Würde der Datenskandal der Zürcher Justizdirektion als Krimi verfilmt, würden wohl zahlreiche Zuschauer den Fernseher abstellen. Zu unrealistisch und unglaubwürdig scheint der Plot: Die Justizdirektion, also jene Behörde, die es mit sensiblen Unterlagen wie Strafverfahrensakten oder psychiatrischen Gutachten zu tun hat, vertraut die Entsorgung und Vernichtung ihrer digitalen Dokumente einem Einzelunternehmer an. Er geht bei der Justizdirektion ein und aus.
Für seine Tätigkeit wird er nicht bezahlt. Als Lohn darf er die zu entsorgenden Geräte und Datenträger behalten, neu aufsetzen und verkaufen. Das tut er von Dietikon ZH aus, wo er einen Teil der Geräte im Garten lagert. Beim Einzelunternehmer handelt es sich um den Bruder eines im Sex- und Drogenmilieu verwurzelten Wirts. Dieser «findet» die heiklen Daten – darunter Adresslisten von Polizisten und Staatsanwälten – «zufällig» in seiner Bar im Langstrassenquartier und nutzt sie für seine Zwecke. Später, Ende 2022, bringt er Datenträger und Akten ins Kantonsparlament, sekundiert von Rechtsanwalt Valentin Landmann, damals SVP-Kantonsrat.
Es fehlt in den Kantonen an verbindlichen Vorgaben
Der Zürcher Datenskandal wirft die Frage auf, wie Behörden bei der Entsorgung von teils hochsensiblen Daten vorgehen. Und ob sich ein solcher Datenskandal wiederholen könnte – in Zürich oder anderswo.
Wie Kantonsbehörden mit Daten umzugehen haben, ist in Grundzügen in den kantonalen Datenschutzgesetzen geregelt, in Zürich zum Beispiel im Gesetz über die Information und den Datenschutz (IDG). Konkrete Bestimmungen über die Entsorgung und Vernichtung von Daten finden sich in solchen Erlassen allerdings nicht – ebenso wenig auf Verordnungsstufe. Abzuleiten sind sie jeweils aus eher allgemeinen Regeln zur Informations- oder Informatiksicherheit, konkretisiert werden sie in Richtlinien.
Bruno Baeriswyl, von 1994 bis 2020 Datenschutzbeauftragter des Kantons Zürich, sieht es als Teil des Problems, dass es im Datenschutzbereich zunehmend an klaren und nachvollziehbaren Regelungen fehlt: «Bestimmungen, die früher in Verordnungen enthalten waren, wurden auf die Stufe von Richtlinien degradiert. Es fehlt an der Verbindlichkeit für einzelne Behörden und Ämter.»
Dies hat laut Baeriswyl unter anderem mit dem Mentalitätswandel zu tun, der in den öffentlichen Verwaltungen um die Zehnerjahre herum einsetzte: «Man wollte die Digitalisierung vorantreiben, sie war das Gebot der Stunde.» Klare und strenge Datenschutzvorgaben hätten da vor allem im Weg gestanden. «Also wurden sie gestrichen und abgewertet», so Baeriswyl.
Dem Digitalisierungseifer fielen auch analoge Daten zum Opfer: 2019 wurden auf der Zürcher Justizdirektion zahlreiche Akten und andere Unterlagen geschreddert, die sich in Papierform in Büroschränken befanden. Darunter waren wohl ausgerechnet auch jene Dokumente, die über die dubiosen Datenentsorgungen durch die Justizdirektion hätten Aufschluss geben können.
Dies förderte die Administrativuntersuchung zum Datenskandal zutage, die von der Justizdirektion 2020 in Auftrag gegeben, der Öffentlichkeit aber erst vor kurzem bekannt wurde. Die Vernichtung der physischen Daten von 2019 ist mittlerweile ebenso Gegenstand einer Strafuntersuchung wie die Vorgänge rund um den Datenskandal zwischen 2006 und 2012.
Das eine ist die Theorie, das andere die Praxis
Wie Zürcher Behörden ihre elektronischen Daten idealerweise vernichten sollen, ist mittlerweile in einem – rechtlich nicht verbindlichen – Merkblatt der kantonalen Datenschutzbeauftragten festgehalten. Es nennt als Vernichtungsmethoden vor allem die physische Vernichtung (Schreddern oder Einschmelzen), die magnetische Löschung oder das mehrmalige Überschreiben. Wird der Auftrag für die Vernichtung extern vergeben, sollen Unternehmen oder Leute zum Zug kommen, die dafür zertifiziert sind.
Mit einer Zertifizierung allein sei es indes nicht getan, warnt Baeriswyl: «Zentral ist, wie und nach welchen Kriterien Dritte von den verantwortlichen Behörden ausgewählt werden – und wie sie überwacht werden.» Diesbezüglich gebe es nach wie vor «keine klaren Prozesse».
Für Dominika Blonski, die amtierende Datenschutzbeauftragte des Kantons Zürich, liegt die Verantwortung für die gesetzeskonforme Datenbearbeitung bei den öffentlichen Institutionen. «Das bleibt auch so, wenn die Vernichtung ausgelagert wird.» Als Datenschutzbeauftragte kontrolliere sie als unabhängige Aufsichtsbehörde, ob die Vorgaben eingehalten werden. Solche Kontrollen führe sie «im Normalfall» angemeldet durch, je nach Konstellation seien auch unangemeldete Kontrollen möglich.
