Die Bundesverwaltung weiss viel über fast alle, die in der Schweiz leben: Wo wir wohnen, wie wir heissen, ob wir an Gott glauben, wie gesund wir sind, ob wir ein Verbrechen begangen haben. Die Bundesämter und Sozialversicherungen speichern etliche Personendaten. Einige davon sind heikel, andere weniger.
Im Moment gilt aber für alle Personendaten beim Bund, egal wie heikel sie sind, die sogenannte Protokollierungspflicht: Es wird protokolliert, wenn jemand die Daten liest, ändert, speichert, löscht oder vernichtet. Immer. Schon vor vier Jahren, bevor diese Protokollierungspflicht für alle Personendaten eingeführt wurde, kritisierten sie Wirtschaftsvertreter und einige Datenschützer.
Von einem Bürokratiemonster war die Rede, von fehlendem Speicherplatz für die Protokolle. Von einer sinnlosen Massnahme, die Datenklau nicht verhindere.
Risikoorientiert statt flächendeckend
Nach der Einführung der Protokollierungspflicht rechnete das Bundesamt für Informatik die Kosten aus: einmalig 165 Millionen Franken, jedes Jahr weitere 32 Millionen. Viel zu viel Geld für zu wenig Nutzen, meinte dazu die Eidgenössische Finanzkontrolle, und das in einer Zeit, in der der Bund sparen müsse. Die Finanzkontrolleure intervenierten beim Bundesrat.
Die Protokollierungspflicht soll nicht mehr flächendeckend gelten, sondern risikoorientiert.
Nun sagt Thomas Brückner von der Eidgenössischen Finanzkontrolle, das Protokollieren werde endlich doch noch weniger teuer als befürchtet. Ganz konkret: «Die Protokollierungspflicht soll nicht mehr flächendeckend gelten, sondern risikoorientiert.» Dadurch könnten die Kosten für die Protokollierung gesenkt werden.
Das heisst: Bundesstellen müssen in Zukunft nur noch flächendeckend protokollieren, wenn es um besonders schützenswerte Daten geht, etwa Gesundheitsdaten. Damit steigen die Kosten der Verwaltung für den Umgang mit Personendaten weniger stark. Leider, findet Thomas Brückner, sei das Bürokratiemonster damit nur gebändigt, nicht besiegt: «Das ist ein Kompromissvorschlag, den wir unterstützen. Allerdings hätten wir uns noch weitergehende Erleichterungen gewünscht, um unnötige Mehrkosten zu vermeiden.»
Eskalation bis zum Bundesrat
Um den Kompromiss durchzusetzen, intervenierte die Finanzkontrolle zweimal beim Justizdepartement, bevor sie selbst von einer «Eskalation» sprach und sich direkt an den Bundesrat wandte, um die Bürokratie rund um Personendaten einzudämmen.
Warum ist es Teilen der Verwaltung so wichtig, alles zu protokollieren, was mit allen Personendaten geschieht? Das Bundesamt für Justiz verweist auf die Zusammenarbeit mit der EU im Bereich des Strafrechts: «In der allgemeinen EU-Datenschutz-Grundverordnung wird die Massnahme der Protokollierung zwar nicht ausdrücklich gefordert.» Sie sei aber eingeführt worden, um der Zusammenarbeit mit der EU im Strafrecht Rechnung zu tragen.
Übernahme aus Übervorsicht?
Das Bundesamt schreibt ausserdem an SRF Investigativ: In Frankreich gelte die Pflicht zur Protokollierung im Datenschutz als grundlegende Sicherheitsmassnahme. Zudem wolle man einheitliche Standards für die Datensicherheit in der Bundesverwaltung. Kritiker aus der Wirtschaft sprechen von einer unnötigen Übernahme europäischer Bürokratie aus Übervorsicht.
Nun haben diese Kritiker teilweise Recht bekommen, die Verwaltung hat einen Kompromiss gefunden. Bald dürfte der Bundesrat der abgespeckten Protokollierungspflicht zustimmen.
