Verordnung über die Informations- und Kommunikations-Technologie
(Vom 1. September 2015 ) Der Regierungsrat des Kantons Schwyz, gestützt auf §§ 3 und 4 des Gesetzes über die Organisation der Regierungsrates und der kantonalen Verwaltung vom 27. Nov ember 1986 2 sowie § 42 Abs. 3 des Gesetzes über die Öffentlichkeit der Verwaltung und den Datenschutz vom
23. Mai 2007
3 , beschliesst:
I. Allgemeine Bestimmungen
§ 1 Zweck
Diese Verordnung regelt Zuständigkeiten, Aufgaben und Sicherheitsanforderun- gen bei der Steuerung und beim Einsatz der Informations- und Kommunikations - Technologie (IKT) in der kantonalen Verwaltung.
§ 2 Geltungsbereich
1 Die Verordnung gilt für :
a) die Departemente, Staatskanzlei und Ämter der kantonalen Verwaltung;
b) die Benutzer der kantonale n IKT ;
c) Drittpersonen, soweit die Sicherheit, Funktionsfähigkeit und Verfügbarkeit der IKT betroffen sind.
2 Für die kantonalen Gerichte, Anstalten und Schulen gilt diese Verordnung insoweit, als diese IKT -Dienst leistungen des Kantons beziehen. Die Gericht e werden in diesem Fall gleich behandelt wie ein Departement, die Anstalten und Schulen wie ein Amt.
§ 3 Ausnahmen
Die Verordnung kommt namentlich nicht zur Anwendung bei:
a) Funk- , Alarmierungs -, Schliess - und Einsatzleit systemen sowie der Notruft e- lefonie de r Kantonspolizei;
b) speziellen I KT-Mittel n, die der polizeilichen Ermittlungsarbeit und weiteren spezifischen Polizeitätigkeiten dienen;
c) eigenen Netzen der kantonalen Schulen;
d) kantonalen Anlagen der Gebäudetechnik;
e) kantonseigenen Anlagen, die ausschliesslich der Steuerung technischer Prozesse dienen.
Im Sinne dieser Verordnung bedeuten:
a) Informations - und Kommunikations -Technologie (IKT): die Steuerung, Pl a- nung und Einführung sowie der Betrieb und Unterhalt von Prozessen und Techniken, welche der elektronischen oder elektronisch unterstützten Bear- beitung von Informationen aller Art und deren Über mittlung inklusive Tel e- fonie dienen;
b) Informatik -und Kommunikations mittel: Geräte, Einrichtungen und Dienste, insbesondere Computersysteme, Computerprogramm e, Telefonie - und Ko m- munikationsdienste, die der elektronischen Erfassung, Verarbeitung, Spei- cherung, Übermittlung, Auswertung, Archivierung oder Vernichtung von I n- formatio nen dienen;
c) Basis -IKT: sämtliche Informatikbelange ohne die Fachanwendungen;
d) Fachanw endungen: Informatik programme, welche für die Aufgabenerfüllung der Ämter auf Benutzer ebene erforderlich sind;
e) Servicekatalog: Liste der Standarddienstleistungen, die das Amt für Inform a- tik im Bereich der IKT erbringt;
f) Benutzer: Person, welche von einem IK T-Mittel Gebrauch macht;
g) Informatik center : Dienste, die für die operativen Informatikbelange einer oder mehrerer Amtsstellen zuständig sind;
h) Telefoniedienste: umfass en alle Diens tleistungen im Zusammenhang mit der Mobil - oder Festnetztelefonie.
II. Grundsätze
§ 5 Ziele
1 Die IKT unterstützt die Wirtschaftlichkeit , Wirksamkeit und Sicherheit von Geschäfts abläufen.
2 Sie dient der Erfüllung der öffentlichen Aufgaben und richtet sich nach den Bedürfnissen der Benutzer.
§ 6 Beschaffung
1 Die Beschaffung von Informatik- und Kommunikationsmitteln erfolgt gemäss der Binnenmarkt gesetzgebung, den interkantonalen und kantonalen Vorschriften über das öffentliche Beschaffungswesen und der kantonale n Finanzhaushalt sge-
2 Die Allgemeinen Geschäftsbedingungen (AG B) der Schweizerischen Inform a- tikkonferenz (SIK) sind bei der Beschaffung von IKT- Produkten und -Leistungen grundsätzlich anzuwenden.
