Impuls-Event SSGI für Gemeinde und Städte am 20. November 2024 "Microsoft 365-Services aus der Cloud"
Der Vorstand des Vereins SSGI hat verschiedene Arbeitsgruppen eingesetzt. Diese erarbeiten themenbezogene Ergebnisse, die hier zur Verfügung gestellt werden. Es bestehen die folgenden Arbeitsgruppen:
Ausgangslage:
In Ergänzung zur bestehenden Arbeitsgruppe IT-Sicherheit, welche sich vermehrt den technischen Anforderungen und Massnahmen widmet, werden in dieser Arbeitsgruppe strategische, organisatorische, finanzielle und rechtliche Fragen koordiniert.
Zielsetzungen
Die Arbeitsgruppe wird die aktuellen Entwicklungen des Datenschutzes in der Schweiz (neue Datenschutzgesetze in den Kantonen), in Europa (DSGVO) und international (z.B. Swiss-US Privacy Shield) aktiv verfolgt und Empfehlungen für die Mitglieder erarbeitet werden, wie sinnvollerweise mit dem Thema umgegangen werden soll.
Im Bereich der Datensicherheit liegt der Fokus nicht im technischen Bereich (dafür ist die separate Arbeitsgruppe IT-Sicherheit zuständig), sondern in übergeordneten Themen der Informationssicherheit und Risikobetrachtung sowie Risikominimierung. In diesen Bereichen sollen mit ausgewiesenen Sicherheitsspezialisten der Privatwirtschaft und der öffentlichen Verwaltungen (Bund, Kantone) Informationen ausgetauscht und mit Privatanbietern Rahmenverträge für Dienstleistungen und Sicherheits-Produkte ausgehandelt werden, um Skaleneffekte für die Vereinsmitglieder zu erzielen.
Ziele für die Arbeitsgruppe für 2024:
Koordination:
Christoph Schwalm, CISO der AR Informatik AG (christoph.schwalm@ari-ag.ch)
Ausgangslage:
Zielsetzungen:
Weiterführende Informationen zum Thema „Benchmarking der kommunalen IT-Kosten“ finden Sie im Artikel des Kommunalmagazins, Nr. 2 vom April 2012.
Koordination:
Im Zusammenhang mit der Ausarbeitung der erweiterten Auslagerungsstrategie für Microsoft-Produkte und Services (MS365) mit Datenbearbeitung und Datenspeicherung in der (Schweizer) Cloud (auch für TEAMS und EXCHANGE) hat der Verein SSGI für die Stadtverwaltung Zug eine Anfrage bei Microsoft Schweiz AG (Cyrill Hollenstein) zum massgeblichen Vertragsframework von Microsoft Schweiz AG für die ausgelagerte Datenbearbeitung (Auftragsdatenverarbeitung ADV) gestartet.
Die Antworten dazu stammen von Cyrill Hollenstein für Microsoft Schweiz AG und werden nachfolgend wiedergegeben. Ebenfalls wurde eine Vertragsübersicht für die Auftragsdatenbearbeitung durch Microsoft Schweiz AG für die öffentlichen Verwaltungen beigelegt.
Wir orientieren an dieser Stelle über diese Rückmeldungen von Microsoft Schweiz AG um zu zeigen, dass offenbar in der Zwischenzeit wieder zahlreiche Erweiterungen zur Bereitstellung von organisatorischen und technischen Sicherungsmassnahmen bei einer vollständigen Auslagerung der Datenbearbeitung und Datenspeicherung unter Einsatz von MS365-Produkten und Services zur Verfügung stehen. Dazu gehören auch Möglichkeiten des Customer-Keys und der Key-Souveränität (vgl. unten).
Der Verein SSGI hat Microsoft nachfolgende Fragen gestellt und dazu folgende Antworten erhalten:
In diesem Zusammenhang fragen wir Sie an,
1. Ob Microsoft für TEAMS und EXCHANGE (aus der Cloud) zusätzliche spezielle Funktionalitäten für die Transport- und die Speicherverschlüsselung von besonders schützenswerten Personendaten und sensiblen Sachdaten (Amtsgeheimnisdaten, strategische Daten) anbieten kann und wenn ja welche?
MSFT:
2. Zudem bitte ich um Mitteilung, welche vertraglichen Grundlagen Microsoft für den datenschutzkonformen Auftragsdatenverarbeitungsvertrag (ADVV) zwischen der Stadtverwaltung Zug und Microsoft Schweiz AG bietet?
MSFT:
3. Gibt es aus Sicht von Microsoft Schweiz AG weitere Vertragsunterlagen, welche in einem ADVV zwischen einer öffentlichen Verwaltung der Schweiz (hier: Stadtverwaltung Zug) und Microsoft Schweiz AG oder Microsoft generell referenziert und einbezogen werden müssten? Wenn ja, könnten Sie uns diese zur Verfügung stellen.
MSFT:
a.) Kundendaten innerhalb von Europa gespeichert und verarbeitet werden und
b.) neu auch Logdaten/dienstgenerierte Daten welche pseudonymisierte Personendaten enthalten könnten, ebenfalls in Europa verarbeitet und gespeichert werden.
Für weiterführende Fragen nehmen Sie mit dem Verein SSGI Kontakt auf.
Die Arbeitsgruppe wird neu ab 1.1.2024 ihre Aktivitäten gemäss Zielsetzung- und Leistungsbeschrieb aufnehmen. Der Zielsetzungs- und Leistungsbeschrieb wird an der Vorstandssitzung vom 21.2.2024 verabschiedet.
Sie steht vorerst unter der Leitung des Präsidenten SSGI, bis die Arbeitsgruppe etabliert ist.