Datenschutz und Informationssicherheit bei der Plattformnutzung
- David Schneeberger
- vor 5 Tagen
- 2 Min. Lesezeit
1. Ausgangsfrage
Verfahrensdokumente enthalten sensible Personendaten. Die Übermittlung über justitia.swiss schafft neue Berührungspunkte zwischen diesen Daten und digitaler Infrastruktur. Was das für den Datenschutz nach nDSG bedeutet und was Kanzleien und Behörden konkret tun müssen, ist eine Frage, die oft zu spät gestellt wird.
2. Warum die Frage oft falsch gestellt ist
Ein häufiger Irrtum: «Die Plattform ist staatlich – also ist der Datenschutz automatisch gewährleistet.» Die Plattformbetreiberin, die Trägerkörperschaft von justitia.swiss, ist verantwortlich für die Infrastruktur. Aber die Verantwortung für die korrekte Handhabung der über die Plattform übermittelten Daten liegt bei den nutzenden Organisationen.
3. Entscheidungsdimensionen
1. Datenschutzrechtliche Einordnung der Plattformnutzung
Die Übermittlung von Verfahrensdokumenten über justitia.swiss ist eine Bearbeitung von Personendaten im Sinne des nDSG. Das gilt unabhängig davon, ob die Plattform staatlich betrieben wird. Kanzleien und Behörden sind Verantwortliche für die Daten, die sie über die Plattform übermitteln.
Besonders sensitiv: Strafrechtliche Verfahren, medizinische Gutachten, familienrechtliche Dokumente – diese enthalten besonders schützenswerte Personendaten nach Art. 5 lit. c nDSG. Für deren Bearbeitung gelten erhöhte Sorgfaltspflichten.
2. Mandatsgeheimnis und Berufsgeheimnis
Anwältinnen und Anwälte unterstehen dem Berufsgeheimnis nach Art. 321 StGB. Die Übermittlung von Klientendaten über justitia.swiss ist grundsätzlich zulässig – weil die Plattform für genau diesen Zweck geschaffen wurde. Aber: Der Inhalt der übermittelten Dokumente fällt weiterhin unter das Berufsgeheimnis.
Praktisch relevant: Wer auf der Plattform Zugang hat, sieht unter Umständen Dokumente aus Mandaten, an denen er nicht beteiligt ist. Interne Zugriffskontrollen sind deshalb nicht nur eine Frage der Betriebsorganisation, sondern auch des Berufsgeheimnisses.
3. Technische und organisatorische Massnahmen
justitia.swiss selbst implementiert technische Sicherheitsmassnahmen: verschlüsselte Übertragung, Zugriffskontrolle über AGOV-Authentifizierung, Protokollierung. Das entbindet nutzende Organisationen aber nicht von eigenen Massnahmen.
Eigene Massnahmen umfassen: minimale Zugangsvergabe (nur wer Zugang braucht, bekommt ihn), Prozesse für das Ausscheiden von Mitarbeitenden (sofortige Deaktivierung des Profilzugangs), Dokumentation der Zugriffsrechte.
4. Archivierung und Löschpflichten
Die automatische Löschung auf der Plattform löst keine eigenen Archivierungspflichten aus, sie macht aber deutlich, dass Organisationen selbst für die korrekte Aufbewahrung von Verfahrensdokumenten verantwortlich sind. Und die Aufbewahrungsfristen nach Verfahrensrecht – je nach Kanton und Verfahrenstyp mehrere Jahre – müssen in der eigenen Infrastruktur sichergestellt werden.
4. Typische Fehlannahmen
«Plattform = sicher, also kein Handlungsbedarf.» Die Plattformsicherheit schützt die Übertragung. Die organisationale Sicherheit der eigenen Zugänge und Prozesse liegt bei der nutzenden Organisation.
«Datenschutz ist ein Compliance-Thema, kein Betriebsthema.» Datenschutzverletzungen rund um justitia.swiss entstehen typischerweise nicht durch Plattformfehler, sondern durch falsch konfigurierte Zugänge oder unzureichende interne Prozesse.
5. Entscheidungsrahmen
Wenn Ihre Organisation besonders schützenswerte Personendaten übermittelt → erhöhte Sorgfalt bei Zugangskonfiguration und Archivierung.
Wenn Sie als Behörde handeln → Datenschutz-Folgenabschätzung für den Plattformbetrieb prüfen.
In jedem Fall → Zugangsvergabe und Abmeldeprozesse schriftlich regeln.
6. Einordnung in die Gesamtarchitektur
Datenschutz ist ein Querschnittsthema, das alle Dimensionen der Justitia-4.0-Einführung berührt. Den Überblick liefert die Pillar-Seite.
7. Mandatshinweis
Datenschutzkonforme Zugangskonfiguration und Prozessgestaltung sind Teil jedes vollständigen Umsetzungsmandats.