3 Vor der Beschaffung überprüft das Amt für Informatik die Einhaltung dieser Vorgaben. Es kann Weisungen für die Beschaffung erlassen, wobei es die B e- dürfnisse der Departemente und Ämter berücksichtigt .
1 Vorbehältlich der Anpassung von Standardprodukten werden in der kantonalen Verwaltung grundsätzlich keine eigenen Softwarelösungen entwickelt. Der Regi e- rungsrat entscheidet über Ausnahmen.
2 Bei der Beschaffung von neuen Softwarelösungen ist sicherzustellen, dass diese die Anforderungen des Datenschutzes, der Datensicherheit und der Revis i- onstauglichkeit erfüllen.
§ 8 Zusammenarbeit
Bei der Weiterentwicklung der Basis -IKT und der Fachanwendungen ist die harmonisierte Zusammenarbeit mit den Gemeinden und Bezirken, anderen Kantonen und dem Bund unter Wahrung der Grundsätze dieser Verordnung anzustreben. III. Zuständigkeiten
§ 9 Regierungsrat
Der Regierungsr at:
a) bestimmt und überwacht die mehrjährige IKT- Strategie;
b) legt die Organisation der Basis -IKT fest;
c) bezeichnet die Informatikcenter;
d) erlässt Weisungen über die Aufgaben des Amt es für Informatik und die Informatikcenter ;
e) entscheidet bei Uneinigkeiten zwischen den Departementen, Ämtern, dem Amt für Informatik und den Informatikcentern.
§ 10 Departement e und Staatskanzlei
Den Departementen und der Staatskanzlei obliege n: a) die v erordnungskonforme Verwendung der Informatik- und Kommunikat i- ons mittel; b) die Stellungnahme zu Vorhaben im Bereich der Basis -IKT ; c) die Koordination der Informatik- und Kommunikations belange innerhalb ihres Zuständigkeitsbereichs ; d) der Vollzug dieser Verordnung; e) die Führung der ihnen zugeteilten Informatikcenter .
§ 11 Finanzdepar tement
Dem Finanzdepartement obliegt:
a) die Entwicklung und Umsetzung der mehrjährigen IKT- Strategie;
b) die Führung der Basis -IKT , soweit nicht andere Stellen damit beauftragt
d) die Festlegung des IKT- Servicekatalogs;
e) die Zusammenarbeit mit den Departementen, der Staatskanzlei , den Ge- richten, Anstalten und Schulen zum Zweck einer geordneten und wirtschaf t- lichen Entwicklung der Informatik.
§ 12 Ämter
Die Ämter sind für den Einsatz ihrer Informatik - und Kommunikations mittel unter Einhaltung dieser Verordnung verantwortlich und nehmen insbesondere folgende Aufgaben wahr:
a) sie treffen alle erforderlichen Massnahmen technischer und organisator i- scher Art, um die Datenverarbeitungsanlagen, die Datenübermittlungsanl a- gen, den Datenbestand und die Datenträger vor missbräuchlicher Benutzung, Beschädigung, Verlust und Funktionsbeeinträchtigung zu schützen;
b) sie bestimmen die zur Bearbeitung von Daten befugten Personen und deren Zugriffsrechte;
c) sie gewähren dem kantonalen Datenschutzbeauftragten und der Finanzkon- trolle auf Verlangen im Rahmen derer Aufgabenerfüllung Einsicht in die Hi s- tor ie-Daten;
d) sie regeln mit ihrem zugeteilten Informatikcenter den Betrieb und den U n- terhalt ihrer Fachanwendungen.
