Genaugenommen ist das Informatikgesetz des Kantons Luzern (IGLU, SRL 26, http://srl.lu.ch/sk/srl/DATI/SRL/f/fsrl026.htm) das zweite entsprechende Regulatorium der Schweiz. Im Kanton Genf gibt es bereits seit 1981 ein Informatikgesetz. Da dieses Gesetz jedoch aus der «Steinzeit» der Informatik in der Schweiz stammt und keine wesentlichen Revisionen erlebte, berücksichtigt das Informatikgesetz des Kantons Genf wichtige Entwicklungen im Bereich E-Government nicht bzw. nicht genügend: so zum Beispiel die zentralen Datenbanken und das Outsourcing. Auch auf Bundesebene existiert lediglich eine Informatikverordnung.
Da die Informatik heute wohl das wichtigste Instrument der öffentlichen Verwaltung darstellt, ist davon auszugehen, dass dem Informatikgesetz des Kantons Luzern weitere Informatikgesetze als Rahmengesetze für das E-Government folgen werden und dass jenem eine Vorbildfunktion zukommen wird.
Mehr Pflichten und Risiken für IT-Anbieter
Das Informatikgesetz nimmt insbesondere externe IT-Anbieter stärker in die Pflicht. Dadurch erhöht sich deren zivilrechtliches Risiko. Zudem sieht das Gesetz bei Verletzung eines Teils der Pflichten der IT-Anbieter eine direkte Strafbarkeit von Amtes wegen vor. Dies ist eine Verschärfung gegenüber dem bisherigen Recht.
Zentrale Datenbanken und Abrufverfahren
Im Rahmen der Effizienzsteigerung gehen immer mehr Verwaltungseinheiten dazu über, ihre Datenbanken mit Datenbanken anderer Einheiten zusammenzulegen. Beispiele für solche zentralen Datenbanken sind die Datenpools der Steuerdaten und des Zivilstandswesens. Die zentralen Datenbanken weisen die Eigenheit auf, dass sie keinen Inhaber haben und dass zu den Inhabern der einzelnen Datenbestände nun auch noch ein verwaltungsinterner oder verwaltungsexterner (Outsourcing-) Betreiber der zentralen Datenbank dazu kommt.
Das Informatikgesetz verlangt von den Inhabern der einzelnen Datenbanken, die diese in einer zentralen Datenbank zusammenführen, dass sie mit dem Betreiber der zentralen Datenbank eine Leistungsvereinbarung treffen, die mindestens folgende Punkte regelt: Struktur der zentralen Datenbank; Inhalt der Datenbank insbesondere in Bezug auf Personendaten; verwendete Techniken, einschliesslich Entwicklung und Wartung; Zugriffsverwaltung; Sicherheits- und Datenlöschkonzept; Standort der Hardware; Kontrollrechte und -pflichten; Verantwortlichkeiten.
Im Sinne der Transparenz muss die Existenz einer zentralen Datenbank vor deren Inbetriebnahme im kantonalen Publikationsorgan veröffentlicht werden. Auch diese Publikation ist in der Leistungsvereinbarung mit dem Betreiber zu regeln.
Um seiner Pflicht der Sicherstellung der technischen Funktionsfähigkeit der zentralen Datenbank nachkommen zu können, erhält der Betreiber entsprechende Zugriffs- und Bearbeitungsrechte. Diese sind jedoch auf die Erfüllung seiner Aufgabe begrenzt. Aus Sicherheitsgründen darf zudem die Systemadministration und Zugriffsverwaltung nicht derselben Person übertragen werden.
Explizit verpflichtet das Informatikgesetz den Betreiber einer zentralen Datenbank und jede von ihm mit Aufgaben des Betriebs betraute Person über die von ihnen wahrgenommenen Personendaten zur Verschwiegenheit.
Will eine Person gemäss Datenschutzgesetz Auskunft über die Daten, die über sie in der zentralen Datenbank registriert sind, kann sie an den kantonalen Datenschutzbeauftragten gelangen. Dieser führt ein Register der zentralen Datenbank und kann somit der betroffenen Person die Inhaber der zusammengeführten Datenbanken nennen. Diese sind dann direkt für eine Auskunft anzugehen oder können vom Datenschutzbeauftragten um eine direkte Auskunft ersucht werden.
