Neuer Leitfaden für die Nutzung externer Cloud-Dienste in Zürich
Für den Kanton Zürich gibt es einen neuen Leitfaden für die Nutzung externer Cloud-Dienste. Er richtet sich an Mitarbeitende öffentlicher Organe.
Die Datenschutzbeauftragte des Kantons Zürich hat einen neuen Leitfaden für die Nutzung externer Cloud-Dienste herausgegeben. Er richtet sich gemäss Mitteilung an Mitarbeitende öffentlicher Organe, die Cloud-Dienste evaluieren.
Im Text heisst es, dass das öffentliche Organ bei der Bearbeitung von Daten in externen Cloud-Diensten dieselbe Verantwortung trägt, wie wenn es die Informationen selbst bearbeiten würde. Damit ist es auch für die Auswahl, Instruktion und Überwachung des Cloud-Anbieters verantwortlich. Cloud-Dienste müssen die Grundrechte der betroffenen Personen gleichwertig schützen, wie es das öffentliche Organ bei der Datenbearbeitung selbst tut.
Evaluation und Folgenabschätzung
Verantwortliche der öffentlichen Organe müssen evaluieren, ob gesetzliche Bestimmungen wie Geheimhaltungsvorschriften oder vertragliche Vereinbarungen die Auslagerung in Cloud-Dienste erlauben. Dabei hebt die Datenschutzbeauftragte einen Punkt hervor: "Werden Personendaten oder besondere Personendaten bearbeitet und kann für die vorgesehene Cloud-Lösung weder schweizerisches Recht noch ein schweizerischer Gerichtsstand vereinbart werden, ist die Auslagerung nicht datenschutzkonform. Dies gilt ebenso, wenn besondere Personendaten bearbeitet werden und der Auftragnehmer keine Möglichkeit der Verschlüsselung der Daten anbietet. In diesen Fällen kann die vorgesehene Cloud-Lösung nicht eingesetzt werden."
Ausser einer solchen Evaluation müsse mit einer Datenschutz-Folgenabschätzung (DSFA) geklärt werden, welche Risiken die Datenbearbeitung in der Cloud für die Grundrechte der betroffenen Personen hätte und wie man diesen Risiken begegnen kann. Das detaillierte Vorgehen zu Evaluierung und DSFA befindet sich in diesem PDF.
Apropos: Versicherer Suva klärte kürzlich ab, welche Risiken der Wechsel auf Microsoft 365 mit sich bringen würde. Der EDÖB rät Suva vom Wechsel ab. Hier erfahren Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.