Lexipedia

Décision

RRB Nr. 658/2012

Datenschutzbeauftragter, 17. Tätigkeitsbericht 2011, Kenntnisnahme

20 juin 2012Allemand4 min

Source zh.ch

Auszug aus dem Protokoll des Regierungsrates des Kantons Zürich Sitzung vom 20. Juni 2012

658. Datenschutzbeauftragter (17. Tätigkeitsbericht 2011, IDG) Der Datenschutzbeauftragte hat dem Regierungsrat als Wahlorgan periodisch über Umfang und Schwerpunkte seiner Tätigkeit, über wichtige Feststellungen und Beurteilungen sowie über die Wirkung des Gesetzes über die Information und den Datenschutz vom 12. Februar 2007 (IDG, LS 170.4) Bericht zu erstatten (§ 30 Abs. 1 in Verbindung mit § 39 IDG). Der vorliegende 17. Tätigkeitsbericht ist der dritte nach Inkrafttreten des IDG am 1. Oktober 2008. Der Bericht deckt den Zeitraum vom 1. Januar bis 31. Dezember 2011 ab und bietet einen Überblick über die nachfolgend dargestellten Tätigkeitsschwerpunkte des Datenschutz- beauftragten in seinem Aufgabengebiet (vgl. § 34 IDG).

Erwägungen

1. Schwerpunkte der Tätigkeit des Datenschutzbeauftragten Im Rahmen seiner Kontrolltätigkeit hat der Datenschutzbeauftragte im Berichtsjahr erstmals zwei formelle Empfehlungen abgegeben (vgl. § 36 IDG). Sie betrafen die Weitergabe von Unterschriftenbogen einer Petition vom Kanton an eine Gemeinde, von wo aus die Unterschriften- bogen an die Öffentlichkeit gelangten. Im Rahmen seiner Untersuchung kam der Datenschutzbeauftragte zum Schluss, dass die Weitergabe der Petitionsbogen sowohl vom Kanton als auch von der Gemeinde bzw. deren Behördenvertreter gegen datenschutzrechtliche Vorschriften ver- stossen habe. Alsdann gab er zuhanden der betroffenen Direktion und der Gemeinde je eine Empfehlung ab, wie die Folgen der rechtswid- rigen Datenbekanntgaben zu beseitigen seien. Während die Gemeinde die Empfehlung des Datenschutzbeauftragten annahm, lehnte die be- troffene Direktion diese ab und erliess eine Verfügung. Gegen diese hat der Datenschutzbeauftragte Rekurs beim Regierungsrat eingelegt. Das Verfahren ist noch hängig. Ein weiterer Schwerpunkt des Datenschutzbeauftragten im Berichts- jahr war die Beschäftigung mit unterschiedlichen Themen im Bereich Gesundheit. Er nahm Stellung zu datenschutzrechtlich bedeutsamen Gesichtspunkten des neuen Tarifsystems mit Fallkostenpauschalen (SwissDRG) und zum Thema E-Health, insbesondere zum Entwurf des Bundesgesetzes über das elektronische Patientendossier. Darüber hinaus hat sich der Datenschutzbeauftragte im Berichtsjahr auch zu kanto- nalen Rechtsetzungsvorhaben wie etwa der Krebsregisterverordnung

geäussert. Im Rahmen von Kurzberatungen wurden vom Datenschutz- beauftragten zudem verschiedene Fragen bezüglich rechtmässiger Verwendung und Bekanntgabe von Gesundheitsdaten (z. B. im Rahmen der Spital- und Pflegefinanzierung) beantwortet.

