Ostschweizer Datenschützer haben zu wenig Personal

Der Kanton St. Gallen muss wegen einer EU-Reform die Fachstellen für Datenschutz stärken. Und mit der Digitalisierung der Verwaltung wächst die Gefahr von Datenmissbrauch. Trotzdem soll es nicht mehr Personal geben.

Michael Genova
Drucken
Teilen
Vielen kantonalen Datenschutzbeauftragten fehlen Personal und Know-how. (Bild: Getty)

Vielen kantonalen Datenschutzbeauftragten fehlen Personal und Know-how. (Bild: Getty)

Dies ist ein Artikel der «Ostschweiz am Sonntag». Die ganze Ausgabe finden Sie hier.

Zehn Jahre dauerte es, bis die kantonale Fachstelle für Datenschutz das versprochene Personal erhielt. Mit dem Budget 2018 bewilligte der St. Galler Kantonsrat zusätzliche 50 Stellenprozente. Seit April hat die Fachstelle nun 150 Stellenprozente – so viel wie 2008 bei der Gründung geplant. «Für die jetzigen Aufgaben haben wir eine gute Grösse», sagt die kantonale Datenschutzbeauftragte Corinne Suter Hellstern.

Doch die Frage ist, ob dies lange so bleiben wird. Kürzlich hat die St. Galler Regierung dem Kantonsrat den Entwurf des revidierten Datenschutzgesetzes vorgelegt. Bund und Kantone müssen ihre Datenschutzgesetze an die neuen Vorgaben der EU-Datenschutzreform anpassen. Mit der Revision soll unter anderem die Position der Datenschutzbeauftragten des Kantons und der Gemeinden gestärkt werden. Sie erhalten neue Instrumente und neue Aufgaben.

Fachstelle erhält schärfere Instrumente

Die kantonale Fachstelle berät Bürger, die kantonale Verwaltung sowie Gemeindefachstellen in allen Belangen des Datenschutzes. Neu dazu kommt die Datenschutz-Folgenabschätzung. Behörden müssen die Fachstelle einbeziehen, wenn zum Beispiel Informatikprojekte den Datenschutz beeinträchtigen könnten. Nicht ganz neu ist die sogenannten Vorabkonsultation. Auch hier geht es darum, dass die Fachstellen frühzeitig konsultiert werden, wenn in der Verwaltung beispielsweise sensible Personendaten bearbeitet werden.

Aber auch rechtlich wird die Stellung der Fachstelle gestärkt. Sie kann neu Verfügungen erlassen, wenn absehbar ist, dass ein öffentliches Organ eine Empfehlung der Datenschützer ablehnen wird. Bislang konnte die Fachstelle lediglich Massnahmen beantragen. «Die Fachstelle erhält somit eine stärker juristisch ausgerichtete Aufgabe», sagt Benedikt van Spyk, Vizestaatssekretär des Kantons St. Gallen.

Diese und weitere neu explizit im Gesetz verankerte Pflichten erweitern den Aufgabenkatalog der Fachstelle erheblich. Datenschutzbeauftragte Corinne Suter: «Mit den neuen Aufgaben, die auf uns zukommen, dürften die personellen Ressourcen knapp werden.»

Trotzdem ist für das Budget 2019 kein Antrag auf Stellen­erhöhung vorgesehen. Allerdings habe sich die zuständige Kommission mit der Vorlage noch nicht befasst, teilt Kantonsrat Erwin Böhi mit. Vizestaatssekretär van Spyk geht nicht davon aus, dass die Mittel für die Fachstelle aufgestockt werden. «Es wird daher primär darum gehen, mit den bestehenden Ressourcen die grösstmögliche Wirkung zu erzielen.» Im Vordergrund stehe die Zusammenarbeit mit den weiteren Dienststellen der Kantonsverwaltung: mit dem Dienst für Informatikplanung, den Datenschutz- und Informatikverantwortlichen der Departemente.

