Per Mausklick zu brisanten Daten

Der Datenschutz Baselland hat die Einsehbarkeit der Outlook-Kalender in der Verwaltung überprüft und Mängel bei den Sicherheitseinstellungen festgestellt. Die Forderung nach einer Verbesserung findet aber wenig Gehör.

Verwirrend: Viele Verwaltungsangestellte wissen nicht genau Bescheid über die Einstellungen ihres Outlook-Kalenders. (Bild: Hans-Jörg Walter)

In der Baselbieter Verwaltung geben Outlook-Kalender zu viele heikle Daten preis. Der Datenschutz ist alarmiert – doch seine Warnungen bleiben ungehört. Die Verwaltung hält die Datenschutzvorgaben für nicht praktikabel.

Der Outlook-Kalender von Micro­soft ist eine praktische Sache. Darin lassen sich Termine und andere Daten übersichtlich erfassen. Die eingetragenen Informationen sind nur für einen selbst zugänglich, können aber Dritten freigegeben werden. In der Verwaltung des Kantons Baselland ist es umgekehrt: Die Infor­ma­tionen im Kalender sind standard­mässig für Dritte einsehbar – Rechte müssen also entzogen und nicht erteilt werden.

Das sei problematisch, urteilt der Baselbieter Datenschutz. Bei einer internen Prüfung haben die Datenschützer herausgefunden, dass sich in den zugänglichen Kalendereinträgen «Namen im Zusammenhang mit laufenden Verfahren, Vorladungen und Beratungstermine» befanden. Auch geplante Audits bei Unternehmen fand man eingetragen sowie Dokumente, die nicht für alle Angestellten bestimmt waren, schreibt der Datenschutz in seinem Tätigkeitsbericht aus dem Jahr 2011.

Die Datenschutzbeauftragten hatten die Probe aufs Exempel gemacht und von einem Computer ohne besondere Zugriffsrechte aus die Zugänglichkeit der Daten in den Outlook-­Kalendern des Verwaltungs­personals überprüft. Die Kontrolle habe auf­gedeckt, «dass zahlreiche Outlook-­Kalender für alle Angestellten des Kantons freigegeben waren».

Kein Sensorium für Datenschutz

Die Baselbieter Datenschutzbeauftragte Ursula Stucki verlangte aufgrund dieser Erkenntnisse, dass die Ein­stellungen des Outlook-Kalenders so gewählt werden, dass sie standard­mässig geschlossen sind. Mit dem Ar­gument der «fehlenden Praktika­bilität» lehnten die IT-Verantwort­lichen einzelner Direktionen diese Forderung ­jedoch ab. «Aus meiner Sicht ist ­dieses Argument nicht berechtigt», meint ­Datenschutzspezialistin Stucki.

Anders sieht man dies offenbar in der Verwaltung. Der Leiter der Zentralen Informatikdienste des Kantons ­Baselland, Thomas Wenk, sagt auf ­Anfrage: «Wir machen, was das Business möchte.» Und das heisst: Zen­trale ­Änderungen von Anwen­dungs­ein­­stellungen werden nur im Auftrag der Direktionen und Fach­gremien vor­genommen. Ein solcher Auftrag blieb bisher jedoch aus.

«Wie die Anwender ihre Kalender nutzen, ist deren Sache», sagt Wenk. Diese könnten die Zugriffsrechte selber vergeben. Werde zum Beispiel ein Termin als «privat» markiert, dann könnten diese Information nur jene Leute sehen, denen der Anwender einen «Vollzugriff auf den Kalender» gewährt habe. «Datenschutz ist nicht nur Sache der Informatik, sondern muss vor allem bei den Anwendenden stattfinden», glaubt Thomas Wenk.

Informationsblatt und Interpellation

Das klingt in der Theorie einfach und logisch – in der Praxis aber wüssten Mitarbeiter oft kaum Bescheid über die offenen Einstellungen ihres Kalenders, kritisieren die Datenschützer. Um möglichen Missbräuchen vorzubeugen, haben sie ein Informationsblatt mit dem Titel «Wer schaut in ­Ihren elektronischen Ka­lender?» herausgegeben, das die Verwaltungs­angestellten über die Pro­blematik aufklären soll. «Das Amts­geheimnis gilt sektionell», sagt Stucki, «nicht alle Staatsangestellten dürfen Zugriff auf alle Daten haben.»

Bereits zieht das Outlook-Problem auch politische Kreise. Aufgrund des Tätigkeitsberichts des Datenschutzes hat SP-Landrat Christoph Hänggi ­Anfang September eine Interpellation eingereicht. Er will von der Regierung wissen, ob eine generelle Änderung der Standardeinstellungen beim Outlook-Kalender nicht sinnvoll wäre, ob IT-Verantwortliche und Vorgesetzte nicht besser über das Thema Datenschutz informiert werden müssten – und ob nicht in allen Direktionen die gleichen Vorgaben gelten sollten.

«Ich hoffe, dass durch meine Interpellation die Sensibilität für das Thema in der Verwaltung zunimmt», sagt Hänggi. Denn bisher sei das Problem auch nach dem Datenschutzbericht nicht allzu ernst genommen worden.
Datenschützerin Ursula Stucki ­be­grüsst Hänggis politischen Vorstoss: «So erhalten wir eine Antwort vom Regierungsrat auf die Problematik.» Sie sei gerne auch bereit, eine ­entsprechende Empfehlung zu erlassen, ziehe es ge­nerell aber vor, «lösungsorientiert mit den Leuten zusammenzuarbeiten, anstatt Weisungen und Empfehlungen zu erlassen».

Basel-Stadt macht Stichproben

Weniger dramatisch scheint die Situation im Kanton Basel-Stadt zu sein. «Man hat zwar vereinzelt Fälle entdeckt, bei denen zu viele Daten sichtbar waren», sagt der kantonale Datenschutzbeauftragte Beat Rudin, «aber bei vielen Mitarbeitern des Kantons sind die Kalender nicht offen.» Weil die Auswertung der Stichproben noch läuft, seien die Verantwortlichen noch nicht kontaktiert worden.

Im Nachbarkanton liegt der Ball nun beim Regierungsrat, der auf Hänggis Interpellation antworten muss. Er selber erwartet eine «Antwort in nützlicher Frist». Diese dürfte im Laufe des Novembers zu erwarten sein, meint Wolfgang Meier, stellvertretender Generalsekretär der Sicherheitsdirektion.

Artikelgeschichte

Erschienen in der gedruckten TagesWoche vom 05.10.12

Nächster Artikel