§ 13 Amt fü r Informatik
1 Das Amt für Informatik ist verantwortlich für:
a) den Betrieb, den Unterhalt und die Weiterentwicklung der Basis -IKT ;
b) die Datensicherung und die - wiederherstellung;
c) die fachliche Leitung der kantonalen Informatikcenter ;
d) die Bereitstellung wirts chaftlicher und wirksamer Informatikmittel;
e) die Schaffung einer angemessenen Redundanz der Mittel der Basis -IKT ;
f) die Einhaltung der Vorgaben bei Beschaffungen;
g) die Genehmigung der IKT -Beschaffungen und Auslagerungsvorhaben der Ämter ;
h) die Unterstützung der Departemente und Ämter bei der Durchführung von IKT -Projekten;
i) die Sicherstellung eines bedürfnisgerechten Ausbildungsangebotes für die Informatikbenutzer;
j) die Erarbeitung des Servicekatalogs in Zusammenarbeit mit den Ä mtern und Informatik center n.
2 Das A mt für Informatik kann einzelne Aufgaben den Informatik center n übertr a- gen und Ausnahmen von der Genehmigungspflicht gemäss Bst. g festlegen.
3 Es kann den Bezirken und Gemeinden für die Beratung und Koordination in Informatikbelangen zur Verfügung stehen.
1 Die Informatikcenter sind für die Planung, die Realisierung, den Betrieb, den Support , die Sicherheit und die Überwachung der ihnen spezifisch zugeteilten Basis -IKT und der Fachanwendungen zuständig.
2 Die Informatikcenter erarbei ten, aktualisieren und entwickeln ein Notfallko n- zept für die Basis -IKT und Fachanwendungen in ihrem Zuständigkeitsbereich.
§ 15 Telefoniedienste
1 Die Aufgaben der Telefoniedienste werden vom Amt für Informatik wahrge- nommen.
2 Daneben bestehen folgende Zus tändigkeiten: a) das Hochbauamt veranlasst und überwacht die notwendigen baulichen I n- stallationen im Telefoniebereich in den Gebäuden der kantonalen Verwaltung in Koordination mit dem Amt für Informatik ; b) die Staatskanzlei führt die Telefonzentrale und ein aktuelles, zentrales Tel e- fonnummernverzeichnis ; c) das zuständige Informatikcenter kümmert sich um die spezifischen Komm u- nikationsbedürfnisse der Kantonspolizei und des kantonalen Führungsst a- bes .
IV. IKT -Sicherheit
§ 16 Sicherheitsgrundsätze
1 Die Infor matikmittel sind gegen Verlust und unerwünschte Einwirkungen zu sichern.
2 Es sind die notwendigen und geeigneten innerbetrieblichen Massnahmen zu treffen , um die Daten vor unbefugtem Zugriff und unbefugter Bearbeitung zu schützen.
§ 17 Zuständigkeiten
1 Das Amt für Informatik unterstützt die Dateninhaber und Betreiber von zentr a- len Datenbanken bei der Festlegung und der Umsetzung von Sicherheitsmas s- nahmen.
2 Das Finanzdepartement : a) legt nach Rücksprache mit den Departementen und der Staatskanzlei die Schutzziele fest ; b) erstellt einen Massnahmenplan zur Erreichung und Kontrolle der Schutzzi e- le; c) erlässt die notwendigen Weisungen.
§ 18 Verantwortlichkeit
1 Alle Benutzer und Drittpersonen im Sinne von § 2 sind für den rechtmässigen und sicheren Gebrauch der IKT- Mittel verantwortlich.
2 Diese Verordnung bildet einen integrierenden Bestandteil der Anstellungs - bzw. Auftragsbedingungen des Kantons.
§ 19 Grundsätze
1 Es dürfen nur die von den Informatikcenter n ber eitgestellten oder genehmigten IKT -Mittel verwendet werden.
2 Die Informatikmittel dienen grundsätzlich der Erfüllung dienstlicher Aufgaben.
3 Individuelle Benutzernamen und Passwörter sind persönlich und dürfen nicht an unberechtigte Dritte weitergegeben werden.
§ 20 Private Nutzung
1 Die Verwendung von IKT- Mitteln zu privaten Zwecken darf den Dienstbetrieb nicht erschweren oder einschränken.
2 Sie unterliegt unter Vorbehalt abweichender Regelungen den gleichen G e- brauchs - und Missbrauchsvorschriften wie di e dienstliche Benutzung.
