Verordnung über die Bewilligung für das Amt für Informatik und Telekommunikation zur Auslagerung der Bearbeitung gewisser Daten in die «Cloud» (Pilotprojekte)
Verordnung über die Bewilligung für das Amt für Informatik und Telekommunikation zur Auslagerung der Bearbeitung gewisser Daten in die «Cloud» (Pilotprojekte) vom 04.12.2018 (Fassung in Kraft getreten am 01.12.2018) Der Staatsrat des Kantons Freiburg gestützt auf Artikel 21 des Gesetzes vom 2. November 2016 über den E- Government-Schalter des Staates (E-GovSchG); nach Einsicht in die Stellungnahme der kantonalen Behörde für Öffentlich - keit und Datenschutz vom 16. Juli 2018; in Erwägung: Cloud Computing ist für den Staat Freiburg unerlässlich, um den Grundstein für die Digitalisierung der Verwaltung zu legen und den Einsatz von E- Government zu erleichtern. Für die Auslagerung von IT-Dienstleistungen in Form von Cloud Computing sind die derzeitigen Rechtsgrundlagen allerdings unzureichend. Nach Artikel 21 E-GovSchG kann der Staatsrat jedoch befristete Pilotversu - che im Bereich der Digitalisierung vor der Verabschiedung einer formalen Rechtsgrundlage bewilligen. Der Rückgriff auf diese Kompetenzdelegation ist im vorliegenden Fall unbedingt notwendig, um gezielt Cloud-Lösungen zu testen und die erforderlichen technischen Optionen, insbesondere im Bereich der Sicherheit, auszuloten. Das so erworbene Wissen wird in die laufenden und kommenden Gesetzge - bungsarbeiten einfliessen, die damit auf eine konkrete und zweckmässige Grundlage abstellen können. Auf Antrag der Finanzdirektion, beschliesst:
Art. 1
1 Dem Amt für Informatik und Telekommunikation (ITA) wird die Bewilli - gung erteilt, die Bearbeitung gewisser Daten des Staates Freiburg im Rahmen der folgenden Pilotprojekte in die «Cloud» auszulagern:
a) «Kollaborative Office-Tools» Microsoft 365 von Microsoft;
b) «Unified-Communications-Services» CiscoWebex Teams von Cisco;
c) «Front-End-Dokumentation» SAP Enable Now von SAP;
d) «Beschaffungs- und Vertragsverwaltung» SAP Ariba von SAP.
Art. 2
1 Jedes Pilotprojekt ist zeitlich befristet und auf genaue Testnutzerpopulatio - nen (Test-User) beschränkt.
2 Die spezifischen Bedingungen für jedes einzelne Projekt werden in den An - hängen 1 bis 4 aufgeführt, die integraler Bestandteil dieser Verordnung sind.
Art. 3
1 Im Falle eines Datenlecks oder eines Applikationsfehlers informiert das ITA unverzüglich den Staatsrat und die kantonale Behörde für Öffentlichkeit und Datenschutz.
2 Das ITA übermittelt dem Staatsrat und der kantonalen Behörde für Öffent - lichkeit und Datenschutz den Beurteilungsbericht nach Artikel 21 Abs. 3 E- GovSchG.
Art. 4
1 Diese Verordnung wird rückwirkend auf 1. Dezember 2018 in Kraft gesetzt und gilt bis 31. Dezember 2020.
2 Beschliesst der Staatsrat anhand des Beurteilungsberichts die Fortführung der Bearbeitung von Daten nach Artikel 1, so bleiben die einschlägigen Be - stimmungen dieser Verordnung bis 31. Dezember 2022 oder bis zum Inkraft - treten der erforderlichen formalen Rechtsgrundlagen in Kraft. A1 ANHANG1 – «Kollaborative Office-Tools» Microsoft 365 Art. A1-1 Zweck
1 Mit diesem Pilotprojekt werden folgende Ziele verfolgt:
a) die technischen Merkmale von Cloud-Diensten für die Erarbeitung der erforderlichen Rechtsgrundlagen ausloten;
b) abklären, welche Sicherheitsanforderungen bei der Erarbeitung dieser Rechtsgrundlagen zu berücksichtigen sind;
c) digitales Vertrauen schaffen, indem den am Pilotprojekt beteiligten Ein - heiten kollaborative Cloud-Lösungen zur Verfügung gestellt werden;
d) die Akzeptanz bei diesen Einheiten testen und Feedback von ihnen sammeln, damit anschliessend eine rasche Implementierung erfolgen kann. Art. A1-2 Projektumfang
1 Am Pilotprojekt nehmen folgende Personen und Einheiten teil:
a) einige von der Informatikkommission im Unterrichtswesen ausgewählte Schulen, und zwar die Pädagogische Hochschule Freiburg, das Kollegi - um Gambach, die Gewerbliche und Kaufmännische Berufsfachschule Bulle und die Kaufmännische Berufsfachschule Freiburg;
b) die Mitglieder des Grossen Rates und seines Sekretariats;
c) die Mitglieder des Staatsrats;
d) die Staatskanzlei;
e) die Generalsekretariate der Direktionen des Staatsrats;
f) das Amt für Informatik und Telekommunikation (ITA);
g) die Kantonale Gebäudeversicherung (KGV). Art. A1-3 Datenkategorien
1 In die Cloud ausgelagert werden die mit kollaborativen Office-Tools (Mes - saging, persönliche und gemeinsame Kalender, Notizen) bearbeiteten Daten. Art. A1-4 Datenzugriffsrechte
1 Die Datenzugriffsrechte werden von den internen Administratorinnen und Administratoren des ITA nach den geltenden Grundsätzen für die interne Nutzung verwaltet. Art. A1-5 Datensicherheit
1 Mit folgenden Vorgaben sollen Datenschutz und Datensicherheit gewährleistet werden:
a) Die Datenbearbeitung wird in ein europäisches Land ausgelagert, des - sen Datenschutzniveau dem Schweizer Niveau entspricht.
