Berns Datenschützer kämpft mit dem Blackbox-Prinzip

Die Berner Kantonsverwaltung kann immer häufiger nicht abschätzen, was es auslöst, wenn sie in der Informatik etwas umstellt. Für viele Verwaltungsstellen sei die Informatik eine «Blackbox», sagt der kantonale Datenschutzbeauftragte Markus Siegenthaler.

Wie er am Freitag anlässlich der Publikation seines Jahresberichts 2017 mitteilte, fand die kantonale Datenschutzaufsichtsstelle eine solche Situation im vergangenen Jahr beispielsweise bei der kantonalen Erziehungsberatung vor. Diese zählt dreizehn Regionalstellen. Die Erziehungsberatungsstelle hatte Siegenthalers Datenschutzaufsichtsstelle ihre Pläne für ein neues Geschäftsverwaltungssystem zur Prüfung vorgelegt. Eher zufällig zeigte sich, dass die Erziehungsdirektion gleichzeitig die Arbeitsplatzumgebung ersetzt hatte. Der damit verbundene Wechsel des Betriebssystems liess die bis anhin sichere, verschlüsselte Netzwerkverbindung wegfallen. Keinem der Beteiligten war dies bewusst. Auf Hinweis der Aufsichtsstelle hin sorgte die Erziehungsdirektion umgehend für Abhilfe.

Den Begriff «Blackbox» definiert der Duden als «Teil eines kybernetischen Systems, dessen Aufbau und innerer Ablauf erst aus den Reaktionen auf eingegebene Signale erschlossen werden können».

Das kantonsweite, papierlose Geschäftsverwaltungssystem GEVER mit digitaler Archivierung (DGA), die Drucklösung BE-Print, aber auch der kantonale Workplace KWP 2.x oder die Drahtlos-Netzwerk-Lösung seien weitere Beispiele für Anwendungen, deren Komplexität die Kantonsverwaltung herausfordere, schreibt die Datenschutzaufsichtsstelle. Während die einen Verwaltungsstellen sich von anspruchsvollen Informatikaufgaben entlastet sähen, realisierten die anderen den Verlust ihrer Herrschaft über die eigenen Daten.

Die Informatik als Blackbox sei aber nicht nur bei kantonsintern zentralisiert angebotenen Informatikdienstleistungen ein Thema. Die Gefahr des Herrschaftsverlusts bestehe auch dann, wenn Amtsstellen den Betrieb ihrer Informatik auslagerten. Das sei etwa der Fall bei der Berner Kantonspolizei. Diese hat laut dem Jahresbericht den Betrieb einer Software zur Verwaltung mobiler Geräte an die Swisscom ausgelagert. Die Polizei hat von der Datenschutzaufsichtsstelle dieses Projekt vorab kontrollieren lassen. Diese Vorabkontrolle sei abgeschlossen, steht im Jahresbericht der Aufsichtsstelle.

Im Jahresbericht der Datenschutzaufsichtsstelle steht auch, dass sich Unterzeichner einer Petition gegen eine Masthalle an Datenschützer Markus Siegenthaler wendeten. Eine nicht namentlich genannte Berner Gemeinde hatte den am Bau Interessierten die Unterschriften der Petitionäre weitergegeben. Die Unterzeichner wurden danach massiv persönlich angegangen.

Das gehe nicht, sagt Datenschützer Siegenthaler. Die verfassungsrechtlich garantierte Petitionsfreiheit gebe jeder Person das Recht, Petitionen an Behörden zu richten, ohne Nachteile zu erleiden. Die Gemeinden seien deshalb verpflichtet, die Angaben vertraulich zu behandeln. «Die Datenweitergabe war somit auch eine Datenschutzverletzung.»