Wird der Datenschutzbeauftragte auch kontrolliert?
Nicht, was unsere Empfehlungen betrifft – wir müssen unabhängig handeln können. Aber wir berichten jährlich an unsere Wahlbehörde, das Parlament. Die Geschäftsprüfungskommission des Parlaments führt regelmässig Hearings mit uns durch. Wenn wir verbindlich anordnen, können diese Verfügungen gerichtlich angefochten werden. Und schliesslich gibt es die Schengen-Evaluationen. Da wird auch geprüft, inwieweit die Datenschutzbeauftragten ihrer Kontrollaufgabe nachkommen.
Sind Cloud-Lösungen aus Sicht des Datenschutzes problematisch?
Die Auslagerung einer Datenbearbeitung in die Cloud stellt datenschutzrechtlich ein Datenbearbeiten im Auftrag dar. Das öffentliche Organ bleibt vollumfänglich verantwortlich. Es muss aber normalerweise Standard-Verträge akzeptieren und hat kein Auditrecht. Wenn die Cloud nicht ausschliesslich in der Schweiz betrieben wird, wird auch die Durchsetzung des Vertrags schwierig. Stellen Sie sich vor, die Gemeinde, die Daten irgendwo auf der Welt speichern oder bearbeiten lässt, muss der Betreiberin gerichtlich ein Bearbeiten untersagen lassen – und dann dieses Urteil irgendwo auf der Welt durchsetzen, in einem Staat, der keinen unserem Standard entsprechenden Datenschutz garantiert und vielleicht überhaupt unseren Rechtsstaats-Standards nicht entspricht. Da stossen in der Regel wohl alle öffentlichen Organe an ihre Grenzen!
Besser sind Lösungen, bei denen die Daten ausschliesslich in der Schweiz bleiben, wenn keine besonders schützenswerten Personendaten in die Cloud ausgelagert werden, wenn die Daten verschlüsselt werden und der Schlüssel beim verantwortlichen öffentlichen Organ bleibt. Ich denke, es wäre eine sehr gute Lösung, wenn der Bund oder die Kantone in der Schweiz eine Gov-Cloud betreiben würden, welche die Anforderungen des schweizerischen Rechts vollumfänglich erfüllt.
Wie war Ihr beruflicher Werdegang zum Datenschutzbeauftragten?
Ich wollte nach dem Gymnasium studieren, aber nicht Jurist werden, weil ich nicht einfach dasselbe machen wollte wie mein Vater. Interessiert hatten mich Deutsch, Geschichte und Architektur. Trotzdem habe ich mich schliesslich für das Rechtstudium an der Universität Basel entschieden. Ich wurde dann Assistent im öffentlichen Recht bei Professor René Rhinow und habe eine Dissertation im Raumplanungsrecht geschrieben.
Nach der Anwaltsprüfung war ich zunächst zwei Jahre als Departementsjurist und stellvertretender Generalsekretär beim Wirtschafts- und Sozialdepartement des Kantons Basel-Stadt und danach als Datenschutzbeauftragter im Kanton Basel-Landschaft tätig. Meine Aufgabe war es, die Stelle neu aufzubauen und das neu geschaffene Datenschutzgesetz umzusetzen. Nebenher habe ich zusammen mit Bruno Baeriswyl und Ueli Maurer die Stiftung für Datenschutz und Informationssicherheit gegründet.
Nach neun Jahren habe ich die Stelle im Kanton Basel-Landschaft verlassen und war dann für die Stiftung sowie vor allem als selbständiger Datenschutzexperte tätig. In dieser Zeit erhielt ich auch den Lehrauftrag an der Universität Basel, wo ich bis heute Vorlesungen im Bereich des Datenschutzes gebe. Als selbständiger Datenschutzexperte habe ich unter anderem für die Kantone Basel-Stadt und Basel-Landschaft das Informations- und Datenschutzgesetz ausgearbeitet. In dieser Zeit wurde die Stelle als Datenschutzbeauftragter des Kantons Basel-Stadt frei und ich hatte Lust, wieder näher beim operativen Geschäft tätig zu sein.