GPK hätte früher informiert werden sollen

Der Untersuchungsbericht hätte der Geschäftsprüfungskommission (GPK) schon früher übermittelt werden sollen, räumt Fehr auf eine entsprechende Frage ein.

Tagi-Bericht als Auslöser

Als Auslöser für die Veröffentlichung des internen Untersuchungsberichts nennt Fehr die Berichterstattung des «Tages-Anzeigers» am Montag. Ohne diesen Bericht, sagt sie, wäre nur eine Zusammenfassung des Untersuchungsberichts veröffentlicht worden.

Konsequenzen gezogen?

Auf die Frage, welche personellen Konsequenzen als Reaktion auf das Datenleck gezogen wurden, antwortet Jacqeline Fehr: Niemand, der damals massgeblich involvierten Personen arbeite heute noch in der Justizdirektion. Gegenüber einer parlamentarischen Untersuchungskommission (PUK) zeige sich Fehr offen.

2000 Computer wurden im Jahr 2010 entsorgt

Es sei zu unterscheiden zwischen den technischen Sicherheitsmassnahmen und den organisatorischen Empfehlungen, sagt Fehr und übergibt nochmals das Wort an den heutigen IT-Chef Urs Kaderli: «Was wir nachweisen können, ist, dass wir 2010 rund 2000 PC-Arbeitsplätze entsorgt haben.»

Fehr kündigt weiteres Strafverfahren an

«Die Vernichtungsaktion (der Löschungsprotokolle unterzeichnet von dem betroffenen externen Dienstleister A. – dem Bruder von Roland Gisler, Anm.d.R.) ist bedauerlich. Ich weiss nicht, ob sie zu unserer Entlastung oder unserer Belastung geführt hätte», sagt Fehr. Es werde im Rahmen eines Strafverfahrens zu klären sein, ob Vorsatz oder Fahrlässigkeit zur Vernichtung von Löschungsbestätigungen im Jahr 2019 geführt hat.

Fehr weist Vorwürfe zurück

«Im Rückblick kann man diese Kommunikationsstrategie kritisieren. Ich bin selber auch nicht sicher, ob ich es in einem ähnlichen Fall wieder so machen würde», sagt Fehr. Die JI bemühe sich ernsthaft, so transparent zu sein, wie möglich. «Nur polizeiliche Ermittlungen und Strafuntersuchungen zwingen uns, nicht zu kommunizieren», sagt Fehr.

Vorwürfe der Intransparenz weist sie «in jeder Form« zurück. Die Datensicherheit sei heute auf einem ganz anderen, professionellen Niveau als in den Nullerjahren. Wir leben heute in einer anderen Welt, was die Datensicherheit betrifft, meint die Justizdirektorin.

Bericht hätte «unnötige Aufregung» ausgelöst

«Was passiert ist, hätte nicht passieren dürfen. Man fühlt sich wie im falschen Film», sagt Fehr. Ein solcher Vorfall könne sich heute nicht mehr ereignen. Die Justizdirektion hat sich zur Veröffentlichung des Untersuchungsberichts entschieden, weil den Medien ein grosser Teil der Unterlagen zugespielt wurde. Bei einer früheren Veröffentlichung hätte man «unnötige Aufregung» ausgelöst, meint Fehr.

IT-Leiter in der Justizdirektion: «IT ist heute gut geschützt»

«Die IT-Infrastruktur der Justizdirektion sei heute gut geschützt», sagt der Verantwortliche Urs Kaderli abschliessend.

Leumund wird überprüft

Für jedes aufbereitete und gelöschte Gerät werde heute ein Löschzertifikat ausgestellt. Unbegleitete, die Einsicht in Daten haben, werden sicherheitsüberprüft. Das heisst, der Leumund wird überprüft. Dieses Vorgehen sei seit 2015 Standard, so Kaderli.

Die grosse Unbekannte

Der heutige IT-Leiter in der Justizdirektion, Urs Kaderli, sagt: «Daten werden heute verschlüsselt abgelegt. Die grosse Unbekannte bleibt der Mensch.»

Datenschutzbeauftrage gutheisst Empfehlungen

Die Datenschutzbeauftragte habe die Empfehlungen überprüft und als angemessen bewertet, sagt Justizdirektorin Fehr.

«Hohe Wahrscheinlichkeit einer Gesetzesverletzung»

Vier von 13 Befunden haben eine hohe Priorität, bei denen eine hohe Wahrscheinlichkeit einer Gesetzesverletzung besteht oder eine Persönlichkeitsverletzung: «Es fehlte an Organisationsvorschriften und Weisungen. Zugriffsverletzungen existierten. Die Mitarbeiter wussten nicht, welche Vorschriften sie genau verwenden mussten», sagt Winkler. Ausserdem habe es an einer direktionsweit einheitlichen Vorgabe an Sicherheitsüberprüfungen gefehlt.

Keine Sofortmassnahmen gesetzt

Aufträge an externe Dienstleister wurden nicht nach zertifizierten Prozessen vergeben, so die Expertin. «Da im Rahmen des Strafverfahrens die nötigen Massnahmen ergriffen wurden, um die Verstösse aufzuarbeiten, haben wir in diesem Zusammenhang keine weiteren Sofortmassnahmen empfohlen», sagt Winkler.

Die externe Beraterin spricht

Maria Winkler führte die interne Untersuchung in der Justizdirektion durch. 6 Interviews mit 10 Personen seien durchgeführt worden. «Wir hatten Akteneinsicht in gewisse Untersuchungsakten (der Staatsanwaltschaft, Anm. d. R.) und haben den Bericht am 31. März 2021 abgeschlossen», sagt Winkler. 13 Schlussfolgerungen seien daraus entstanden.

Es soll eine «politische Aufarbeitung» geben

Fehr kündigt an, dass es eine «politische Aufarbeitung» geben wird. «Die Untersuchung (interne Administrativuntersuchung, Anm. d. R.) sollte darlegen, ob sofortige Massnahmen zu ergreifen sind.» Auch ein genereller, kritischer Blick sollte auf den Umgang mit Daten in der Justizdirektion gelegt werden.

Fehr weiss seit 9. November 2020 Bescheid

Die Justizdirektorin sei am 9. November 2020 von der Staatsanwaltschaft informiert worden, dass sensible Daten in falsche Hände geraten seien. Umgehend sei ein Verfahren eröffnet worden. Drei Tage später habe die Justizdirektion den internen Untersuchungsbericht in Auftrag gegeben, der erst heute veröffentlicht wurde – nach einer intensiven medialen Berichterstattung.

Unklar, wie viele Daten betroffen

«Wir wissen nicht ob noch Ungemacht droht oder ob es bei den Datenträgern bleibt, die die Staatsanwaltschaft sichergestellt hat», sagt die Regierungsrätin. Wie viele Justizdaten betroffen sind, sei bis heute unklar.

Auch Staatsanwaltschaft wird sich zu Wort melden

Die Zürcher Oberstaatsanwaltschaft wird laut Fehr heute noch über die Vorgänge informieren.

«Fahrlässig und allenfalls strafrechtlich relevant»

«Es ist unter keinem Titel zu rechtfertigen, wie in den Nullerjahren Datenträger der Justiz entsorgt wurden. Das war fahrlässig und allenfalls strafrechtlich relevant. Das hätte nicht passieren dürfen», sagt Justizdirektorin Jacqueline Fehr.