Neuer Leitfaden für die Nutzung externer Cloud-Dienste in Zürich
Für den Kanton Zürich gibt es einen neuen Leitfaden für die Nutzung externer Cloud-Dienste. Er richtet sich an Mitarbeitende öffentlicher Organe.
Die Datenschutzbeauftragte des Kantons Zürich hat einen neuen Leitfaden für die Nutzung externer Cloud-Dienste herausgegeben. Er richtet sich gemäss Mitteilung an Mitarbeitende öffentlicher Organe, die Cloud-Dienste evaluieren.
Im Text heisst es, dass das öffentliche Organ bei der Bearbeitung von Daten in externen Cloud-Diensten dieselbe Verantwortung trägt, wie wenn es die Informationen selbst bearbeiten würde. Damit ist es auch für die Auswahl, Instruktion und Überwachung des Cloud-Anbieters verantwortlich. Cloud-Dienste müssen die Grundrechte der betroffenen Personen gleichwertig schützen, wie es das öffentliche Organ bei der Datenbearbeitung selbst tut.
Evaluation und Folgenabschätzung
Verantwortliche der öffentlichen Organe müssen evaluieren, ob gesetzliche Bestimmungen wie Geheimhaltungsvorschriften oder vertragliche Vereinbarungen die Auslagerung in Cloud-Dienste erlauben. Dabei hebt die Datenschutzbeauftragte einen Punkt hervor: "Werden Personendaten oder besondere Personendaten bearbeitet und kann für die vorgesehene Cloud-Lösung weder schweizerisches Recht noch ein schweizerischer Gerichtsstand vereinbart werden, ist die Auslagerung nicht datenschutzkonform. Dies gilt ebenso, wenn besondere Personendaten bearbeitet werden und der Auftragnehmer keine Möglichkeit der Verschlüsselung der Daten anbietet. In diesen Fällen kann die vorgesehene Cloud-Lösung nicht eingesetzt werden."
Ausser einer solchen Evaluation müsse mit einer Datenschutz-Folgenabschätzung (DSFA) geklärt werden, welche Risiken die Datenbearbeitung in der Cloud für die Grundrechte der betroffenen Personen hätte und wie man diesen Risiken begegnen kann. Das detaillierte Vorgehen zu Evaluierung und DSFA befindet sich in diesem PDF.
Apropos: Versicherer Suva klärte kürzlich ab, welche Risiken der Wechsel auf Microsoft 365 mit sich bringen würde. Der EDÖB rät Suva vom Wechsel ab. Hier erfahren Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Studie sieht Astronomie durch Starlink & Co. bedroht
Angreifer überfordern IT-Abteilungen mit Warnmeldungen
Aveniq ernennt erstmals einen Leiter für KI und Daten
Das sind die umsatzstärksten Onlineshops der Schweiz
Carewell sammelt 1,5 Millionen Franken in Finanzierungsrunde
Ein 3D-Scanner für elektromagnetische Felder
CCRAFT baut Produktion photonischer Chips aus
Gefängnis für nervige Leute
Cyberkriminelle tarnen Ransomware als Interpol-Beweismaterial