«Dilettantisch», «fahrlässig», womöglich gar strafbar. Die Zürcher Justizdirektorin Jacqueline Fehr (59) wählte am Dienstag klare Worte zum Datenskandal in ihrer Behörde. «Es ist unter keinem Titel zu rechtfertigen, wie in den Nullerjahren mutmasslich Datenträger der Direktion der Justiz und des Innern entsorgt wurden», sagte die SP-Regierungsrätin an einer Medienkonferenz.
Blick hatte vergangene Woche publik gemacht, dass wegen unsachgemässer Entsorgung Festplatten mit unverschlüsselten, höchst sensiblen Daten von Staatsanwaltschaft und Polizei bei einem vorbestraften Beizer aus dem Zürcher Milieu gelandet sind. Am Dienstag nun hat die Justizdirektorin erstmals Stellung dazu bezogen – und den bisher unter Verschluss gehaltenen Untersuchungsbericht veröffentlicht.
Fehr räumt Fehler ein
Es fällt nicht schwer zu kritisieren, womit man selbst nichts zu tun hat. Fehr kam erst 2015 in die Justizdirektion, das Datenleck bestand bis 2012. Doch auch die SP-Regierungsrätin trägt Verantwortung – dafür, wie der Skandal aufgearbeitet wurde. Die Behörde hatte seit 2020 von der Sache Kenntnis, liess parallel zu einem Strafverfahren eine Administrativuntersuchung durchführen. Doch die Öffentlichkeit erfuhr von alledem nichts.
Fehr sagte in ihrer ersten öffentlichen Stellungnahme zum Fall nun, es sei rückblickend ein Fehler gewesen, den Schlussbericht der Administrativuntersuchung nicht einmal der Geschäftsprüfungskommission des Kantonsrats geschickt zu haben.
Darstellung entspricht nicht ganz der Wahrheit
Was das Schweigen gegenüber der Öffentlichkeit betrifft, schob die Regierungsrätin die Verantwortung derweil auf die Datenschutzbeauftragte des Kantons ab. Diese habe davon abgeraten zu informieren. «Hätten wir gegen den Rat der Datenschutzbeauftragten den Bericht veröffentlichen sollen?», fragte sie rhetorisch.
Über anderthalb Jahre hielt die Zürcher Justizdirektion den Datenskandal unter Verschluss. Nun, nachdem er ans Licht kam, schafft sie notgedrungen Transparenz und veröffentlichte den Schlussbericht zur Administrativuntersuchung, die eine auf IT-Recht spezialisierte Firma durchgeführt hat.
Diese hat auch untersucht, wie es 2021 um den Datenschutz stand. Der Bericht komme zum Schluss, dass die IT-Sicherheit «seit Jahren gewährleistet ist», findet die Justizdirektion. Liest man das 39-seitige Dokument, fragt man sich, wie sie darauf kommt.
«Unserer Auffassung nach fehlen in weiten Bereichen konkrete Handlungsanweisungen zuhanden der Mitarbeitenden», heisst es im Bericht. Zudem wird kritisiert, dass Sicherheitsprüfungen in der Direktion nicht einheitlich und systematisch umgesetzt würden.
Der Untersuchungsbericht enthält 13 Empfehlungen. Vier haben Priorität, weil eine «hohe Wahrscheinlichkeit auf Gesetzesverletzung» bestehe, sagte die Untersuchungsleiterin Maria Winkler. Wie Regierungsrätin Jacqueline Fehr (59) darlegte, ist die Umsetzung der Empfehlungen in Gang.
Über anderthalb Jahre hielt die Zürcher Justizdirektion den Datenskandal unter Verschluss. Nun, nachdem er ans Licht kam, schafft sie notgedrungen Transparenz und veröffentlichte den Schlussbericht zur Administrativuntersuchung, die eine auf IT-Recht spezialisierte Firma durchgeführt hat.
Diese hat auch untersucht, wie es 2021 um den Datenschutz stand. Der Bericht komme zum Schluss, dass die IT-Sicherheit «seit Jahren gewährleistet ist», findet die Justizdirektion. Liest man das 39-seitige Dokument, fragt man sich, wie sie darauf kommt.
«Unserer Auffassung nach fehlen in weiten Bereichen konkrete Handlungsanweisungen zuhanden der Mitarbeitenden», heisst es im Bericht. Zudem wird kritisiert, dass Sicherheitsprüfungen in der Direktion nicht einheitlich und systematisch umgesetzt würden.
Der Untersuchungsbericht enthält 13 Empfehlungen. Vier haben Priorität, weil eine «hohe Wahrscheinlichkeit auf Gesetzesverletzung» bestehe, sagte die Untersuchungsleiterin Maria Winkler. Wie Regierungsrätin Jacqueline Fehr (59) darlegte, ist die Umsetzung der Empfehlungen in Gang.
Das Problem ist, dass Fehrs Darstellung so nicht der Wahrheit entspricht.
«Ich habe mich in meinem Bericht einzig zum Aspekt der Information der betroffenen Personen geäussert. Zur Publikation des Schlussberichts der Administrativuntersuchung habe ich keine Aussage gemacht», stellt die Datenschutzbeauftragte Dominika Blonski auf Nachfrage von Blick klar. Das liege gar nicht in ihrem Kompetenzbereich.
Staatsanwaltschaft weitet Verfahren aus
Doch nicht nur was die Kommunikation betrifft, muss sich Fehr Kritik gefallen lassen. Als wäre das Debakel nicht schon gross genug, bestätigte sie am Dienstag auch, dass wichtige Unterlagen zu den damaligen Vorkommnissen 2019 vernichtet worden sind, ohne dass sie vorher digitalisiert worden waren. Das Ganze sei «sehr bedauerlich». «Wir wissen nicht, ob die Akten zu unserer Belastung oder Entlastung beigetragen hätten.»
Blick hatte am Montag über die Datenvernichtung berichtet. Am gleichen Tag hat die Staatsanwaltschaft entschieden, die laufende Untersuchung auszuweiten. Die Datenentsorgung durch die Behörden soll nun vertieft untersucht werden – auch jene von 2019. Möglicherweise haben sich Beamte strafbar gemacht.
Offen ist, warum die Staatsanwaltschaft erst jetzt deswegen ermittelt. Fakt ist, dass die Entsorgungsaktion von 2019 den Behörden schon seit November 2020 bekannt war.