E-Government und Datenschutz
Artikel erschienen in Swiss IT Magazine 2004/14
Ein jeder hat Recht auf den Schutz seiner Privatsphäre – dies ist eines der essentiellen Grundrechte, die durch die Bundesverfassung (Art 13 BV) verbrieft werden. In der Theorie ist das einfach, in der Praxis dagegen sieht es anders aus: Vielen Menschen fehlt das Wissen über den Schutz ihrer Daten.
In den Medien ist zwar die Rede von Datenschutz. Meist handelt es sich dabei um spektakuläre Fälle, wenn etwa die amerikanischen Immigrationsbehörden von den Fluggesellschaften die Herausgabe persönlicher Passagierdaten verlangen oder der Flughafen Kloten eine Anlage zur Videoüberwachung der Passagiere installiert.
Nicht minder problematisch sind die zahlreichen Datensammlungen, die eher unspektakulär im Hintergrund angelegt werden und von denen die betroffene Bevölkerung kaum Notiz nimmt. Kaum jemand weiss etwa, wieviele persönliche Daten im Gesundheitswesen (Spitäler, Ärzte, Krankenkassen) anfallen. Und ist es in Ordnung, dass ein Grossverteiler über seine Bonus-Karte detailliert über das Einkaufsverhalten von über 2,1 Millionen Einwohnern Bescheid weiss? Welche immensen Datenmengen in Behörden und Ämtern gesammelt werden, entzieht sich weitgehend der Kenntnis der betroffenen Bürger. Wer mit diesen Daten was anstellt, droht vollständig ausser Kontrolle der Einzelperson zu geraten.
Auch wenn es viele nicht wissen: Von Gesetzes wegen hat jeder Bürger das Recht auf Auskunft über seine gespeicherten Daten sowie auf deren Berichtigung. Dazu muss er allerdings zuerst herausfinden, wo seine Daten überhaupt gesammelt werden – ein nicht ganz einfaches Unterfangen, selbst wenn die Verwaltungen die Pflicht haben, ein Register ihrer Datensammlungen zu führen. Über dieses Register sollte jeder Bürger die Möglichkeit haben, einzusehen, welche Datensammlungen innerhalb der Verwaltung existieren.
Nun gibt es allerdings allein in der Stadtverwaltung von Zürich 749 Datensammlungen, welche Personendaten enthalten. Ungezählte weitere Datensammlungen existieren auf kantonaler und auf Bundesebene, von den Datensammlungen von Organisationen und Firmen ganz zu schweigen. Die Vision vom «gläsernen Bürger» wäre schon längst Realität, würde man diesen immensen Fundus an Informationen konsolidieren.
Der Schweizer Föderalismus hinterlässt natürlich nicht nur auf den verschiedenen Ebenen der Datensammlungen, sondern auch im Datenschutz seine Spuren. Je nachdem, wo Daten gespeichert sind, ändert sich die Zuständigkeit: So ist beispielsweise der Datenschutzbeauftragte der Stadt Zürich mit seinem Team für die 749 Datensammlungen der Zürcher Stadtverwaltung zuständig, während sich der kantonale Datenschutzbeauftragte um die Sammlungen der öffentlichen Organe des Kantons kümmert. Für die öffentlichen Organe des Bundes ist der Eidgenössische Datenschutzbeauftragte verantwortlich, der gleichzeitig über die Sammlungen der Privatfirmen wacht. Die Datenschutzbeauftragten haben in ihrem Zuständigkeitsbereich die Befugnis, ungeachtet allfälliger Geheimhaltungspflichten Daten einzusehen sowie die Bearbeitung der Daten zu kontrollieren.
