Die Ausgleichskassen in der Schweiz erhielten im Januar 2022 eine Vorabmitteilung des Bundesamtes für Sozialversicherungen (BSV), welche die Einführung neuer Vorgaben in Bezug auf Informationssicherheit und Datenschutz ankündigte. Damals wurden mit Blick auf die AHVG-Gesetzesrevision die «Empfehlungen zu den Mindestanforderungen an die Informationssysteme der Durchführungsstellen» publiziert, welche sich am internationalen Standard ISO 27001 orientieren.
Nun hat das BSV am 01.01.2024 die definitiven ISDS Weisungen (Informationssicherheit und Datenschutz) publiziert – rechtzeitig zum Inkrafttreten der gesetzlichen Anpassungen zur Modernisierung der Aufsicht ab 1. Januar 2024.
Die Empfehlungen von 2022
Die Empfehlungen legten damals schon fest, dass jede Durchführungsstelle ein Informationssicherheits-Management-System zu implementieren habe und darauf basierend entsprechende Richtlinien zu erlassen und zu kommunizieren seien. Ferner wurden Vorgaben zu etlichen Themengebieten entlang der bekannten Kontrollen des ISO 27001 definiert. So zum Beispiel zu Bereichen wie Telearbeit, Personal, Asset Management, Zugriffssteuerung und Kryptografie.
Seinerzeit wurde aber auch transparent kommuniziert, dass die Empfehlungen noch offene Punkte enthielten, die es bis zur Publikation der Weisungen auszuarbeiten galt. Darunter etwa die Beauftragung Dritter und Einbindung von Subunternehmen. Aber auch die Auftragsbearbeitung im Ausland und die Nutzung von Cloud-Diensten.
Die neue Weisung (W-ISDS)
Das Dokument «Weisungen zu den Audits über die Informationssicherheit und den Datenschutz (WAID)» befasst sich mit den IT-Audits, welche zukünftig im Auftrag des BSV durchgeführt werden, und den Auditoren, die diese durchführen sollen. Inhaltlich spannender für die Durchführungsstellen ist jedoch das zweite publizierte Dokument «Weisungen über die Anforderungen an die Informationssicherheit und den Datenschutz der Informationssysteme der Durchführungsstellen der 1. Säule/FamZ (W-ISDS)». Wenig überraschend enthalten die darin publizierten Weisungen fast alle Punkte, der vor zwei Jahren publizierten Empfehlungen.
Für einige Diskussionen sorgen dürfte die geklärte Haltung zum Thema Einsatz von Dritten und insbesondere Cloud-Diensten. In den ISDS-Anforderungen unter Punkt 2.15 finden sich zwei besonders prägnante Vorgaben, die im Folgenden genauer betrachtet werden sollen.
Verbot der Verarbeitung im Ausland
Erstens wird verlangt, dass «jederzeit sichergestellt werden (muss), dass keine Personendaten von Versicherten im Ausland bearbeitet werden, ausser es handelt sich um eine Bearbeitung, welche von Gesetzes wegen mit einem internationalen Datenaustausch verbunden ist.» Diese Anforderung fand sich bereits in den Empfehlungen von 2022. Und bereits diese Vorgabe allein verbietet die Nutzung der meisten Cloud-Dienste, sofern nicht sichergestellt ist, dass keine Personendaten von Versicherten im Ausland landen. Besonders restriktiv ist, dass das BSV dies nicht auf Daten über Massnahmen der Sozialhilfe im Sinne des DSG beschränkt hat (besonders schützenswert), sondern sich auf sämtliche Personendaten von Versicherten bezieht. Wozu notabene bereits ein Name, eine E-Mail-Adresse oder eine AHV-Nummer gehören. Neben der Verwendung von Cloud-Diensten betrifft dies auch den Einsatz von externen Dienstleistern, die Daten allenfalls im Ausland verarbeiten. Zwar ist im Vorwort des Dokuments diesbezüglich von einer Empfehlung die Rede, es muss aber wohl davon ausgegangen werden, dass es sich dabei um einen Copy-Paste-Fehler handelt. Derselbe Satz fand sich nämlich damals in der Mitteilung zu den Empfehlungen von 2022.
