Als Datenschutzbeauftragter des Kantons Basel-Stadt bin ich zusammen mit meinem Team zuständig für den Datenschutz, bei dem es um die Bearbeitung von Personendaten durch die kantonale öffentliche Verwaltung geht, sowie für die Einhaltung des Öffentlichkeitsprinzips.Was tut ein Datenschutzbeauftragter?
Was heisst das genau?
Ein Teil unserer Arbeit ist die Beratung von Privatpersonen. Das heisst, eine Privatperson kann sich zum Beispiel bei uns über eine Datenbearbeitung der Polizei beschweren und fragen, ob diese zulässig ist. Wenn wir bei unserer Abklärung feststellen, dass die Datenbearbeitung unrechtmässig war, geben wir der Privatperson Informationen, wie sie dagegen vorgehen kann. Wir beurteilen die Anfrage – juristisch gesprochen – wie eine aufsichtsrechtliche Anzeige und geben der betroffenen Amtsstelle zudem Empfehlungen ab, wenn wir den Eindruck haben, sie müsste etwas ändern. Wir sind von Amtes wegen verpflichtet, zu untersuchen, ob die Bearbeitung von Personendaten korrekt erfolgt.
Also sind Sie die Ansprechstelle für Privatpersonen?
Auch, aber nicht nur. Wir kontrollieren nicht nur die öffentlichen Organe des Kantons Basel-Stadt, sondern wir beraten auch den Kanton und die Gemeinden.
In den meisten Fällen wenden sich die öffentlichen Organe von sich aus an uns, um zu erfahren, ob und wie sie eine geplante Datenbearbeitung umsetzen dürfen. Bei neuen Projekten klären sie vorgängig bei uns ab, auf was sie achten müssen, um die datenschutzrechtlichen Bestimmungen einzuhalten. Diese Anfragen betreffen sowohl den Datenschutz als auch das Öffentlichkeitsprinzip.
Wie läuft das konkret ab?
Wenn ein Amt oder ein Departement zum Beispiel ein altes IT-System ablösen oder eine neue Technologie einführen möchte, muss es uns das Vorhaben vorlegen. Wir beurteilen dann in einer sog. Vorabkontrolle, ob es sich mit den datenschutzrechtlichen Grundlagen vereinbaren lässt, insbesondere, ob die Datenbearbeitung rechtmässig und verhältnismässig ist und ob die Informationssicherheit gewährleistet wird.
Neben diesen Beratungen führen wir auch Kontrollen durch. Wir tun dies ohne besonderen Anlass im Rahmen von Audits, bei denen wir mit Prüfprogrammen einen Ausschnitt aus der Datenbearbeitung einer Amtsstelle oder eines Betriebs kontrollieren. Im Moment ist dies im Universitätsspital der Fall, wo wir unter anderem die Berechtigungen beim Klinikinformationssystem prüfen. Wir kontrollieren dort, ob nur auf Daten Zugriff hat, wer dies zur Erfüllung seiner Aufgabe auch wirklich braucht.
Ausserdem führen wir Querschnittskontrollen durch. Ein Beispiel: Im Datenschutzgesetz ist definiert, dass die öffentliche Verwaltung Daten vernichten muss, wenn sie diese nicht mehr benötigt und sie dem Staatsarchiv abgeliefert werden müssen. Wir haben in einer Befragung erhoben, ob Regelungen zur Löschung und Vernichtung von Personendaten bestehen. Das Resultat hat gezeigt, dass es hier ein erhebliches Verbesserungspotential gibt. Zum Teil sehen Systeme ein Löschen von Daten gar nicht vor, in anderen Fällen haben die Verantwortlichen nicht an eine Regelung gedacht.
Also kurz gesagt: wir beraten und kontrollieren.