Kantonsrat debattiert über Datensicherheit

Der Kanton Zürich hat in der in etwas mehr als einem Jahr zu Ende gehenden Legislatur 2023 bis 2027 grössere und kleinere Skandale durchlebt und verschiedene Fehlleistungen an den Tag gelegt. Ende Januar beriet der Kantonsrat den Bericht der Parlamentarischen Untersuchungskommission PUK-Datensicherheit. Das Fazit ist eindeutig. Der Regierungsrat funktioniert zu wenig als verantwortungsvolles Team und verharrt in einem Silo-Denken.

Man muss sich nicht wundern, wenn die Politikverdrossenheit stetig zunimmt. Alle paar Monate poppen kleinere oder grössere Skandale oder Fehlleistungen aller Art auf. In jüngster Erinnerung sind die Vorfälle in der Herzklinik des Universitätsspitals USZ, falsche Angaben betreffend der Erfüllung der Voraussetzungen um den Titel „Operative Urologie“ in der Klinik für Urologie, das in den Medien als Steuer-Stasi bezeichnete kantonale Steueramt mit seiner Sammelwut besonders geschützter Personendaten wie Parteimitgliedschaften uam., ein Vorgehen, das auch die Datenschützerin kritisiert, und andere Ereignisse mehr. Oder dann sind es Episoden um IT-Projekte wie das Rechtsinformationssystem RIS oder das Online-Grundbuch, das die NZZ Ende Dezember 2023 als «weiteres IT-Debakel» bezeichnete. Die Liste liesse sich fortsetzen. 

Besonders in Erinnerung bleibt die kuriose Szene, als anlässlich einer Kantonsratssitzung kurz vor Weihnachten 2022 Akten und Festplatten mit Daten der Zürcher Justiz im Kantonsrat abgeladen wurden. Öffentlich wurde das Datenleck bereits Ende November, als im Kantonsrat ein entsprechender Vorstoss eingereicht wurde. Zahlreiche eigentlich zur Entsorgung vorgesehene Computerfestplatten mit teilweise hochsensiblen, ungelöschten bzw. mühelos wieder lesbar gemachten Daten gelangten an verschiedene Personen im Zürcher Drogen- und Sexmilieu. Die Direktion für Justiz und Inneres bestätigte zwar in einer Medienmitteilung, dass es einen Datensicherheitsvorfall gegeben habe, kommunizierte ansonsten aber zurückhaltend. 

Als jedoch klar wurde, dass viele Informationen bereits im Umlauf waren, interessierte sich der Kantonsrat für die Angelegenheit und setzte im Sommer 2023 eine parlamentarische Untersuchungskommission PUK ein. Die PUK Datensicherheit zeigt in ihrem Bericht detailliert auf, wie der Vorfall möglich wurde und welche Umstände ihn begünstigten. Insgesamt hat der Regierungsrat der Informationssicherheit als gesamtkantonale Gemeinschaftsaufgabe über die Direktionen hinweg über Jahre zu wenig Beachtung geschenkt und die Thematik mit zu wenig Nachdruck vorangetrieben bzw. ungenügend begleitet. Der Bericht resultiert in 50 Empfehlungen an Regierungsrat und Kantonsrat, wie Datensicherheit und Zusammenarbeit innerhalb der Verwaltung verbessert und das Silodenken im Regierungsrat überwunden werden können.    

Dieter Kläy, Kantonsrat FD