Starke Einschränkung der Nutzung von Public Cloud-Diensten
Neu gehen die Einschränkungen aber noch weiter. So wird verlangt, dass die «Cloud Prinzipien der Bundesverwaltung» eingehalten werden. Damit ist ein Dokument der Bundeskanzlei gemeint, welches seit 1. Oktober 2023 in Kraft ist. Es enthält unter anderem ein Stufenmodell, das beschreibt, welche Cloud-Modelle zur Verarbeitung welcher Daten genutzt werden dürfen. Die Einordnung der Datensensitivität basiert dabei einerseits auf der Klassifizierung nach dem Informationssicherheitsgesetz und andererseits auf dem Datenschutzgesetz. Besonders schützenswerte Personendaten, z.B. Daten zu Massnahmen der Sozialhilfe, sollen gemäss diesem Modell ausschliesslich auf Private Clouds des Bundes mit eigenen Anwendungen (keine Standardprodukte) verarbeitet werden oder klassisch on-prem ohne Cloud. Damit sind nicht nur Public Clouds generell verboten – auch solche von Schweizer Anbietern – sondern theoretisch auch Schweizer Private Clouds, sofern sie nicht vom Bund betrieben werden. Die Prinzipien lassen es aber zu, im Einzelfall – entsprechenden Analysen und angebrachten vertraglichen, organisatorischen und technischen Schutzmassnahmen vorausgesetzt – zum Schluss zu kommen, dass gewisse Daten mit erhöhtem Schutzbedarf doch in einer Public Cloud verarbeitet werden dürfen. Dies ist auch in der Weisung des BSV explizit nochmals erwähnt.
Kommentar
Die neuen Weisungen sind im Grundsatz absolut begrüssenswert. Sie sorgen für den notwendigen Druck, um die Informationssicherheit und den Datenschutz bei den Durchführungsstellen der 1. Säule auf ein angemessenes Niveau anzuheben. Das klare und strikte Verbot der Auslandsverarbeitung und die starke Einschränkung der Nutzung von Public Cloud-Diensten sind nachvollziehbar vor dem Hintergrund der rechtlichen Grundlage, der öffentlichen Wahrnehmung und der damit verbunden vorsichtigen Haltung des Bundesamtes für Sozialversicherungen.
Setzt man diese Restriktionen aber in den Kontext der Diskussionen rund um den Einsatz von Microsoft M365 in der öffentlichen Verwaltung, so stellt sich die Frage, ob hier das Korsett nicht unnötig eng geschnürt wurde. Insbesondere das Verbot der Verarbeitung im Ausland, auf sämtliche Personendaten von Versicherten zu beziehen, scheint übertrieben restriktiv. Hier wären Vorgaben, die die Einhaltung des Datenschutzes und des Sozialversicherungsgeheimnisses sicherstellen, jedoch nicht darüber hinausgehen, allenfalls zweckdienlicher gewesen. Im Vorwort zu den Weisungen wird das mit der komplexen datenschutzrechtlichen Lage begründet und mit Blick auf amerikanische Cloud-Anbieter auf die Problematik rund um den Cloud-Act verwiesen.
Beim Umgang mit Microsoft Office, welches auch gemäss Aussage des Bundes faktisch alternativlos ist, stehen die Ausgleichskassen nun vor der Wahl zwischen Pest und Cholera.
- Sie können weiterhin auf die on-prem Lösungen setzen und hoffen, dass sich Microsoft nochmals dazu bringen lässt, neue Versionen herauszubringen oder den Support zu verlängern.
- Sie können M365 einführen, ohne den Vorgaben allzu genau zu folgen und einen erzwungenen Rückbau so wie allfällige Rufschädigung zu riskieren.
- Oder sie führen M365 mit allen notwendigen Kontrollen und Abklärungen ein, was mit etlichen Funktionseinschränkungen verbunden ist und zudem einen erheblichen Aufwand bedeutet, der sich schlussendlich auch in entsprechenden Kosten manifestiert.
Inwiefern diese starken Einschränkungen der Informationssicherheit im generellen oder dem Datenschutz im speziellen dienlich sind, darf diskutiert werden.
