Datenschutzgesetz, Digitalisierung und Chatbots: Auf diese Themen setzte der Datenschutzbeauftragte ein besonderes Augenmerk.
Im Tätigkeitsbericht 2022 des Datenschutzbeauftragten von Basel-Stadt geht es insbesondere um das revidierte Informations- und Datenschutzgesetz und die Neuerungen, die sich aus diesem ergeben. Ein besonderes Augenmerk legt der Kanton auch auf die Informations- und Meldepflicht. Öffentliche Organe müssen Betroffene nun nämlich aktiv informieren, wenn sie über diese Personendaten beschaffen (und nicht, wie bisher, nur, wenn sie besondere Personendaten beschaffen) „Der Aufwand für die Umsetzung der Informationspflicht ist überblickbar: In den meisten Fällen reicht es, die entsprechenden Angaben auf dem Formular anzubringen“, kommentiert der Datenschutzbeauftragte.
Datenschutzverletzung als grosses Problem
„Datenschutzverletzungen werden in der digitalen Welt des 21. Jahrhunderts zunehmend zu einem grösseren Problem“, heisst es im Bericht. „Wenn eine Verwaltungsstelle der Pflicht zur Sicherstellung der Informationssicherheit nicht nachkommt oder die getroffenen Massnahmen durch Systemfehler, durch Unachtsamkeit der Betreiber oder durch Angreifer ausgehebelt werden, tragen potenziell die betroffenen Personen den Schaden.“
Neu muss man eine Datenschutzverletzung innert 72 Stunden der Datenschutzbeauftragten melden. Bei dieser Pflicht geht es darum, dass bei einer Datenschutzverletzung rechtzeitig und angemessen reagiert wird.
„Mit dieser Revision wird das baselstädtische Informations- und Datenschutzgesetz (IDG) wieder die Anforderungen der modernisierten europarechtlichen Anforderungen erfüllen“, so der Bericht. Als Nächstes sei die Verordnung über die Information und den Datenschutz dem revidierten IDG anzupassen. Zurzeit laufen die Vorbereitungsarbeiten.
In einem Punkt hat der Grosse Rat ausserdem auf einstimmigen Antrag seiner Justiz-, Sicherheits- und Sportkommission einen abweichenden Entscheid gefällt, der für die bessere Umsetzung der Datenschutzanliegen wichtig sein werde: Er hat beschlossen, dass nicht nur die Staatsanwaltschaft, die Kantonspolizei und der Justizvollzug betriebliche Datenschutzberater bezeichnen müssen, sondern auch alle Departemente, die Gerichte und Gemeinden und nach dem Entscheid durch den Regierungsrat auch weitere öffentliche Organe, die regelmässig sensitive oder sehr viele Personendaten bearbeiten. So soll „das Know-how gebündelt werden, das schon bisher zur Erfüllung der Pflichten und Aufgaben nach IDG notwendig war“.
Baustellen bei der Digitalisierung
Ein weiteres Augenmerk habe man auf die Herausforderungen bei der Digitalisierung der Verwaltung geworfen: etwa auf die weiterhin fehlende IT-Governance. Damit schaffe man den Rahmen, um die Führung, Organisation sowie die Aufgaben und Kompetenzen der kantonalen Informatik zu definieren. Ohne Governance werde die Digitalisierung kaum gelingen, meint der Datenschutzbeauftragte.
Weiter will er Webex von Cisco testen. IT BS habe von Anfang an darauf hingewiesen, dass MS Teams nicht für die Bearbeitung von besonderen Personendaten geeignet sei. Der DSB will nun herausfinden, ob und in welchen Konfigurationen die Videokonferenz-App die Anforderung für das Bearbeiten von besonderen Personendaten zu erfüllen vermag. An den gleichen Anforderungen könne im Anschluss daran MS Teams gemessen werden.
Ausserdem erwartet er, dass die Verwaltung „mit der Zeit geht und neue Technologien nutzt“ – zum Beispiel Chatbots. Diese sollen es den Einwohnerinnen und Einwohnern erleichtern, beim Kontakt mit der Verwaltung rasch zur richtigen Information, zum richtigen Formular oder zur richtigen Ansprechperson zu kommen.
„Eine neue IT-Governance könnte den Boden dafür legen, indem sie die nötigen Steuerungs-Organisationen schafft und deren Aufgaben, Kompetenzen und Verantwortlichkeiten festlegt – und damit auch die Weichen dafür stellen, was zentral zu entscheiden und zu verantworten ist“, heisst es. Wenn dann diese Organisationen auch noch mit den erforderlichen Ressourcen und Befugnissen ausgestattet sind, könnte dies auch aus Datenschutzsicht zu „einer deutlichen Verbesserung führen“. Der Beauftragte hält fest: „Soll die Entscheidung, ob ein Chatbot eingesetzt wird, und die Übernahme der entsprechenden Risiken einfach jeder Dienststellenleitung überlassen sein oder wären kantonsweite Nutzen- und Risikoüberlegungen und eventuell zentrale Vorgaben nicht sinnvoller?“
