Ende 2022 kam die Datenleck-Affäre in der Direktion der Justiz und des Innern (JI) im Kanton Zürich ans Licht. In den Jahren 2006 bis 2012 waren in der Direktion Datenträger und andere Computer-Hardware unsachgemäss entsorgt worden. So gelangten sensible Daten in falsche Hände und ins Rotlichtmilieu. Mit dem Fall befasst sich auch eine PUK des Kantonsrates, die im Juli 2023 beschlossen wurde.

Die JI unter Vorsteherin Jacqueline Fehr (SP) hat ihrerseits interne und externe Untersuchungen in Auftrag gegeben. Jetzt liegt ein erster externer Report "Datenschutz und Informationssicherheit in der Direktion der Justiz und des Innern" von KPMG vor. Dieser befasst sich allerdings nicht mit dem bereits Jahre zurückliegenden Vorfall, sondern sollte "sich dazu äussern, wo die Direktion insgesamt punkto Datenschutz und Informationssicherheit steht", schreibt Fehr im Vorwort. Der Report, über den zuerst die 'NZZ' berichtet hatte, wurde von der Direktion online (PDF) gestellt.

Die Wirtschaftsprüfer führten in den Organisationseinheiten im vergangenen Jahr eine Erhebung durch. "Die technische Informationssicherheit war dabei nicht Gegenstand der Erhebung. Diese wird zentral vom Amt für Informatik bzw. der Digital Solutions der JI (DigiSol) verantwortet", heisst es zur Grundlage.

KPMG hält mehrere Erkenntnisse fest. Kritisiert wird unter anderem: "Eine einheitliche, für die ganze JI gültige interne Datenschutz-Policy gibt es derzeit nicht." Es existiere kein formeller Prozess für den Umgang mit Verletzungen der Datensicherheit, auch fehle ein Notfallplan für Datenpannen.

Bemängelt wird weiter der Umgang mit sensiblen Daten: "Elektronische Informationen werden nicht systematisch gelöscht." So liessen sich Jahrzehnte alte Akten finden. "Beispielsweise wurden die ca. 25-jährigen RIS1-Daten (Rechtsinformationssystem) vor sieben Jahren ins RIS2 migriert und sind dort noch vorhanden. Vermutlich sind diese älteren Daten nicht systematisch im System identifizierbar und müssten deshalb manuell gelöscht werden", so die KPMG-Prüfer. Auch neuere Daten würden nach Ablauf der Aufbewahrungsfrist nicht regelmässig vernichtet.

Bei den jeweiligen Ämtern und Fachstellen fehle oft auch eine Übersicht über die effektiv erteilten Zugriffsberechtigungen auf Daten. Zudem würden die Mitarbeitenden nicht regelmässig zu den Themen Datenschutz und Informationssicherheit geschult.

Befasst hat sich KPMG weiter mit dem Drittparteienmanagement, das nicht zuletzt durch den Fall Xplain bei Behörden verstärkt in den Fokus gerückt ist. Verträge mit Drittparteien seien in der JI in unterschiedlicher Qualität vorhanden. "Während es beispielsweise bei der Kantonalen Opferhilfestelle und anderen Stellen einen vorbildlichen Lifecycle-Prozess auch mit Drittanbietern gibt, sind solche integrierte Modelle in verschiedenen Einheiten erst bruchstückhaft vorhanden. Gleiches gilt für die Audits der Drittparteien", heisst es im Bericht.

Die Direktion sei aber in letzter Zeit nicht untätig geblieben. So lobt KPMG: "Wir fanden in der JI nicht nur eine konstruktive Fehlerkultur vor, sondern auch eine sehr hohe Motivation, Lücken rasch zu schliessen und den Umgang vor allem mit elektronischen Informationen zu verbessern." Der Report enthält auch Empfehlungen und Massnahmen zu den kritisierten Punkten.

Der Bericht zeige auf, "wo unsere Bemühungen schon Früchte tragen und wo noch Handlungsbedarf besteht", schreibt Justizdirektorin Jacqueline Fehr im Vorwort. Das Thema Datenschutz und Informationssicherheit sei insbesondere in den Einheiten mit besonders sensiblen Daten wie der Strafverfolgung, dem Strafvollzug oder dem Staatsarchiv bereits organisatorisch abgebildet.

"Die direktionsweite Etablierung gelingt darüber hinaus nur, wenn alle Mitarbeitenden davon überzeugt und motiviert sind, sich auf diesem Weg weiterzuentwickeln. Voraussetzung für eine solche Haltung der Mitarbeitenden ist eine offene Fehlerkultur. Diese möchten wir mit dem Bericht unterstreichen", so Fehr.