Pro­jekt Di­gi­ta­li­sie­rung Haft­ak­ten­pro­zess

Im Rahmen des Projekts Digitalisierung Haftaktenprozess digitalisierte die Kapo ihre Prozesse im Zusammenhang mit der vorläufigen Festnahme von Personen. Um das bestehende Aufnahmeverwaltungssystem abzulösen, wurde dafür die Webapplikation Gefangeneninformations- und Fristensystem (GIFS) entwickelt. Bei der Verhaftung einer Person durch die Kapo werden die Daten des Häftlings im Polizei-Informationssystem POLIS aufgenommen und der Verhaftsrapport sowie weitere Haftakten erstellt. Während diese Daten im Aufnahmeverwaltungssystem der Kapo bisher zusätzlich manuell erfasst wurden, werden die relevanten Daten mit der neuen Systemlösung GIFS über eine Schnittstelle aus dem Polizei-Informationssystem POLIS übernommen. Die anschliessende Administration der Haftfälle, vom Eingang des Häftlings bei der Gefangenenannahme im Polizei- und Justizzentrum Zürich (PJZ) bis zur Entlassung oder Überführung in die Untersuchungshaft, erfolgt in der neuen Applikation. Diese beinhaltet insbesondere auch die Kontrolle der gesetzlich vorgegebenen Fristen für die vorläufige Festnahme, die Erstellung von Verfügungen, die nachvollziehbare Dokumentation von Massnahmen und interner Workflows sowie die Erstellung von Statistiken.

Verschiedene Behörden wie die Staats- und Jugendstaatsanwaltschaften oder das Forensische Institut Zürich sollen direkten Zugriff auf die Applikation GIFS erhalten. Im Rahmen der durchgeführten Vorabkontrolle hat die Datenschutzbeauftragte festgestellt, dass für den vorgesehenen direkten Behördenzugriff jeweils eine formell-gesetzliche Grundlage bestehen muss. Eine solche ist jedoch nicht für alle vorgesehenen Behörden unmittelbar ersichtlich. Sie riet zur genauen Überprüfung der vorgesehenen Zugriffsrechte.

Sie hat zudem darauf hingewiesen, dass Prozesse für die Aufbewahrung und sichere Löschung der mit dem System bearbeiteten Informationen definiert werden müssen. Betroffene müssen auf Verlangen Zugang zu den sie betreffenden Datenbearbeitungen erhalten und die weiteren Rechte gemäss IDG geltend machen können. Diese Prozesse sind zu dokumentieren.

Da mit dem vorgesehenen System regelmässig besondere Personendaten bearbeitet werden, sind verschiedene technische und organische Massnahmen zum Schutz der Vertraulichkeit zu ergreifen. Dazu gehören die angemessene Einschränkung und der Schutz von Serverzugriffen (Authentifizierung und technische Netzwerksicherheitsmassnahmen), die Authentifizierung von Verbindungen zwischen GIFS und Umsystemen, der Schutz vor externen Zugriffen durch eine starke Authentifizierung (2-Faktor-Authentifizierung), die Zusammenführung der Protokolle (Log-Daten) auf einem zentralen, speziell gehärteten Server sowie deren kontinuierliche, automatisierte oder regelmässige und risikobasierte Auswertung.