Die Fachstelle für Datenschutz des Kantons St. Gallen veröffentlichte kürzlich ihren Tätigkeitsbericht über das Jahr 2022. Zentrales Thema im Berichtsjahr war die Datenbearbeitung in Microsoft 365, der Cloud von Microsoft. Im Bericht wird unter anderem herausgehoben, dass die Vereinigten Staaten gemäss der Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten nicht über ein vergleichbares Datenschutzniveau wie die Schweiz verfügen. Zudem ermögliche der Cloud Act den US-Strafbehörden auf in- und ausländische Server Zugriff zu nehmen, ohne Weg über die internationale Rechtshilfe.
Für öffentliche Organe wie Kanton und Gemeinden würden aber die rechtsstaatlichen Prinzipien gelten und sie seien an die Grundrechte gebunden. Sie müssten deshalb besonders sorgfältig prüfen, welche Personendaten in einer solchen Cloud bearbeitet werden dürfen und welche nicht. Der Kontrollverlust, der mit einer solchen Datenbearbeitung einhergehe, sei ebenfalls zu berücksichtigen. Zudem entstehe eine grosse Abhängigkeit. Es stelle sich die Frage, was geschehe, wenn der Vertrag zum Beispiel wegen einer Vertragsverletzung gekündigt werden müsse.
Im Berichtsjahr gingen bei der Fachstelle für Datenschutz den Infos zufolge zwei Meldungen betreffend Datenschutzverletzung ein. Im einen Fall ging es um einen verlorenen unverschlüsselten USB-Stick mit sensiblen Daten. Die Fachstelle für Datenschutz empfiehlt hier verschiedene Massnahmen: Den Verzicht auf den Einsatz von Sticks oder dass diese verschlüsselt werden, die Sensibilisierung der Mitarbeitenden und die Bestimmung der Verantwortlichkeiten für die Meldung von Datenschutzverletzungen.
Der zweite gemeldete Fall betraf die Bearbeitung von Personendaten in einem Bereich mit Zugangsbeschränkung. Während einer gewissen Zeit war es möglich, dass Personen Daten einsehen konnten, die sie für ihre Aufgabenerfüllung nicht benötigten. Die Bearbeitung dieses Falles sei noch nicht ganz abgeschlossen.
In der präventiven Polizeiarbeit seien verschiedene Neuerungen vorgesehen, so etwa das predictive policing, die Führung einer Gefährderliste oder Regelungen zum polizeilichen Datenaustausch. Die präventive Polizeiarbeit sei in datenschutzrechtlicher Hinsicht sehr heikel. Es würden Personendaten nicht im Rahmen eines formellen Verfahrens bearbeitet, sondern ungesicherte Informationen verwendet. Es müsse vermieden werden, dass umfangreiche Datensammlungen nur aufgrund eines vagen Verdachts entstehen. An die gesetzlichen Grundlagen müssten daher besonders hohe Anforderungen gestellt werden. So sei die Fachstelle für Datenschutz der Ansicht, dass die Speicherdauer beim polizeilichen Datenaustausch im Gesetz selbst geregelt werden müsse.
Bei der Arbeit der Fachstelle für Datenschutz spielen laut Bericht sowohl rechtliche als auch technische Fragen eine Rolle. Um beides abdecken zu können, sei seit April 2023 ein eigener Mitarbeiter für IT-Audit bei der Fachstelle tätig. Es zeige sich dabei, das nicht mehr die Anzahl der Geschäfte ausschlaggebend sei für den Arbeitsaufwand. Vielmehr sei das Volumen von der Komplexität und der Interdisziplinarität abhängig.
