Zürich zeigt Gemeinden den datenschutzfreundlichen Weg in die Microsoft-Cloud
Will eine öffentliche Verwaltung die cloudbasierte Büroanwendung Microsoft 365 nutzen, muss sie dem Datenschutz Rechnung tragen. Die Datenschutzbeauftragte des Kantons Zürich veröffentlichte für diesen Zweck nun ein paar neue Tools.
Wie kann eine öffentliche Verwaltung Microsoft 365 einsetzen und dabei die Datenschutzgesetze einhalten? Gemeinden, die diese Frage umtreibt, finden möglicherweise Antworten in den neuen Werkzeugen, die die Zürcher Datenschutzbeauftragte zu diesem Thema veröffentlicht hat.
Neu findet man auf ihrer Website einen Leitfaden, eine Checkliste und ein Erklärvideo. Mit dem Leitfaden könnten Gemeinden die datenschutzrechtlich notwendigen Punkte für die Nutzung von Microsoft-365-Applikationen Schritt für Schritt prüfen, heisst es in der Mitteilung.
Der Leitfaden bringe Klarheit über die Anforderungen und die Möglichkeiten bei der Auslagerung von besonderen Personendaten sowie von Daten unter besonderen Amtsgeheimnissen oder dem Berufsgeheimnis im Anwendungsbereich des US-amerikanischen Cloud-Acts. Diese Daten, schreibt die Behörde, seien so zu verschlüsseln, dass der Anbieter ohne das Zutun der Gemeinde keinen Zugang zu den Daten erhalte. Diese Anforderung ist auch Teil eines unlängst vom Kanton präsentierten E-Gov-Gesetzes, das nicht unwidersprochen blieb.
Im Leitfaden dokumentiert die Datenschutzbeauftragte zwei Möglichkeiten, um diese Anforderung zu erfüllen: die umfassende Nutzung der Double Key Encryption (DKE) und die umfassende Nutzung eines Cloud Access Security Brokers (CASB) mit Verschlüsselung gegenüber Microsoft. Nicht ausreichend seien dagegen Verschlüsselungslösungen wie Bring Your Own Key (BYOK), stellt die Datenschutzbeauftragte klar. Dies, weil dabei der Schlüssel in der Microsoft-Cloud gespeichert werde und sich Microsoft somit Zugriff auf den Schlüssel und damit auf die verschlüsselten Daten verschaffen könne.
Werden diese Massnahmen nicht ergriffen, dürfen besondere Personendaten sowie Daten unter besonderen Amtsgeheimnissen und Berufsgeheimnissen nicht in die Microsoft-Cloud. Gemeinden können sie lokal oder bei einem Drittanbieter ohne US-Bezug bearbeiten und speichern, wie es im Leitfaden heisst.
In einem weiteren Kapitel des Leitfadens sind allgemeine Massnahmen zur Nutzung von Microsoft 365 aufgeführt, wie etwa zu den Themen Authentifizierung, Telemetriedaten und dem Konfigurationsmanagement.
Den Leitfaden erarbeitete die Datenschutzbehörde im Austausch mit Egovpartner, der eigenständigen Zusammenarbeitsorganisation von Gemeinden, Städten und dem Kanton Zürich. Leitfaden, Checkliste und Erklärvideo sind auf der Website der Datenschutzbeauftragten abrufbar.
Die Cloud war nur ein Thema, welches die Zürcher Datenschutzbehörde im Jahr 2023 umtrieb. Unter anderem beschäftigte sie sich auch mit digitalen Behördenportalen und Gesundheitsdaten, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Update: Bug ist Ursache von Skyguides IT-Problem
Volle Flexibilität in der Schweizer Cloud
Welche Cloud-Technologie passt zu mir?
Cloud Computing kann jeder, Dienstleistungen nicht
Gordon Ramsey in der Minecraft-Welt
Einen Zacken schneller, als die Arbeit zunimmt – KI sei Dank
Update: Microsoft-Attacke betrifft auch Kunden-Mails
Schonen Sie Ressourcen mit digitalen Rechnungen
Effizient, resilient und performant in der Finanzdienstleistung
