Mit ihrer Aufforderung an die Universität Zürich zur umfassenden Datenerhebung und Datenherausgabe rund um die Ereignisse am Medizinhistorischen Institut und Museum hat die Staatsanwaltschaft den Grundsatz der Verhältnismässigkeit verletzt. Dies lässt der Universitätsrat verlauten.
Die Aufforderung war für die Universität verbindlich; dennoch hätte sie mehr zum Schutz der betroffenen Personen unternehmen können. Zu diesem Ergebnis kommt ein Gutachten, das der Universitätsrat in Auftrag gegeben hat. Er prüft nun weiter, inwieweit Handlungsbedarf bestehe. Das Gutachten von Sylvain Métille umfasst die Klärung von Fragen zur rechtlichen Einordnung der Editionsaufforderung der Staatsanwaltschaft, zu deren Verbindlichkeit und zur Pflicht der Universität, die privaten Interessen ihrer Mitarbeitenden und Studierenden zu schützen.
Die Universität habe zwischenzeitlich Richtlinien für den Umgang mit personenbezogenen Daten an der Universität Zürich erarbeitet, die derzeit in Vernehmlassung seien, heisst es in der Mitteilung. Der Universitätsrat werde in einem nächsten Schritt das Gutachten analysieren und prüfen, inwieweit zusätzlicher Handlungsbedarf bestehe.
Zu einem ähnlichen Befund kommt der Datenschutzbeauftragte des Kantons Zürich. In seinem Bericht stellt er fest, dass die Auswertungen von Telefon- und E-Mail-Verkehrsdaten der Angehörigen der Universität rechtswidrig waren. Der Herausgabe der ausgewerteten Daten an die Strafverfolgungsbehörden standen überwiegende private Interessen der betroffenen Personen entgegen. Die Universität hat Massnahmen zu treffen, um die gesetzeskonforme Datenbearbeitung und Datenbekanntgabe sicherzustellen.
Die Universität Zürich erstattete im September 2012 Strafanzeige wegen Verdachts der Amtsgeheimnisverletzung, nachdem in den Medien Berichte betreffend das Medizinhistorische Institut und Museum der Universität veröffentlicht worden waren. Im Herbst 2013 wurde bekannt, dass die Universität der Staatsanwaltschaft verschiedene Daten von Angehörigen der Universität sowie von Dritten herausgegeben hatte und dazu eine unbekannte Menge an Telefon- und E-Mail-Daten auf bestimmte Kontakte hin überprüft worden waren. Der Datenschutzbeauftragte leitete darauf bei der Universität eine Kontrolle ein, um die Rechtmässigkeit dieser Datenbearbeitungen zu prüfen. Er kam zum Schluss, dass die Universität für die Auswertungen über keine Rechtsgrundlagen verfügt, und diese auch nicht verhältnismässig waren.
Die Universität Zürich will einen Datenschutzdelegierten einsetzen, der künftig für den gesetzes- und reglementskonformen Umgang mit personenbezogenen Daten sorgen soll, wie es in einer Medienmitteilung weiters heisst. Zudem werde sie Richtlinien für den Umgang mit personenbezogenen und anderen Daten erlassen. Die Universität Zürich habe den Bericht des kantonalen Datenschutzbeauftragten über die Datenbekanntgabe an die Staatsanwaltschaft des Kantons Zürich zur Kenntnis genommen. Ob die Bearbeitung und Herausgabe der Daten tatsächlich rechtswidrig waren, wird das Bezirksgericht im Laufe des Strafverfahrens klären müssen.
Für die Universitätsleitung stehe den Angaben gemäss aber ausser Zweifel fest, dass die Universität sensibler mit Personendaten hätte umgehen und die Verhältnismässigkeit der Datenherausgabe sorgfältiger hätte prüfen müssen. Damit sich ein solcher Vorgang nicht wiederhole, habe die Universitätsleitung sofort nachdem die Herausgabe der Daten im November 2013 bekannt wurde, reagiert und eine Arbeitsgruppe Datenschutz eingesetzt.
Inzwischen hat die Arbeitsgruppe umfassende Richtlinien vorgelegt, die universitätsintern bis Ende November in eine Vernehmlassung geschickt werden. Zentraler Punkt der Richtlinien ist die Schaffung einer Stelle eines oder einer Datenschutzdelegierten. Dieser oder diese soll für einen gesetzes- und regelkonformen Umgang mit Personendaten an der UZH sorgen.
Der Online-Stellenmarkt für ICT Professionals