- Die Behörden im Kanton Solothurn vernichten alte Daten nicht konsequent genug, stellt die Datenschutzbeauftragte fest.
- Die Behörden müssen jetzt Löschkonzepte erarbeiten, heisst es im Jahresbericht 2018.
- Insbesondere muss der Kanton auch jene Firmen besser kontrollieren, die heikle Daten in seinem Auftrag verarbeiten.
Outsourcen – ein Schlagwort in der Wirtschaft und ein häufiges Prozedere, um Kosten zu senken. Nur: Oft sind damit auch Fragen des Datenschutzes verbunden. Wenn zum Beispiel die Solothurner Spitäler AG (die dem Kanton gehört) den Druck und den Versand von medizinischen Berichten nicht mehr selber macht, sondern diesen Auftrag extern vergibt, stellt sich die Frage, ob die Daten beim Partner-Betrieb sicher sind.
2018 hat die Datenschutzbeauftragte des Kantons Solothurn solche Fälle speziell unter die Lupe genommen. Auslöser ist ein Fall, der vor einigen Jahren für Aufsehen sorgte: Die Steuererklärungen sämtlicher Solothurner wurden in Zürich eingescannt von einer privaten Firma, die zu einem amerikanischen Konzern gehörte. Das schreckte die Politiker auf.
Es braucht bessere Verträge
Das Hauptproblem: Die heiklen Daten werden, wenn sie nicht mehr benötigt werden, von den Firmen zu wenig konsequent gelöscht. Die Vernichtung der Daten sei gesetzlich vorgeschrieben und ein wichtiger Aspekt des Datenschutzes, hält die Datenschutzbeauftragte in ihrem Jahresbericht fest. Sie empfiehlt dem Kanton, die Datenlöschung in den Verträgen mit den privaten Firmen explizit zu regeln.
«Es braucht Löschkonzepte», sagt die Datenschutzbeauftragte Judith Petermann nicht nur zum Fall der Solothurner Spitäler AG, sondern auch zu einem Fall an den Solothurner Schulen, den sie 2018 untersucht hat. Die Daten von tausenden Schülerinnen und Schülern aus den Vergleichstests (Checks) des Bildungsraums Nordwestschweiz wurden vom Institut für Bildungsevaluation in Zürich ausgewertet – und danach zu wenig konsequent gelöscht.
Judith Petermann führt auch Schlichtungsverfahren durch. Dabei geht es jeweils um das Öffentlichkeitsprinzip, das heisst um die Frage, welche Dokumente der kantonalen Verwaltung die Öffentlichkeit einsehen darf und welche nicht.
In drei Verfahren wurde 2018 eine Einigung erzielt. In einem vierten Fall brachten die Gespräche nichts. Dabei ging es um die Löhne bei der Solothurner Spitäler AG. Die Datenschutzbeauftrage empfahl, den höchsten Lohn und die Reglemente für den Honorarpool öffentlich zu machen. Die Spitäler AG folgte der Empfehlung später doch noch und machte den Lohn publik .