Der Datenschutzbeauftragte Beat Rudin nimmt im Interview Stellung zu den in seinem Bericht erwähnten Sicherheitsmängeln bei Basler Ämtern.
Seit über sieben Jahren ist Beat Rudin Datenschutzbeauftragter des Kantons Basel-Stadt. Am Mittwoch legte er seinen Jahresbericht 2015 vor. Erfreulich: Neun von zehn Baslern ist der Datenschutz wichtig. Weniger erfreulich: Der Jahresbericht zeigt auch, dass bei Überprüfungen diverse Sicherheits-Mängel bei Basler Ämtern festgestellt wurden. Die TagesWoche hat Beat Rudin zum Bericht befragt.
Herr Rudin, Sie haben im vergangenen Jahr sechs Kontrollen bei verschiedenen Ämtern zum Thema Datenschutz- und Datensicherheit gemacht und einiges an Mängeln festgestellt. Ist das normal?
Erstens sind die Kontrollen an sich nichts Aussergewöhnliches, die machen wir in unterschiedlicher Form jedes Jahr, das gehört ja auch zu unserem Auftrag. Und zweitens ja, es ist auch normal, dass wir Mängel feststellen und Empfehlungen abgeben.
Wer die drei Seiten über die Kontrollen in Ihrem Bericht liest, der kann aber den Eindruck erhalten, dass da überall grosse Mängel herrschen.
Dieser Eindruck ist falsch. In den Prüfberichten listen wir für die verantwortlichen Stellen vor allem auf, was nach unserer Beurteilung zu verbessern ist. Wenn etwas gut läuft, dann erscheint das nicht in unseren Empfehlungen. Und es läuft sehr vieles gut und problemlos. Auch sind nicht alle der gefundenen Probleme gleich gravierend und dringlich. Die von uns an die verschiedenen Ämter abgegebenen Empfehlungen sind nach Wesentlichkeit geordnet.
Einige der festgestellten Mängel – unsichere Administratoren-Passworte, keine klare Aufteilung bei Aufgaben- respektive Rollenverteilung zum Datenschutz, das Fehlen konzeptioneller Grundlagen bezüglich Aufbewahrungsfristen von Daten – klingen ja trotzdem nicht nach Bagatellen. Ist das beim Staat schlechter als bei Privaten?
Ich frage mich eher, was man miteinander vergleichen kann. Ein Privatunternehmen mit einem klaren Kerngeschäft hat es wohl einfacher, eine einheitliche IT-Infrastruktur durchzusetzen. Ein Kanton ist ein extremer Gemischtwarenladen. Damit die Verwaltung nicht übermächtig wird, ist sie bewusst föderal aufgebaut. Deshalb werden die heutigen Zentralisierungstendenzen in der Informatik zwangsläufig zur grösseren Herausforderung als bei einem homogeneren Privaten. Ein grösseres Privatunternehmen kann seine Anwendungen auch einfacher selber entwickeln – das ist auf staatlicher Seite oft etwas schwieriger.
Können Sie noch etwas genauer erklären, wie Sie das meinen?
Nehmen Sie das Geschäftsverwaltungssystem einer Amtsstelle mit sehr vielen Kunden. Dieses System existiert vielleicht schon fast zehn Jahre, läuft in vier oder fünf Kantonen und erfüllt die heutigen Anforderungen in Bezug auf Datenschutz und Informationssicherheit nicht mehr vollumfänglich. Wenn die Basler Behörde nun allein Verbesserungen verlangt, wird ihr der Anbieter diese in Rechnung stellen wollen. Das rechnet sich nur, wenn alle Kantone mitmachen. Deshalb ist es häufig so, dass Mängel nicht sofort behoben werden können, sondern erst bei einem neuen Release oder sogar bei einem Systemwechsel möglich sind. Unsere Empfehlungen enthalten deshalb auch Punkte, die erst bei einem solchen Wechsel umgesetzt werden können. Worauf wir uns dann jeweils konzentrieren können, sind Empfehlungen zur Reduktion eines bestehenden Risikos.
«Dass wir Mängel feststellen, ist kein Grund zur Panik, sondern ein Schritt auf dem Weg zur Verbesserung.»
Und das Risiko reduziert sich durch die Berichte tatsächlich?
