Polizei-Messenger auf privaten Geräten
Update: 24.03.2021 Thiel: Umstellung auf dienstliche Geräte bei der Polizei fördert Datenschutz, muss aber schneller gehen
Polizei-Messenger NIMes
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen, Barbara Thiel, begrüßt die Ankündigung des Niedersächsischen Innenministeriums, den polizeilichen Messenger NIMes in Zukunft nur noch auf dienstlichen Endgeräten einsetzen zu wollen. Thiel hatte im Februar gegenüber dem Ministerium offiziell beanstandet , dass der Messenger auf privaten mobilen Endgeräten der Polizistinnen und Polizisten betrieben wird. In seiner heute bei der LfD eingegangenen Stellungnahme zu dieser Beanstandung hat nun Landespolizeipräsident Axel Brockmann in Aussicht gestellt, dass der Ansatz des „Bring your own device“ (BYOD) durch die Anschaffung dienstlicher Geräte minimiert und „perspektivisch voraussichtlich sogar komplett entfallen“ soll.
„Die Entscheidung des Innenministeriums, verstärkt und letztlich ausschließlich auf Dienstgeräte zu setzen, entspricht meiner Forderung und ermöglicht den Einsatz von NIMes im Einklang mit Datenschutz und IT-Sicherheit“, sagt Barbara Thiel. „Der vollständige Umstieg auf dienstliche Smartphones ist der beste Weg, um die Risiken des BYOD zu beseitigen. Ich erwarte allerdings, dass die Polizei nun ihren Worten schneller Taten folgen lässt, als es der Stellungnahme des Landespolizeipräsidenten zu entnehmen ist, und die Beamtinnen und Beamten endlich flächendeckend mit dienstlichen Geräten ausstattet. Die gegenwärtigen Planungen des Innenministeriums sind deutlich zu zögerlich, um die existierenden Risiken konsequent aus der Welt zu schaffen.“
Die Landesdatenschutzbeauftragte betonte in diesem Zusammenhang erneut, dass sie nicht die Anwendung NIMes als solche beanstandet habe, sondern deren Nutzung auf privaten Smartphones. „NIMes ist aus meiner Sicht datenschutzfreundlicher als viele kommerzielle Messenger-Dienste. Die fehlende Kontrolle des Dienstherrn über private Geräte führt aber zu einem inakzeptablen Risiko, da der jeweilige Anwender dafür verantwortlich ist, sein Smartphone vor Angriffen und Schadprogrammen zu schützen. Das wird dem Schutzbedarf der bedrohten Daten in keiner Weise gerecht.“
Verbieten kann die LfD Niedersachsen der Polizei den Einsatz von NIMes auf privaten mobilen Endgeräten nicht, da ihr dafür die nötigen Befugnisse fehlen.
—
LfD Niedersachsen beanstandet Polizei-Messenger NIMes wegen Einsatz auf privaten Geräten
Die Landesbeauftragte für den Datenschutz (LfD) Niedersachsen hat gegenüber dem Niedersächsischen Innenministerium eine Beanstandung des polizeilichen Messengers NIMes ausgesprochen. Die LfD bemängelt vor allem, dass der Messenger auf privaten mobilen Endgeräten der Polizistinnen und Polizisten betrieben wird. Dieser Ansatz des „Bring your own device“ (BYOD) bringt Risiken und Gefährdungen mit sich, denen die Polizei bislang nur mit unzureichenden Sicherungsmaßnahmen begegnet.
„Die fehlende Kontrolle des Dienstherrn über die privaten Geräte der Beamtinnen und Beamten führt zu einem inakzeptablen Risiko für den Betrieb dieses hoch schutzbedürftigen Messenger-Dienstes“, sagt die Landesdatenschutzbeauftragte Barbara Thiel. In NIMes werden personenbezogene Daten bis einschließlich Schutzstufe D des Schutzstufenkonzepts der LfD Niedersachsen verarbeitet. Dies ist die zweithöchste Stufe auf der 5-teiligen Skala, bei der von A bis E die Schwere des möglichen Schadens für die Betroffenen zunimmt. Stufe D umfasst Daten, deren unsachgemäße Handhabung den Betroffenen in seiner gesellschaftlichen Stellung oder in seinen wirtschaftlichen Verhältnissen erheblich beeinträchtigen könnte.
„Durch den BYOD-Ansatz ist im laufenden Betrieb eine unüberschaubare Kombination von verschiedenen Geräten, Betriebssystemen, sonstiger Software und Konfigurationen im Einsatz“, kritisiert Barbara Thiel. „Gleichzeitig ist der jeweilige Anwender dafür verantwortlich, sein privates Endgerät vor Schadprogrammen zu schützen. Das wird dem Schutzbedarf der bedrohten Daten in keiner Weise gerecht.“ Die Übertragung von Text-, Bild-, Ton- und Standortdaten kann theoretisch jederzeit durch Schadsoftware angegriffen werden, ohne dass Dienstherr oder Anwender es bemerken. Ein privates Endgerät mit NIMes ist so vom Grundsatz nicht wesentlich besser geschützt als jedes herkömmliche Smartphone mit halbwegs aktuellem Betriebssystem. Zwar führt die Polizei bei NIMes-Anwendern anlasslose Kontrollen durch, doch auch diese helfen durch das BYOD-Prinzip nicht weiter, da private Geräte explizit davon ausgenommen sind.
„Ich verstehe, dass ein Messenger die Arbeit der Polizei erleichtert“, sagt Barbara Thiel. „Darüber hinaus schätze ich NIMes als datenschutzfreundlicher ein als einen kommerziellen Messenger-Dienst. Die Beanstandung richtet sich also ausdrücklich nicht gegen den Dienst selbst. Nun muss das Innenministerium aber noch den entscheidenden Schritt machen, nämlich die Polizistinnen und Polizisten endlich flächendeckend mit dienstlichen Geräten auszustatten.“ Alternativ könnte auf den privaten Smartphones verpflichtend ein sogenanntes „Mobile Device Management“ aufgesetzt werden. Dies würde aber voraussetzen, dass ausnahmslos alle Beamtinnen und Beamten, die NIMes verwenden, dieser Veränderung an ihrem Privateigentum ohne Bedingung zustimmen.
Verbieten kann die LfD Niedersachsen der Polizei den Einsatz von NIMes auf privaten mobilen Endgeräten nicht, da ihr dafür die nötigen Befugnisse fehlen. Zur nun ausgesprochenen Beanstandung ist das Innenministerium gemäß der gesetzlichen Vorgabe zur Stellungnahme aufgefordert worden.
Quelle: LfD Niedersachsen
Weitere unterstützende Hinweise zum Datenschutz finden Sie in diesen Beiträgen:
- Kein Backup, kein Mitleid! Datensicherung mit NAS und Festplatte
- Datenpanne auf Reisen durch Visual Hacking- Blickschutz hilft.
- Denkanstoß – Daten(schutz)risiko USB-Stick, es passiert immer wieder
- Aktenvernichter für den Arbeitsplatz – Gegen Datenpannen auf Papier
- Tipp: Textpassagen mit einem Camoflage-Rollstempel unkenntlich machen
- Aufsichtsbehörde empfiehlt Buch: DSGVO /ePrivacy auf Websites umsetzen
- Recht im Online-Marketing: So schützen Sie sich vor Fallstricken zur DSGVO
Dieser Absatz enthält Affiliatelinks/Werbelinks