Projekt Datentransportsystem
Die Datenschutzbeauftragte hat bei einem Projekt Datentransportsystem eine Vorabkontrolle durchgeführt. Sie hat sich zu den datenschutzrechtlichen Verantwortlichkeiten geäussert und verschiedene Hinweise zu technischen und organisatorischen Schutzmassnahmen gegeben.
Die betreffende Fachstelle betreibt für die kantonale Verwaltung den institutionalisierten und individuellen Austausch von elektronischen Daten zwischen kantonalen Stellen, Gemeinden und weiteren, auch externen, Stellen. Die Benutzenden können dabei Daten automatisiert zwischen Fachstellen beziehungsweise Fachapplikationen austauschen. Für diesen Datenaustausch bestand seit mehr als zehn Jahren eine Software-Applikation als Datenaustauschplattform. Im Rahmen des Projekts Datentransportsystem wurde dieses ersetzt.
Das System Datentransportsystem besteht aus einem Software Client, der in der Infrastruktur der Benutzenden installiert und betrieben wird, und einer Serverapplikation für die Datenlogistik. Der Software Client prüft in einem Abstand von wenigen Minuten, ob Dateien zum Versand bereitstehen, und verschickt diese über das neue Datentransportsystem an den Empfangsclient. Dieser prüft ebenfalls, ob Dateien auf dem Server des Datentransportsystems zum Download bereitstehen. Die heruntergeladenen Dateien stellt er in einem zu definierenden Ordner einer Fachapplikation oder einer Fachperson zur Weiterverarbeitung zur Verfügung.
Soweit die Fachstelle das Datentransportsystem anderen öffentlichen Organen der kantonalen Verwaltung zur Verfügung stellt, erbringt sie diese Dienstleistung – gestützt auf die Verordnung über die Organisation des Regierungsrates und der kantonalen Verwaltung sowie die Verordnung über das Gebäude- und Wohnungsregister und die Datenlogistik – in eigener Verantwortung. Wenn das Datentransportsystem jedoch anderen öffentlichen Organen wie Gemeinden oder Dritten zur Verfügung gestellt wird, ist von einer Auslagerung im Sinne des IDG auszugehen.
Die Datenschutzbeauftragte hatte im Rahmen der Vorabkontrolle das Verhältnis zwischen der Fachstelle als Dienstleistungserbringerin und den Benutzenden zu beurteilen: Soweit die Fachstelle das Datentransportsystem anderen öffentlichen Organen der kantonalen Verwaltung zur Verfügung stellt, erbringt sie diese Dienstleistung – gestützt auf die Verordnung über die Organisation des Regierungsrates und der kantonalen Verwaltung sowie die Verordnung über das Gebäude- und Wohnungsregister und die Datenlogistik – in eigener Verantwortung. Wenn das Datentransportsystem jedoch anderen öffentlichen Organen wie Gemeinden oder Dritten zur Verfügung gestellt wird, ist von einer Auslagerung im Sinne des IDG auszugehen. Die Benutzenden bleiben für die Datenbearbeitungen verantwortlich. Soweit es sich um öffentliche Organe handelt, sind die Vorgaben des kantonalen Datenschutzrechts für Auslagerungen zu beachten.
Die Datenschutzbeauftragte hat zudem auf die Notwendigkeit der Umsetzung einer Reihe technischer und organisatorischer Massnahmen hingewiesen. Dazu gehören angemessene Massnahmen gegen physische Bedrohungen (Brand, Wasser, Einbruch etc.), Zutrittskontrollen im Rechenzentrum, die Protokollierung und Überwachung der Zutritte, die Authentifizierung von Administratorinnen und Administratoren an der Webanwendung durch starke Authentisierung, kryptographische Verfahren nach dem aktuellen Stand und deren Dokumentation in einem Kryptokonzept sowie eine sichere Konfigurierung der IKT (Hardening). Härtungsmassnahmen sollten auf einem anerkannten Standard beruhen, wie beispielsweise demjenigen des Center for Internet Security (CIS). Die Konfigurationen sind wo möglich zu überwachen, um Manipulationen zu erkennen.