Datenleck im Bundesministerium für Inneres

Anfrage an:
Bundesministerium für Inneres
Genutztes Gesetz:
Auskunftspflichtgesetz
Status dieser Anfrage:
Anfrage erfolgreich
Zusammenfassung der Anfrage

Bezugnehmend auf die Berichterstattung von 20. September 2019 (https://www.derstandard.at/story/2000...) über das BMI-Datenleck, bitte ich Sie, folgende Fragen zu beantworten:

1) Sind die Personen, die vom Datenleck betroffen sind (ZeugInnen, Beschuldigte etc.), darüber informiert worden, dass es ein Datenleck gab?

2) Wurden an den Datenbanken beteiligte Behörden, auch im Ausland, über das Datenleck informiert?

3) Gab es vor der Etablierung der Zugriffe/Schnittstellen auf diese Datenbanken eine Datenschutzfolgenabschätzung?

4) Gab es Vorkehrungen, damit alle Erhebungen, Veränderungen, Abfragen, Offenlegungen einschließlich Übermittlungen, Kombinationen und Löschungen protokolliert werden? Wenn nein, warum nicht?

5) Ermöglichen die oben genannten Protokolle, die Feststellung der Identität der Person, die die Daten abgefragt oder offengelegt hat? Wenn nein, warum nicht?

6) Könnten Zugriffe von außen unbemerkt vorgenommen worden sein?

7) Könnten Daten im Schengen-Informationssystem und der "Integrierten Kriminalpolizeilichen Datenanwendung" (IKDA) manipuliert worden sein?

8) Hat das BMI ein Informationssicherheitsmanagementsystem in Anlehnung an die ISO27000-Reihe oder ähnliche Normen?

9) Welche Unternehmen haben Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken?

10) Gabe es Anzeigen gegen MitarbeiterInnen dieser Unternehmen in Zusammenhang mit unerlaubten Datenzugriffen?

11) Bestehen Verträge über Auftragsdatenverarbeitung mit diesen Unternehmen? Wenn ja, wie lauten diese? Wenn nein, warum nicht?

12) Werden die MitarbeiterInnen mit Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken in Bezug auf Sicherheitsmaßnahmen und Datenschutz geschult?

13) Aufgrund welcher Überlegungen wurde die Firma Rubicon IT mit der Programmierung des EDIS-Systems beauftragt und warum wurde dieser Auftrag nicht ausgeschrieben?

14) Welche Leistungen umfasst der Vertrag mit der Firma Rubicon IT allgemein?

15) Wurden auch Angebote anderer IT-Unternehmen bei der Auftragsvergabe eingeholt? Wenn nein, warum nicht?

16) Welche anderen Verträge bzw. Geschäftsbeziehungen hat das BMI mit der Firma Rubicon IT oder deren Subunternehmen?

17) Wie viele Dokumente sind in EDIS gespeichert und wer darf diese bearbeiten/löschen?

18) Sind in EDIS auch Dokumente ausländischer Behörden gespeichert, wenn ja, wie viele?

Ich stelle diese Anfrage als Kommunikationsverantwortliche des Vereins epicenter.works (https://epicenter.works) und beabsichtige, die Informationen und Dokumente für weitere Analysen und Veröffentlichungen zu verwenden. Ich erfülle die vom Verwaltungsgerichtshof in seiner Entscheidung Ra 2017/03/0083-10 (29.5.2018) festgehaltenen Kriterien eines sogenannten „Social Watchdog“. In dieser Entscheidung hat der VwGH unter anderem festgestellt, dass es bei Anfragen nach dem Auskunftspflichtgesetz geboten sein kann, dem/der AuskunftswerberIn Zugang zu den relevanten Dokumenten zu gewähren.


Korrespondenz

  1. 04. Okt 2019
  2. 15. Okt
  3. 26. Okt
  4. 06. Nov
  5. 29. Nov 2019
Von
Iwona Laub
Betreff
Datenleck im Bundesministerium für Inneres [#1812]
Datum
4. Oktober 2019 09:03
An
Bundesministerium für Inneres
Status
Warte auf Antwort — E-Mail erfolgreich abgeschickt!