3 Private Daten sind in einem separaten Verzeichnis abzulegen, das die Be- zeichnung „privat“ trägt.
§ 21 Berechtigungen im Umgang mit dienstlichen und privaten Daten
1 Ist der Dateninhaber verhinder t und besteht Notwendigkeit und Dringlichkeit , hat der Amts vorsteher oder eine von ihm schriftlich ermächtigte Person unter den folgenden Vorbehalten Zugang zu dessen dienstlichen und privaten Ver- zeichnissen:
a) als „privat “ gekennzeichnete Verzeichnisse dürfen weder geöffnet noch gelöscht w erden;
b) Daten, deren privater Inhalt aus dem Betreff oder Dateinamen ersichtlich ist , dürfen weder geöffnet noch gelöscht werden;
c) alle übrigen Daten dürfen zweck s Bearbeitung geöffnet werden;
d) Daten, deren privater Inhalt erst nach dem Öffnen ersichtlich ist , dürfen nicht mehr weiter bearbeitet werden und der Dateninhaber muss so bald wie möglich über den Vorgang informiert werden; e) über den Inhalt der geöffneten privaten Daten ist Stillschweigen zu bewa h- ren.
2 Bei Beendigung des Arbeits - bzw. Auftrags verhältnisses ha t der Dateninhaber seine privaten Daten zu löschen und die dienstlichen bzw. geschäftlichen Daten gemäss den Weisungen des Amts vorstehers oder der von ihm schriftlich ermäch- tigten Person bereitzustellen.
Auftrags verhältnisses nicht nachkommen, werden die privaten Daten in sinng e- mässer Anwendung von Abs. 1 aussortiert und gelöscht.
§ 22 Missbrauch
1 Missbräuchlich ist jede Verwendung der IKT -Mittel, die gegen diese Veror d- nung oder geltendes Recht verstösst.
2 Als missbräuchlich gilt insbesondere:
a) die Einrichtung, der Anschluss oder die Installation nicht bewilligter IKT - Mittel ;
b) die Manipulation von IKT -Mittel n des Kantons;
c) Vorkehrungen zur Störung des Betriebs der IKT- Mittel ;
d) die Erstellung, Speicherung, Ausführung und Verbreitung von Fernsteue- rungs -, Spionage- und Virenprogrammen;
e) der Versand von E -Mails in Täuschungs - oder Belästigungsabsicht und pr i- vate Massenversendungen;
f) der Zugriff auf Daten mit rassistischem oder pornogr afischem Inhalt sowie deren Erfassung, Verarbeitung, Speicherung und Übermittlung;
g) das widerrechtliche Kopiere n von Daten oder Software jeglicher Art.
VI. Schutz - und Kontroll massnahmen
§ 23 Technischer Schutz
1 Die Schutzmassnahmen bezwecken die Über prüfung und Gewährleistung der technischen Sicherheit, der Funktionsfähigkeit und der Verfügbarkeit der IKT- Mittel.
2 Zum Schutz gegen technischen Schaden und Missbrauch werden vorrangig technische Massnahmen eingesetzt, wobei die Interessen der Benutzer und Drittpersonen im Sinne von § 2 angemessen zu berücksichtigen sind.
3 Zur Verhinderung des Missbrauchs kann namentlich: a) der Zugang zu bestimmten Internetadressen oder Telefonnummern be- schränkt oder verhindert werden; b) ein geeignetes Überwachungs - oder Analysewerkzeug ein gesetzt werden, wobei Spionageprogramme nicht gestattet sind.
§ 24 Aufzeichnungen
1 Beim Benutzen der IKT -Mittel können jederzeit Kommunikationsranddaten und Systemprotokolle aufgezeichnet wer den:
a) bei der Anmeldung am PC;
b) beim Zugriff auf Standard- und Fachanwendungen sowie Datenbanken;
c) beim E-Mailverkehr;
d) beim Internet -Zugriff;
a) zur Kontrolle der Einhaltung dieser Verordnung; b) zur Behebung von Störungen bei den I KT-Systemen.
§ 25 Anonyme Auswertung
1 Die Aufzeichnungen können jederzeit in anonymer Form ausgewertet werden.
2 Die anonyme Auswertung dient ausschliesslich statistischen Zwecken und lässt keine Rückschlüsse auf einzelne Personen zu.