Längst überfällige Pflichten

Die Datenschutzreformen der EU und des Europarates verursachten nur wenig Mehraufwand, sagt hingegen Beat Rudin, Präsident von Privatim, der Konferenz der Schweizerischen Daten­beauftragten. «Viele Kantone ­haben die bestehenden Hausaufgaben nicht erfüllt.» Die Vorab­kontrolle neuer IT-Projekte hätte schon bisher eingeführt werden müssen. Und die Aufsichtsstellen hätten schon bisher Kontrollen durchführen sollen, so Rudin.

Bereits im Sommer warnte Privatim davor, dass viele kantonale Datenschutzbehörden nicht mehr in der Lage seien, ihre gesetzlichen Aufgaben zu erfüllen. Die Konferenz forderte deshalb eine «massive Aufstockung» der Mittel. Zusammengerechnet gebe es in allen Kantonen schätzungsweise rund 50 Stellen, beim Bund 26. Privatim geht davon aus, dass es für einen wirksamen Datenschutz in den Kantonen 200 zusätzliche Stellen bräuchte.

Grundlage für diese Einschätzung ist vor allem die fortschreitende Digitalisierung der Kantonsverwaltungen. Durch den Anstieg der Datenbearbeitungen und die komplexer werdenden Informatiksysteme wachse die Gefahr des Missbrauchs persönlicher Daten. «Der präventive Datenschutz wird deshalb immer wichtiger», sagt Rudin, der seit 2009 Datenschutzbeauftragter des Kantons Basel-Stadt ist. Datenschutzbehörden müssten neue Informatiksysteme gründlich prüfen, bevor sie in der Verwaltung eingesetzt würden. In Rudins Team sind deshalb die Informatiker mittlerweile genauso wichtig wie die Juristen.

Mindestens 500 Stellenprozente

Die St. Galler Fachstelle hat 150 Stellenprozente, der Thurgauer Datenschützer ein Pensum von 60 Prozent, für die beiden ­Appenzell erfüllt ein Anwalt im Nebenamt die Aufgabe. Der Luzerner Fachstelle standen bislang 90 Stellenprozente zur Verfügung. Doch im Sommer kündigte der Stelleninhaber aus Protest gegen zu knappe Ressourcen.

Wie viel Personal müsste also die St. Galler Fachstelle idealerweise haben? Rudin wehrt sich gegen direkte kantonale Vergleiche. «Es hängt davon ab, welche Aufgaben die Aufsichtsstelle zu erfüllen hat. Daraus ergibt sich dann der Ressourcenbedarf», sagt Rudin. Eine wirksame Datenschutzaufsicht sei eine ­Investition in das Vertrauen, das die digitale Verwaltung von den Bürgern bekommen müsse.

Der Kanton St. Gallen habe mit dem Kantonsspital und der Universität St. Gallen gleich zwei öffentliche Institutionen, die sich mit heiklen Datenschutzfragen befassen müssten. Als Datenschutzbeauftragter des Kantons Basel-Stadt verfügt Rudin derzeit über 490 Stellenprozente. Er glaubt, dass auch die personelle Ausstattung im Kanton St. Gallen – bevölkerungsmässig immerhin der fünftgrösste Kanton – nicht unter der Basler Lösung liegen sollte.

Die Datenschutzreform der Europäischen Union

Die EU-Datenschutzreform wurde im Frühjahr 2016 vom Europäischen Parlament beschlossen und trat im Mai 2018 in Kraft. Mit der Reform will die Europäische Kommission die bestehenden europäischen und nationalen Datenschutzvorschriften vereinheitlichen. Die Datenschutzreform führte zum Erlass der Datenschutz-Grundverordnung und der Datenschutz-Richtlinie für Polizei und Strafjustiz.

Die Grundverordnung muss die Schweiz nicht in ihr Landesrecht übernehmen. Bei der Datenschutz-Richtlinie für Polizei und Strafjustiz hingegen besteht Handlungsbedarf. Diese Richtlinie ist Teil des Schengen-Rechts, an das die Schweiz durch ein Abkommen gebunden ist. Deshalb überarbeiten Bund und Kantone zurzeit ihre Datenschutzgesetze.

Das St. Galler Datenschutzgesetz gilt weiterhin nur für Kanton und Gemeinden und gelangt – anders als das Datenschutzgesetz des Bundes – zwischen Privaten nicht zum Einsatz. (mge)  

Aktuelle Nachrichten