Berner Datenschützer tadeln die Verwaltung
Die Datenschutzaufsichtsstelle des Kantons Bern hat die Verwaltung dazu aufgefordert, ihrer Verantwortung im Umgang mit Daten nachzukommen. Informatik dürfe auch im Hinblick auf die EU-DSGVO keine Blackbox sein. Hintergrund sind Fälle, bei denen Amtsstellen die IT-Sicherheit unbewusst beeinträchtigten.
Die Datenschutzaufsichtsstelle des Kantons Bern hat ihren Jahresbericht 2017 vorgelegt (Download als PDF). Das Dokument nimmt die Amsstellen der Kantonsverwaltung in die Pflicht. Diese sollten sich ihrer Verantwortung beim Umgang mit Daten in Zukunft bewusster sein und sicherstellen, dass Informatik "keine Blackbox" werde, schreibt die Berhörde in einer Mitteilung.
Hintergrund des Tadels ist ein Vorfall bei der Erziehungsberatung des Kantons, wie es weiter heisst. Diese habe der Datenschutzaufsichtsstelle ihre Pläne für ein neues Geschäftsverwaltungssystem zur Prüfung unterbreitet. Eher zufällig habe sich dabei herausgestellt, dass die Erziehungsdirektion gleichzeitig die Arbeitsplatzumgebung ersetzt hatte.
Der damit verbundene Wechsel des Betriebssystems habe dazu geführt, dass die bis anhin sichere, verschlüsselte Netzwerkverbindung wegfiel. "Keinem der Beteiligten war dies bewusst", schreibt die Aufsichtsstelle. Auf ihren Hinweis hin habe die Erziehungsdirektion für Abhilfe gesorgt.
Kein Einzelfall
Ähnliche Fälle begegneten der Aufsichtsstelle "immer häufiger", heisst es in der Mitteilung. Die Informatik als Blackbox sei nicht nur bei IT-Dienstleistungen der Verwaltung ein Problem. Die Gefahr eines "Herrschaftsverlusts" bestehe auch dann, wenn Behörden den Betrieb auslagerten, wie etwa die Polizei zu Swisscom.
Wer für den Umgang mit Daten verantwortlich sei, stehe im Gesetz. "Verantwortlich ist diejenige Stelle, die die Daten für das Erfüllen ihrer Aufgaben bearbeitet", schreibt die Aufsichtsstelle. Dabei dürfe und solle sich die Amtsstelle von anderen Stellen unterstützen lassen, was auch den Nachweis ermögliche, dass sie datenschutzkonform arbeitet.
Diesen Nachweis verlange im Übrigen auch das künftige europäische Recht nach EU-DSGVO. Die Datenschutzaufsichtsstelle habe bei der Umsetzung der Vorgaben des europäischen Rechts in das kantonale Recht mitgewirkt.