b) Die Daten werden verschlüsselt, und der Kodierungsschlüssel wird vom ITA verwahrt.
c) Das ITA informiert die Nutzerinnen und Nutzer in geeigneter Weise über die mit der Nutzung der Anwendung verbundenen Risiken und die Massnahmen, die zu treffen sind, um die Vertraulichkeit der Datenbear - beitung zu gewährleisten.
Art. A1-6 Verantwortung
1 Das Pilotprojekt wird unter der Verantwortung des ITA durchgeführt, das alle geeigneten Massnahmen trifft, um Datenschutz und Datensicherheit zu gewährleisten, und steht unter der Aufsicht der Informatikkommission des Staates. Art. A1-7 Vertragsmodalitäten
1 Die Verträge für das Pilotprojekt unterstehen schweizerischem Recht und enthalten eine Geheimhaltungsklausel und eine Gerichtsstandsklausel (Ge - richtsstand in der Schweiz). A2 ANHANG 2 – «Unified-Communications-Services» Cisco Webex Teams Art. A2-1 Zweck
1 Mit diesem Pilotprojekt werden folgende Ziele verfolgt:
a) die technischen Merkmale von Cloud-Diensten für die Erarbeitung der erforderlichen Rechtsgrundlagen ausloten;
b) abklären, welche Sicherheitsanforderungen bei der Erarbeitung dieser Rechtsgrundlagen zu berücksichtigen sind;
c) die Akzeptanz der Unified-Communications-Services bei den am Pilot - projekt teilnehmenden Einheiten testen;
d) Feedbacks sammeln, um festzulegen, welches Nutzerprofil künftig für den Implementierungsumfang zu berücksichtigen ist. Art. A2-2 Projektumfang
1 Das Pilotprojekt wird in folgenden Einheiten durchgeführt:
a) im ITA;
b) im Amt für Mobilität;
c) in der Kantonalen Steuerverwaltung. Art. A2-3 Datenkategorien
1 Bei den bearbeiteten Daten handelt es sich um Daten, die zwischen den Nut - zerinnen und Nutzern über Instant Messenging, File Sharing, Videokonferen - zen, Anrufe und andere integrierte Kommunikationsmittel ausgetauscht wer - den.
Art. A2-4 Datenzugriffsrechte
1 Die Nutzungsrechte für die Lösung werden vom ITA verwaltet. Der Aus - tausch von Dokumenten erfolgt hingegen durch die Nutzerinnen und Nutzer. Art. A2-5 Datensicherheit
1 Mit folgenden Vorgaben sollen Datenschutz und Datensicherheit gewährleistet werden:
a) Die Datenbearbeitung wird in ein europäisches Land ausgelagert, des - sen Datenschutzniveau dem Schweizer Niveau entspricht.
b) Die Daten werden verschlüsselt, und der Kodierungsschlüssel wird vom ITA verwahrt.
c) Das ITA informiert die Nutzerinnen und Nutzer in geeigneter Weise über die mit der Nutzung der Anwendung verbundenen Risiken und die Massnahmen, die zu treffen sind, um die Vertraulichkeit der Datenbear - beitung zu gewährleisten. Art. A2-6 Verantwortung
1 Das Pilotprojekt wird unter der Verantwortung des ITA durchgeführt, das alle geeigneten Massnahmen trifft, um Datenschutz und Datensicherheit zu gewährleisten, und steht unter der Aufsicht der Informatikkommission des Staates. Art. A2-7 Vertragsmodalitäten
1 Die Verträge für das Pilotprojekt unterstehen schweizerischem Recht und enthalten eine Gerichtsstandsklausel (Gerichtsstand in der Schweiz). A3 ANHANG 3 – «Front-End-Dokumentation» SAP Enable Now Art. A3-1 Zweck
1 Mit diesem Pilotprojekt werden folgende Ziele verfolgt:
a) die technischen Merkmale von Cloud-Diensten für die Erarbeitung der erforderlichen Rechtsgrundlagen ausloten;
b) abklären, welche Sicherheitsanforderungen bei der Erarbeitung dieser Rechtsgrundlagen zu berücksichtigen sind;
c) digitales Vertrauen schaffen, indem den am Pilotprojekt beteiligten Ein - heiten kollaborative Cloud-Lösungen zur Verfügung gestellt werden;
d) die Akzeptanz bei diesen Einheiten testen und Feedback von ihnen sammeln, damit anschliessend eine rasche Implementierung erfolgen kann.
