Datenschutz und Datensicherheit

Stand: 08.04.2020

Reglemente

Die Vorschriften der UZH zu Datenschutz und Datensicherheit basieren auf dem schweizerischen Datenschutzgesetz (DSG) und den kantonalen Gesetzen (IDG) und Verordnungen (IDV).

Das «Reglement über den Einsatz von Informatikmitteln an der UZH» (REIM) legt für alle Nutzerinnen und Nutzer (d.h. für Angehörige der UZH und Externe) die Grundregeln für Datensicherheit und Datenschutz fest. Im Dokument «Normen für den Betrieb von Systemen an der UZH» (NBS) und im «Merkblatt Informatik-Einsatz für Mitarbeitende» sind die Vorschriften des REIM konkretisiert.

Hilfestellungen für die Praxis bietet die «Checkliste Datenschutz im Büroalltag», hinsichtlich Home Office vor allem in den Kapiteln 3 und 5.

Darüber hinaus existieren weitere Dokumente zum Themengebiet, die im Web-Auftritt  der Abteilung Datenschutzrecht zusammengestellt sind, besonders eine Übersicht zur Einschätzung von Online-Tools.

Folgerungen

Aus den gesetzlichen Vorgaben und den UZH-eigenen Vorschriften ergeben sich u.a. folgende Grundsätze  für die Arbeit mit geschäftlichen Daten an der UZH (im Büro oder im Home Office, auf privaten und auf UZH-eigenen Geräten):

  • Es dürfen keine Dienste verwendet werden, die nicht durch die UZH (inkl. Institut und Professur) eigenständig betrieben werden oder die offiziell als datenschutzkonform deklariert und zur Verfügung gestellt wurden.
     
  • Dienste von UZH-fremden Anbietern dürfen nicht genutzt werden. Ausnahme sind Anbieter, mit denen die UZH einen Vertrag abgeschlossen hat, der die Vorgaben der UZH berücksichtigt (siehe Box rechts).
     
  • Bei der Nutzung von UZH-eigenen und datenschutzkonformen externen Diensten müssen die Nutzerinnen und Nutzer in Eigenverantwortung die verwendeten Daten in Geschäftsdaten und besonders Schützenswerte Daten unterschieden , d.h. eine Klassifizierung der Inhalte vornehmen und bei den genutzten Diensten nur erlaubte Inhalte speichern und bearbeiten.

Dabei helfen die Erklärungen in der Geheimhaltungserklärung (siehe Box rechts) und die Infografiken auf einer Info-Page zu Office 365. Hier wird am Beispiel von Microsoft Teams/Office 365  aufgezeigt, welche Klassen von Daten zu berücksichtigen sind, und welche davon nicht oder nur bedingt mit diesem Dienst verwendet werden dürfen.

Datenverschlüsselung

Weil in vielen Fällen nicht abschliessend geklärt ist, ob bestimmte Daten bei bestimmten Diensten gespeichert werden dürfen, ist es empfehlenswert, die Daten vor der Speicherung zu verschlüsseln. Die Details für dieses Vorgehen muss jedoch mit allen gegebenenfalls beteiligten Personen abgesprochen werden, damit die Daten für andere Berechtigte gegenwärtig und in Zukunft zugänglich bleiben.

Negativ-Beispiele

Für den verbreitenden Dienst ZOOM hat die UZH eine Campus-Lizenz erworben und für alle UZH-Angehörigen freigegeben . mehr

Folgende, teilweise vielgenutzte Dienste dürfen für die Arbeit mit geschäftlichen Daten an der UZH nicht verwendet werden, weil die Daten bei UZH-externen Anbietern gespeichert und dadurch unvermeidlich auch für Dritte zugänglich gemacht werden. Manche Dienste können eigenständig betrieben werden (vom Institut oder der Professur) und sind dann zulässig.

Die Liste ist weder vollständig noch abschliessend.

Datenspeicher/Datenaustausch/Cloud-Speicher:

dropbox, Google Drive, OneDrive (ausserhalb von Microsoft Teams UZH oder Office 365 UZH) etc.

Weiterleitung auf Mail-Konten:

Automatische Weiterleitung von geschäftlichen Mails aus einem UZH-Konto an UZH-fremde Mail-Konten ist nicht erlaubt.

Video-Konferenzen:

Skype (ausserhalb von Microsoft Teams UZH oder Ofice 365 UZH),  ZOOM (ohne Campus-Lizenz), WhatsApp, Facebook, FaceTime etc.

Kollaboration/Team Messenger:

Slack, ZOOM (ohne Campus-Lizenz), Skype etc.

Online-Umfragen:

surveymonkey, Google Forms, SoSci Survey (sofern nicht an der UZH betrieben) etc.

Fernzugriff/Fernwartung:

TeamViewer, AnyDesk etc.

Online-Dienste für Therapie

Bei der Verwendung von Video-Konferenzen, Audio-Konferenzen oder Chats für die Therapie mit Patientinnen und Patienten werden zwangsläufig besonders schützenswerte Daten generiert und gespeichert, die dem Berufsgeheimnis unterliegen. Die Patientinnen bzw. Patienten müssen ihr explizites Einverständnis erteilen, damit ein Online-Dienst eingesetzt werden darf. Andernfalls muss auf Kommunikation via Telefon ausgewichen werden.

Bei Supervision mithilfe eines Online-Dienstes kann eine Patientin bzw. ein Patient i.d.R. kein Einverständnis geben. Daher müssen besprochene Inhalte anonymisiert werden. Schriftliche Informationen dürfen nicht mit dem gleichen Online-Dienst ausgetauscht werden, selbst wenn diese Funktion zusätzlich angeboten wird.

Nach aktuellem Stand haben die Datenschützer des Kantons und der UZH für Therapie folgende Dienste freigegeben:

  • wire.com (Smartphone-App wie von der FSP emfohlen), während der aktuellen Corona-Krise
  • video.meeting.uzh.ch (mehr)
  • SWITCHvideoconf (mehr)

Eine zusätzliche Komponente muss vorab aktiviert werden (sieh Box rechts):

  • Office 365 UZH (und dessen folgenden Bestandteile)
  • Microsoft Teams
  • OneDrive UZH

Nicht gestattet ist für Therapiezwecke die Verwendung des verbreiteten Dienstes ZOOM für Video-Konferenzen, trotz der Empfehlung durch die FSP und trotz Campus-Lizenz an der UZH. mehr

Bei der Abteilung Datschutzrecht sind aktuelle Hinweise zum Thema empfohlene und nicht empfohlene Diensten publiziert.