Zürich zeigt Gemeinden den datenschutzfreundlichen Weg in die Microsoft-Cloud
Will eine öffentliche Verwaltung die cloudbasierte Büroanwendung Microsoft 365 nutzen, muss sie dem Datenschutz Rechnung tragen. Die Datenschutzbeauftragte des Kantons Zürich veröffentlichte für diesen Zweck nun ein paar neue Tools.
Wie kann eine öffentliche Verwaltung Microsoft 365 einsetzen und dabei die Datenschutzgesetze einhalten? Gemeinden, die diese Frage umtreibt, finden möglicherweise Antworten in den neuen Werkzeugen, die die Zürcher Datenschutzbeauftragte zu diesem Thema veröffentlicht hat.
Neu findet man auf ihrer Website einen Leitfaden, eine Checkliste und ein Erklärvideo. Mit dem Leitfaden könnten Gemeinden die datenschutzrechtlich notwendigen Punkte für die Nutzung von Microsoft-365-Applikationen Schritt für Schritt prüfen, heisst es in der Mitteilung.
Der Leitfaden bringe Klarheit über die Anforderungen und die Möglichkeiten bei der Auslagerung von besonderen Personendaten sowie von Daten unter besonderen Amtsgeheimnissen oder dem Berufsgeheimnis im Anwendungsbereich des US-amerikanischen Cloud-Acts. Diese Daten, schreibt die Behörde, seien so zu verschlüsseln, dass der Anbieter ohne das Zutun der Gemeinde keinen Zugang zu den Daten erhalte. Diese Anforderung ist auch Teil eines unlängst vom Kanton präsentierten E-Gov-Gesetzes, das nicht unwidersprochen blieb.
Im Leitfaden dokumentiert die Datenschutzbeauftragte zwei Möglichkeiten, um diese Anforderung zu erfüllen: die umfassende Nutzung der Double Key Encryption (DKE) und die umfassende Nutzung eines Cloud Access Security Brokers (CASB) mit Verschlüsselung gegenüber Microsoft. Nicht ausreichend seien dagegen Verschlüsselungslösungen wie Bring Your Own Key (BYOK), stellt die Datenschutzbeauftragte klar. Dies, weil dabei der Schlüssel in der Microsoft-Cloud gespeichert werde und sich Microsoft somit Zugriff auf den Schlüssel und damit auf die verschlüsselten Daten verschaffen könne.
Werden diese Massnahmen nicht ergriffen, dürfen besondere Personendaten sowie Daten unter besonderen Amtsgeheimnissen und Berufsgeheimnissen nicht in die Microsoft-Cloud. Gemeinden können sie lokal oder bei einem Drittanbieter ohne US-Bezug bearbeiten und speichern, wie es im Leitfaden heisst.
In einem weiteren Kapitel des Leitfadens sind allgemeine Massnahmen zur Nutzung von Microsoft 365 aufgeführt, wie etwa zu den Themen Authentifizierung, Telemetriedaten und dem Konfigurationsmanagement.
Den Leitfaden erarbeitete die Datenschutzbehörde im Austausch mit Egovpartner, der eigenständigen Zusammenarbeitsorganisation von Gemeinden, Städten und dem Kanton Zürich. Leitfaden, Checkliste und Erklärvideo sind auf der Website der Datenschutzbeauftragten abrufbar.
Die Cloud war nur ein Thema, welches die Zürcher Datenschutzbehörde im Jahr 2023 umtrieb. Unter anderem beschäftigte sie sich auch mit digitalen Behördenportalen und Gesundheitsdaten, wie Sie hier lesen können.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Die Spring Party bringt die Westschweizer IT-Branche zusammen
Wie man mit einer Smartwatch einen Air Gap zunichte macht
Fast Schweizerdeutsch - aber eben nur fast
Möge der Saft wieder mit dir sein
Cyberkriminelle geben sich als Logistikdienstleister aus
Bund und Schweizer Finanzsektor vertiefen ihre Zusammenarbeit für mehr Cybersicherheit
Schwachstelle macht aus KI-Agenten gefährliche Plaudertaschen
Graubünden ernennt Leiterin der neuen Aufsichtsstelle Datenschutz
Durchblick im KI-Dschungel: Mitarbeitende für KI-Nutzung fit machen
