Emp­feh­lun­gen der PUK Da­ten­si­cher­heit

Aufgrund eines Datenschutzvorfalls bei der Direktion der Justiz und des Innern (JI) setzte der Kantonsrat die PUK Datensicherheit ein. In ihrem Bericht kommt sie zum Schluss, dass die Informationssicherheit in der kantonalen Verwaltung durch die gesetzlichen Grundlagen aus den 1990er Jahren bereits früh angemessen geregelt war, ihr aber über Jahre zu wenig Beachtung geschenkt wurde. Diese Feststellung deckt sich mit den Erkenntnissen der Datenschutzbeauftragten, wie dies sowohl in den Tätigkeitsberichten des durch die PUK Datensicherheit betrachteten Zeitraumes wie auch im Tätigkeitsbericht des Jahres 2022 zum Ausdruck kommt. Mit Nachdruck wurde in diesen Berichten immer wieder auf die Umsetzung der notwendigen Massnahmen hingewiesen.

Die PUK Datensicherheit stellt in ihrem Bericht auch in Bezug auf die Gegenwart weiterhin grosse Mängel bei den Grundlagen und in der Umsetzung der Datensicherheit in der kantonalen Verwaltung fest. Sie formuliert in ihrem Bericht deshalb 50 Empfehlungen an Regierungsrat und Kantonsrat, wie die Datensicherheit in Zukunft effizient umgesetzt werden kann.

Zu den Schwerpunkten der Tätigkeiten der Datenschutzbeauftragten gehören die Kontrollen, bei denen immer wieder Mängel im Bereich der Datensicherheit aufgedeckt werden. Kontrollen tragen damit zu einer wesentlichen Verbesserung der Datensicherheit bei. Diesen Beitrag der Kontrollen zur Datensicherheit sieht auch die PUK Datensicherheit und empfiehlt, diese wesentlich zu intensivieren. In der Empfehlung 49a sieht die PUK Datensicherheit die Stärkung der Kontrollaktivitäten der Datenschutzbehörde als Massnahme vor, zusammen mit einer erweiterten Berichterstattung an die kantonsrätlichen Aufsichtskommissionen. Aus Sicht der Datenschutzbeauftragten lässt sich eine umfassendere Kontrolltätigkeit ohne gesetz-liche Anpassungen rasch realisieren, wenn die notwendigen personellen Ressourcen der Behörde zur Verfügung gestellt werden. Eine ausführlichere Berichterstattung ist mit einer Anpassung auf Verordnungsebene möglich. Dagegen erscheinen die anderen Vorschläge, das Kerngeschäft der Finanzkontrolle zu erweitern (Empfehlung 49b) oder eine neue Behörde zu schaffen (Empfehlung 49c) nicht nur aufwändig, sondern in Bezug auf die Aufgaben der Finanzkontrolle wesensfremd und in Bezug auf die Schaffung einer neuen Behörde verwaltungsökonomisch fraglich.

Die transparente Berichterstattung gegenüber den Aufsichtskommissionen (Empfehlungen 44 ff.) ist auch ein Anliegen der Datenschutzbeauftragten. Die klare Festlegung von Prozessen, die Periodizität sowie Inhalt und Adressaten der Berichte liessen sich in einer Anpassung auf Verordnungsebene gleichzeitig realisieren.

Die PUK Datensicherheit empfiehlt im Weiteren, die Regelungen zur Informationssicherheit rechtlich stärker zu verankern (Empfehlung 9 ff.). Dabei geht es nicht nur um die Organisationstrukturen für die Informationssicherheit, sondern auch um die Festlegung der Grundsätze der Informationssicherheit auf Verordnungsebene (Empfehlung 13). Die Datenschutzbeauftragte unterstützt diese Zielrichtung, da nur so erreicht werden kann, dass ein einheitliches Sicherheitsniveau über die gesamte Verwaltung gewährleistet ist. Zudem lassen sich Verantwortlichkeiten verbindlich festlegen.

Auch in Bezug auf die Konkretisierung der Massnahmen zur Datensicherheit (§ 7 IDG) sieht die PUK Datensicherheit Handlungsbedarf (Empfehlung 29). Diesem Anliegen kann mit der Anpassung der IDV im Rahmen des totalrevidierten IDG entsprochen werden. Ebenso lassen sich dabei die einschlägigen Allgemeinen Geschäftsbedingungen (AGB) des Kantons aktualisieren.

Spezifisch äussert sich die PUK Datensicherheit zu den Sicherheitsrisiken von Cloud-Lösungen (Empfehlungen 37 ff.). Mit Merkblättern und Leitfäden berät die Datenschutzbeauftragte die Verwaltung in diesem Bereich seit Jahren. Die PUK Datensicherheit unterstreicht, dass die Risiken von Cloud-Lösungen wie M365 sehr ernst zu nehmen sind. Sie empfiehlt sowohl eine Prüfung der Ablösung von M365 als auch eine verstärkte Unterstützung der Mitarbeitenden mit technischen Mitteln beim richtigen Umgang mit besonderen Personendaten. Damit wird den Anliegen des Datenschutzes die notwendige Nachachtung verschafft.

Dies kommt auch in der Empfehlung 41 zum Ausdruck: Die PUK Datensicherheit empfiehlt, dass auch gegenüber den selbständigen öffentlich-rechtlichen Anstalten im Rahmen der Eigentümerstrategie verbindliche Vorgaben zur Informationssicherheit gemacht und überprüft werden, was als Konkretisierung der allgemeinen Massnahmen des IDG zu begrüssen ist.

Die PUK Datensicherheit hat mit ihrer Analyse und ihren Empfehlungen einen wichtigen Beitrag zur Informationssicherheit geleistet. Die Datenschutzbeauftragte wird bei der Diskussion und Umsetzung der Erkenntnisse aus diesem Bericht die verantwortlichen Organe beratend und unterstützend begleiten.