Eine Verwaltungsstelle stellt der anderen ungewollt die Informatik-Sicherheitsmassnahmen ab. Und keiner merkt etwas. Das stellte die Datenschutzaufsichtsstelle des Kantons Bern 2017 fest. Dass dieses Blackbox-Prinzip nicht zur Regel wird, stellt sie mit Prüfungen der Pläne von Informatikvorhaben und mit Kontrollen sicher.
Vorgefunden hat die Datenschutzaufsichtsstelle diese Situation bei der Erziehungsberatung mit ihren 13 Regionalstellen. Die Erziehungsberatungsstelle unterbreitete ihre Pläne für ein neues Geschäftsverwaltungssystem der Datenschutzaufsichtsstelle zur Prüfung. Eher zufällig zeigte sich, dass die Erziehungsdirektion gleichzeitig die Arbeitsplatzumgebung ersetzt hatte. Der damit verbundene Wechsel des Betriebssystems liess die bis anhin sichere, verschlüsselte Netzwerkverbindung wegfallen. Keinem der Beteiligten war dies bewusst. Auf Hinweis der Aufsichtsstelle hin sorgte die Erziehungsdirektion umgehend für Abhilfe.
Blackbox auf Schritt und Tritt
Dass eine Amtsstelle nicht mehr abschätzen kann, was eine Eingabe am Arbeitsplatzrechner auslöst, begegnet der Aufsichtsstelle immer häufiger: Das kantonsweite, papierlose Geschäftsverwaltungssystem GEVER mit digitaler Archivierung (DGA), die Drucklösung BE-Print, aber auch der kantonale Workplace KWP 2.x oder die Drahtlos-Netzwerk-Lösung sind Beispiele. Während die einen Verwaltungsstellen sich von anspruchsvollen Informatikaufgaben entlastet sehen, realisieren die andern den Verlust ihrer Herrschaft über die eigenen Daten. Die Informatik als Blackbox ist nicht nur bei kantonsintern zentralisiert angebotenen Informatikdienstleistungen ein Thema. Die Gefahr des Herrschaftsverlusts besteht auch dann, wenn Amtsstellen den Betrieb ihrer Informatik auslagern, wie etwa die Polizei zu Swisscom.
Wer die Verantwortung hat, ist heute und in Zukunft klar
Das Datenschutzgesetz weist die Verantwortung für den Umgang mit Daten den Amtsstellen zu: verantwortlich ist diejenige Stelle, die die Daten für das Erfüllen ihrer Aufgaben bearbeitet. Dabei darf und soll sich die Amtsstelle von den anderen mitwirkenden Stellen unterstützen lassen. Diese Unterstützung muss der Amtsstelle den Nachweis ermöglichen, dass sie datenschutzkonform arbeitet. Diesen Nachweis verlangt auch das künftige europäische Recht. Die Datenschutzaufsichtsstelle hat bei der Umsetzung der Vorgaben des europäischen Rechts in das kantonale Recht mitgewirkt.
Kontrollen bei der Druckerinfrastruktur BE-Print
Neben einer Grundschutzprüfung der IT-Infrastruktur der Kantonspolizei und einer Prüfung der Informatikanwendungen der Mittelschulen prüfte die Aufsichtsstelle die Druckerinfrastruktur BE-Print. Die verschlüsselte Datenübertragung erwies sich als mangelhaft umgesetzt. Nicht allen Amtsstellen ist bewusst, dass ein Druckauftrag stets eine Datenübertragung zum Druckserver in einem Berner Rechenzentrum und zurück zur lokalen Druckstation bedingt.