11.03.2016, 14:33 Uhr
Berner Datenschützer ortet Informatikprobleme in der Verwaltung
Die Datenschutzaufsichtsstelle des Kantons Bern hat den Datenschutzbericht für das Jahr 2015 veröffentlicht. Dieser deckt einige Missstände auf.
In der bernischen Kantonsverwaltung hat es laut der kantonalen Datenschutzaufsichtsstelle Missstände beim Umgang mit der Informatik gegeben. Beispielsweise schaltete eine Direktion Passwortvorgaben aus, und die Handys von Polizisten waren auch in deren Freizeit zu orten.
Zwischen Juli 2014 und März 2015 war es den Angestellten der kantonalen Justiz-, Gemeinde- und Kirchendirektion (JGK) möglich, statt höchstens dreimal ein Passwort einzugeben bis zu 999 Eingabeversuche zu tätigen. Das geht aus dem veröffentlichten Jahresbericht 2015 der kantonalen Datenschutzaufsichtsstelle hervor.
Triviale Passwörter erlaubt
Auch erlaubte das System «triviale Passwörter» wie zum Beispiel zweimal die aktuelle Jahreszahl. Grund: Der Informatikdienst der JGK hatte im Juli 2014 die technischen Massnahmen zum Erzwingen der Passwortvorgaben ausgeschaltet. Dies, weil die Passwortverwaltung bei den Angestellten der JGK zu Problemen geführt hatte. In der Folge blieb die «schwere Sicherheitslücke», so die kantonale Datenschutzstelle, monatelang unbemerkt. Dies, weil ab 2014 nicht mehr die JGK selber, sondern ein externer Leistungserbringer für die Informatik der JGK zuständig war. Und der externe Leistungserbringer wusste nichts vom Ausschalten der Passwortverwaltung. Nächste Seite: Umgang mit mobilen Endgeräten
Integration verlangt Aufmerksamkeit
Wie geht die Kantonsverwaltung richtig mit Informatikdienstleistern und mit mobilen Endgeräten wie Handys und Tablets um? Das wollte die kantonale Datenschutzaufsichtsstelle im Jahr 2015 genauer untersuchen und richtete deshalb im vergangenen Jahr speziell auf diesen Aspekt ihre Aufsichtstätigkeit aus. Ihr Fazit: Die technische Integration von Systemen macht das Zusammenspiel von Leistungsbezügern und Leistungserbringern schwieriger. Mit technischer Integration ist gemeint, dass je länger je mehr Informatiksysteme miteinander harmonisieren.
Beispielsweise will die Kantonsverwaltung laut dem Bericht des Datenschützers mit dem Projekt BE-Print Drucker durch eine verwaltungsweit zur Verfügung stehende, zentral betriebene Druck-, Scan- und Kopierinfrastruktur ersetzen. Bei solchen Projekten gilt es für die Datenschutzaufsichtsstelle, vor allem auf die Kommunikation zwischen Kantonsverwaltung und externen Leistungserbringern zu achten. Als weiteres Beispiel für mangelnde Kommunikation nennt die kantonale Datenschutzaufsichtsstelle in ihrem Bericht Informatiksicherheits- und Datenschutzvorgaben zu einer Informatikanwendung des kantonalen Strassenverkehrs- und Schifffahrtsamts (SVSA). Dieses Amt habe die Vorgaben sorgfältig nachgeführt, steht im Bericht. Jene Firma, welche im Auftrag des SVSA diese Anwendung betreibt, erhielt die Vorgaben aber nie. Nächste Seite: Polizisten in der Freizeit überwachbar
Polizisten in Freizeit überwachbar
Eine Prüfung des Managementsystems der mobilen Geräte der Kantonspolizei zeigte ausserdem, dass diese Geräte bei entsprechender Auswertung zu einer Mitarbeiterüberwachung genutzt werden könnten. Zur Alarmierung sollen nämlich die Polizistinnen und Polizisten diese Geräte auch in der Freizeit benutzen.
Das Gerät hätte es aber dem Arbeitgeber ermöglicht, die aktuelle Position der Polizisten auch in der dienstfreien Zeit zu erkennen. Zudem wäre es möglich gewesen, zu sehen, welche Applikationen die Polizisten auf diesem Gerät installiert haben, das sie auch privat benutzen können. Dies hätte zu einem «unzulässigen Überwachen der Mitarbeitenden» geführt, schreibt die Datenschutzaufsichtsstelle. Ihr zufolge hat das Polizeikommando nun mit technischen und organisatorischen Massnahmen reagiert.