelle Datenschutz

Im Dschungel der Datenspuren

Aus dem Arbeitsalltag der Informationssicherheit und der Fachstelle Datenschutz

Corinne Suter Hellstern, Leiterin Fachstelle Datenschutz
Heute schon mit WhatsApp kommuniziert? Kontaktlos bezahlt? Viele werden diese Fragen mit «Ja» beantworten. Unsere Datenspuren sind lang und unser virtuelles Ich erhält immer mehr Facetten. Willkommen beim Datenschutz und der IT-Sicherheit. Die Fachstelle Datenschutz und das Fachgremium Informationssicherheit sind mit vielfältigen Fragen und immer wieder neuen Fragestellungen konfrontiert, die Technik wandelt sich rasch. Dabei arbeiten diese beiden Stellen eng zusammen: In der heutigen digitalen Zeit wirft jede Datenbearbeitung technische Fragen auf. Und umgekehrt stellt sich bei jedem digitalen Vorhaben die Frage nach dem Datenschutz. Im Folgenden zeigen wir einen Ausschnitt aus unserer Arbeit im vergangenen Jahr. Zum Schluss gibt es ein paar praktische Tipps: Die eigene Datenspur zu verkleinern liegt im Interesse jeder und jedes Einzelnen, denn jedes System kann gehackt werden. Der beste Schutz ist immer noch, wenn die Daten gar nicht erst entstehen.

Homeoffice

Die Corona-Pandemie brachte für viele eine örtliche Veränderung der Büroräumlichkeit: Homeoffice war angesagt. Sowohl aus datenschutzrechtlicher als auch aus Sicht der IT-Sicherheit spricht nicht grundsätzlich etwas dagegen; selbst dann, wenn die Stelle sensible Personendaten bearbeitet, wie dies bei öffentlichen Organen häufig der Fall ist. Zu beachten sind organisatorische und technische Massnahmen. Die Daten müssen gegen Verlust, unbefugte Kenntnisnahme und unbefugtes Bearbeiten gesichert werden. Das heisst: Bildschirm sperren, keine Papierakten rumliegen lassen und vertrauliche Gespräche nicht im Beisein des Familienkreises führen. Auch ist eine Zugriffsbeschränkung einzurichten und die Dokumente müssen verschlüsselt werden.

Webcam

Es wird gebaut. Das öffentliche Organ möchte eine Webcam installieren, um der Öffentlichkeit den Baufortschritt aufzuzeigen. Was gilt es zu beachten? Personen oder Fahrzeuge mit ihren Kennzeichen dürfen nicht erkennbar sein. Personen können auch anhand ihrer Kleidung, mitgeführter Gegenstände oder Hunde bestimmt werden. Der Bildausschnitt muss auf die Baustelle und die Aufnahmen müssen auf die Arbeitszeit auf der Baustelle beschränkt werden. Betreibt ein externes Unternehmen die Webcam, müssen die datenschutzrechtlichen Vorgaben schriftlich in einer Vereinbarung geregelt werden. Weiter zu beachten sind die Vorgaben zur Informationssicherheit, zur Datenschutz-Folgenabschätzung und Vorabkonsultation.

Absenzenmanagement

Das Absenzenmanagement, bisher «on premises» – vor Ort – betrieben, soll durch eine Cloud-Lösung ersetzt werden. Bevor Personendaten bearbeitet werden, ist zu prüfen, ob daraus ein hohes Risiko für den Schutz auf Privatsphäre der Bürgerinnen und Bürger resultiert. Ist dies möglich, muss das öffentliche Organ eine Datenschutz-Folgenabschätzung machen. Dabei handelt es sich um eine Risikoabschätzung: Es werden Risiken identifiziert und bewertet, die durch den Einsatz von neuen Verfahren, Technologien oder Systemen entstehen. Ergibt diese Abschätzung, dass trotz getroffener Massnahmen das Risiko für die Bürgerinnen und Bürger hoch ist, muss das öffentliche Organ bei der Fachstelle Datenschutz das Vorhaben zur Vorabkonsultation vorlegen. Das bedeutet vorerst zwar mehr Arbeit, dafür beweisen die erstellten Unterlagen: Dem Datenschutz und der IT-Sicherheit wurde die nötige Beachtung geschenkt. Das ist nicht nur eine gesetzliche Pflicht. Es zeigt auch, das öffentliche Organ versteht es mit sensiblen Daten der Bevölkerung sorgfältig umzugehen. Das schafft Vertrauen. Die Fachstelle Datenschutz hat dazu Merkblätter auf ihrer Webseite publiziert.

Datenspur im Alltag

7 Uhr: Handy an, Nachricht per WhatsApp verschickt. 7.30 Uhr: Fahrt mit dem Bus, von der Videokamera überwacht. 7.50 Uhr: Brötchen gekauft, kontaktlos bezahlt. 8 Uhr: Ankunft im Büro, PC an, Statusanzeige per Skype. 9 Uhr: Videokonferenz – was trage ich und wie sieht meine Büroeinrichtung oder mein Homeoffice aus? So geht es den ganzen Tag weiter. Wir können heute kaum mehr etwas tun, ohne eine digitale Datenspur zu hinterlassen. Dies gilt beruflich und privat. Wie kann ich verhindern, dass ich «gläsern» und damit manipulierbar werde? Grundsätzlich gilt: Nur das Nötigste von sich preisgeben. Das heisst beispielsweise:

    • Im Internet sollten wenn immer möglich Pseudonyme verwendet werden.
    • Beim Hochladen von Fotos ins Internet sollte man sich fragen:
    • Würde ich das Foto auch einer beliebigen Person auf der Strasse zeigen?
    • Soll das Bild auch in 10 bis 15 Jahren noch im Internet zur Verfügung stehen?
    • Bei kostenlosen E-Mail-Adressen wie zum Beispiel Gmail lautet das Gegengeschäft: Daten gegen Mail-Service. Für Registrierungen sind Wegwerfadressen zu empfehlen, beispielsweise bei trash-mail.com erhältlich.
    • Tracking bei Handy und Smartphone-Gebrauch sollte möglichst vermieden werden.
    • Wer soziale Medien nutzt, sollte bei den Kontakten wählerisch sein und Sicherheitseinstellungen beachten. Ganz wichtig: Der private Bereich sollte vom Arbeitsbereich strikt getrennt werden.
    • Statt Google gibt es alternativ datenschutzfreundliche Suchmaschinen wie swisscows.com oder startpage.com. Zu empfehlen ist auch, verschiedene Suchmaschinen oder Anonymisierungsprogramme zu verwenden.
    • Kreditkarten hinterlassen immer Spuren und ermöglichen einen detaillierten Einblick in unseren Alltag. Auch wenn es für viele kaum mehr vorstellbar ist: Es lohnt sich hie und da bar zu bezahlen.
    • Brauche ich Kundenkarten wirklich? Sie dienen wie Wettbewerbe häufig vor allem dazu, persönliche Daten zu sammeln.
    • Wichtig sind zudem technische Massnahmen wie Passwort verwenden, Mail verschlüsseln, Filtersoftware installieren, Cookies kritisch hinterfragen, Cache und Verlauf löschen oder – ganz einfach – Laptop-Kamera zukleben.

Für Fragen stehen die Fachstelle Datenschutz und Peter Müntener, Leiter Informationssicherheit, gerne zu Verfügung.