Berner Behörden brauchen mehr Tempo beim Datenschutz
Nicht nur Abklärungen zur Einführung von Microsoft 365 haben die Datenschutzaufsichtsstelle des Kantons Bern im Geschäftsjahr 2023 auf Trab gehalten. In ihrem Jahresbericht bemängelt die Behörde, dass gefundene Datenschutzprobleme mitunter zu unvorsichtig oder zu langsam behoben werden.
Vom Datenschutz für Grundstückbesitzer über Videoüberwachungsmassnahmen bis zu digitalisiertem Postverkehr – die Datenschutzaufsichtsstelle (DSA) des Kantons Bern hatte es im Jahr 2023 mit einer grossen Bandbreite an Themen zu tun. Dies zeigt ein Blick in den Jahresbericht (PDF), den die Behörde unlängst veröffentlichte.
Alle wollen in die (Microsoft) Cloud
Besonders prominent war im vergangenen Geschäftsjahr die Cloud, wie Ueli Buri, Datenschutzbeauftragter des Kantons Bern, im Vorwort ausführt. Konkret sei die Einführung von Diensten aus der Produktepalette von Microsoft 365 ein wiederkehrendes Thema, schreibt er. Sowohl kantonale Verwaltungen als auch die Universität Bern oder die medizinische Insel-Gruppe legten der Behörde entsprechende Pläne zur Vorabkontrolle vor. Im Fall der Uni Bern habe diese Vorabkontrolle im Berichtsjahr abgeschlossen werden können, heisst es im Bericht. Die Uni Bern wolle Microsoft 365 bis ende 2024 einführen. Noch nicht abgeschlossen waren die Vorabkontrollen bei den Verwaltungen. "Ein wesentlicher noch offener Punkt sind die organisatorischen, prozessualen und technischen Massnahmen zur Gewährleistung der Informationssicherheit und des Datenschutzes beim Betrieb eines Verbunds von Diensten, welche sich technisch permanent verändern und deshalb laufend auf neue Risiken hin geprüft und beurteilt werden müssen", schreibt die DSA dazu. Die Insel-Gruppe möchte gerne in gewissen Fällen auch besonders schützenswerte Angaben über die Gesundheit von Patienten mit Microsoft 365 bearbeiten können. Entsprechend liege der Fokus der noch laufenden Abklärung hier auf Massnahmen zum Schutz der Vertraulichkeit der betreffenden Daten. Der Berner Regierungsrat teilte im Sommer 2023 mit, in der Verwaltung ab 2024 Microsoft 365 einführen zu wollen. Mehr dazu lesen Sie hier.
Was die Zürcher Datenschutzbeauftragte Dominika Blonski zur Microsoft-Cloud sagt, lesen Sie hier.
Übrigens befasste sich die DSA im Jahr 2023 nicht nur mit Microsoft-Produkten. Im Jahresbericht erwähnt die Behörde etwa auch die Unternehmen SAP sowie Amazon Web Services (AWS). Der Schritt in die Cloud führe für Behörden zu Abhängigkeiten und Kontrollverlusten beim Schutz von Grundrechten, erklärt Buri im Vorwort. Bei in der Schweiz angebotenen Online-Diensten sei dieser Kontrollverlust "sehr viel geringer", merkt er an. Als gutes Beispiel erwähnt er die die Prüfung der Plattform "E-Mitwirkung". Die Empfehlungen der DSA hätten dort bewirkt, "dass der Anbieter technische und organisatorische Änderungen an seinem Dienst vornahm".
Dienstleister und Lieferanten überwachen
Verbesserungspotenzial sieht die Datenschutzbehörde beim Beheben der von ihr gefundenen Mängel. Man habe wiederholt feststellen müssen, "dass erforderliche Massnahmen teils nicht mit der gebotenen Sorgfalt angegangen wurden", heisst es im Bericht. Des Weiteren beklagt die DSA Verzögerungen beim Umsetzen von Massnahmen im Bereich Informationssicherheit und Datenschutz (ISDS). In den dazu aufgeführten Beispielen schildert die Behörde unter anderem die Nachprüfung des vom kantonalen Informatikamt angebotenen Wi-Fi-Services "BE-NET WLAN". 2019 hatte die Behörden dazu 14 Verbesserungsmassnahmen formuliert. 2023 ergab die Nachprüfung nun, dass nur 6 der Befunde vollständig erledigt gewesen seien. 6 weitere waren teilweise erledigt und die 2 übrigen Befunde waren noch gänzlich offen. "Angesichts der seit der ersten Prüfung verstrichenen Zeit war jenes Ergebnis nicht zufriedenstellend", konstatiert die Behörde.
Mit fehlender Aufmerksamkeit und der verzögerten Umsetzung von Massnahmen erhöhe sich das Risiko, dass auf die sich stets verändernde Bedrohungslage aus kriminellen Cyberaktivitäten nicht rechtzeitig und adäquat reagiert werden könne, schreibt die DSA. Sie fordert darum mehr Aufmerksamkeit für das systematische Erkennen und zeitnahe Adressieren von Risiken aus den Bereichen Informationssicherheit und Datenschutz (ISDS).
Einen Schwerpunkt ihrer Nachprüfungen legte die DSA im Jahr 2023 auf Spitäler und dort konkret auf die Medizintechnik-Geräte. Deren Verwaltung werde massgeblich von den Lieferanten beeinflusst; und aufgrund deren Marktmacht hätten die Spitäler teils wenig Einfluss auf die Medizininfrastruktur und deren Betriebssicherheit, fasst die Behörde ihre Erkenntnisse zusammen. Zusätzliche Wartungen zum Erhalt oder zur Erhöhung der Sicherheit seien oft mit hohen Kostenfolgen verbunden.
Allgemein, schreibt die Datenschutzstelle weiter, überliessen die verantwortlichen Behörden "wesentliche Teile ihrer ISDS-Verantwortung den involvierten Dienstleistern und Lieferanten, welche sich nicht im direkten Einfluss- und Kontrollbereich der Behörden befinden". Die Steuerung und Überwachung der Dienstleister und Lieferanten müsse noch besser und vor allem auch nachweisbarer wahrgenommen werden, fordert die DSA.
Übrigens will der Kanton Bern die Veröffentlichung von Behördendaten (Open Government Data ODG) besser koordinieren. Dazu hat der Kanton eine Strategie vorgestellt, zu der Sie hier mehr erfahren.