RR Donnelley
Wie sicher sind die Solothurner Steuerdaten bei der Firma RR Donnelley?

Nicht nur nicht korrekt vergebene Aufträge, sondern auch ungenügende Verträge in datenschutzrechtlicher Hinsicht warf die Geschäftsprüfungskomission dem Kanton vor. Doch ob man die US-Behörden an einem Zugriff hindern könnte, ist fraglich.

Drucken
Teilen
Links: Mitglieder des GPK-Ausschusses. Mitte: Fritz Brechbühl (Ratssekretär), Peter Brügger (Präsident GPK), Stefan Lombardi (Lombardi Consulting), Mark Reutter (Rechtsanwalt)

Links: Mitglieder des GPK-Ausschusses. Mitte: Fritz Brechbühl (Ratssekretär), Peter Brügger (Präsident GPK), Stefan Lombardi (Lombardi Consulting), Mark Reutter (Rechtsanwalt)

Hanspeter Bärtschi

Wie sicher sind die Solothurner Steuerdaten bei der Firma RR Donnelley? Das war eine der drängenden Fragen vor der Pressekonferenz am Donnerstag. Immerhin gehörte RR Donnelley bis Anfang 2016 einer US-Firma. Und dass die amerikanischen Behörden wenig Hemmung haben, wenn sie etwas möchten, ist bekannt. Nun haben sich im Auftrag der Geschäftsprüfungskommission zwei externe Gutachter um die Datenschutz-Frage gekümmert. Ihre Expertise zeigt: Es gibt Nachholbedarf.

So soll RR Donnelley etwa besser regeln, wer Zugriffsberechtigungen auf die Daten hat oder Ferienstellvertretungen besser prüfen. Allerdings merkte Gutachter Stefan Lombardi am Donnerstag an: «Es gibt kein Indiz dafür, dass man die Zusammenarbeit mit RR Donnelley sofort unterbrechen müsste.» Im operativen Geschäft fand der Experte keine schwerwiegenden Mängel.

«Aufgrund der juristischen Überprüfung ergeben sich dennoch schwerwiegende Vorbehalte.» Nachholbedarf sehen die Gutachter bei den äusserst rudimentären, sprich: kaum vorhandenen Vorgaben, die der Kanton Solothurn RR Donnelley in Sachen Datenschutz macht. «Heute genügt dies nicht mehr», sagte der zweite Experte Mark Reutter.

Bei den Solothurner Behörden gebe es «keine Anzeichen, dass man spezifische Risiken aktiv und wiederkehrend kontrolliert hätte.» Das Gutachten fordert, dass unangemeldete Besuche jederzeit möglich sein müssen. Dies soll künftig explizit im Vertrag stehen. In Sachen USA merkte Gutachter Reutter, an: Die Gefahr habe bestanden, dass die US-Regierung Zugriff auf die Steuerdaten habe.

«Dass die Amerikaner dies versuchen, ist der Fall. Dies zeigt ein Beispiel aus Irland.» Inzwischen ist dieses Problem etwas entschärft: RR Donnelley gehört nun der französischen Firma Tessi.

Zur Verfügung gestellt

«Die GPK unterstützt sämtliche Empfehlungen der Experten», sagt GPK-Präsident Peter Brügger. Der Regierungsrat muss nun handeln und der GPK bis zum 30. Juni einen Bericht abliefern. Dieser soll aufzeigen, welche Verbesserungen bis wann umgesetzt werden.

Solothurner Steuerdaten werden ab Freitag bereits nicht mehr bei RR Donnelley archiviert. Das Scanning selbst wird die Firma allerdings noch weiterführen, bis Solothurn in einigen Jahren eine neue Steuerapplikation einführt.

«Rechtzeitig vor der Neuausschreibung des Scanning-Auftrages muss die Regierung zuhanden der GPK einen Variantenvergleich verschiedener Lösungen erstellen», fordert die Kommission. Dabei soll eine kantonsinterne Lösung der teilweisen oder vollständigen Auslagerung gegenübergestellt werden. (lfh)

Aktuelle Nachrichten