Die landrätliche Geschäftsprüfungskommission kommt zum Schluss: Beim Baselbieter Datenschutz bestehen mehrere Baustellen. Eigentlich sollte die Aufsichtsstelle dafür zuständig sein, dass die öffentlichen Behörden mit unseren privaten Daten diskret umgehen. Sie hat die Aufgabe, die rechtmässige Anwendung der Bestimmungen über den Datenschutz zu kontrollieren, und entscheidet, welche Personendaten im Zusammenhang mit Wissenschaft und Forschung bearbeitet werden dürfen.

Diese Aufgabe erfüllt der Datenschutz derzeit nicht zur vollsten Zufriedenheit. Oder wie es der Bericht der GPK ausdrückt: «Die Datenschutzbeauftragte hat einen sehr weit gefassten Auftrag, der einen erheblichen Umsetzungsspielraum lässt.» Die Empfehlung lautet daher: Die Datenschutzbeauftragte solle eine klarere Priorisierung ihrer Aufgaben vornehmen und Schwerpunkte in der Tätigkeit bilden.

Zu viel Geld für externe Firmen

GPK-Präsident Hanspeter Weibel (SVP) hat mit seiner Kommission den Baselbieter Datenschutz genauer unter die Lupe genommen. Seine Feststellung stimmt mit den Beobachtungen der Baselbieter Datenschützerin Ursula Stucki überein. «Das Hauptproblem ist, dass der Datenschutz noch zu wenig in den Köpfen präsent ist», sagt Weibel.

Gerade bei grösseren IT-Projekten – wenn eine Vielzahl persönlicher Daten tangiert sei – hätten die Verantwortlichen das Thema Datenschutz kaum auf dem Radar. «Um die grössten Risiken erkennen zu können (...), soll eine Checkliste für Projektverantwortliche erarbeitet werden», so eine der GPK-Empfehlungen.

Darüber, ob es im vergangenen Jahr ein Leck gegeben habe, lasse sich nach der GPK-Untersuchung aber nichts sagen. «Das haben wir nicht untersucht – allerdings haben wir auch keine Hinweise darauf, dass es zur Herausgabe von Daten gekommen ist», sagt Weibel.

Neben der mangelnden Präsenz weist die Geschäftsprüfungskommission noch auf einige weitere Mängel bei der Aufsichtsstelle hin. Nicht restlos geklärt seien etwa die Kompetenzbereiche zwischen den eidgenössischen und den kantonalen Datenschutzbeauftragten. Zwar scheint die Aufgabenteilung auf dem Papier klar; der kantonale Datenschutz ist lediglich für die kantonalen Behörden, die Einwohner-, Bürger- und Kirchgemeinden zuständig.

Der eidgenössische Datenschutz ist dagegen für die Kontrolle von Personendaten im Zusammenhang mit Wissenschaft und Forschung zuständig. «In der Realität gibt es aber noch viele Graubereiche», stellt Weibel klar.

Kritik gibt es von der GPK auch an der Ausgabenpolitik des Datenschutzes. Seit 2009 wurden für insgesamt 200 000 Franken Mandate für Kontrollen von externen Beratungsunternehmen wie Ernst & Young und KPMG ausgegeben. Das sei zu viel, findet Hanspeter Weibel: «Wenn mehrere ähnliche Prüfungen durchgeführt werden, sollte irgendwann mal ein roter Faden ersichtlich sein – und die Datenschützer selber in der Lage sein, diese Prüfung vorzunehmen.»