Die Zürcher Staatsanwaltschaft informiert die Vorsteherin der Direktion der Justiz und des Innern (JI) im November 2020 über den Verdacht, dass bei Entsorgungen von Hardware in den späten Nullerjahren sensible Daten in falsche Hände geraten sein könnten. JI-Vorsteherin Jacqueline Fehr hat darauf umgehend den kantonalen Informationssicherheitsbeauftragten und die kantonale Datenschutzbeauftragte über den Vorfall informiert. Zudem hat die Direktion bei mag. iur. Maria Winkler von IT & Law Consulting GmbH eine Administrativuntersuchung in Auftrag gegeben. Maria Winkler untersuchte, ob Sofortmassnahmen nötig sind und ob ein vergleichbarer Vorfall noch immer stattfinden könnte.
Ein erster Zwischenbericht von Ende Januar 2021 zeigte, dass es keine Sofortmassnahmen brauche. Die Direktion JI hat darüber die Datenschutzbeauftragte informiert. Ebenso hat sie die Geschäftsprüfungskommission des Kantonsrates über den Vorfall und die in Auftrag gegebene Administrativuntersuchung ins Bild gesetzt.
Wie es zum Vorfall kommen konnte
Maria Winkler präsentierte am Dienstag vor den Medien die Schlussergebnisse der Administrativuntersuchung, welche sie Ende März 2021 vorgelegt hatte. Sie berichtete einerseits, wie es mutmasslich zum Vorfall kommen konnte. Andererseits zeigt der Bericht auf, warum ein solcher Fall heute nicht mehr passieren kann – und er empfiehlt Massnahmen für den künftigen Umgang mit Datensicherheit.
Diese Empfehlungen wurden durch die Datenschutzbeauftragten geprüft und als angemessen und sinnvoll erachtet. Sie werden nun einerseits auf kantonaler Ebene, andererseits in der JI umgesetzt. So hat die Digital Solutions, die IT-Abteilung der Direktion JI, personelle Ressourcen und die Prozesse bereitgestellt, um die Empfehlungen zu realisieren. Die Arbeiten daran seien am Laufen, erklärte Urs Kaderli, der Leiter von Digital Solutions.
Regierungsrätin Jacqueline Fehr hat den Datensicherheitsvorfall im Rahmen einer Medienkonferenz soweit möglich und bekannt rekonstruiert. Allerdings sind nach wie vor viele Fragen offen. So ist unklar, wie viele Daten tatsächlich im Umlauf sind und wie sensitiv diese sind. Sicher ist, dass der unprofessionelle Umgang mit Hardware und Daten vor 2014 stattgefunden hat. Seit 2013 läuft die Vernichtung von Daten der Direktion JI nach standardisierten und zertifizierten Prozessen.
Direktion weiss über Strafuntersuchung nicht Bescheid
Die weiterhin offenen Fragen wird – wenn überhaupt – erst die laufende Strafuntersuchung beantworten können. So lange diese nicht abgeschlossen ist, haben die zuständige Direktion und ihre Vorsteherin nur beschränkte Kenntnisse über den Fall. Die Staatsanwaltschaft untersucht unabhängig. Die Kommunikationshoheit liegt bei ihr.
Der Direktion JI sei Transparenz und Einblick in staatliches Handeln sehr wichtig. Wenn immer möglich, schafft die Direktion diese Transparenz. Es gibt aber Gründe, etwa polizeiliche Ermittlungen, Strafverfahren oder Persönlichkeitsrechte, welche zur Zurückhaltung beim Herstellen von Öffentlichkeit verpflichten.
Nach Ansicht der Direktion JI sei auch in diesem Fall Zurückhaltung angezeigt. Gleichwohl hat sich die Direktion JI nach der breiten medialen Information über angebliche Details der Vorkommnisse entschieden, den Schlussbericht zur Administrativuntersuchung publik zu machen und so zur Klärung der Fakten beizutragen Sie wird auch nach Abschluss des Strafverfahrens zu diesem Datensicherheitsvorfall informieren.