Leitfaden der Datenschutzbeauftragten

Zürich zeigt Gemeinden den datenschutzfreundlichen Weg in die Microsoft-Cloud

Uhr
von René Jaun und jor

Will eine öffentliche Verwaltung die cloudbasierte Büroanwendung Microsoft 365 nutzen, muss sie dem Datenschutz Rechnung tragen. Die Datenschutzbeauftragte des Kantons Zürich veröffentlichte für diesen Zweck nun ein paar neue Tools.

(Source: ra2 studio / stock.adobe.com)
(Source: ra2 studio / stock.adobe.com)

Wie kann eine öffentliche Verwaltung Microsoft 365 einsetzen und dabei die Datenschutzgesetze einhalten? Gemeinden, die diese Frage umtreibt, finden möglicherweise Antworten in den neuen Werkzeugen, die die Zürcher Datenschutzbeauftragte zu diesem Thema veröffentlicht hat.

Neu findet man auf ihrer Website einen Leitfaden, eine Checkliste und ein Erklärvideo. Mit dem Leitfaden könnten Gemeinden die datenschutzrechtlich notwendigen Punkte für die Nutzung von Microsoft-365-Applikationen Schritt für Schritt prüfen, heisst es in der Mitteilung.

Der Leitfaden bringe Klarheit über die Anforderungen und die Möglichkeiten bei der Auslagerung von besonderen Personendaten sowie von Daten unter besonderen Amtsgeheimnissen oder dem Berufsgeheimnis im Anwendungsbereich des US-amerikanischen Cloud-Acts. Diese Daten, schreibt die Behörde, seien so zu verschlüsseln, dass der Anbieter ohne das Zutun der Gemeinde keinen Zugang zu den Daten erhalte. Diese Anforderung ist auch Teil eines unlängst vom Kanton präsentierten E-Gov-Gesetzes, das nicht unwidersprochen blieb.

Im Leitfaden dokumentiert die Datenschutzbeauftragte zwei Möglichkeiten, um diese Anforderung zu erfüllen: die umfassende Nutzung der Double Key Encryption (DKE) und die umfassende Nutzung eines Cloud Access Security Brokers (CASB) mit Verschlüsselung gegenüber Microsoft. Nicht ausreichend seien dagegen Verschlüsselungslösungen wie Bring Your Own Key (BYOK), stellt die Datenschutzbeauftragte klar. Dies, weil dabei der Schlüssel in der Microsoft-Cloud gespeichert werde und sich Microsoft somit Zugriff auf den Schlüssel und damit auf die verschlüsselten Daten verschaffen könne.

Werden diese Massnahmen nicht ergriffen, dürfen besondere Personendaten sowie Daten unter besonderen Amtsgeheimnissen und Berufsgeheimnissen nicht in die Microsoft-Cloud. Gemeinden können sie lokal oder bei einem Drittanbieter ohne US-Bezug bearbeiten und speichern, wie es im Leitfaden heisst.

In einem weiteren Kapitel des Leitfadens sind allgemeine Massnahmen zur Nutzung von Microsoft 365 aufgeführt, wie etwa zu den Themen Authentifizierung, Telemetriedaten und dem Konfigurationsmanagement.

Den Leitfaden erarbeitete die Datenschutzbehörde im Austausch mit Egovpartner, der eigenständigen Zusammenarbeitsorganisation von Gemeinden, Städten und dem Kanton Zürich. Leitfaden, Checkliste und Erklärvideo sind auf der Website der Datenschutzbeauftragten abrufbar.

Die Cloud war nur ein Thema, welches die Zürcher Datenschutzbehörde im Jahr 2023 umtrieb. Unter anderem beschäftigte sie sich auch mit digitalen Behördenportalen und Gesundheitsdaten, wie Sie hier lesen können.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
zmLEhKtr