Datenleck im Bundesministerium für Inneres

Anfrage an:
Bundesministerium für Inneres
Genutztes Gesetz:
Auskunftspflichtgesetz
Status dieser Anfrage:
Warte auf Antwort
Frist:
29. November 2019 - in 1 Monat, 1 Woche Wie wird das berechnet?
Zusammenfassung der Anfrage

Bezugnehmend auf die Berichterstattung von 20. September 2019 (https://www.derstandard.at/story/2000...) über das BMI-Datenleck, bitte ich Sie, folgende Fragen zu beantworten:

1) Sind die Personen, die vom Datenleck betroffen sind (ZeugInnen, Beschuldigte etc.), darüber informiert worden, dass es ein Datenleck gab?

2) Wurden an den Datenbanken beteiligte Behörden, auch im Ausland, über das Datenleck informiert?

3) Gab es vor der Etablierung der Zugriffe/Schnittstellen auf diese Datenbanken eine Datenschutzfolgenabschätzung?

4) Gab es Vorkehrungen, damit alle Erhebungen, Veränderungen, Abfragen, Offenlegungen einschließlich Übermittlungen, Kombinationen und Löschungen protokolliert werden? Wenn nein, warum nicht?

5) Ermöglichen die oben genannten Protokolle, die Feststellung der Identität der Person, die die Daten abgefragt oder offengelegt hat? Wenn nein, warum nicht?

6) Könnten Zugriffe von außen unbemerkt vorgenommen worden sein?

7) Könnten Daten im Schengen-Informationssystem und der "Integrierten Kriminalpolizeilichen Datenanwendung" (IKDA) manipuliert worden sein?

8) Hat das BMI ein Informationssicherheitsmanagementsystem in Anlehnung an die ISO27000-Reihe oder ähnliche Normen?

9) Welche Unternehmen haben Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken?

10) Gabe es Anzeigen gegen MitarbeiterInnen dieser Unternehmen in Zusammenhang mit unerlaubten Datenzugriffen?

11) Bestehen Verträge über Auftragsdatenverarbeitung mit diesen Unternehmen? Wenn ja, wie lauten diese? Wenn nein, warum nicht?

12) Werden die MitarbeiterInnen mit Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken in Bezug auf Sicherheitsmaßnahmen und Datenschutz geschult?

13) Aufgrund welcher Überlegungen wurde die Firma Rubicon IT mit der Programmierung des EDIS-Systems beauftragt und warum wurde dieser Auftrag nicht ausgeschrieben?

14) Welche Leistungen umfasst der Vertrag mit der Firma Rubicon IT allgemein?

15) Wurden auch Angebote anderer IT-Unternehmen bei der Auftragsvergabe eingeholt? Wenn nein, warum nicht?

16) Welche anderen Verträge bzw. Geschäftsbeziehungen hat das BMI mit der Firma Rubicon IT oder deren Subunternehmen?

17) Wie viele Dokumente sind in EDIS gespeichert und wer darf diese bearbeiten/löschen?

18) Sind in EDIS auch Dokumente ausländischer Behörden gespeichert, wenn ja, wie viele?

Ich stelle diese Anfrage als Kommunikationsverantwortliche des Vereins epicenter.works (https://epicenter.works) und beabsichtige, die Informationen und Dokumente für weitere Analysen und Veröffentlichungen zu verwenden. Ich erfülle die vom Verwaltungsgerichtshof in seiner Entscheidung Ra 2017/03/0083-10 (29.5.2018) festgehaltenen Kriterien eines sogenannten „Social Watchdog“. In dieser Entscheidung hat der VwGH unter anderem festgestellt, dass es bei Anfragen nach dem Auskunftspflichtgesetz geboten sein kann, dem/der AuskunftswerberIn Zugang zu den relevanten Dokumenten zu gewähren.


Korrespondenz

  1. Heute – 22.10.2019
  2. Frist: – 29.11.2019
  1. 04. Okt 2019
  2. 15. Okt
  3. 26. Okt
  4. 06. Nov
  5. 29. Nov 2019
Von
Iwona Laub
Betreff
Datenleck im Bundesministerium für Inneres [#1812]
Datum
4. Oktober 2019 09:03
An
Bundesministerium für Inneres
Status
Warte auf Antwort — E-Mail erfolgreich abgeschickt!