Wenn wir in die Vergangenheit blicken, dann bewirken unsere Berichte viel. Die Amtsstellen, denen wir Verbesserungspotenzial aufzeigen, nehmen die Empfehlungen in aller Regel an. Bei verschiedenen Prüfberichten, die wir im neuen Tätigkeitsbericht erwähnen, sind aber die Fristen noch nicht abgelaufen, innert derer sich die Behörden zu den Empfehlungen äussern müssen. Dass wir also Mängel feststellen, ist kein Grund zur Panik, sondern ein Schritt auf dem Weg zur Verbesserung.
Das klingt beruhigender als die nackten Feststellungen von Problembereichen. Beispiele für Verbesserungen?
In Bereichen, wo wir früher Probleme mit der Regelung von Zugriffsberechtigungen und Sicherheitskonzepten festgestellt haben, funktioniert das heute einwandfrei. In anderen Bereichen sind Projekte am Laufen: So spannt Basel-Stadt mit anderen grösseren Städten zusammen für die Ablösung eines grossen Geschäftsverwaltungssystems bei einer Amtsstelle mit sehr vielen Klienten. Das braucht seine Zeit – wir sind aber miteinbezogen und überzeugt, dass hier eine Lösung gefunden wird, die den modernen Ansprüchen aus Sicht Datenschutz und Informationssicherheit genügt. Auch die im Tätigkeitsbericht angesprochenen Mängel beim Löschen von nicht mehr benötigten Daten werden im grösseren Zusammenhang des sogenannten «Records Management» angegangen.
Sie können da aber nichts verordnen, sondern nur den Finger mahnend heben.
Das ist korrekt. Es ist auch wichtig, dass es klar ist, wo die Verantwortung liegt. Wir reden der Verwaltung nicht drein. Im Übrigen kontrollieren wir auch nicht nur: Rund 70 Prozent unserer Tätigkeit ist Beratertätigkeit für die Behörden. Wir machen Vorschläge, machen auf Probleme aufmerksam. Und wir werden oft direkt gefragt: Wir möchten hier gerne das oder das machen – wo liegen die Fallstricke, was müssen wir beachten? Auch hier unterstützen wir die Amtsstellen dabei, dass das Datenbearbeiten von Anfang an datenschutzkonform abläuft.
«Wenn ich schaue, was Leute aus der Ü-50-Generation posten oder twittern, dann sind sich die offensichtlich weniger bewusst, dass ‹Freunde› nicht unbedingt Freunde sind.»
Hat es Sie überrascht, dass so vielen Baslern der Datenschutz so wichtig ist?
Das ist erfreulich, aber erstaunlich ist es weniger: Wer mit offenen Augen durch die Welt läuft, merkt unweigerlich, dass mit unseren Daten auch etwas gemacht werden kann, das nicht zu unserem Guten sein muss. Darum erstaunt es mich nun nicht wirklich, dass für über 90 Prozent der Befragten der Datenschutz eher oder sehr wichtig ist. Damit ist auch die Verwaltung konfrontiert: Die Bürgerinnen und Bürger erwarten, dass auch und gerade der Staat mit den Daten, die sie ihm anvertrauen, sorgsam umgeht. Zugegeben, manchmal hat man nicht den Eindruck, dass sich alle selber auch so verhalten, dass ihre Persönlichkeitsrechte möglichst nicht verletzt werden. Und da wage ich die These, dass die Jungen nicht schlechter sind als die Älteren.
Wie kommen Sie darauf?
Viele Junge unterscheiden bei den sozialen Medien, was sie publizieren. Wenn ich schaue, was Leute aus der Ü-50-Generation posten oder twittern, dann sind sich die offensichtlich weniger bewusst, dass «Freunde» nicht unbedingt Freunde sind. Wenn wir bei dieser Generation aufzeigen, was sich aus den Lokalisierungsdaten aus ihrem Smartphone herauslesen lässt, dann erschrecken sie oft. Wichtig ist also bei Jung und Alt, dass wir lernen, mit den neuen Medien – die ja teilweise gar nicht mehr so neu sind – auch selber einen verantwortungsbewussten und sorgsamen Umgang zu pflegen. Selbstdatenschutz gehört ebenso dazu wie Datenschutz durch Gesetz und Datenschutz durch Technik.