Sehr geehrte<< Anrede >> hiermit beantrage ich gem §§ 2, 3 AuskunftspflichtG die Erteilung folgender Auskunft:
Bezugnehmend auf die Berichterstattung von 20. September 2019 (https://www.derstandard.at/story/2000108877282/datenleck-in-innenministerium-blieb-jahre-lang-unbemerkt) über das BMI-Datenleck, bitte ich Sie, folgende Fragen zu beantworten: 1) Sind die Personen, die vom Datenleck betroffen sind (ZeugInnen, Beschuldigte etc.), darüber informiert worden, dass es ein Datenleck gab? 2) Wurden an den Datenbanken beteiligte Behörden, auch im Ausland, über das Datenleck informiert? 3) Gab es vor der Etablierung der Zugriffe/Schnittstellen auf diese Datenbanken eine Datenschutzfolgenabschätzung? 4) Gab es Vorkehrungen, damit alle Erhebungen, Veränderungen, Abfragen, Offenlegungen einschließlich Übermittlungen, Kombinationen und Löschungen protokolliert werden? Wenn nein, warum nicht? 5) Ermöglichen die oben genannten Protokolle, die Feststellung der Identität der Person, die die Daten abgefragt oder offengelegt hat? Wenn nein, warum nicht? 6) Könnten Zugriffe von außen unbemerkt vorgenommen worden sein? 7) Könnten Daten im Schengen-Informationssystem und der "Integrierten Kriminalpolizeilichen Datenanwendung" (IKDA) manipuliert worden sein? 8) Hat das BMI ein Informationssicherheitsmanagementsystem in Anlehnung an die ISO27000-Reihe oder ähnliche Normen? 9) Welche Unternehmen haben Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken? 10) Gabe es Anzeigen gegen MitarbeiterInnen dieser Unternehmen in Zusammenhang mit unerlaubten Datenzugriffen? 11) Bestehen Verträge über Auftragsdatenverarbeitung mit diesen Unternehmen? Wenn ja, wie lauten diese? Wenn nein, warum nicht? 12) Werden die MitarbeiterInnen mit Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken in Bezug auf Sicherheitsmaßnahmen und Datenschutz geschult? 13) Aufgrund welcher Überlegungen wurde die Firma Rubicon IT mit der Programmierung des EDIS-Systems beauftragt und warum wurde dieser Auftrag nicht ausgeschrieben? 14) Welche Leistungen umfasst der Vertrag mit der Firma Rubicon IT allgemein? 15) Wurden auch Angebote anderer IT-Unternehmen bei der Auftragsvergabe eingeholt? Wenn nein, warum nicht? 16) Welche anderen Verträge bzw. Geschäftsbeziehungen hat das BMI mit der Firma Rubicon IT oder deren Subunternehmen? 17) Wie viele Dokumente sind in EDIS gespeichert und wer darf diese bearbeiten/löschen? 18) Sind in EDIS auch Dokumente ausländischer Behörden gespeichert, wenn ja, wie viele? Ich stelle diese Anfrage als Kommunikationsverantwortliche des Vereins epicenter.works (https://epicenter.works) und beabsichtige, die Informationen und Dokumente für weitere Analysen und Veröffentlichungen zu verwenden. Ich erfülle die vom Verwaltungsgerichtshof in seiner Entscheidung Ra 2017/03/0083-10 (29.5.2018) festgehaltenen Kriterien eines sogenannten „Social Watchdog“. In dieser Entscheidung hat der VwGH unter anderem festgestellt, dass es bei Anfragen nach dem Auskunftspflichtgesetz geboten sein kann, dem/der AuskunftswerberIn Zugang zu den relevanten Dokumenten zu gewähren.
Für den Fall einer vollständigen oder teilweisen Nichterteilung der Auskunft (zB Verweigerung) beantrage ich die Ausstellung eines Bescheides gem § 4 AuskunftspflichtG. Iwona Laub <<E-Mail-Adresse>> Postanschrift Iwona Laub << Adresse entfernt >> << Adresse entfernt >>
Mit freundlichen Grüßen Iwona Laub
  1. 2 Monate her4. Oktober 2019 09:03: Iwona Laub hat eine Nachricht an Bundesministerium für Inneres gesendet.
Von
Bundesministerium für Inneres
Betreff
AW: WG: Iwona Laub: Datenleck im Bundesministerium für Inneres [#1812]
Datum
19. November 2019 13:58
Status
Anfrage abgeschlossen

