Berner Behörden brauchen Nachhilfe beim Datenschutz

Dass die Vernetzung immer grösser werdenden Datenmengen mit viel Aufwand und Problemen verbunden ist, beweist der Jahresbericht der Datenschutzaufsichtsstelle des Kantons Bern. Da wird von einem Fall berichtet, in dem eine Berner Gemeinde das Amt für Informatik und Organisation (KAIO) anfragt, welchen Code sie in der Datenbank GERES, in der die Einwohnerkontrolldaten aller Gemeinden des Kantons Bern zusammengeführt sind, muslimischen Glaubensangehörigen zuordnen sollen. Muslime sind nach eidgenössischem und kantonalem Recht allerdings keine anerkannte Religionsgemeinschaft in der Schweiz, nur diese dürften aber separat erfasst werden. Alle anderen müssen einem einheitlichen Code zugeordnet werden. Da die Gemeinde dies nicht wusste, meldete sich das KAIO beim Datenschutzbeauftragten Markus Siegenthaler, der daraufhin GERES auf Religionszugehörigkeiten untersuchte. Seine Resultat: 200 000 Personen waren unzulässerigerweise erfasst, wurden beispielsweise als Atheisten oder Quäker geführt. Das Problem dabei: Das auf GERES aufbauende Quellensteuersystem der Steuerverwaltung interpretierte bestimmte Codes als ungeklärte Fälle, die bis zur Klärung nicht nur für die Kirchensteuer sondern generell nicht besteuert werden durften. Und das Bundesamt für Statistik musste auf statisch wichtige Informationen verzichten. Siegenthaler hat darum die Datenschutzaufsichtsstellen der Gemeinden aufgefordert, für Abhilfe zu sorgen. Personen ohne Zugehörigkeit zu einer der staatlich anerkannten Religionsgemeinschaften müssen einen einheitlichen Code erhalten. Auch bei der Busseninkassostelle und der Klinik Südhang, die alkoholabhänige Personen betreut, wurden Mängel betreffend der Dateneinspeisung gefunden. Bei ersterer würden den Mitarbeitern unverhältnismässige Zugriffsrechte eingeräumt und zudem alte Daten nie gelöscht werden, in der Klinik gibt es keine Datenlöschung, keine Archivierung und keine Mailverschlüsselung.

Neben der Datenhaltung waren auch Videoüberwachungen ein Thema, das Siegenthaler und sein Team beschäftigte. Videoüberwachungen gelten als schwere Eingriffe in das Grundrecht auf Datenschutz, auch wenn es um Aufzeichnungen in öffentlichen Gebäuden geht, die nicht allgemein öffentlich zugänglich sind. Werden beispielsweise in einem Spital die Eingänge videoüberwacht, sind auf den Aufzeichnungen immer auch Patienten zu sehen. Die Aufnahmen unterstehen darum der ärztlichen Schweigepflicht. Will jemand – in der Regel die Polizei – die Daten auswerten, müssen darum die Ärzte und Pfleger zuerst von ihrer Schweigepflicht befreit werden. Generelle Befreiungen sind dabei nicht zulässig. In diesem Beispiel durften die Aufzeichnungen deshalb nicht benutzt werden. Ein anderes Problem bleibe die Cloud, heisst es im Bericht weiter. Viele Schulen hätten sich für Microsoft Office 365 interessiert. Aus Sicht des Datenschutzes war aber problematisch, dass die Daten im Ausland bearbeitet werden. Darum mussten zuerst «erhebliche Abklärungen» betreffend Gerichtstand getroffen werden, bis mit Microsoft eine datenschutzkonforme Cloud-Lösung gefunden wurde. Das entsprechende Vertragswerk fülle einen Ordner und sei teilweise auf Englisch abgefasst.