St.Galler Datenschutzbericht deckt Schwachstellen auf
Ob Messenger in der Schule, Cloud-Dienste in der Verwaltung oder verlegte USB-Sticks: Der neue Tätigkeitsbericht der kantonalen Fachstelle für Datenschutz zeigt auf, wie zentral klare Zuständigkeiten und technische Massnahmen für den Schutz von Personendaten im digitalen Zeitalter sind.
Die Fachstelle prüfte im Jahr 2024 unter anderem die Anwendung PUPIL Connect, ein Messenger, der von Volksschulträgern für die Kommunikation mit Eltern eingesetzt wird. Die Prüfung zeigte: Besonders schützenswerte Personendaten dürfen damit nicht bearbeitet werden. Zudem sei es essenziell, dass allen Anwendern die Bearbeitungsregeln bekannt sind. Weil die datenschutzrechtliche Aufsicht in der Zuständigkeit der Gemeinden liegt, wurden die jeweiligen Gemeindefachstellen in die Prüfung einbezogen.
M365 braucht klare Leitplanken
Ein weiteres Schwerpunktthema im Bericht ist die Einführung von Microsoft 365 im Kanton St.Gallen. Die Fachstelle spricht sich dafür aus, dass bestehende Fachapplikationen, in denen häufig sensible Daten verarbeitet werden, langfristig bestehen bleiben. Microsoft müsse vertraglich verpflichtet werden, Personendaten ausschliesslich für vereinbarte Zwecke zu nutzen. Mit Blick auf die rasante Entwicklung von KI sei die Einhaltung des Zweckbindungsprinzips besonders wichtig. Die Fachstelle fordert zudem eine laufende Prüfung möglicher Alternativen sowie eine transparente Kommunikation gegenüber der Bevölkerung, wenn Daten in der Cloud verarbeitet werden.
Unverschlüsselte Datenträger: ein Sicherheitsrisiko
Gleich zwei Datenschutzverletzungen im Berichtsjahr gehen auf den Einsatz unverschlüsselter Datenträger zurück – in einem Fall durch Verlust, im anderen durch Diebstahl. Besonders bei sensiblen Personendaten sei der Einsatz solcher Speichermedien absolut ungeeignet. Die kriminelle Energie bei einem Diebstahl erhöht das Risiko für Betroffene zusätzlich. In solchen Fällen kann eine Informationspflicht gegenüber den betroffenen Personen bestehen – abhängig vom Szenario und der Art der Daten.
Publikationsplattform unter der Lupe
Ein weiteres Thema betraf die kantonale Publikationsplattform. Mehrere Anfragen drehten sich um die Frage, weshalb gewisse Personendaten noch online abrufbar waren, obwohl entweder Rechtsmittelfristen abgelaufen waren oder ein Löschgesuch gutgeheissen wurde. Die Fachstelle stellt klar: In solchen Fällen besteht kein rechtlicher Grund mehr für die Veröffentlichung – die Daten müssen gelöscht werden. Besonders kritisch: Durch eine neue Suchfunktion können nun auch semantisch ähnliche Begriffe gefunden werden, was die Verbreitung der Daten zusätzlich begünstigt.
Hier geht’s zum vollständigen Tätigkeitsbericht der kantonalen Fachstelle für Datenschutz.
Text: pd/red