Datenschutz im Baselbiet mangelhaft

Der Kanton Baselland hat ein Datenschutz-Problem. Die Aufsichtsstelle Datenschutz kommt in ihrem gestern veröffentlichten Tätigkeitsbericht 2016 zum Schluss, dass die Anforderungen an einen zeitgemässen Datenschutz nicht mehr erfüllt werden können. Grund dafür sind die vom Landrat beschlossenen Budgetkürzungen. «Es zeigte sich in aller Deutlichkeit, dass eine Datenschutzaufsicht nur dann unabhängig, effizient und erfolgreich arbeiten kann, wenn ihr vom Parlament ausreichende Personal- und Sachmittel zur Verfügung gestellt werden», heisst es in dem Bericht. Mit Nachdruck weist die Datenschutzbeauftragte Ursula Stucki darauf hin, dass es eine handlungsfähige Datenschutzbehörde brauche, damit bei Fehlentwicklungen reagiert werden könne.

Der «politische Entscheid gegen einen wirksamen Datenschutz» sei 2016 sofort umgesetzt worden. Dies habe zur Folge gehabt, dass die Aufsichtsstelle nur noch den Rechtsdiensten der Direktionen zur Verfügung stand, auf gewisse Stellungnahmen verzichtet wurde, Aktivitäten zur Sensibilisierung reduziert wurden, die Ausbildung von Volontären wegfiel und Stellenprozente abgebaut wurden.

Massive Budgetkürzung

Die Digitalisierung der Verwaltung schritt auch 2016 weiter voran. Die Aufsichtsstelle Datenschutz sei damit aber wiederholt an ihre Leistungsgrenzen gelangt. Schliesslich sei es auch noch zu personellen Abgängen und einem zeitlichen Ausfall der Datenschutzbeauftragten gekommen. In dieser prekären Situation konnte an einen adäquaten und zeitgemässen Datenschutz nicht mehr gedacht werden.

Insgesamt stand der Aufsichtsstelle 2016 nur noch ein Budget von 704'000 Franken zur Verfügung, rund 200'000 Franken weniger als im Vorjahr. Im Rahmen der Strategiemassnahmen der Regierung war ursprünglich zwar nur eine Budgetreduktion um 50'000 Franken geplant, doch die Regierung hatte dem Landrat im Herbst 2015 eine Kürzung um 200'000 Franken beantragt. Das Parlament beschloss die Kürzung in der Folge diskussionslos. Die Datenschutzbehörde verfüge über Fachwissen in nationalem und internationalem Recht, IT-Sicherheit und IT-Audit, heisst es im Jahresbericht. Doch es fehlten ihr die Mittel, dieses im erforderlichen Masse gewinnbringend einzusetzen.

Dennoch weist die Stelle eine umfangreiche Tätigkeit in dem Berichtsjahr aus. Im Rahmen ihrer Kontrolltätigkeit überprüfte sie insbesondere das zentrale Personenregister Arbo und das Klinikinformationssystem im Kantonsspital Liestal. Im Arbo wurden drei Schwachstellen festgestellt, die dringlich behoben werden mussten, sowie 14 weitere Mängel mit mittlerem Risiko. Die Anschlussverfahren wurden ungenügend geprüft, die Rechtsgrundlagen für den Datenbezug ungenügend analysiert, und es wurde mit unzureichenden Informationssicherheits- und Datenschutzkonzepten gearbeitet.

Im Spital Liestal bieten die Klinikinformationssysteme besondere Herausforderungen für den Datenschutz. Bei den festgestellten 13 grösseren und 12 mittleren Mängeln ging es um Themen wie Risikomanagement, Lösch- und Archivierungskonzepte, Berechtigungs- und Zugriffskonzepte sowie um die Nachvollziehbarkeit der Datennutzung. Dabei musste die Aufsichtsbehörde auch feststellen, dass im Spital nur der verantwortliche Datenschutzbeauftragte bei Projekten genügend sensibilisiert war.

Mehr Projekte zur Vorabkontrolle

Auf Vorabkontrolle legte die Aufsichtsstelle im Berichtsjahr besonderes Gewicht. Mit Erfolg: Das Bewusstsein in der Verwaltung wurde verbessert, sodass auch mehr Projekte zur Vorabkontrolle eingereicht wurden. Damit wurden grössere und kleinere Mängel in Projekten schneller erkannt und rechtzeitig behoben. Allerdings konnten wegen den fehlenden Ressourcen nicht alle gewünschten Vorabkontrollen auch durchgeführt werden.