Sehr geehrte<< Anrede >> hiermit beantrage ich gem §§ 2, 3 AuskunftspflichtG die Erteilung folgender Auskunft:
Bezugnehmend auf die Berichterstattung von 20. September 2019 (https://www.derstandard.at/story/2000108877282/datenleck-in-innenministerium-blieb-jahre-lang-unbemerkt) über das BMI-Datenleck, bitte ich Sie, folgende Fragen zu beantworten: 1) Sind die Personen, die vom Datenleck betroffen sind (ZeugInnen, Beschuldigte etc.), darüber informiert worden, dass es ein Datenleck gab? 2) Wurden an den Datenbanken beteiligte Behörden, auch im Ausland, über das Datenleck informiert? 3) Gab es vor der Etablierung der Zugriffe/Schnittstellen auf diese Datenbanken eine Datenschutzfolgenabschätzung? 4) Gab es Vorkehrungen, damit alle Erhebungen, Veränderungen, Abfragen, Offenlegungen einschließlich Übermittlungen, Kombinationen und Löschungen protokolliert werden? Wenn nein, warum nicht? 5) Ermöglichen die oben genannten Protokolle, die Feststellung der Identität der Person, die die Daten abgefragt oder offengelegt hat? Wenn nein, warum nicht? 6) Könnten Zugriffe von außen unbemerkt vorgenommen worden sein? 7) Könnten Daten im Schengen-Informationssystem und der "Integrierten Kriminalpolizeilichen Datenanwendung" (IKDA) manipuliert worden sein? 8) Hat das BMI ein Informationssicherheitsmanagementsystem in Anlehnung an die ISO27000-Reihe oder ähnliche Normen? 9) Welche Unternehmen haben Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken? 10) Gabe es Anzeigen gegen MitarbeiterInnen dieser Unternehmen in Zusammenhang mit unerlaubten Datenzugriffen? 11) Bestehen Verträge über Auftragsdatenverarbeitung mit diesen Unternehmen? Wenn ja, wie lauten diese? Wenn nein, warum nicht? 12) Werden die MitarbeiterInnen mit Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken in Bezug auf Sicherheitsmaßnahmen und Datenschutz geschult? 13) Aufgrund welcher Überlegungen wurde die Firma Rubicon IT mit der Programmierung des EDIS-Systems beauftragt und warum wurde dieser Auftrag nicht ausgeschrieben? 14) Welche Leistungen umfasst der Vertrag mit der Firma Rubicon IT allgemein? 15) Wurden auch Angebote anderer IT-Unternehmen bei der Auftragsvergabe eingeholt? Wenn nein, warum nicht? 16) Welche anderen Verträge bzw. Geschäftsbeziehungen hat das BMI mit der Firma Rubicon IT oder deren Subunternehmen? 17) Wie viele Dokumente sind in EDIS gespeichert und wer darf diese bearbeiten/löschen? 18) Sind in EDIS auch Dokumente ausländischer Behörden gespeichert, wenn ja, wie viele? Ich stelle diese Anfrage als Kommunikationsverantwortliche des Vereins epicenter.works (https://epicenter.works) und beabsichtige, die Informationen und Dokumente für weitere Analysen und Veröffentlichungen zu verwenden. Ich erfülle die vom Verwaltungsgerichtshof in seiner Entscheidung Ra 2017/03/0083-10 (29.5.2018) festgehaltenen Kriterien eines sogenannten „Social Watchdog“. In dieser Entscheidung hat der VwGH unter anderem festgestellt, dass es bei Anfragen nach dem Auskunftspflichtgesetz geboten sein kann, dem/der AuskunftswerberIn Zugang zu den relevanten Dokumenten zu gewähren.
Für den Fall einer vollständigen oder teilweisen Nichterteilung der Auskunft (zB Verweigerung) beantrage ich die Ausstellung eines Bescheides gem § 4 AuskunftspflichtG. Iwona Laub <<E-Mail-Adresse>> Postanschrift Iwona Laub << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen Iwona Laub
  1. 2 Wochen, 3 Tage her4. Oktober 2019 09:03: Iwona Laub hat eine Nachricht an Bundesministerium für Inneres gesendet.