Die IT-Ausgaben haben sich in den letzten zwanzig Jahren in einigen Kantonen mindestens verdoppelt. Im Kanton Thurgau etwa lagen die Ausgaben 2003 noch bei rund 18 Millionen Franken, heute sind es 57 Millionen. Und im Kanton Zug stiegen sie von rund 8 Millionen auf 20 Millionen Franken.
Mancherorts verschlingen Grossprojekte Riesensummen: So gab etwa der Kanton St. Gallen fast 74 Millionen Franken für eine neue Software des Steueramts aus, und der Kanton Zürich zahlt rund 30 Millionen Franken für die Digitalisierung der Schulen. Das Geld wird unter anderem für Computer, den IT-Support sowie für Software gebraucht.
Oft verarbeiten die neuen Programme persönliche Daten von Einwohnern und Staatsangestellten. Die Kantone sind deshalb verpflichtet, die Risiken der Datenbearbeitung im Voraus einzuschätzen. Werden solche festgestellt, muss das IT-Projekt den kantonalen Datenschutzbeauftragten zur Kontrolle vorgelegt werden.
Doch diese haben zu wenig Personal, um die nötigen Sicherheitskontrollen durchzuführen. Das ergab eine saldo-Umfrage bei den Datenschützern von zwölf Deutschschweizer Kantonen. Im Kanton Thurgau etwa lag das Budget für den Datenschutz im Jahr 2003 bei 288'000 Franken. 2023 waren es 340'000 Franken, nur unwesentlich mehr. Und im Kanton Zug standen vor zwanzig Jahren für die Sicherheit persönlicher Daten 412'000 Franken zur Verfügung, heute sind es 519'000 Franken.
Das genügt nicht, um den gesetzlichen Auftrag zu erfüllen. Gemäss diesem müssen die Datenschutzbeauftragten die Datenbearbeitungen aller Behörden im Kanton und in den Gemeinden beaufsichtigen und sicherstellen, dass die Privatsphäre der Bevölkerung gewahrt bleibt.
Überwacher sind häufig Juristen ohne technische Kenntnisse
Zum Pflichtenheft der Datenschützer gehört es auch, Aus- und Weiterbildungen zum Datenschutz anzubieten und Private zu beraten. Vorhaben der Behörden mit möglichen Risiken für die Privatsphäre müssen sie vorab untersuchen. Und sie müssen kontrollieren, ob die Amtsstellen alle Anforderungen einhalten.
In einigen Kantonen ist für all diese Aufgaben nur eine einzige Stelle eingesetzt. Bei den Stelleninhabern handelt es sich meist um Juristen ohne IT-Kenntnisse. Sie können Projekte zwar rechtlich, nicht aber technisch prüfen. So ist zum Beispiel Thomas Casanova, Datenschutzbeauftragter des Kantons Graubünden, für seine Kontrollen auf das kantonale Amt für Informatik angewiesen – auf eine Behörde, deren Tätigkeit er eigentlich auch überprüfen müsste.
Der Schaffhauser Datenschutzbeauftragte Christoph Storrer muss mit einem Pensum von 30 bis 40 Prozent die Datenverarbeitung des Kantons und aller Gemeinden beaufsichtigen. Er sagt: «Ich kann oft nur reagieren.» So musste er einschreiten, als die Polizei ein Register über Leute führte, die sie als möglicherweise gefährlich einschätzte.
Datenschützer Storrer erfuhr auch erst im Nachhinein, dass einige Gemeinden Wasserzähler einführten, welche die Verbrauchsdaten der Haushalte automatisch ans Elektrizitätswerk weiterleiten. Er verlangte daraufhin eine gesetzliche Regelung dafür. Und die Zähler mussten so eingestellt werden, dass die Daten höchstens quartalsweise übermittelt werden statt rund um die Uhr.
Ein einziger Datenschützer für drei Kantone verantwortlich
Für den Datenschutz in den Kantonen Nidwalden, Obwalden und Schwyz ist eine einzige Person zuständig: Philipp Studer muss heute mit weniger Geld auskommen als noch vor 15 Jahren. Kontrollen in Spitälern und Heimen musste er deshalb mehrmals aufschieben. Bei früheren Kontrollen hatte er beispielsweise festgestellt, dass bei einem Spitaleintritt mehr Patientendaten abgefragt wurden als nötig.
In Luzern musste der Datenschutzbeauftragte Matthias Schönbächler gegen eine App intervenieren, die bei der Luzerner Polizei im Einsatz war. Die App war mit dem Kartendienst von Google verknüpft. Damit wusste auch Google, was die Polizei gerade organisierte.
«Persönlichkeitsrechte bleiben auf der Strecke»
Die Beispiele zeigen: Gerade in Bereichen mit sensiblen persönlichen Daten, etwa beim Gesundheits- und Sozialwesen oder der Polizei, wären vertiefte Kontrollen wichtig. Doch die Datenschützer haben zu wenig Personal, um ihrer Aufgabe gerecht zu werden. Korrigieren könnten das je nach Kanton die Parlamente oder die Regierungen, die für das Budget der Datenschützer zuständig sind.
Die Zuger Datenschutzbeauftragte Yvonne Jöhri spricht Klartext: «Die finanziellen Mittel der Datenschutzstellen müssen den enormen Ausgaben für die Digitalisierung der Verwaltung angepasst werden. Sonst bleiben die Persönlichkeitsrechte der Bürger auf der Strecke.»
Auch der Bund kontrolliert zu lasch
Der Eidgenössische Datenschützer Adrian Lobsiger beklagt gegenüber saldo, dass Kontrollen zu kurz kämen.
Oft müsse man Fällen nachgehen, die von Dritten publik gemacht werden. Das war zum Beispiel bei der vom Bund finanzierten Impfplattform Meineimpfungen.ch der Fall. Hacker konnten ohne Aufwand auf die Daten von Hunderttausenden zugreifen.
Vertiefte Kontrollen kann Adrian Lobsigers Team nur vereinzelt durchführen: In den vergangenen drei Jahren waren es in der gesamten Bundesverwaltung gerade einmal 12 bis 15 Überprüfungen.