Den Instrumenten und Merkblättern zum Trotz muss Blonski jedoch einräumen: «Wie die einzelnen Behörden bei der Entsorgung von Daten konkret vorgehen, ist uns nicht bekannt.» Als Datenschutzbeauftragte übe sie die Aufsicht über mehr als 3000 Behörden und Ämter aus. Sie alle regelmässig einer Kontrolle zu unterziehen, sei mit den vorhandenen 12,2 Vollzeitstellen unmöglich. Vorfälle wie der jüngste Datenskandal würden ihrer Erfahrung zufolge zwar das «Bewusstsein für datenschutzrechtliche Fragen steigern». Trotzdem sagt Blonski: «Es kann nicht ausgeschlossen werden, dass sich ein solcher Vorfall wiederholen könnte.»
Andreas Melchior, Sprecher des Zürcher Regierungsrats, erklärte im Dezember gemäss der «Neuen Zürcher Zeitung», dass das Löschen der Daten mittlerweile wie von Blonski beschrieben dem Merkblatt entsprechend vorgenommen würde. Zu vernichtende Festplatten würden einem externen Partner übergeben, der sie nach verbreiteten Normen schreddere und den Vorgang schriftlich bestätige. Welche Behörden und Ämter ihre Daten konkret auf diese Weise löschen lassen und das Merkblatt berücksichtigen, will Melchior auf Anfrage von plädoyer nicht sagen, ebenso wenig, wie die Zusammenarbeit mit dem «externen Partner» geregelt ist und um wen es sich dabei handelt.
Bern: Sieben Datenschützer für 15'000 Beamte
In Bern will der kantonale Datenschutzbeauftragte Ueli Buri nicht «kategorisch ausschliessen» dass sich ein Skandal wie in Zürich zutragen kann. Der Kanton habe aber reglementarische und praktische Vorkehrungen zur Entsorgung elektronischer Daten getroffen. Die meisten Daten der Kantonsbehörden würden von derselben Privatfirma entsorgt.
Den entsprechenden Vertrag mit dem Unternehmen schloss das kantonale Amt für Informatik und Organisation ab. Bei der Entsorgung würden die IT-Geräte «in speziell gesicherten und plombierten Transportboxen» transportiert und die Datenträger einem «patentierten Löschverfahren» unterzogen. «Datenträger, die den Löschprozess nicht zu hundert Prozent erfolgreich absolviert haben, werden in einer Schredderanlage umgehend physisch vernichtet», so Buri. Die Firma stelle Lösch- und Vernichtungszerti-fikate aus. Auch nicht mehr verwendete Server würden «überwacht vernichtet». Vor der Zerstörung würden Datenträger mittels Entmagnetisierung unlesbar gemacht.
So weit die lediglich auf vertraglicher Ebene festgehaltenen Regeln. Inwieweit sich die Behörden effektiv an diese halten, könne er nur schwer überprüfen, so Buri. Für den Berner Datenschutz arbeiten sieben Personen. Die Berner Kantonsverwaltung zählt rund 15'000 Angestellte. Und die Sensibilität der einzelnen Abteilungen schätzt Buri «sehr heterogen» ein. «Es sind nicht alle Ämter gleich sensibel. Manche pflegen mit Daten einen fast schon perfektionistischen Umgang, andere sind hemdsärmliger – das hängt jeweils auch stark von den verantwortlichen Personen ab.»
Im Kanton Schaffhausen erfolgt die digitale Löschung in der Regel durch einen staatlichen Informatik-Servicedienstleister. Soll die Hardware weiter genutzt werden, werden Datenträger mehrfach überschrieben, so der kantonale Datenschutzbeauftragte Christoph Storrer. Werden sie entsorgt, kommt es zusätzlich zur physischen Zerstörung.
Der Schaffhauser Datenschutzbeauftragte ist ein Einmannbetrieb und verfügt über ein Budget von 20'000 Franken für den Beizug von Informatikfachleuten. Ob Festplatten und auf ihnen gespeicherte Daten sicher vernichtet werden, habe er noch nie persönlich kontrolliert, räumt Storrer ein. Die Vorfälle im Kanton Zürich könnten aber in Zukunft Anlass dazu geben.
Kommt hinzu, dass sich auch die Schaffhauser Behörden bei der Entsorgung von Daten nicht immer mustergültig verhielten: So musste Storrer eingreifen, als die Stadt Schaffhausen analoge Steuerakten nicht wie vorgesehen geschützt durch eine Spezialfirma in verschlossenen Behältern abholen liess – sondern diese kurzerhand in einer offenen Mulde vor dem Stadthaus habe entsorgen wollen.
Ungleiche Ressourcen in den Kantonen
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte ist zuständig bei Datenbearbeitungen durch Bundesorgane und Private. Die Kantone und das Fürstentum Liechtenstein haben auch eigene Datenschutzbeauftragte.
Zwischen den jeweiligen Budgets und Ressourcen gibt es grosse Unterschiede: In Zürich zum Beispiel steht der Datenschutzbeauftragten ein Budget von knapp drei Millionen zur Verfügung. Im Wallis beläuft sich das Budget des Datenschutzbeauftragten auf 250'000 Franken, er selbst ist ein Freiberufler, der die Funktion auf Mandatsbasis ausübt.
Anders als in Zürich, wo die Datenschutzbeauftragte nur Aufgaben im Bereich des Datenschutzes hat, betreut der Walliser Datenschutzbeauftragte zugleich die Auskunftsstelle im Zusammenhang mit dem Öffentlichkeitsgesetz. Die gemeinsame Datenschutzstelle für die Kantone Nidwalden, Obwalden und Schwyz verfügt über gut 500'000 Franken Budget. Einige Städte wie Zürich, Bern oder Winterthur haben eigene kommunale Datenschutzbeauftragte.