Um dem Recht des Bürgers auf Einsicht und Korrektur seiner Daten besser entgegenzukommen, hat der Datenschutzbeauftragte der Stadt Zürich zusammen mit der OIZ (Organisation und Informatik der Stadt Zürich) in den vergangenen Jahren den Datenschutz kontinuierlich ausgebaut und eine E-Government-Lösung geschaffen, mit der die Stadt Zürich in der Schweiz eine Musterrolle einnimmt. Die Lösung, die primär dem Bürger eine schnelle und einfach zu nutzende Möglichkeit geben soll, herauszufinden, in welchen Ämtern und Sammlungen seine Daten möglicherweise gespeichert sind, vereinfacht aber auch die Arbeit des Datenschutzbeauftragten und seiner Mitarbeiter.
Die Vorteile des elektronischen Registers liegen auf der Hand:
Jeder kann sich einen aktuellen Überblick über die existierenden Datensammlungen beschaffen.
n der Übersicht sind nicht nur die Amtsstellen geführt, die die Daten sammeln, sondern auch, wer diese Daten ausserdem nutzt (Datenempfänger).
Mit dem elektronischen Register sind die Gesetzessammlungen mit direkten Links verknüpft, wodurch ein aufwendiges Suchen nach Gesetzestexten entfällt und die Transparenz erhöht wird.
Direkte Links auf Formulare für Auskunftsanträge vereinfachen die Bedienung zusätzlich.
Aktualisierungen von Datensammlungen sind problemlos nachvollziehbar.
Und nicht zuletzt lassen sich die Registereinträge für die Datenbearbeiter der einzelnen Organe einfacher und dezentraler bearbeiten.
Die Bedienung des Systems ist simpel: Wer beispielsweise wissen will, welche Datensammlungen das Steueramt führt, gibt in der Maske im Feld «verantwortliches Organ» das Stichwort Steueramt ein und erhält als Resultat die Namen von 15 Datensammlungen. Davon lässt sich beispielsweise das Register «e-Fristen» auswählen, das wiederum zeigt, wer die Daten betreffend Fristerstreckung führt, wo entsprechende Auskünfte eingeholt werden können, welche Gesetze zur Anwendung kommen und welche Stellen ausserdem mit diesen Daten arbeiten. Die so gefundenen Informationen lassen sich im PDF-Format drucken oder speichern.
Der Zugriff auf die E-Government-Lösung des Stadtzürcher Datenschutzbeauftragten erfolgt direkt über seine Website unter www.das.stzh.ch. Hier findet sich, neben zahlreichen generellen Informationen zum Thema, auch eine umfassende Linkliste, über die auf die Seiten der Datenschutzbeauftragten anderer Kantone und des Bundes zugegriffen werden kann. In einigen Kantonen sind bereits ähnliche Lösungen wie in der Stadt Zürich in Betrieb – da der Datenschutz aber eine kantonale Angelegenheit ist und nicht zentral koordiniert wird, ist der Ausbaustand der Lösungen von Kanton zu Kanton unterschiedlich.
Bis vor einem Jahr wurde das Datensammlungsregister der Stadt Zürich auf einer anderen Plattform geführt. Allerdings vermochte diese Lösung den jüngsten Anforderungen hinsichtlich Bedienungs- und Wartungsfreundlichkeit, Suchfunktionen und Performance nicht mehr zu genügen. Man entschied sich, das Register komplett neu zu implementieren.
Die neue E-Government-Lösung läuft als J2EE-Web-Applikation. Das Front-End, das sich nahtlos in den städtischen Webauftritt einfügt, wurde mit Java Server Pages im Apache Struts-Framework realisiert, für die Business-Logik griff man auf Enterprise Java Beans zurück, für die Datenhaltung kommt eine Oracle-Datenbank zum Einsatz.
Selbstverständlich mussten für die Integration in die städtische Infrastruktur zahlreiche Vorgaben beispielsweise hinsichtlich Sicherheit, Authentisierung, Logging und GUI berücksichtigt werden.
Die Entwicklung der neuen Plattform erfolgte durch die OIZ (Organisation und Informatik der Stadt Zürich) in enger Zusammenarbeit mit dem Datenschutzbeauftragten.