§ 26 Pseudonyme Auswertung
1 Wird aufgrund der anonymen Auswertung ein Missbr auch vermutet, kann das Amt für Informatik stichprobenartige, pseudonyme Auswertungen vornehmen.
2 Das betroffene Amt wird über das Resultat der pseudonymen Auswertungen informiert.
§ 27 Personenbezogene Auswertung
1 Besteht nach d er pseudonyme n Auswertung ein konkreter Missbrauchsverdacht oder steht der Missbrauch von IKT -Mittel n fest, können personenbezogene Aus- wertungen der Zugriffs -, E -Mail -, Internet - und Telefonprotokolle durch den Vorsteher des betr offenen Amt es oder den zuständigen Departementsvorsteher schriftlich angeordnet werden.
2 Das Amt für Informatik: a) führt d ie personenbezogenen Auswertungen durch; b) sichert die entsprechenden Protokolle; c) informiert den zuständigen Amts - oder Departements vorsteher umgehend über das Ergebnis der Auswertungen.
3 Der zuständige Amts - oder Departements vorsteher informiert die betroffene Person über das Ergebnis der personenbezogenen Auswertung.
§ 28 Vorbehaltene Massnahmen
Vorbehalten bleiben dringl iche, notwendige und verhältnismässige personenbe- zogene Auswertungen sowie die Datenweitergabe zur Schadenminderung, zur strafrechtlichen Verfolgung nach den Bestimmungen der Strafprozessordnung 4 oder im Rahmen der parlamentarischen Oberaufsicht gemäss § 13a der G e- schäftsordnung für den Kantonsrat 5 .
§ 29 Vernichtung von Aufzeichnungen und Auswertungen
Aufzeichnungen und Auswertungen werden spätestens nach sechs Monaten vernichtet, wenn sie nicht zur Beweisführung sicherzustellen sind.
§ 30 Zulässigkeit
1 Die Auslagerung von IKT -Dienstleistungen ist zulässig, sofern die Vor schriften über den Datenschutz und den Finanzhaushalt sowie die Bestimmungen dieser Verordnung eingehalten werden.
2 Die Auslagerung setzt eine schriftliche Vereinbarung v oraus, die mindestens folgende Punkte regelt:
a) Inhalt der Leistungen der Parteien;
b) Wahrung des Amtsgeheimnisses sowie besonderer Geheimhaltungspflich- ten;
c) Verantwortlichkeiten;
d) verwendete Techniken, einschliesslich Entwicklung und Wartung;
e) Zugriffs - und Zutrittsrechte;
f) Sicherheits - und Datenlöschkonzept;
g) Standorte der Hardware und der Datenbearbeitung;
h) Kontrollrechte und Aufsicht;
i) Beizug von Dritten;
j) Leistungsstörungen und Konventionalstrafe;
k) angemessene Massnahmen;
l) Aufbewahrung und Archivierung;
m) Sicherstellung des Eigentums an Daten und Hilfsprogrammen zur Weiter- verwendung bei Auflösung des Vertrages;
n) Rückführung und Löschung der Daten im Fall der Vertragsauflösung.
3 Die auslagernde Verwaltungseinheit stellt durch organisatorische, technische und vertragl iche Vorkehrungen sicher, dass die kantonale Aufgabenerfüllung auch dann ohne wesentliche Beeinträchtigung gewährleistet ist, wenn der Auf- tragnehmer Abmachungen nicht einhält oder die Geschäftstätigkeit einstellt.
§ 31 Genehmigungspflicht
1 Die Auslagerung von IKT -Dienstleistungen von übergeordneter Bedeutung bedarf der Genehmigung des Regierungsrates.
2 Die übrigen Auslagerungsvorhaben sind vom Amt für Informatik zu genehm i- gen. VIII. Schlussbestimmungen
§ 32 Vollzug
Der Regierungsrat regelt das Verfahren und die Herausgabe von Daten nach den
1 Diese Verordnung tritt a m 1. Oktober 2015 in Kraft.
2 Sie wird im Amtsblatt veröffentlicht und in die Gesetzsammlung aufgenom- men.
1 GS 24 -47.
2 SRSZ 143.110.
3 SRSZ 140.410.
4 SR 312.0.
5 SRSZ 142.110.
Feedback