Art. A3-2 Projektumfang
1 Das Pilotprojekt wird im ITA durchgeführt. Art. A3-3 Datenkategorien
1 Die bearbeiteten Daten beziehen sich auf den Inhalt von fachspezifischer Dokumentation (Benutzerhandbuch, Gebrauchsanweisung, einzuhaltende Verfahren, Prozessbeschreibung). Art. A3-4 Datenzugriffsrechte
1 Die Datenzugriffsrechte werden von den internen Administratorinnen und Administratoren des ITA nach den geltenden Grundsätzen für die interne Nutzung verwaltet. Art. A3-5 Datensicherheit
1 Mit folgenden Vorgaben sollen Datenschutz und Datensicherheit gewährleistet werden:
a) Die Datenbearbeitung wird in ein europäisches Land ausgelagert, des - sen Datenschutzniveau dem Schweizer Niveau entspricht.
b) Das ITA informiert die Nutzerinnen und Nutzer in geeigneter Weise über die mit der Nutzung der Anwendung verbundenen Risiken und die Massnahmen, die zu treffen sind, um die Vertraulichkeit der Datenbear - beitung zu gewährleisten. Art. A3-6 Verantwortung
1 Das Pilotprojekt wird unter der Verantwortung des ITA durchgeführt, das alle geeigneten Massnahmen trifft, um Datenschutz und Datensicherheit zu gewährleisten, und steht unter der Aufsicht der Informatikkommission des Staates. A4 ANHANG 4 – «Beschaffungs- und Vertragsverwaltung» SAP Ariba Art. A4-1 Zweck
1 Mit diesem Pilotprojekt werden folgende Ziele verfolgt:
a) die technischen Merkmale von Cloud-Diensten für die Erarbeitung der erforderlichen Rechtsgrundlagen ausloten;
b) abklären, welche Sicherheitsanforderungen bei der Erarbeitung dieser Rechtsgrundlagen zu berücksichtigen sind;
c) digitales Vertrauen schaffen, indem den am Pilotprojekt beteiligten Ein - heiten kollaborative Cloud-Lösungen zur Verfügung gestellt werden;
d) die Akzeptanz bei diesen Einheiten testen und Feedback von ihnen sammeln, damit anschliessend eine rasche Implementierung erfolgen kann. Art. A4-2 Projektumfang
1 Das Pilotprojekt wird im ITA durchgeführt. Art. A4-3 Datenkategorien
1 Bei den bearbeiteten Daten handelt es sich um Daten, die sich auf die Ein - käufe und die Leistungsverträge beziehen (Vertrag, Lieferanten, Preise, Da - ten usw.). Art. A4-4 Datenzugriffsrechte
1 Die Datenzugriffsrechte werden von den internen Administratorinnen und Administratoren des ITA nach den geltenden Grundsätzen für die interne Nutzung verwaltet. Art. A4-5 Datensicherheit
1 Mit folgenden Vorgaben sollen Datenschutz und Datensicherheit gewährleistet werden:
a) Die Datenbearbeitung wird in ein europäisches Land ausgelagert, des - sen Datenschutzniveau dem Schweizer Niveau entspricht.
b) Die Daten werden verschlüsselt.
c) Das ITA informiert die Nutzerinnen und Nutzer in geeigneter Weise über die mit der Nutzung der Anwendung verbundenen Risiken und die Massnahmen, die zu treffen sind, um die Vertraulichkeit der Datenbear - beitung zu gewährleisten. Art. A4-6 Verantwortung
1 Das Pilotprojekt wird unter der Verantwortung des ITA durchgeführt, das alle geeigneten Massnahmen trifft, um Datenschutz und Datensicherheit zu gewährleisten, und steht unter der Aufsicht der Informatikkommission des Staates.
Änderungstabelle – Nach Beschlussdatum Beschluss Berührtes Element Änderungstyp Inkrafttreten Quelle (ASF seit 2002)
04.12.2018 Erlass Grunderlass 01.12.2018 2018_112 Änderungstabelle – Nach Artikel Berührtes Element Änderungstyp Beschluss Inkrafttreten Quelle (ASF seit 2002) Erlass Grunderlass 04.12.2018 01.12.2018 2018_112
Feedback