Neu­es kan­to­na­les Per­so­nal­ma­nage­ment- und Lohn­ad­mi­nis­tra­ti­ons­sys­tem

Mit dem neuen System werden Personaldaten von Personalmanagement und Lohnadministration von rund 70’000 Mitarbeitenden der kantonalen Verwaltung künftig in einer Cloud bearbeitet. Davon sind auch besondere Personendaten betroffen. Das zuständige Amt hat die Bearbeitung von Personendaten an ein internationales Unternehmen ausgelagert. Die Datenschutzbeauftragte hielt ihre Prüfungsergebnisse in einem Bericht zuhanden des zuständigen Amtes fest. Zentral ist, dass die Privatsphäre der Staatsangestellten trotz der technologischen Komplexität einer Cloud-Lösung gewahrt bleibt.

Beim Projekt Aurora sind verschiedene Organisationseinheiten der kantonalen Verwaltung involviert: Das Amt für Informatik (AFI) stellt die Technik bereit, das Personalamt definiert die Prozesse und die einzelnen öffentlichen Organe wie Direktionen oder Ämter speisen die Personendaten ihrer Mitarbeitenden ein. In einer solchen Struktur besteht die Gefahr, dass die datenschutzrechtliche Verantwortung in Vergessenheit gerät. Die Datenschutzbeauftragte hielt fest, dass die Rollenverteilung zu Beginn der Prüfung nicht ausreichend klargestellt war: Wer ist zuständig, wenn eine Mitarbeiterin wissen möchte, welche Personendaten über sie gespeichert sind? Wer bearbeitet Gesuche zur Löschung von Personendaten? Die Datenschutzbeauftragte riet zur Erstellung einer Übersichtsdokumentation (zum Beispiel eine Verantwortlichkeitsmatrix). Diese muss unmissverständlich klären, welches öffentliche Organ für welches Datenpaket die rechtliche Verantwortung trägt. Nur so können die Betroffenenrechte (Auskunft, Berichtigung, Löschung) effektiv garantiert werden. Zudem ist zu klären, für welche Datenbearbeitungen die einzelnen HR-Bereiche der verschiedenen öffentlichen Organe zuständig sind und welche Verantwortung das Personalamt konkret trägt.

Das Gesetz über die Information und den Datenschutz (IDG) folgt dem Prinzip, dass Daten nur so lange aufbewahrt werden dürfen, wie sie für den Zweck der Bearbeitung notwendig sind. Danach müssen sie gelöscht oder dem Staatsarchiv zur Archivierung angeboten werden. In einem komplexen System wie jenem des Projekts Aurora ist die Umsetzung von Löschfristen technisch anspruchsvoll. Die Datenschutzbeauftragte stellte fest, dass die Konzepte für die automatisierte Löschung und die Schnittstellen zum Staatsarchiv noch zu erstellen sind. Das AFI muss sicherstellen, dass das System die gesetzlichen Aufbewahrungspflichten nicht nur passiv abbildet, sondern aktiv die Löschung unterstützt.

Schliesslich stellte sich die Frage, ob das Unternehmen, das im Auftrag des Kantons die Cloud-Lösung entwickelt hat und betreibt, aufgrund seiner internationalen Konzernstruktur dem US-amerikanischen CLOUD Act untersteht. Der CLOUD Act ermöglicht US-Behörden, von privatrechtlichen Unternehmen, die einen relevanten Bezug zur USA haben, die Herausgabe von Daten zu verlangen, auch wenn diese Daten von Personen ausserhalb der USA, wie beispielsweise der Schweiz, stammen. Dadurch bleiben den betroffenen Personen die Garantien der internationalen Rechtshilfe verwehrt. Folglich ist die Auslagerung der Bearbeitung von Personendaten mit einer erhöhten Gefahr einer Persönlichkeitsverletzung für die betroffenen Personen verbunden, wenn besondere Personendaten bearbeitet werden. Die Datenschutzbeauftragte hat das AFI deshalb angehalten, zu eruieren, ob und inwiefern der CLOUD Act für die Auslagerung an das beauftragte Unternehmen relevant ist.