2. Beratungen von öffentlichen Organen und Privatpersonen Wie bereits in den Vorjahren bestand auch im Berichtsjahr eine grosse Nachfrage nach Kurzberatungen durch den Datenschutzbeauftragten. Am häufigsten waren neben den Anfragen aus dem Gesundheitsbereich solche betreffend Datenbearbeitung und -bekanntgabe im Schul- und im Sozialhilfebereich. Einen weiteren Schwerpunkt bildeten – wie schon im Vorjahr – Anfragen im Zusammenhang mit Videoüberwachungen öffentlichen Grundes. Auch die datenschutzrechtliche Beurteilung neuer Technologien, die häufig aufwendige Analysen komplexer technischer Vorgänge erfordern (z. B. im Zusammenhang mit E-Government, der Nutzung von Inlineframes durch öffentliche Organe oder der Aus- lagerung von Datenbearbeitungen ins Ausland), waren im Berichtsjahr Gegenstand verschiedener Geschäfte des Datenschutzbeauftragten. Allgemein weist der Datenschutzbeauftragte aber darauf hin, dass die Sensibilität der öffentlichen Organe in Bezug auf das Vorlegen ge- planter Datenbearbeitungen zwecks Beurteilung datenschutzrechtlicher Anforderungen (Vorabkontrollen) nachgelassen habe. Immer wieder werde er mit Fragen zum Einsatz neuer Software konfrontiert, die eigentlich bereits im Rahmen einer Vorabkontrolle hätten beurteilt werden müssen.

3. Kontrolltätigkeit Auf der Grundlage einer detaillierten Auswertung seiner Kontroll- tätigkeit hat der Datenschutzbeauftragte im Berichtsjahr die wichtigsten Prüfkriterien im Bereich Informationssicherheit definiert. Dazu gehö- ren ein Sicherheitskonzept, ein Identity- und Accessmanagement, die Planung und Durchführung von Sensibilisierungsmassnahmen sowie Vorkehrungen zur Sicherheit von mobilen Arbeitsplätzen und Daten- trägern. Erhöhte Anforderungen (Errichtung eines Managementsystems für Informationssicherheit) gelten ferner für öffentliche Organe, deren Datenbearbeitungen gemäss Informatiksicherheitsverordnung der höchs- ten Sicherheitsstufe unterstehen. Die systematische Auswertung der Kontrollergebnisse zeigte ferner, dass die kontrollierten kantonalen und kommunalen öffentlichen Organe zentrale Sicherheitsmassnahmen mehrheitlich nur unzureichend um- gesetzt haben. Aufgrund der festgestellten Mängel hat der Datenschutz-

beauftragte bereits bestehende Leitlinien, Vorlagen und Checklisten zur Informationssicherheit überarbeitet und neu auch an die spezifischen Bedürfnisse der Gemeinden angepasst.

4. Wirkungen des IDG Um künftig eine systematische und aussagekräftige Evaluation des IDG zu ermöglichen, hat der Datenschutzbeauftragte im Berichtsjahr in Zusammenarbeit mit der Zürcher Hochschule für Angewandte Wis- senschaften (ZHAW) ein Projekt eingeleitet. Ziel dieses Projekts ist die Entwicklung eines Evaluationskonzepts, das eine regelmässige Bericht- erstattung zu den Wirkungen des IDG im Hinblick auf dessen Haupt- zwecke, die Verwirklichung von Datenschutz und Öffentlichkeits- prinzip, ermöglicht. Der Regierungsrat nimmt vom Tätigkeitsbericht des Datenschutz- beauftragten und den darin dargelegten Sachverhalten Kenntnis, ohne im Einzelnen zu dessen Einschätzungen Stellung zu nehmen. Der Tätig- keitsbericht wird gemäss § 39 IDG veröffentlicht und der Öffentlichkeit im Rahmen einer Medienkonferenz am 27. Juni 2012 zur Kenntnis ge- bracht.

Dispositiv

Auf Antrag der Direktion der Justiz und des Innern beschliesst der Regierungsrat:

I. Vom Tätigkeitsbericht 2011 des Datenschutzbeauftragten wird Kenntnis genommen.

II. Mitteilung an den Datenschutzbeauftragten, die Mitglieder des Regierungsrates, die Geschäftsleitung des Kantonsrates sowie an die Direktion der Justiz und des Innern.

Vor dem Regierungsrat Der Staatsschreiber:

Husi