Berner Datenschützer rügen Kamera-Attrappen und lenken in puncto MS Teams ein
Die Datenschutzaufsichtsstelle des Kantons Bern hat im vergangenen Jahr 183 Geschäfte bearbeitet. Sie beantwortete Fragen zu digitalen Stromzählern, zu vorgetäuschter Überwachung und zu heiklen Gesprächen in Microsoft Teams.
Mit 183 Fällen hat die Datenschutzaufsichtsstelle (DSA) des Kantons Bern im Jahr 2025 so viele Geschäftsfälle bearbeitet wie noch nie. Die Zahl ist seit 2023 laufend gestiegen, wie dem unlängst veröffentlichten Geschäftsbericht der Behörde zu entnehmen ist. Demnach bearbeitete die DSA im Vorjahr noch 160 Fälle. Ein leichteres Plus verzeichnete die DSA bei den neu eröffneten (von 86 auf 88) und bei den abgeschlossenen Geschäften (von 90 auf 95).
Der deutliche Aufwärtstrend sei "Ausdruck der zunehmenden Digitalisierung im Kanton, die mit einer zunehmenden Komplexität punkto Datenschutz einhergeht", schreibt der Berner Regierungsrat in einer Mitteilung.
Neues Fallführungssystem gibt zu tun
Besonders intensiv befasste sich die DSA 2025 mit der Vorabkontrolle des neuen Fallführungssystems (NFFS) für Sozialdienste, wie der Regierungsrat schreibt. Im Bericht (PDF), erklärt die DSA, die Software werde dereinst in 85 Behörden mit mehr als 2000 Anwenderinnen und Anwendern zum Einsatz kommen. Involviert waren zwei Berner Behörden, die beiden Staatsebenen Kanton und Gemeinde und zwei IT-Partner. Um einen baldigen Pilotbetrieb zu ermöglichen, prüfte die DSA zunächst den Prozess der Datenmigration ins neue System. Danach lief die Vorabkontrolle des Gesamtprojektes weiter. Nach drei Iterationen gab die DSA ihr OK für den Pilotbetrieb.
"Dank dieser beiderseits flexiblen Vorgehensweise konnte das Projekt laufend weiterentwickelt werden, ohne dass es zu wochen- oder monatelangen Marschhalten kam. Andererseits wurde das Verfahren dadurch umso komplexer, erforderte zahllose Absprachen und eröffnete mehrere Seitenstränge", fasst die Behörde zusammen.
Heikle Daten am MS-Teams-Telefon
Dass Datenschützer den Einsatz von US-Clouds in Behörden kritisch beurteilen, ist inzwischen bekannt. Das drückt auch die Berner DSA aus. Zum populären Produkt Microsoft 365 (M365) schreibt sie: "Wer Cloud-Services von M365 nutzt, gibt die tatsächliche Kontrolle über seine Daten aus der Hand. Niemand kann nachvollziehen, auf welchem seiner europaweit verteilten Server Microsoft sie verarbeitet und wer alles Zugriff darauf hat." Die Behörde merkt an, dass M365 trotz bekannter Risiken zunehmend in öffentlichen Verwaltungen zum Einsatz komme.
Normalerweise stellt die DSA klar, dass Daten mit einem höheren Schutzniveau (Stufe 2) nicht mehr in US-Clouds, sondern nur noch sondern im lokalen Rechenzentrum bearbeitet werden dürfen - im Kanton Bern wären dies die Datacenter des IT-Dienstleisters Bedag.
Doch im Falle der Video- und Telefonielösung MS Teams musste die DSA ihre Empfehlung anpassen. Grund: Berner Beamte nehmen mitunter auch reguläre Telefonate per Teams entgegen. "Sollten sie auflegen, sobald die Person am anderen Ende der Leitung sensible Informationen über sich preisgibt?", fasst die DSA das Dilemma zusammen. Ursprünglich wollte der Regierungsrat entscheiden, M365 pauschal auch für Daten des Schutzniveaus 2 freizugeben. Mit der DSA einigte er sich dann jedoch auf einen Kompromiss: "Eine pauschale Freigabe würde die Grundrechte der Bürgerinnen und Bürger erheblich gefährden. Weil sich die Alltagsschwierigkeiten der Verwaltung vor allem auf Teams bezögen, sei eine Lockerung an dieser Stelle denkbar - allerdings nur beim Telefonieren und nur dann, wenn die Gespräche nicht aufgezeichnet werden", fasst die DSA den Beschluss zusammen. Sie lobt: "Dass die Datenschutzbehörde angehört und ernst genommen wird, ist mit Blick auf andere Kantone keine Selbstverständlichkeit. Dieses Vertrauensverhältnis ist äusserst wertvoll und bedingt auf allen Seiten eine konstruktive Grundhaltung."
