Es ist nicht einmal klar, wer genau Zugriff auf sensible Unterlagen hat. Dies zeigt eine neu veröffentlichte externe Untersuchung.
Der Staat weiss sehr viel über seine Bürgerinnen und Bürger, und er speichert diese Informationen über Jahre. Umso wichtiger ist ein verantwortungsvoller Umgang mit den Daten. Doch diesen liess ausgerechnet die Zürcher Justizdirektion lange vermissen.
Über 1000 Angestellte arbeiten dort, bei der Direktion sind Abteilungen wie die Staatsanwaltschaft und die Gefängnisse organisatorisch angesiedelt, also besonders heikle Bereiche. Dennoch entsorgte die Direktion ausgediente Computer und Festplatten jahrelang nicht fachgerecht. Statt dass heikle Daten gelöscht wurden, landeten sie im Zürcher Drogen- und Rotlichtmilieu. Dies wurde im Dezember 2022 bekannt.
Es gibt keinen generell gültigen Löschprozess
Die gescheiterte Entsorgung liegt über 15 Jahre zurück. Sie passierte weit vor dem Amtsantritt der heutigen Justizdirektorin Jacqueline Fehr (SP). Dennoch steht sie als jetzige Vorsteherin von Amtes wegen in der Mitverantwortung. Der Kantonsrat hat wegen des Datenskandals zum ersten Mal seit vielen Jahren wieder eine PUK eingesetzt. Fehr selbst hat zudem interne und externe Untersuchungen in Auftrag gegeben.
Von einer solchen externen Studie liegt nun der Abschlussbericht vor, verfasst von den Wirtschaftsprüfern der KPMG. Der Report widmet sich nicht der damaligen Entsorgungsaktion, sondern soll aufzeigen, wo die Justizdirektion und generell die kantonale Verwaltung beim Datenschutz und der Informationssicherheit stehen.
Fazit: Bis heute ist der Umgang des Kantons Zürich und der Justizdirektion mit heiklen Daten problematisch. Die Experten sind bei ihrer Durchleuchtung unter anderem auf folgende Schwierigkeiten gestossen:
- Alte Daten werden nicht systematisch gelöscht. Selbst 25 Jahre alte Files im alten Rechtsinformationssystem wurden auf eine neue Plattform kopiert, wo sie heute immer noch zu finden sind. Sie müssten wohl manuell entfernt werden, schreibt die KPMG. Auch neuere Daten werden nach Ablauf der Aufbewahrungsfrist nicht regelmässig vernichtet. Es gibt keinen expliziten, generell gültigen Löschprozess.
- Die Digitalisierung greift noch zu wenig. In zentralen Bereichen wie der Strafverfolgung und dem Justizvollzug werden Dossiers nach wie vor analog geführt, zusätzlich gibt es digitale Informationen. Zwischen den Papierakten und den Daten im System bestehen aber immer wieder Unstimmigkeiten.
- Nicht in allen Bereichen ist das Bewusstsein für Datenschutzfragen gleich hoch. Es gibt auch keine einheitliche Datenschutz-Policy für die gesamte Justizdirektion.
- Es existiert kein formeller Prozess für den Umgang mit Verletzungen der Datensicherheit, wie er für vergleichbare Organisationen State of the Art ist. Es fehlt zudem ein Notfallplan für Datenpannen.
- Bei Ämtern und Fachstellen fehlt oft eine Übersicht darüber, wer alles überhaupt eine Zugriffsberechtigung für heikle Daten hat.
- Ein direktionsweites Risikomanagement für Datenschutz und Informationssicherheit ist nicht vorhanden.
- Es gibt keine regelmässigen Schulungen zu Datenschutz und Informationssicherheit.
Die Justizdirektion, auch dies geht aus dem Bericht klar hervor, ist in den letzten Monaten nicht untätig geblieben. Sie hat Schwachstellen erkannt, Sicherheitsvorkehrungen erhöht, Prozesse angepasst und Verantwortliche bestimmt. Ausserdem ist sie daran, die von der KPMG empfohlenen Massnahmen umzusetzen.
Daneben gibt es neue, kantonsweite strategische Initiativen, die sich etwa mit der Aufbewahrung und der Vernichtung von Daten befassen. In der Justizdirektion soll mit Microsoft Purview zudem eine neue Sicherheitslösung eingeführt werden. «Wir fanden nicht nur eine konstruktive Fehlerkultur vor, sondern auch eine sehr hohe Motivation, Lücken rasch zu schliessen», schreiben die externen Spezialisten zu den Anstrengungen.
Zu der konstruktiven Fehlerkultur dürfte auch gehören, dass die Direktion den nach wie vor als «vertraulich» gekennzeichneten KPMG-Bericht integral veröffentlicht hat, wenn auch kommentarlos auf der Website des Generalsekretariats. Ausserdem hat Regierungsrätin Fehr in einem Beitrag auf ihrem persönlichen Blog vor wenigen Tagen darüber geschrieben und die Untersuchung verlinkt. «Vieles läuft schon gut, an ebenso vielem arbeiten wir weiter, immer mit dem Ziel, hier eine Vorbildrolle einnehmen zu können», schreibt Fehr auf ihrer Website.
Ein Restrisiko bleibt immer
Bis die Verbesserungen wirksam werden, dürfte es dauern – und es steht auch längst nicht nur Jacqueline Fehr mit ihrer Justizdirektion in der Pflicht. Datenschutz, schreiben die Experten der KPMG, sei ein kostspieliges und langjähriges Grossprojekt, das alle Bereiche der kantonalen Verwaltung durchdringe. Es erfordere vielerorts ein neues Bewusstsein, und die bisherigen Verfahren müssten dauerhaft verändert werden. Auch die Verantwortlichkeiten müssen geklärt werden. Zum Teil sind Gesetzesänderungen notwendig.
Das alles ist nicht gratis zu haben. Der Bericht hält fest, dass ein umfassender Datenschutz mit den heutigen Ressourcen nicht möglich sei. Die Dimension des Vorhabens dürfe keinesfalls unterschätzt werden.
Und: Wie bei jeder grossen Organisation bleibt auch beim Kanton systembedingt ein gewisses Restrisiko. Eine hundertprozentige Datensicherheit gibt es nicht. Wer alle Risiken ausschliessen wolle, verhindere oder verunmögliche eine effektive Umsetzung von Datenschutzmassnahmen, schreibt die KPMG. Es brauche deshalb einen risikobasierten Ansatz.
Die Verantwortlichen müssen also bewusst entscheiden, welche Risiken sie in Kauf nehmen wollen.