Wenn auf amtlicher Website Namenslisten öffentlich einsehbar sind, sei diese Datenschutzverletzung auf einen Fehler eines Mitarbeitenden zurückzuführen.
Immer wieder wird im Internet die Akzeptanz von Cookies gefordert. Foto: Lino Mirgeler/dpa
Immer wieder wird im Internet die Akzeptanz von Cookies gefordert. Foto: Lino Mirgeler/dpa - dpa-infocom GmbH

Denn die Fehler des Menschen liessen sich verhindern oder deren Folgen zumindest mindern, indem grundlegende technische und organisatorische Massnahmen umgesetzt werden, schreibt Dominika Blonski in ihrem am Mittwoch, 22. Juni 2022, vorgestellten Tätigkeitsbericht 2021.

So müssten beispielsweise mobile Datenträger für den Fall, dass sie verloren gehen oder gestohlen werden, immer verschlüsselt sein. Und beim Einsatz von privaten Geräten müssten die Mitarbeitenden regelmässig auf minimale Sicherheitsanforderungen aufmerksam gemacht werden. Dazu gehöre etwa eine Bildschirmsperre, die automatisch nach einer kurzen Zeitspanne der Inaktivität greife.

Für öffentliche Organe besteht seit einiger Zeit eine Meldepflicht von Datenschutzvorfällen. Die eingegangenen Meldungen zeigten «die alltäglichen Herausforderungen der öffentlichen Organe im Bereich der Informationssicherheit», heisst es im Bericht.

Ein öffentliches Organ stellte den Gemeinden in einem passwortgeschützten Bereich seiner Website Listen von registrierten Personen zur Verfügung. Über eine externe Suchmaschine konnten diese Listen aber ohne Passwort von jedem Internetsurfenden gefunden und eingesehen werden. Die für den Internetauftritt zuständige Stelle konnte den Konfigurationsfehler denn rasch beheben.

Cloud-Lösungen können eine Gefahr darstellen

Mehrere Meldungen gingen auch ein, weil beim Versenden von E-Mails immer wieder die Adressen aller Empfänger sichtbar waren. So werden oft auch sensitive Informationen über Personen bekanntgeben, warnt Blonski.

Denn wenn es etwa um Quarantäneverfügungen oder um Mitteilungen von Regionalen Arbeitsvermittlungszentren gehe, seien Rückschlüsse auf den gesundheitlichen Zustand oder die wirtschaftliche Situation möglich. «Hier könnten Mailinglisten einen guten Schutz bieten.»

Gefahren sieht die Datenschutzbeauftragte unter anderem auch bei Cloud-Lösungen, bei denen grosse internationale Tech-Firmen den Takt vorgeben. «Das öffentliche Organ kann sich seiner Verantwortung für den Schutz der Daten auch bei der Auslagerung nicht entziehen.»

Daten werden gern nachgefragt

Schliesslich sei den Daten auch Sorge zu tragen – denn wo Daten vorhanden seien, würden sie auch gern nachgefragt, schreibt Blonski. Sie verweist auf das Beispiel einer Liegenschaftenverwaltung, die sich bei der Einwohnerkontrolle erkundigte, ob in ihrem Haus Mieter lebten, die einen Hund hielten – was ihre Hausordnung verbiete.

Ohne gesetzliche Grundlage dürfen die Daten aber nicht herausgegeben werden: «Das Hundegesetz regelt die Anmeldung von Hunden bei der Einwohnergemeinde», heisst es im Tätigkeitsbericht. Es sehe aber nicht vor, dass diese Informationen an Private bekannt gegeben werden.

Die kantonale Datenschutzbeauftragte warnt aber nicht nur: «Die gute Nachricht ist, dass neue Technologien auch eingesetzt werden können, um zusätzliche Sicherheit für Daten zu schaffen.» Es lohne sich, die Anliegen des Datenschutzes früh zu berücksichtigen.

Mehr zum Thema:

Daten Hund