Biometrische und strafrechtlich relevante Daten in der Cloud? (IBM/Microsoft)

Anfrage an:
Bundesministerium für Inneres
Genutztes Gesetz:
Auskunftspflichtgesetz
Status dieser Anfrage:
Anfrage erfolgreich
Zusammenfassung der Anfrage

Da die Datenschutzerklärungen des BMI meistens auch Microsoft und IBM als Auftragsverarbeiter anführen, ersuche ich um Klarstellung.

Welche Daten werden genau bei Microsoft und IBM gespeichert? Bei fast jeder Datenschutzerklärung des BMI scheinen diese beiden Firmen als Auftragsverarbeiter gem. Art. 28 DSGVO auf, wenn man in die Google Suche folgende Abfrage eingibt:
site:bmi.gv.at "Microsoft Österreich" "IBM Österreich"

Beispielhaft:

https://www.bmi.gv.at/402/files/Infor...
https://www.bmi.gv.at/402/files/Infor...
https://www.bmi.gv.at/402/files/Infor...

Schließt die Verarbeitung die bei diesen Firmen stattfindet auch strafrechtlich relevante und/oder biometrische Daten von Bürgern ein? Beide Anwendungen verarbeiten üblicherweise solche Daten. Ich ersuche daher um Klarstellung, welche Daten genau bei diesen Firmen verarbeitet werden bzw. um Veröffentlichung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO für die o.g. Anwendungen.

Sind die Datenbanken dauerhaft verschlüsselt gespeichert? Gemeint ist damit: In einer Form, dass die Ver-/Entschlüsselung nur auf BMI-Systemen bzw. Systemen über die der Bund physisch verfügt stattfindet und selbst bei hypothetischer voller Kooperation von Microsoft/IBM mit Nachrichtendiensten die Vertraulichkeit gewahrt würde (= keine Klartext-Daten zu keinem Zeitpunkt bei Microsoft/IBM).

Ich ersuche daher weiters um Klarstellung, welche technisch-organisatorischen gem. Art. 32 DSGVO Maßnahmen bzw. welche Garantien gem. Art. 28 Abs. 1 DSGVO durch diese beiden Firmen bzw. das BMI ergriffen wurden bzw. um Veröffentlichung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO, dass diese Information gem. Art. 30 Abs. 1 lit g enthalten muss.

Das Verarbeitungsverzeichnis sollte grundsätzlich nicht als geheim eingestuft sein, da dieses gem. Art. 15 Abs. 1 DSGVO ohnehin bei Anfragen (zumindest auszugsweise) zur Verfügung gestellt werden müsste. Weiters hat der HV der Sozialversicherer sein vollständiges Verarbeitungsverzeichnis sogar online gestellt:
www.hauptverband.at/portal27/hvbporta...

Weshalb wird zur Verarbeitung dieser Daten nicht der IT-Dienstleister der Bundes, die BRZ GmbH herangezogen oder die Verarbeitung durch das BMI auf selbst erledigt?

Ist den Verantwortlichen beim BMI der "CLOUD Act" (H.R. 4943) bekannt, der die Datenherausgabe von im Nicht-US-Ausland gespeicherten Cloud-Daten regelt?

Wurde eine Risikoanalyse seitens des BMI zur Cloud-Nutzung gemacht? Falls ja, ersuche ich um Veröffentlichung/Zurverfügungstellung - statt einer Verweigerung können auch Teile geschwärzt werden, welche die nationale Sicherheit betreffen könnten bzw. diese Analyse auszugsweise veröfffentlicht werden.

Seit wann findet die Verarbeitung bei Microsoft und IBM statt? In den DVR-Meldungen zu BMI-Anwendungen, die mir aus vergangenen Datenschutzanfragen bekannt sind, sind mir diese beiden Firmen nie aufgefallen.


Korrespondenz

  1. 29. Mai 2018
  2. 09. Jun
  3. 20. Jun
  4. 02. Jul
  5. 24. Jul 2018
Von
Anfragesteller/in
Betreff
Biometrische und strafrechtlich relevante Daten in der Cloud? (IBM/Microsoft) [#1575]
Datum
29. Mai 2018 11:06
An
Bundesministerium für Inneres
Status
Warte auf Antwort

