Datenschutzkontrolle durch die Fachstelle für Datenschutz
Zahlreiche Informationen
Mit der kantonalen Einwohnerdatenplattform werden Personendaten von Bürgerinnen und Bürgern nicht mehr aktiv von der Gemeinde an eine kantonale Stelle bekannt gegeben; die Mitarbeitenden des Kantons besorgen sie selber. Bei der Beschaffung in Selbstbedienung ist das Missbrauchspotential grösser. Aus diesem Grund sah die Fachstelle für Datenschutz sowohl im Tätigkeitsbericht 2019 als auch Tätigkeitsbericht 2020 vor, stichprobenweise diese Zugriffsberechtigungen zu prüfen. Geprüft wurde einerseits, ob rechtliche Grundlagen vorhanden sind, welche die Bearbeitung dieser Personendaten rechtfertigen und andererseits, ob diese Personendaten für den Geschäftsprozess notwendig sind. Weiter wurde die organisatorische Handhabung in den Stellen geprüft. Die kantonale Einwohnerdatenplattform ist nicht einfach ein abstraktes Gebilde: In ihr sind sämtliche Einwohnerinnen und Einwohner des Kantons St.Gallen erfasst. Ersichtlich ist etwa wo jemand wohnt, wann jemand wo geboren ist, ob jemand verheiratet ist, wer Mutter und Vater sind oder allfällige Sorgerechte. Es handelt sich also um zahlreiche Informationen über eine Bürgerin bzw. Bürger. Es ist deshalb sehr wichtig, dass die berechtigten Stellen nur auf diejenigen Personendaten zugreifen können, die sie für ihre gesetzliche Aufgabenerfüllung benötigen.
Zugriffe teilweise zu umfangreich
Die Fachstelle für Datenschutz prüfte seit Inkrafttreten der Verordnung über die kantonale Einwohnerdatenplattform sechs Stellen in verschiedenen Departementen und in der Staatskanzlei. In der Hälfte der Fälle erschien der Fachstelle für Datenschutz sowohl Rechtsgrundlage als auch Umfang der Personendaten, auf die zugegriffen wird, plausibel. In den anderen Fällen kam sie zum Schluss, dass die Rechtsgrundlage nicht vollkommen ausreichte und der Umfang der bearbeiteten Personendaten teilweise zu gross war. Auf welche Personendaten aber zugegriffen werden darf, bemisst sich nach der gesetzlichen Aufgabe, die erfüllt werden muss. Es verstösst gegen die Bestimmungen des Datenschutzgesetzes, wenn auf Personendaten zugegriffen wird, die für die gesetzliche Aufgabenerfüllung nicht nötig sind. Die Fachstelle für Datenschutz empfahl diesen Stellen deshalb, den Umfang nochmals zu überprüfen und ihr das Ergebnis mitzuteilen. Teilweise erging auch die Empfehlung, die Zugriffsberechtigungen innerhalb der Stelle zu prüfen und nur jenen Mitarbeitenden einen Zugriff zu erteilen, welche die Personendaten für die Aufgabenerfüllung benötigen. Auch der Prozess, wie die Zugriffsberechtigungen erteilt und entzogen werden, kann bei einzelnen Stellen optimiert werden.
Die Fachstelle für Datenschutz wird bei weiteren Stellen stichprobenmässig überprüfen, ob die Zugriffsberechtigungen datenschutzkonform sind.