Lexipedia

Entscheid

RRB Nr. 629/2013

Datenschutzbeauftragter, 18. Tätigkeitsbericht 2012, Kenntnisnahme

5. Juni 2013Deutsch4 min

Source zh.ch

Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 5. Juni 2013

629. Datenschutzbeauftragter (18. Tätigkeitsbericht 2012, IDG) Der Datenschutzbeauftragte hat dem Regierungsrat als Wahlorgan perio- disch über Umfang und Schwerpunkte seiner Tätigkeit, über wichtige Feststellungen und Beurteilungen sowie über die Wirkung des Gesetzes über die Information und den Datenschutz vom 12. Februar 2007 (IDG, LS 170.4) Bericht zu erstatten (§ 30 Abs. 1 in Verbindung mit § 39 IDG). Der vorliegende 18. Tätigkeitsbericht ist der vierte nach Inkrafttreten des IDG am 1. Oktober 2008. Der Bericht deckt den Zeitraum vom 1. Januar bis 31. Dezember 2012 ab und bietet einen Überblick über die nachfolgend dargestellten Tätigkeitsschwerpunkte des Datenschutzbe- auftragten in seinem Aufgabengebiet (vgl. § 34 IDG).

Erwägungen

1. Überblick Der Datenschutzbeauftragte stellte fest, dass die Nutzung von Daten in der öffentlichen Verwaltung immer intensiver werde. Dies zeige sich auch am zunehmenden Aufwand für den Datenschutz. Für viele Ver- waltungsstellen sei es inzwischen aber selbstverständlich geworden, den Datenschutzbeauftragten frühzeitig in Projekte einzubeziehen. Dank der guten Zusammenarbeit sei es jeweils möglich, adäquate Lösungen für den Datenschutz und die Informationssicherheit zu finden. Die Anforderungen an die Auslagerung von Informationen waren 2012 immer wieder Thema der Beratung durch den Datenschutzbeauftrag- ten. Durch Cloud Computing werde das Outsourcing immer einfacher. Doch die Auslagerung von Datenbearbeitungen berge neue Risiken. Die datenschutzrechtlichen Anforderungen an die externe Datenhaltung gingen oft vergessen. Die Verantwortung für die Datenbearbeitung könne aber nicht ausgelagert werden. Weitere Schwerpunkte im Berichtsjahr waren der Datenschutz im Schulbereich, die Publikation amtlicher In- formationen im Internet sowie die Informationssicherheit in Institutio- nen mit öffentlichem Auftrag. Das von der Zürcher Hochschule für Angewandte Wissenschaften (ZHAW) im Berichtsjahr erstellte Konzept sieht vor, dass in Zukunft die Wirkung des IDG mit jährlichen Schwerpunkten gemessen wird. Erst nach einer bestimmten Zeit soll eine Gesamtevaluation unter Berück- sichtigung der vorangegangenen Resultate erfolgen. Mit diesem Vorge- hen könne einerseits eine differenzierte Messung der Wirkung des IDG

über einen längeren Zeitraum erreicht werden. Anderseits werde eine aussagekräftige Berichterstattung im jährlichen Tätigkeitsbericht des Datenschutzbeauftragten ermöglicht. Der Datenschutzbeauftragte führte 2012 verschiedene Weiterbildungs- kurse für Mitarbeitende von öffentlichen Organen durch. Mit Referaten, Präsentationen und Anlässen zum Thema Datenschutz und Informa- tionssicherheit wurden Entscheidungsträger und Interessensgruppen sensibilisiert.

2. Beratung Die Themen der vom Datenschutzbeauftragten durchgeführten Be- ratungen waren 2012 erneut breit gefächert. Schwerpunkte waren wie bereits in den Vorjahren der Einsatz verhältnismässig neuer Technolo- gien wie Cloud Computing, die Verwendung mobiler Geräte am Arbeits- platz, Publikationen im Internet oder die Nutzung von Daten Dritter zur Durchführung von Bonitätsprüfungen. Weiter befasste sich der Daten- schutzbeauftragte mit dem im Gesetz klar geregelten Online-Zugriff der Kindes- und Erwachsenenschutzbehörde (KESB) auf das Einwoh- nerregister, dem Abruf von Handelsregisterbelegen über das Internet oder dem datenschutzkonformen Einsatz von Google Analytics, einer Software, mit der das Besucherverhalten auf einer Website ausgewertet werden kann.

3. Vernehmlassungen Den öffentlichen Organen wird ab dem Inkrafttreten des IDG eine fünfjährige Übergangsfrist bis am 1. Oktober 2013 zur Anpassung der gesetzlichen Grundlagen für das Bearbeiten besonderer Personendaten eingeräumt (§ 41 IDG). Der Datenschutzbeauftragte stellte fest, dass im Berichtsjahr vereinzelt Gesetzesvorlagen zuhanden des Kantonsrates ver- abschiedet oder in die Vernehmlassung geschickt wurden. Der Hand- lungsbedarf sei aber noch nicht in allen Bereichen erkannt und umgesetzt worden. Bei Stellungnahmen zu neuen Gesetzen stand der Datenschutz- beauftragte insbesondere der zunehmenden Verwendung der Sozialver- sicherungsnummer ohne entsprechende Rahmenbedingungen kritisch gegenüber.

4. Kontrollen und Vorabkontrollen Der Datenschutzbeauftragte betonte, dass der Trend der elektronischen Datenbearbeitung nicht nur in Richtung von immer grösser werdenden Datenmengen gehe. Die Verwaltung möchte immer häufiger auch neue Technologien mit zusätzlichen und umfassenden Bearbeitungsmöglich-

keiten verwenden, so etwa bei der elektronischen Bearbeitung von Steu- ererklärungen. Der Datenschutzbeauftragte erachtet für diesen Bereich das Instrument der Vorabkontrolle (§ 10 IDG) als besonders gut geeig- net, eine breit abgestützte Risikoabschätzung vorzunehmen. Der Regierungsrat nimmt vom Tätigkeitsbericht des Datenschutzbe- auftragten und den darin dargelegten Sachverhalten Kenntnis, ohne im Einzelnen zu dessen Einschätzungen Stellung zu nehmen. Der Tätigkeits- bericht wird gemäss § 39 IDG veröffentlicht und der Öffentlichkeit im Rahmen einer Medienkonferenz am 19. Juni 2013 zur Kenntnis gebracht.

Dispositiv

Auf Antrag der Direktion der Justiz und des Innern beschliesst der Regierungsrat:

I. Vom Tätigkeitsbericht 2012 des Datenschutzbeauftragten wird Kennt- nis genommen.

II. Mitteilung an den Datenschutzbeauftragten, die Mitglieder des Regierungsrates, die Geschäftsleitung des Kantonsrates sowie an die Direktion der Justiz und des Innern.

Vor dem Regierungsrat Der Staatsschreiber:

Husi