Schlaue Stromzähler und Fake-Kameras
Nicht goutieren konnte die DSA die Idee, Kameraattrappen zur Abschreckung von Diebstahl aufzuhängen. Zwar seien solche Kameras "eine nützliche Sache", räumt die Behörde ein: sie seine günstiger als echte Kameras, müssten nicht gewartet werden und erfüllten ihren Zweck dennoch.
Eine bessere Alternative zur Videoüberwachung sind die Fake-Kameras dennoch nicht. Die DSA erklärt: "Auch vorgetäuschte Überwachung kann dazu führen, dass Menschen ihr Verhalten anpassen und sich nicht mehr frei bewegen." Der Überwachungsdruck betreffe nicht nur Kriminelle, sondern jede Person im Umfeld der Attrappe - und greife damit in ihre Rechte ein. Ausserdem, ergänzt die DSA, verstössen die Kameras gegen das Grundprinzip von Treu und Glauben: "Dieses in der Bundes- und Kantonsverfassung verankerte Prinzip verpflichtet staatliche Institutionen dazu, redlich und vertrauenswürdig zu handeln - wozu das Vortäuschen falscher Tatsachen offensichtlich nicht zählt."
Zweimal nahm die Datenschutzbehörde schliesslich die intelligenten Stromzähler (Smartmeter) unter die Lupe. Elektrizitätswerke bauen diese in immer mehr Häusern ein - wie das im Stromversorgungsgesetz auch vorgeschrieben ist. Das Bundesverwaltungsgericht habe die Smartmeter bereits "als rechts- und datenschutzkonform" beurteilt, hält die DSA fest. Bei der Behörde beklagte ein Kunde, "weder wolle er seine tagesaktuellen Verbrauchsdaten wissen noch solle irgendwer diese Daten sammeln". Allerdings teilt die DSA die Einschätzung des Gerichts. Eine zweite Person kritisierte die Häufigkeit der Datenübertragung: In der Verordnung werde lediglich eine Datenübertragung pro Tag verlangt. Die beschwerdeführende Person fand auf der Website des Energieunternehmens die Angabe, dass die Verbrauchsdaten des Smartmeters viermal pro Tag ausgelesen würden.
Vom Energieversorger erfuhr die DSA, er rufe die Daten nur einmal täglich ab, wie von der Verordnung vorgeschrieben. Viermal täglich erfolge diese Abfrage "nur zwischen zwei technischen Einheiten: dem Smartmeter und dem Konzentrator." Und auch diese sei verschlüsselt und anonymisiert. Diese "Antwort überzeugte uns", schreibt die DSA.
Lesen Sie auch: Der Grosse Rat in Bern hat das revidierte kantonale Datenschutzgesetz angenommen. Damit bekommt die Datenschutzaufsichtsstelle mehr Befugnisse und 341 Gemeinden werden künftig zentral beaufsichtigt. Vier Gemeinden behalten eine eigene Aufsichtsstelle.
Büsi missachtet wiederholt internationales Recht
Update: EU lässt freiwillige Chatkontrollen auslaufen
Tech-Konsortium steckt 12,5 Millionen US-Dollar in Open-Source-Sicherheit
Der Funk von morgen, die KI-Pläne von heute und der Cyberangriff von gestern
Parlament will Betrügern das Handwerk legen
Betrüger nehmen Swissquote-Kundschaft ins Visier
38 Jahre Sicherheitsdenken
Angreifer nutzen kritische Lücke in Microsoft Sharepoint aus
Youtuber korrigiert abominablen Patzer des Jurassic-World-Design-Teams
