Die kantonale Einwohnerdatenplattform (KEP) führt Personendaten aller Einwohnerinnen und Einwohner der 160 Gemeinden im Kanton Zürich zentral zusammen. Das macht den Datenaustausch unter den Behörden einfacher und sauberer. Kein Wunder, nimmt die Bedeutung der Plattform für die digitale Verwaltung zu. Umso wichtiger wird dabei der Datenschutz.
«Spiegel» der Einwohnerregister
Die Personendaten von 1’615'112 Einwohnerinnen und Einwohnern des Kantons Zürich liegen Ende 2024 auf den Servern der kantonalen Einwohnerdatenplattform (KEP). Oder genauer gesagt: eine Kopie von ihnen. Die KEP dient als «Spiegel» der 160 Einwohnerregister, die die Gemeinden im Kanton nach klaren Vorgaben verwalten. Diese Daten wurden immer schon erfasst und gelagert. Doch seit die KEP 2019 ihren Betrieb aufnahm, liegen sie in gesammelter Form in einer zentralen Applikation vor.
Die Daten wurden auch immer schon zwischen verschiedenen Behörden und Institutionen ausgetauscht. Ohne sie wäre die Erfüllung von den diversen gesetzlichen Aufträgen gar nicht möglich. Doch vor 2019 war das für alle Beteiligten mühsam – und barg Risiken. Die Datensuchenden mussten sich die Daten einzeln bei den Einwohnerkontrollen der Gemeinden beschaffen und immer wieder von neuem nachführen. Das geschah telefonisch, per E-Mail, per Post oder Fax. Ein fehleranfälliger Prozess. Und einer, bei dem eine systematische Kontrolle über den Datenschutz nicht möglich war.
Seit 2019 in Betrieb
Das Problem wurde schon 2009 erkannt. Dem Regierungsrat war klar: Eine zunehmend digitale Verwaltung braucht ein zentrales Personenregister und eine eigene Gesetzesgrundlage. Zehn Jahre später ging die neue Applikation KEP in Betrieb. Das Gesetz und die Verordnung über das Meldewesen und die Einwohnerregister (MERG), die den Umgang mit der KEP regeln, traten schon 2016, respektive 2018 in Kraft. Bei der Schaffung dieser gesetzlichen Grundlagen hat das Gemeindeamt eng mit dem Datenschützer des Kantons Zürich zusammengearbeitet.
Die Digitalisierung der Verwaltung ist in dieser Zeit rasant fortgeschritten, und sie tut es weiterhin. Die KEP hat dadurch stetig an Bedeutung gewonnen. Und die Abteilung Einwohnerwesen im Gemeindeamt, die für die KEP verantwortlich ist, beschäftigt sich seither mit immer wieder neuen Fragen, was die Plattform leisten soll – und kann.
Denn so ein Datenschatz ist natürlich verlockend. Doch nicht alles, was technisch machbar und für potenzielle Datenbezüger praktisch wäre, ist auch zulässig. Denn in der KEP werden einerseits Daten von Personen verwaltet, die sensible Lebensbereiche betreffen. Andererseits machen die grosse Anzahl betroffener Personen und die technischen Möglichkeiten einer zentralen Applikation die KEP als Ganzes sensibel. Die Daten sind verfügbar – also müssen sie streng geschützt werden.
Kein Zugang ohne Rechtsgrundlage
Konkret heisst das: Für jede Stelle, die einen Zugang beantragt, klärt das Gemeindeamt ab, ob es dafür eine gesetzliche Grundlage gibt. Ende 2024 sind 60 Organisationen an die Datenplattform angeschlossen. Insgesamt nutzen über 11'000 Personen die KEP in ihrer täglichen Arbeit.
Anzahl Datenbezüger pro Jahr
Jede zugelassene Organisation sieht nur die Daten, die für ihren gesetzlichen Auftrag relevant sind. Dafür gibt es einen Katalog an klar definierten Merkmalen. Merkmale sind zum Beispiel Vor- und Nachname, Adresse und Geburtsdatum. Merkmale sind aber auch etwa die AHV-Nummer, allfällige Massnahmen des Kindes- und Erwachsenenschutzes oder die Namen von Eltern, Kindern oder Mitbewohnenden.
So braucht zum Beispiel das Krebsregister die AHV-Nummer einer Person, aber nicht die Angaben über die Beziehungen einer Person zu anderen Personen. Die Stadtpolizei Zürich wiederum braucht für gewisse Ermittlungen Angaben zu solchen Beziehungen, nicht aber die AHV-Nummer. Öffnet die Stadtpolizei in der KEP ein Personendossier, sieht sie in der Maske also kein Feld für die AHV-Nummer und das Krebsregister sieht keine Felder mit Beziehungsangaben.
Innerhalb einer Organisation, die Zugang zur KEP hat, gibt es weitere Zugangsbeschränkungen in der Form von Rollenkonzepten. Damit wird sichergestellt, dass eine Abteilung nur jene Daten abfragen kann, die sie tatsächlich braucht. Eine Mitarbeiterin der Rechnungsstelle eines Spitals zum Beispiel sieht bei der Abfrage derselben Person andere Angaben als ihr Kollege auf der Station. Sie braucht nur eine Rechnungsadresse. Er braucht möglicherweise den Namen von Angehörigen, um diese über ein Ereignis zu informieren.
Jede Abfrage wird protokolliert
Als weitere Datenschutzmassnahme wird bei jeder Abfrage protokolliert, wer wann welche Daten abgerufen hat. Die Datenbezüger können auch nicht einfach frei in der KEP herumblättern oder Listen von Personen erstellen, auf die ein bestimmtes Merkmal zutrifft. Dafür sorgen sogenannte Mindestsuchkriterien: Zu einem Personendossier gelangt nur, wer bereits bestimmte Angaben zu einer Person hat. In vielen Fällen sind das der Name und das Geburtsdatum. Damit wird sichergestellt, dass die suchende Person nur die Daten einsehen kann, die sie zur Bearbeitung des konkreten Falls braucht.
Auch die Art des Zugangs ist streng geregelt. Die meisten Datenbezüger nutzen die KEP im Webbrowser in einer gesicherten Umgebung, einem Intranet. Zunehmend gewinnt auch die direkte Anbindung einer Fachapplikation an die KEP an Bedeutung. Bei solchen Projekten braucht es zusätzlich einen klar definierten Geschäftsprozess. Ende 2024 haben acht Organisationen eine solche Anbindung. Weitere Projekte laufen. Im Zuge solcher neuen technischen Möglichkeiten überprüft das Gemeindeamt fortlaufend, ob sich daraus neue Bedürfnisse an den Datenschutz ergeben.
Nach fünf Jahren im Betrieb wird die KEP seit 2023 umfassend weiterentwickelt, um sie aus technologischer Sicht auf dem neusten Stand zu halten. Auch das Gesetz über das Meldewesen und die Einwohnerregister soll weiterentwickelt werden. Ende 2024 hat der Regierungsrat eine Teilrevision des Gesetzes zuhanden des Kantonsrats verabschiedet.