Sehr geehrte Damen und Herren, hiermit beantrage ich gem §§ 2, 3 AuskunftspflichtG die Erteilung folgender Auskunft:
Da die Datenschutzerklärungen des BMI meistens auch Microsoft und IBM als Auftragsverarbeiter anführen, ersuche ich um Klarstellung. Welche Daten werden genau bei Microsoft und IBM gespeichert? Bei fast jeder Datenschutzerklärung des BMI scheinen diese beiden Firmen als Auftragsverarbeiter gem. Art. 28 DSGVO auf, wenn man in die Google Suche folgende Abfrage eingibt: site:bmi.gv.at "Microsoft Österreich" "IBM Österreich" Beispielhaft: https://www.bmi.gv.at/402/files/Informationen/Sektion_II/Evidenthaltung_von_ausgeschriebenen_und_widerrufenen_Personenfahndungen.pdf https://www.bmi.gv.at/402/files/Informationen/Sektion_III/BMI_Zentrales_IDR.pdf https://www.bmi.gv.at/402/files/Informationen/Sektion_III/BMI_Lokales_IDR.pdf Schließt die Verarbeitung die bei diesen Firmen stattfindet auch strafrechtlich relevante und/oder biometrische Daten von Bürgern ein? Beide Anwendungen verarbeiten üblicherweise solche Daten. Ich ersuche daher um Klarstellung, welche Daten genau bei diesen Firmen verarbeitet werden bzw. um Veröffentlichung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO für die o.g. Anwendungen. Sind die Datenbanken dauerhaft verschlüsselt gespeichert? Gemeint ist damit: In einer Form, dass die Ver-/Entschlüsselung nur auf BMI-Systemen bzw. Systemen über die der Bund physisch verfügt stattfindet und selbst bei hypothetischer voller Kooperation von Microsoft/IBM mit Nachrichtendiensten die Vertraulichkeit gewahrt würde (= keine Klartext-Daten zu keinem Zeitpunkt bei Microsoft/IBM). Ich ersuche daher weiters um Klarstellung, welche technisch-organisatorischen gem. Art. 32 DSGVO Maßnahmen bzw. welche Garantien gem. Art. 28 Abs. 1 DSGVO durch diese beiden Firmen bzw. das BMI ergriffen wurden bzw. um Veröffentlichung des Verarbeitungsverzeichnisses gem. Art. 30 DSGVO, dass diese Information gem. Art. 30 Abs. 1 lit g enthalten muss. Das Verarbeitungsverzeichnis sollte grundsätzlich nicht als geheim eingestuft sein, da dieses gem. Art. 15 Abs. 1 DSGVO ohnehin bei Anfragen (zumindest auszugsweise) zur Verfügung gestellt werden müsste. Weiters hat der HV der Sozialversicherer sein vollständiges Verarbeitungsverzeichnis sogar online gestellt: www.hauptverband.at/portal27/hvbportal/content?contentid=10007.785159 Weshalb wird zur Verarbeitung dieser Daten nicht der IT-Dienstleister der Bundes, die BRZ GmbH herangezogen oder die Verarbeitung durch das BMI auf selbst erledigt? Ist den Verantwortlichen beim BMI der "CLOUD Act" (H.R. 4943) bekannt, der die Datenherausgabe von im Nicht-US-Ausland gespeicherten Cloud-Daten regelt? Wurde eine Risikoanalyse seitens des BMI zur Cloud-Nutzung gemacht? Falls ja, ersuche ich um Veröffentlichung/Zurverfügungstellung - statt einer Verweigerung können auch Teile geschwärzt werden, welche die nationale Sicherheit betreffen könnten bzw. diese Analyse auszugsweise veröfffentlicht werden. Seit wann findet die Verarbeitung bei Microsoft und IBM statt? In den DVR-Meldungen zu BMI-Anwendungen, die mir aus vergangenen Datenschutzanfragen bekannt sind, sind mir diese beiden Firmen nie aufgefallen.
Für den Fall einer vollständigen oder teilweisen Nichterteilung der Auskunft (zB Verweigerung) beantrage ich die Ausstellung eines Bescheides gem § 4 AuskunftspflichtG. Antragsteller/in Antragsteller/in <<E-Mail-Adresse>> Postanschrift Antragsteller/in Antragsteller/in << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen Anfragesteller/in
  1. 3 Jahre, 1 Monat her29. Mai 2018 11:07: Anfragesteller/in hat eine Nachricht an Bundesministerium für Inneres gesendet.
Von
Bundesministerium für Inneres
Betreff
AW: Biometrische und strafrechtlich relevante Daten in der Cloud? (IBM/Microsoft) [#1575]
Datum
11. Juni 2018 13:07
Status
Anfrage abgeschlossen

Sher geehrter Herr Antragsteller/in, Die Vertragspartner des BM.I erbringen als Auftragsverarbeiter wohl definierte Dienstleistungen – insbesondere Wartungsleistungen – vor Ort. Die Daten sind im Rechenzentrum des BM.I gespeichert. Zu keinem Zeitpunkt verlassen die Daten das Rechenzentrum des BM.I. Trotzdem sind die Daten zu einem überwiegenden Teil verschlüsselt (Übermittlung zwischen Dienststellen). Mit den Vertragspartnern des BM.I wurden die entsprechenden Dienstleistervereinbarungen angepasst sowie insbesondere technische und organisatorische Maßnahmen gem. DSGVO festgelegt. Die Datenschutz- und Geheimhaltungsbestimmungen sind integraler Bestandteil der Verträge. Das im Rahmen der Verträge tätig werdende Personal unterliegt zudem den erweiterten Standards des BM.I (Datenschutz- und Geheimhaltungsverpflichtung sowie Sicherheitsüberprüfung gem. § 55 SPG). Hinsichtlich der BRZ GmbH wird darauf hingewiesen, dass die BRZ GmbH als einer der Auftragsverarbeiter beim IDR angeführt ist. Der "CLOUD Act" (H.R. 4943) ist den Verantwortlichen im BM.I bekannt. Die Frage der Cloud-Nutzung, welche derzeit im BM.I nicht relevant ist, wurde intensiv im Rahmen der Arbeitsgruppe „Gemeinsame Kommunikations- und Arbeitsplattform für Bund, Länder, Städte und Gemeinden“ (BLSG) 2011 und 2016 diskutiert und entsprechende Positionspapiere wurden ausgearbeitet. Diese sind unter den folgenden Adressen einsehbar: · Positionspapier 2011: https://www.ref.gv.at/fileadmin/_migr... · Positionspapier 2016: https://www.ref.gv.at/fileadmin/user_... MfG, Mike Fandler Mag. Mike Fandler BUNDESMINISTERIUM FÜR INNERES Leiter der Abteilung IV/2 Berggasse 43 1090 WIEN TEL +43-1 90600-989000 <<E-Mail-Adresse>> www.bmi.gv.at<http://www.bmi.gv.at...
  1. 3 Jahre, 1 Monat her11. Juni 2018 13:10: Nachricht von Bundesministerium für Inneres erhalten.
  2. 3 Jahre her13. Juli 2018 16:42: Anfragesteller/in hat den Status auf 'Anfrage erfolgreich' gesetzt.