Und in den Bahnhöfen?

Dort hat es zahlreiche Kameras; für diese sind wir nicht zuständig. Auch die Kameraüberwachung in den Basler «Drämmli» läuft nicht über uns, weil der Bund im Personenbeförderungsgesetz festgelegt hat, dass in konzessionierten Betrieben das Bundesdatenschutzgesetz anwendbar ist. Das Bundesgesetz ist auch anwendbar und der EDÖB ist zuständig, wenn Privatpersonen Kameras installieren, auch wenn diese den öffentlichen Raum erfassen.

Und in Schulen?

In Schulen werden in Basel-Stadt nur ein oder zwei Veloräume überwacht; sonst gar nichts. In diesen Fällen haben wir ganz genau abgeklärt, wo die Schulbehörden die Kameras aus welchen Gründen wollen und wie oft es vorher zu Vorfällen mit grossen Personen- oder Sachschäden kam. Wir zeigen dann auf, welche Auflagen eingehalten werden müssen, damit diese Kameras rechtmässig sind. Zur Durchsetzung eines Rauchverbots auf Pausenplätzen beispielsweise wäre Videoüberwachung unrechtmässig und unverhältnismässig.

Wie viele Anfragen erhalten Sie pro Jahr?

Wir erfassen rund 440 Geschäfte pro Jahr. Allerdings erfassen wir keine Anfragen, bei denen die Erfassung länger dauern würde als die Beantwortung gedauert hat. Es gibt deshalb noch eine zusätzliche Liste, welche die ganz kurzen Anfragen ausweist – das sind nochmals gegen 100 Anfragen pro Jahr.

Das sind Fälle von Privaten und amtlichen Stellen?

Ja, die 440 Geschäfte pro Jahr umfassen alle Anfragen. Das sind sowohl Fälle, die wir in 30 – 45 Minuten erledigt haben als auch solche, die Jahre dauern. Letztere sind in der Regel Rechtssetzungs- oder andere, weitreichende Projekte.

Können Sie ein Beispiel für ein solches Projekt nennen?

Ja, gerne. Darunter fallen etwa grössere IT-Beschaffungsprojekte, zum Beispiel ein Geschäftsverwaltungssystem für eine grosse Amtsstelle, etwa die Sozialhilfe. Hier soll – gemeinsam mit den Städten Zürich und Bern – ein altes System abgelöst werden. Ein solches Projekt braucht seine Zeit – und wir begleiten es in enger Zusammenarbeit mit den Datenschutzbeauftragten von Zürich und Bern.

Worum geht es denn im Laufe einer solchen Projektbegleitung?

In einer frühen Phase stellt sich die Frage: Welche Anforderungen muss ein System erfüllen, damit es datenschutzkonform betrieben werden kann. Es muss beispielsweise eine differenzierte Berechtigungssteuerung möglich sein. Es dürfen etwa in der Steuerverwaltung, in einem Spital oder bei der Sozialhilfe nicht einfach alle Mitarbeitenden auf alle Daten aller Steuerpflichtigen, aller Patientinnen oder aller Sozialhilfebezüger zugreifen können. Manchmal gibt es nur sog. «VIP-Regelungen»: Dann können die Daten von exponierten Persönlichkeiten – berühmte Sportler wie Roger Federer, Regierungsräte usw. – oder die Mitarbeitenden einer Amtsstelle nur durch Personen mit besonderen Berechtigungen bearbeitet werden oder deren Daten werden unter einem Pseudonym geführt. In einer späteren Phase wird dann geprüft, wie das Berechtigungssystem konkret umgesetzt wird.

Es macht uns hellhörig, wenn die Daten von eigenen Mitarbeitenden besonders geschützt werden. Sind deren Persönlichkeitsrechte mehr gefährdet als beispielsweise Ihre oder meine Rechte? Ich glaube, dass wir auf diesem Gebiet noch Fortschritte machen müssen.