Neuer Leitfaden für die Nutzung externer Cloud-Dienste in Zürich
Für den Kanton Zürich gibt es einen neuen Leitfaden für die Nutzung externer Cloud-Dienste. Er richtet sich an Mitarbeitende öffentlicher Organe.
Die Datenschutzbeauftragte des Kantons Zürich hat einen neuen Leitfaden für die Nutzung externer Cloud-Dienste herausgegeben. Er richtet sich gemäss Mitteilung an Mitarbeitende öffentlicher Organe, die Cloud-Dienste evaluieren.
Im Text heisst es, dass das öffentliche Organ bei der Bearbeitung von Daten in externen Cloud-Diensten dieselbe Verantwortung trägt, wie wenn es die Informationen selbst bearbeiten würde. Damit ist es auch für die Auswahl, Instruktion und Überwachung des Cloud-Anbieters verantwortlich. Cloud-Dienste müssen die Grundrechte der betroffenen Personen gleichwertig schützen, wie es das öffentliche Organ bei der Datenbearbeitung selbst tut.
Evaluation und Folgenabschätzung
Verantwortliche der öffentlichen Organe müssen evaluieren, ob gesetzliche Bestimmungen wie Geheimhaltungsvorschriften oder vertragliche Vereinbarungen die Auslagerung in Cloud-Dienste erlauben. Dabei hebt die Datenschutzbeauftragte einen Punkt hervor: "Werden Personendaten oder besondere Personendaten bearbeitet und kann für die vorgesehene Cloud-Lösung weder schweizerisches Recht noch ein schweizerischer Gerichtsstand vereinbart werden, ist die Auslagerung nicht datenschutzkonform. Dies gilt ebenso, wenn besondere Personendaten bearbeitet werden und der Auftragnehmer keine Möglichkeit der Verschlüsselung der Daten anbietet. In diesen Fällen kann die vorgesehene Cloud-Lösung nicht eingesetzt werden."
Ausser einer solchen Evaluation müsse mit einer Datenschutz-Folgenabschätzung (DSFA) geklärt werden, welche Risiken die Datenbearbeitung in der Cloud für die Grundrechte der betroffenen Personen hätte und wie man diesen Risiken begegnen kann. Das detaillierte Vorgehen zu Evaluierung und DSFA befindet sich in diesem PDF.
Apropos: Versicherer Suva klärte kürzlich ab, welche Risiken der Wechsel auf Microsoft 365 mit sich bringen würde. Der EDÖB rät Suva vom Wechsel ab. Hier erfahren Sie mehr dazu.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Noser Engineering erweitert Geschäftsleitung um zwei Köpfe
Bundesrat bestimmt Fokusthemen der Strategie Digitale Schweiz 2026
KI beflügelt 2025 die Neugründungen von Start-ups in der Schweiz
Arctic Wolf sagt, wie viel KI die Cyberabwehr braucht
KI wirkt als Katalysator in der Cybersicherheit
Cyberangriffe auf die Schweiz sinken weiter
Wie Cyberkriminelle Opfer mit täuschend echten Animationen in die Falle locken
Wenn der Tag schon anders anfängt als gedacht
Bundesrat treibt KI-Strategie für Bundesverwaltung weiter voran
