Outlook-Kalender
5.10.2012, 00:01 Uhr
Per Mausklick zu brisanten Daten
5.10.2012, 00:01 UhrIn der Baselbieter Verwaltung geben Outlook-Kalender zu viele heikle Daten preis. Der Datenschutz ist alarmiert – doch seine Warnungen bleiben ungehört. Die Verwaltung hält die Datenschutzvorgaben für nicht praktikabel. Von Noëmi Kern
Verwirrend: Viele Verwaltungsangestellte wissen nicht genau Bescheid über die Einstellungen ihres Outlook-Kalenders. (Bild: Hans-Jörg Walter)
Der Outlook-Kalender von Microsoft ist eine praktische Sache. Darin lassen sich Termine und andere Daten übersichtlich erfassen. Die eingetragenen Informationen sind nur für einen selbst zugänglich, können aber Dritten freigegeben werden. In der Verwaltung des Kantons Baselland ist es umgekehrt: Die Informationen im Kalender sind standardmässig für Dritte einsehbar – Rechte müssen also entzogen und nicht erteilt werden.
Das sei problematisch, urteilt der Baselbieter Datenschutz. Bei einer internen Prüfung haben die Datenschützer herausgefunden, dass sich in den zugänglichen Kalendereinträgen «Namen im Zusammenhang mit laufenden Verfahren, Vorladungen und Beratungstermine» befanden. Auch geplante Audits bei Unternehmen fand man eingetragen sowie Dokumente, die nicht für alle Angestellten bestimmt waren, schreibt der Datenschutz in seinem Tätigkeitsbericht aus dem Jahr 2011.
Die Datenschutzbeauftragten hatten die Probe aufs Exempel gemacht und von einem Computer ohne besondere Zugriffsrechte aus die Zugänglichkeit der Daten in den Outlook-Kalendern des Verwaltungspersonals überprüft. Die Kontrolle habe aufgedeckt, «dass zahlreiche Outlook-Kalender für alle Angestellten des Kantons freigegeben waren».
Kein Sensorium für Datenschutz
Die Baselbieter Datenschutzbeauftragte Ursula Stucki verlangte aufgrund dieser Erkenntnisse, dass die Einstellungen des Outlook-Kalenders so gewählt werden, dass sie standardmässig geschlossen sind. Mit dem Argument der «fehlenden Praktikabilität» lehnten die IT-Verantwortlichen einzelner Direktionen diese Forderung jedoch ab. «Aus meiner Sicht ist dieses Argument nicht berechtigt», meint Datenschutzspezialistin Stucki.
Anders sieht man dies offenbar in der Verwaltung. Der Leiter der Zentralen Informatikdienste des Kantons Baselland, Thomas Wenk, sagt auf Anfrage: «Wir machen, was das Business möchte.» Und das heisst: Zentrale Änderungen von Anwendungseinstellungen werden nur im Auftrag der Direktionen und Fachgremien vorgenommen. Ein solcher Auftrag blieb bisher jedoch aus.
«Wie die Anwender ihre Kalender nutzen, ist deren Sache», sagt Wenk. Diese könnten die Zugriffsrechte selber vergeben. Werde zum Beispiel ein Termin als «privat» markiert, dann könnten diese Information nur jene Leute sehen, denen der Anwender einen «Vollzugriff auf den Kalender» gewährt habe. «Datenschutz ist nicht nur Sache der Informatik, sondern muss vor allem bei den Anwendenden stattfinden», glaubt Thomas Wenk.
Informationsblatt und Interpellation
Das klingt in der Theorie einfach und logisch – in der Praxis aber wüssten Mitarbeiter oft kaum Bescheid über die offenen Einstellungen ihres Kalenders, kritisieren die Datenschützer. Um möglichen Missbräuchen vorzubeugen, haben sie ein Informationsblatt mit dem Titel «Wer schaut in Ihren elektronischen Kalender?» herausgegeben, das die Verwaltungsangestellten über die Problematik aufklären soll. «Das Amtsgeheimnis gilt sektionell», sagt Stucki, «nicht alle Staatsangestellten dürfen Zugriff auf alle Daten haben.»
Bereits zieht das Outlook-Problem auch politische Kreise. Aufgrund des Tätigkeitsberichts des Datenschutzes hat SP-Landrat Christoph Hänggi Anfang September eine Interpellation eingereicht. Er will von der Regierung wissen, ob eine generelle Änderung der Standardeinstellungen beim Outlook-Kalender nicht sinnvoll wäre, ob IT-Verantwortliche und Vorgesetzte nicht besser über das Thema Datenschutz informiert werden müssten – und ob nicht in allen Direktionen die gleichen Vorgaben gelten sollten.
«Ich hoffe, dass durch meine Interpellation die Sensibilität für das Thema in der Verwaltung zunimmt», sagt Hänggi. Denn bisher sei das Problem auch nach dem Datenschutzbericht nicht allzu ernst genommen worden.
Datenschützerin Ursula Stucki begrüsst Hänggis politischen Vorstoss: «So erhalten wir eine Antwort vom Regierungsrat auf die Problematik.» Sie sei gerne auch bereit, eine entsprechende Empfehlung zu erlassen, ziehe es generell aber vor, «lösungsorientiert mit den Leuten zusammenzuarbeiten, anstatt Weisungen und Empfehlungen zu erlassen».
Basel-Stadt macht Stichproben
Weniger dramatisch scheint die Situation im Kanton Basel-Stadt zu sein. «Man hat zwar vereinzelt Fälle entdeckt, bei denen zu viele Daten sichtbar waren», sagt der kantonale Datenschutzbeauftragte Beat Rudin, «aber bei vielen Mitarbeitern des Kantons sind die Kalender nicht offen.» Weil die Auswertung der Stichproben noch läuft, seien die Verantwortlichen noch nicht kontaktiert worden.
Im Nachbarkanton liegt der Ball nun beim Regierungsrat, der auf Hänggis Interpellation antworten muss. Er selber erwartet eine «Antwort in nützlicher Frist». Diese dürfte im Laufe des Novembers zu erwarten sein, meint Wolfgang Meier, stellvertretender Generalsekretär der Sicherheitsdirektion.
Print Mail