Für sogenannte Abrufverfahren gelten die Bestimmungen über die zentralen Datenbanken analog. Abrufverfahren sind automatisierte Verfahren, welche es Dritten ermöglichen, Personendaten ohne Intervention des bekanntgebenden Organs zu bearbeiten.
Outsourcing
Beim Outsourcing von Teilen der Informatik der öffentlichen Verwaltung und der Gerichte bestehen zwei wesentliche Problemfelder. Einerseits muss das Amtsgeheimnis gewahrt bleiben. Andererseits muss sichergestellt werden, dass die staatliche Aufgabenerfüllung auch dann gewährleistet ist, wenn der Outsourcing-Partner Abmachungen nicht einhält oder die Geschäftstätigkeit einstellt.
Um dies sicherzustellen, hat das staatliche Organ, das einen Teil seiner Informatik auslagert, mit dem Outsourcing-Partner ebenfalls eine Vereinbarung zu treffen, die mindestens folgende Punkte regelt: Inhalt der Dienstleistung; Wahrung des Amtsgeheimnisses sowie besonderer Geheimhaltungspflichten; Verantwortlichkeiten; verwendete Techniken, einschliesslich Entwicklung und Wartung; Zugriffs- und Zutrittsrechte; Sicherheits- und Datenlöschkonzept; Standorte der Hardware und der Datenbearbeitung; Kontrollrechte; Beizug von Dritten; Archivierung; Rückführung und Löschung der Daten im Falle der Vertragsauflösung.
Zudem hat der Outsourcing-Partner durch organisatorische und technische Massnahmen sowie vertraglich sicherzustellen, dass die staatliche Aufgabenerfüllung auch ohne wesentliche Beeinträchtigung gewährleistet ist, wenn der Outsourcing-Partner Abmachungen nicht einhält oder die Geschäftstätigkeit einstellt, insbesondere im Konkursfall. Dies kann beispielsweise durch die Hinterlegung des Source Codes einer Software-
Lösung im Rahmen eines Escrow Agreements bewerkstelligt werden.
Der Outsourcing-Partner ist zudem zu verpflichten, dem Datenschutzbeauftragten sowie der Finanzkontrolle des Kantons Zutritt zu den Räumen und Anlagen sowie die erforderlichen Zugriffsrechte auf die entsprechenden Daten zu gewähren und sie angemessen zu unterstützen.
Informatiksicherheit
Im Rahmen der Informatiksicherheit verlangt das Informatikgesetz von der kantonalen Verwaltung und von den Gerichten eine Klassifizierung der Daten und der Informatikmittel. Gestützt darauf sind die Schutzziele festzulegen und es ist ein Massnahmenplan zu deren Erreichung zu erstellen.
Im Zusammenhang mit der Informatiksicherheit regelt das Informatikgesetz auch die Benutzung von Informatikmitteln am Arbeitsplatz. Dabei ist unter bestimmten Bedingungen auch eine Kontrolle der Benutzung der Informatikmittel zulässig, insbesondere auch eine Überwachung der Nutzung von Internet und E-Mail.
Strafrechtliche Konsequenzen
Ein Verstoss gegen das Informatikgesetz wird von Amtes wegen (Offizialdelikt) mit Haft oder Busse bis zu 5000 Franken bestraft. Von der Strafrechtsnorm werden insbesondere die Pflichten des Betreibers einer zentralen Datenbank sowie die Pflichten des Outsourcing-Partners (vgl. oben) erfasst.
Der Autor
Ueli Grüter, LL.M., Rechtsanwalt, ist Dozent für Informatikrecht an der Fachhochschule Zentralschweiz (fhz.ch) und Partner bei Grüter Schneider & Partner (gsplaw.ch) und Schneider Feldmann AG (schneiderfeldmann.ch), Zürich/Luzern. Ueli Grüter erforscht am Institut für Sichere Softwaresysteme (ISIS, hta.fhz.ch/isis) u.a. die rechtlichen Rahmenbedingungen des E-Governments.