Sehr geehrte Frau Iwona Laub, ihre Fragen beantworte ich wie folgt: Zu Frage 1) Sind die Personen, die vom Datenleck betroffen sind (ZeugInnen, Beschuldigte etc.), darüber informiert worden, dass es ein Datenleck gab? Es darf festgehalten werden, dass in der gegenständlichen Angelegenheit zu keinem Zeitpunkt von einer Verletzung des Schutzes personenbezogener Daten und von einem Risiko für die Rechte und Freiheiten der betroffenen Personen iSd Art 33 Abs 1 DSGVO auszugehen war. Zu Frage 2) Wurden an den Datenbanken beteiligte Behörden, auch im Ausland, über das Datenleck informiert? Da zu keinem Zeitpunkt ein Datenleck bestanden hat, war eine Verständigung im Sinne der DSGVO nicht erforderlich. Die Behörden wurden jedoch vom Presseartikel informiert. Zu Frage 3) Gab es vor der Etablierung der Zugriffe/Schnittstellen auf diese Datenbanken eine Datenschutzfolgenabschätzung? Nein, da zu diesem Zeitpunkt die DSGVO noch nicht in Kraft getreten war. Es bestanden Applikationsbeschreibungen aus datenschutzrechtlicher Sicht. Zu Frage 4) Gab es Vorkehrungen, damit alle Erhebungen, Veränderungen, Abfragen, Offenlegungen einschließlich Übermittlungen, Kombinationen und Löschungen protokolliert werden? Wenn nein, warum nicht? Ja. Zu Frage 5) Ermöglichen die oben genannten Protokolle, die Feststellung der Identität der Person, die die Daten abgefragt oder offengelegt hat? Wenn nein, warum nicht? Ja. Zu Frage 6) Könnten Zugriffe von außen unbemerkt vorgenommen worden sein? Nein. Zu Frage 7) Könnten Daten im Schengen-Informationssystem und der "Integrierten Kriminalpolizeilichen Datenanwendung" (IKDA) manipuliert worden sein? Nein. Zu Frage 8) Hat das BMI ein Informationssicherheitsmanagementsystem in Anlehnung an die ISO27000-Reihe oder ähnliche Normen? Ja. Eine Zertifizierung besteht nicht. Zu Frage 9) Welche Unternehmen haben Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken? Die Auftragsverarbeiter des Bundesministeriums für Inneres haben soweit für die Erbringung der vertraglich vereinbarten Leistungen unbedingt erforderlich einen entsprechenden Zugriff. Zu Frage 10) Gabe es Anzeigen gegen MitarbeiterInnen dieser Unternehmen in Zusammenhang mit unerlaubten Datenzugriffen? Nein, nach aktuellem Informationsstand nicht. Zu Frage 11) Bestehen Verträge über Auftragsdatenverarbeitung mit diesen Unternehmen? Wenn ja, wie lauten diese? Wenn nein, warum nicht? Ja, es handelt sich um Auftragsverarbeitervereinbarungen. Zu Frage 12) Werden die MitarbeiterInnen mit Zugriff auf personenbezogene Daten aus polizeilichen Datenbanken in Bezug auf Sicherheitsmaßnahmen und Datenschutz geschult? Ja. Zu Frage 13) Aufgrund welcher Überlegungen wurde die Firma Rubicon IT mit der Programmierung des EDIS-Systems beauftragt und warum wurde dieser Auftrag nicht ausgeschrieben? Die Fa RUBICON IT wurde nach Durchführung eines Vergabeverfahrens als Bestbieter mit der Programmierung des EDIS-Systems beauftragt. Zu Frage 14) Welche Leistungen umfasst der Vertrag mit der Firma Rubicon IT allgemein? Der Vertrag mit der Firma Rubicon IT umfasst Wartung, Support und Betriebsunterstützung. Zu Frage 15) Wurden auch Angebote anderer IT-Unternehmen bei der Auftragsvergabe eingeholt? Wenn nein, warum nicht? Ja, im Rahmen des Vergabeverfahrens für EDIS wurden auch andere Angebote eingeholt. Zu Frage 16) Welche anderen Verträge bzw. Geschäftsbeziehungen hat das BMI mit der Firma Rubicon IT oder deren Subunternehmen? Mit der Firma Rubicon IT besteht ein Wartungsvertrag für die Anwendungen EDIS, IKDA, SIRENE, PAD und VStV. Zu den Fragen: 17) Wie viele Dokumente sind in EDIS gespeichert und wer darf diese bearbeiten/löschen? 18) Sind in EDIS auch Dokumente ausländischer Behörden gespeichert, wenn ja, wie viele? Im EDIS sind auch Dokumente ausländischer Behörden gespeichert. Statistische Aufzeichnungen zur Anzahl der in EDIS gespeicherten „Dokumente“ eigener und fremder Urheberschaft als auch ausländischer Herkunft bestehen nicht und lassen sich auf Grund technischer Gegebenheiten mit verhältnismäßigem Kosten- und Zeitaufwand nicht bewerkstelligen. Die Befugnis zur Bearbeitung und / oder Löschung von EDIS-Inhalten erhalten jene Bedienstete, die entsprechend ihrer Arbeitsplatzbeschreibung zum Zwecke der Erfüllung ihrer Aufgaben Zugriff auf die Datenverarbeitung benötigen. Mit freundlichen Grüßen,
  1. 2 Wochen, 6 Tage her19. November 2019 13:59: Nachricht von Bundesministerium für Inneres erhalten.
  2. 2 Wochen, 6 Tage her19. November 2019 16:51: Iwona Laub hat den Status auf 'Anfrage erfolgreich' gesetzt.