Mit einem standardisierten Verfahren kontrolliert Baeriswyl, ob eine Stelle die grundlegenden Schutzmassnahmen im organisatorischen und technischen Bereich getroffen hat. Dies ist gar nicht immer so. Generell hat Baeriswyl festgestellt: Je grösser eine Einheit - also etwa eine Verwaltung - desto mehr Know-how zur Datensicherheit ist vorhanden. Bei kleinen Organisationen hapere es eher.

Nicht einmal drei von zehn kontrollierten Stellen erfüllten die Sicherheitsanforderungen so, dass Baeriswyl es als "eigentlich gut" einstufte. Sieben von zehn Stellen hielten die Sicherheitsanforderungen zu zwei bis drei Dritteln ein. Hier ortete Baeriswyl das grösste Verbesserungspotenzial.

Bei drei Prozent der Stellen lautete Baeriswyls Urteil: "Sehr, sehr problematisch". Solche Stellen seien auch schwer für Verbesserungen zu motivieren, sagte der Datenschutzbeauftragte. Bei Kontrollen per Webscanner entdeckte der Datenschützer bei 16 Prozent der Web-basierten Anwendungen "kritische Sicherheitslücken". Fast jede zweite war mangelhaft.

Regelmässige Kontrollen - aber zu selten

Mit regelmässigen Kontrollen trägt der oberste Datenschützer des Kantons zur Sensibilisierung auf die Risiken bei, wie er in seinem Tätigkeitsbericht 2013 schreibt. Er bietet umfassende Handlungsanleitungen für eine wirksame Erhöhung des Datenschutzes. Und via Datenschützer-Website abrufbare Merkblätter enthalten eine Fülle an Informationen zu verschiedenen Themen.

Allerdings fehlt es Baeriswyl an Personal: Mit den vorhandenen 8,2 Stellen kann er die einzelnen Organe grade mal alle fünf Jahre kontrollieren. Der Datenschutzbeauftragte keucht also stets der technologischen Entwicklung hinterher und wünscht sich deshalb mehr Leute.

Bevölkerung macht sich Sorgen über Datenschutz

Dass die Bevölkerung sich darüber Sorgen macht, ob ihre Daten bei den öffentlichen Organen wirklich geschützt sind, zeigt die deutliche Zunahme von Anfragen: Man will wissen, was wo über einen gespeichert ist.

Jeder hat ein Anrecht darauf, bei einer öffentlichen Stelle jederzeit und ohne Begründung zu erfahren, welche Daten über ihn bearbeitet werden, betonte Baeriswyl. Dieses Recht kenne denn auch die grosse Mehrheit der Bevölkerung.

In gewissen Fällen - bei überwiegenden öffentlichen oder privaten Interessen - kann dieses Recht eingeschränkt sein. Die entsprechende Stelle muss die Einschränkung allerdings begründen und per Verfügung mitteilen. Hier ist dann häufig der Datenschutzbeauftragte gefragt: Er muss das Vorgehen erläutern oder zwischen den Parteien vermitteln.

Wie viel Vertrauen die Bevölkerung in Sachen Datenschutz in die verschiedenen Institutionen hat, sei sehr unterschiedlich, so Baeriswyl. Gegenüber Schulen sei es eher gering. Nicht ohne Grund: Gerade bei Schulen habe er lückenhafte Sicherheitsvorkehrungen gefunden. Zur Zeit sei er daran, mit den zuständigen Stellen der Berufs- und Mittelschulen Konzepte zu erarbeiten. (sda)