Adressaten dieser Information:
- alle öffentlichen Organe der Kantone Schwyz, Obwalden, Nidwalden
Herausgeber:
- Privatim (Vereinigung der schweizerischen Datenschutzbeauftragten)
- Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
- (Öffentlichkeits- und) Datenschutzbeauftrager der Kantone Schwyz, Obwalden, Nidwalden (ÖDB)
Merkblatt von Privatim
Bei Cloud Computing befinden sich die Anwendungen und Daten nicht mehr im Netzwerk des öffentlichen Organs (z.B. Kanton, Gemeinde), sondern in der Cloud. Der Zugang zu Daten, Services und Infrastruktur, die in der Cloud zur Verfügung gestellt werden, erfolgt mittels Fernzugriff. Dadurch ergeben sich für öffentliche Organe zwar Chancen, aber auch viele Risiken.
Privatim hat ein Merkblatt zu Cloud-spezifischen Risiken und Massnahmen erstellt.
Dieses Merkblatt und die darin erwähnten weiteren Beilagen (mit Links) können
- einen Beitrag zur Risikoanalyse leisten, welche durch die öffentlichen Organe vor einer Auslagerung der Daten in die Cloud durchzuführen ist.
- den öffentlichen Organen eine Hilfestellung für eine allfällige rechtliche und tatsächliche Ausgestaltung bieten (z.B. bezüglich anwendbarem Recht, Serverstandorten und Geheimnisschutz / Schlüsselmanagement).
Nicht zu vergessen:
Die öffentlichen Organe bleiben auch bei einer Auslagerung für die Einhaltung der datenschutzrechtlichen Bestimmungen verantwortlich.
Merkblatt zu Cloud-spezifischen Risiken und Massnahmen, Privatim (Stand: Februar 2022):
Merkblatt Cloud-spezifische Risiken und Massnahmen, Privatim
2. Relevante Datenschutzbestimmungen
Für die Vereinbarungskantone sind insbesondere folgende Bestimmungen in den jeweiligen kantonalen Gesetzgebungen datenschutzrechtlich relevant:- Datenbearbeitung durch Dritte [§ 20 ÖDSG (SZ), Art. 10a DSG (OW), Art. 9 kDSG (NW)]
- Datensicherheit [§ 8 Abs. 4 ÖDSG (SZ), Art. 7 DSG (OW), Art. 7 kDSG (NW)]
- Evtl. Datenbekanntgabe ins Ausland [§ 18 ÖDSG (SZ), Art. 6 DSG (OW), Art. 6 kDSG(NW)]
- Erläuterungen des EDÖB zu Cloud Computing
Auch der EDÖB informiert auf seiner Seite über die Cloud. Es wird unter anderem auf Organisationsformen, Servicemodelle, Risiken sowie datenschutzrechtlichen Anforderung Stellung genommen.
Hier gelangen Sie zu den «Erläuterungen zu Cloud Computing», EDÖB:
https://www.ncsc.admin.ch/ncsc/de/home/strategie/ziele-massnahmen/ncs-ziel-sichere-verfuegbare-digitale-dl-infrastruktur.html
Nachfolgend finden Sie eine Auflistung von Risiken bei der Verwendung von Clouddiensten (nicht abschliessend): Cloud_Service_Risiken [PDF, 8.00 KB]
4. Informationen des ÖDB zur Verwendung von Webex während einer Pandemie
Während der Zeit der Pandemie, in der sich nur eine gewisse Zahl von Personen treffen dürfen und viele Personen von zu Hause aus arbeiten müssen, dürfen gewisse Lösungen zur Kommunikation genutzt werden. Im unten angefügten Dokument finden Sie die Vorgaben, die ein öffentliches Organ der kantonalen Verwaltung erfüllen muss, um Webex als Anwendung nutzen zu dürfen.
Verwendung von Webex in der Kantonsverwaltung Schwyz