Luzern: Microsoft und Datenschutz-Missverständnisse geben zu reden

Der Datenschützer beklagt Ressourcenmangel für Kontrollen und gibt Firmen eine dringende Empfehlung.
 
290 Fälle hatte der Luzerner Datenschutzbeauftragte 2016 zu behandeln. Dies sind fünf Prozent weniger als im Vorjahr. Nach wie vor steigend ist hingegen die Anzahl Anfragen im Bereich Informatik, 2016 waren es total 35, das zeigt der nun publizierte Tätigkeitsbericht 2016.
 
Prominent hält der Datenschützer fest, seine personelle Situation sei unbefriedigend. Der Ressourcenmangel erschwere die Durchführung von Kontrollen (Audits) wie auch von Schulungen, beziehungsweise verhindere diese. "Dies ist insbesondere in Bezug auf die steigende Anzahl von IT-Projekten in den Dienststellen unverändert problematisch, da in diesem Bereich reelle Gefahren systematischer und umfassender Persönlichkeitsverletzungen bestehen", so der Bericht.
 
Zu den bedeutenden, mehrjährigen kantonalen Projekten, welche begleitet wurden, zählt der Datenschützer eine neue SAP-Lösung für das Flüchtlingswesen, die kantonalen Windows-10-Arbeitsplätze sowie eine Schul-Administrationssoftware Volksschule namens Educase der Surseer Base-­Net Informatik.
Ebenfalls Anlass zur Begutachtung boten unter anderem der Upload von Steuererklärungen, eine neue Storage-Lösung für die Dienststelle Informatik, Lauf- und Löschfristen polizeilicher Daten sowie die Einführung elektronischer Fussfesseln.
 
Wie in allen Kantonen war und ist auch in Luzern der Gang in die Cloud mit Microsoft-Produkten unter anderem ein Thema für den Datenschützer, ebenso E-Mail Verschlüsselung und Windows 10-Security.
 
Interessant ist, dass beim Thema Datenschutz nicht nur Gesetze und Lösungen zu reden geben, sondern oft auch Missverständnisse bei der Terminologie und der Definition von Begriffen an sich zwischen allen Beteiligten. "Die vorgängige begriffliche Klärung der technischen und rechtlichen Grundlagen", sei entsprechend wichtig.
 
EU-kompatible Umsetzung angemahnt
Die Totalrevision des Bundesgesetzes über den Datenschutz ist am Laufen, und der Luzerner Datenschützer hofft auf einen rechtzeitigen "Launchtermin": "Gerade im Hinblick auf die Kompatibilität mit dem EU-Recht ist zu hoffen, dass die weiteren Gesetzgebungsaktivitäten nach Abschluss der Vernehmlassung zügig voranschreiten werden, so dass das revidierte Gesetz im Mai 2018 in Kraft treten kann, denn ab dann werden auch die Bestimmungen der neuen europäischen Datenschutz-Grundverordnung anwendbar sein."
 
Unabhängig davon hält der Luzerner Datenschützer für Firmen eine Empfehlung bereit, die er als dringend einschätzt: sich jetzt auf die neue Gesetzgebung einzustellen und die Sicherstellung der künftigen Datenschutzkonformität vorzubereiten.
 
Vergleichsweise ausführlich listet der Bericht die Aspekte auf, und dass nicht nur interne Weisungen betroffen sind, sondern auch Verträge mit Dritten. Ebenso seien "Privacy by Design" und "Privacy by Default" zu beachten, wie dies der Entwurf des neuen Datenschutzgesetzes vorschreibt.
 
Den Bericht kann man als PDF downloaden. (mag)