Präzisierungen in einem komplexen Umfeld
Bevor öffentliche Institutionen Daten durch Dritte bearbeiten lassen, müssen viele Fragen geklärt werden. Das öffentliche Organ ist verantwortlich dafür, dass die Vorgaben im Zusammenhang mit der Auslagerung eingehalten werden.
Die Datenschutzbeauftragte stellt auf ihrer Website ausführliche Unterlagen zur Verfügung, um die öffentlichen Organe in ihren Digitalisierungsvorhaben zu unterstützen.
Viele Gemeinden planen im Rahmen ihrer Digitalisierungsstrategie den Einsatz von M365. Mit der Nutzung dieser Dienstleistungen von Microsoft werden Daten in einer Cloud bearbeitet. Dies stellt eine Auslagerung dar. Zudem untersteht das amerikanische Unternehmen dem CLOUD Act der USA. Die Datenschutzbeauftragte hat einen Leitfaden erstellt, mit dem die Gemeinden Schritt für Schritt die datenschutzrechtlich notwendigen Punkte für die Nutzung von M365-Applikationen prüfen können.
Die Nutzung einer Cloud stellt eine Auslagerung dar.
Das Schlüsselmanagement ist zentral
Der Leitfaden bringt Klarheit über die Anforderungen und die Möglichkeiten bei der Auslagerung von besonderen Personendaten sowie von Daten unter besonderen Amtsgeheimnissen oder dem Berufsgeheimnis im Anwendungsbereich des CLOUD Act. Diese Daten sind so zu verschlüsseln, dass der Anbieter keinen Zugang zu den Daten erhält ohne das Zutun der Gemeinde. Der Schlüssel muss also bei der Gemeinde liegen.
Bei der Erstellung des Leitfadens stand die Datenschutzbeauftragte im engen Austausch mit Egovpartner, der eigenständigen Zusammenarbeitsorganisation von Gemeinden, Städten und dem Kanton Zürich. Sie stand auch im Kontakt mit Microsoft. Sie erläuterte den Vertreterinnen und Vertretern des Unternehmens die gesetzlichen Vorgaben, die die Gemeinden einhalten müssen. Zudem erklärte sie die Anforderungen an die Verschlüsselung von Daten, die in den Anwendungsbereich des CLOUD Act fallen.
Die Komplexität der einzelnen Digitalisierungsprojekte nimmt ständig zu. Die Datenschutzbeauftragte unterstützt öffentliche Organe im Rahmen ihrer Beratungstätigkeit bei Fragen. Sie überarbeitet zudem ihre Publikationen regelmässig. Nach der Veröffentlichung des Leitfadens für Gemeinden wird auch der Leitfaden für den Einsatz von M365 im Bildungsbereich überarbeitet. Darin wird der Umgang mit besonderen Personendaten und Berufsgeheimnissen präzisiert.