Tätigkeitsbericht 2022

Diese Digitalisierungs-Baustellen beschäftigen den Datenschutzbeauftragten von Basel-Stadt

Uhr
von René Jaun und tme

Die Teilrevision des Informations- und Datenschutzgesetzes hat den Datenschutzbeauftragten des Kantons Basel-Stadt im letzten Jahr auf Trab gehalten. Ein besonderes Augenmerk warf die Behörde auch auf Herausforderungen bei der Digitalisierung der Verwaltung.

(Source: JonHoefer / Pixabay.com)
(Source: JonHoefer / Pixabay.com)

Etwas mehr als 40 Seiten umfasst der Tätigkeitsbericht, in dem der Datenschutzbeauftragte des Kantons Basel-Stadt auf das Jahr 2022 zurückblickt. Müsste man die Schwerpunkte der Behörde des vergangenen Jahres in zwei Worten zusammenfassen, wären dies wohl "Gesetzesrevision" und "Digitalisierungs-Baustellen".

Neues Datenschutzgesetz aufgegleist

So begleiteten der Datenschutzbeauftragte Beat Rudin und sein Team alle Sitzungen der Justiz-, Sicherheits- und Sportkommission, welche die Revision des Informations- und Datenschutzgesetzes (IDG) aufgleiste. Im Herbst des Jahres 2022 konnte der Grosse Rat diese Revision abschliessen, wie die Datenschutzbehörde im Bericht ausführt. Dabei folgte er weitestgehend dem Ratschlag des Regierungsrates. Bezüglich der Ernennung betrieblicher Datenschutzberaterinnen und -Beratern wich er jedoch vom Vorschlag des Regierungsrates ab: Demnach müssen nicht nur die Staatsanwaltschaft, die Kantonspolizei und der Justizvollzug solche ernennen, sondern auch "alle Departemente, die Gerichte und Gemeinden und nach dem Entscheid durch den Regierungsrat auch weitere öffentliche Organe, die regelmässig sensitive oder sehr viele Personendaten bearbeiten", wie Rudin in der Einleitung zum Tätigkeitsbericht ausführt.

In Kraft treten kann das angenommene Gesetz übrigens noch nicht, denn aktuell ist noch die Anpassung der dazu gehörenden Verordnung in Vorbereitung. "Es ist zu hoffen, dass es im Herbst 2023 so weit ist", heisst es dazu.

Governance, Chatbots und Microsoft 365

Derweil beschäftigte sich die Datenschutzbehörde auch mit diversen Baustellen im Bereich digitalisierter Verwaltungen. Während sich die Mitarbeitenden öffentlicher Organe um datenschutzkonformes Arbeiten bemühten, fehle oft der konzeptionelle Rahmen – teilweise oder vollständig, beklagt der Datenschützer. Er ruft in Erinnerung, dass vor etwas mehr als drei Jahren die letzte geltende IT-Governance aufgehoben wurde, gemeinsam mit der Abteilung Informatik-Steuerung und Organisation (ISO), deren Funktionen teilweise von der Behörde ITBS übernommen wurden. Damit sei ein Vakuum entstanden, welches "der Steuerung der IT nicht dienlich ist", wie der Datenschutzbeauftragte schreibt.

Fragen werfen auch neue Technologien auf. Der Datenschutzbeauftragte nennt hier Chatbots, soziale Medien oder Überwachungstools (wie Google Analytics). Diesbezüglich könne man nur in Einzelfällen Stellung nehmen, zumal man nicht in jedem Fall über den Einsatz solcher Technologien informiert werde. "Das mag im 'harmlosen' Umfeld und mit 'einfachen' Chatbots, die nur zum richtigen Formular leiten, zu keinem Schaden führen – aber soll diese Entscheidung und Risikoübernahme einfach jeder Dienststellenleitung überlassen sein? Oder wäre es nicht sinnvoller, solche Nutzen- und Risikoüberlegungen für alle gemeinsam anzustellen und mit zentralen Vorgaben zu steuern?", fragt sich der Beauftragte.

"Fast monatlich" erhält die Datenschutzbehörde zudem Anfragen von Dienststellen, welche "die für den Transfer von Daten, insbesondere von besonderen Personendaten, eine sichere Lösung suchen", wie es im Bericht heisst. In diesem Bereich sei ein regelrechter "Wildwuchs" entstanden, kommentiert die Behörde. IT-BS arbeite an einer einheitlichen Lösung: "Es ist zu hoffen, dass eine solche Lösung zeitnah implementiert, für verbindlich erklärt und durchgesetzt werden kann."

Auch einen "Wildwuchs" befürchtet die Behörde im Bereich von Microsoft 365. Die Behörde äussert den "Verdacht, dass einzelne Verwaltungsstellen schon jetzt Microsoft-Onlinedienste aktivieren, ohne den noch zu entwickelnden, kontrollierten Weg zu beschreiten". Damit würden Risiken geschaffen, die wahrscheinlich nicht im Risikokataster des Kantons erscheinen, "weil die verantwortlichen Stellen möglicherweise gar nichts davon wissen." Man werde darauf hinwirken, dass dieses Unterlaufen des kontrollierten Wegs in die Cloud, wie ihn der Regierungsrat gestartet hat, geprüft werde, schreibt der Datenschützer.

Übrigens hat der Bund im Februar 2023 entschieden, Microsoft 365 für die Bundesverwaltung definitiv einzuführen. Längerfristig prüft der Bund aber auch Open-Source-Lösungen, wie Sie hier lesen können.

Auch weitere kantonale Datenschutzbeauftragte haben unlängst ihre Jahresberichte veröffentlicht. Hier finden Sie mehr zu den Herausforderungen der Behörden im Kanton Zürich und im Kanton St. Gallen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
nhWSYVzi