Rollen und Verantwortlichkeiten beim Einsatz von Cloud-Produkten
Um externe Cloud-Dienste an der ETH einheitlich nutzen zu können, sind insbesondere folgende Rollen definiert worden:
Rolle
«Service-Vermittelnde» beziehen externe IT-Dienstleistungen wie Cloud-Dienste und verantworten im Wesentlichen das Vertragsmanagement mit dem Cloud-Anbieter.
Typischerweise sind Service-Vermittelnde die zentralen Informatikdienste, die Informatik-Support-Gruppen, aber auch Professorinnen und Professoren, die für die Mitglieder ihrer Gruppe oder für das benachbarte Institut einen spezifischen Cloud-Dienst zur Verfügung stellen möchten, oder aber auch Departementsvorsteherinnen und -vorsteher bzw. -koordinatoren sowie Abteilungs- oder Stabsleitende etc.
Verantwortlichkeiten
Der/die Service-Vermittelnde überprüft im Zuge des Vertragsmanagements den vom externen Cloud-Dienst gebotenen Schutz für die auszulagernden Daten der ETH.
Aufgrund dieser Prüfung gibt er/sie den externen Cloud-Dienst für den vorgesehenen Einsatzzweck für ETH-Angehörige frei, d.h. publiziert (via CISO) die Nutzungsbedingungen der Cloud-Dienstleistung.
Rolle
Informationseigner:innen sind verantwortlich für die Daten, welche in ihrem Namen erhoben und bearbeitet werden und entscheiden im Wesentlichen, ob sie ihre Daten in externe Cloud-Dienste auslagern wollen oder nicht
Nota bene: Der Entscheid zur Auslagerung von Daten der ETH Zürich obliegt nicht den Service-Vermittelnden. Diese stellen lediglich einen externen Cloud-Dienst zur Verfügung und geben diesen Cloud-Dienst für einen spezifischen Einsatzzweck frei.
Verantwortlichkeiten
Informationseignerinnen und -eigner müssen vor allem in der Lage sein, einzuschätzen, ob ein innerhalb der ETH freigegebener Cloud-Dienst den Schutzanforderungen ihrer Daten gerecht wird. Sie sollen also das Risiko einschätzen, welches sie durch die Auslagerung ihrer Daten in den vorgesehenen Cloud-Dienst eingehen.
Abhängig von den auszulagernden Daten prüfen sie in diesem Zuge auch, ob ihre Daten eventuell der Exportkontrolle unterstehen oder aber ob eine Datenschutz-Folgeabschätzung notwendig wird, bevor die Daten in den externen Cloud-Dienst ausgelagert werden.
Rolle
Nutzende bearbeiten die Daten im Auftrag der Informationseigner:innen.
Nutzende sind alle Angehörigen der ETH Zürich und Dritte, die zur Nutzung von IT-Mitteln der ETH Zürich berechtigt sind, z.B. Gäste, Kongressteilnehmer, angeschlossene Organisationen, Bibliothekskunden an den öffentlichen Arbeitsplätzen, Mitarbeitende von Spin-off Unternehmen der ETH Zürich oder anderen Unternehmen, sofern eine entsprechende vertragliche Vereinbarung vorliegt, emeritierte Professoren und pensionierte Mitarbeitende.
Verantwortlichkeiten
Die Nutzung externer IT-Mittel zur Unterstützung im Tagesgeschäft (z.B. Applikationen wie Online-Übersetzungsdienste und andere), die nicht von der ETH Zürich werden, liegt in der Verantwortung des/der Benutzenden. Vertrauliche Daten, streng vertrauliche Daten oder dürfen mit solchen Diensten nicht bearbeitet werden.
Externe Cloud-Dienste, die durch die ETH verwaltet werden, können von den Nutzenden unter Umständen auch für interne und ggf. vertrauliche Daten genutzt werden, allerdings nur, wenn diese Dienste von den entsprechenden Service-Vermittelnden für solche Daten freigegeben wurden, und sofern der/die für die Nutzenden zuständige Informationseigner:innen eine solche Nutzung erlaubt. Im Zweifelsfall ist die/der Informationseigner:in zu kontaktieren.
Rolle
Lieferanten sind externe Partner und Erbringer von Cloud Dienstleistungen und Cloud Produkten. Die dafür notwendigen IT-Ressourcen befinden sich ausserhalb der ETH Zürich und können von der ETH in der Regel nicht direkt verwaltet werden.
Verantwortlichkeiten
Lieferanten legen die (sicherheits-) technischen und rechtlichen Rahmenbedingungen offen, die für die angebotenen Dienstleistungen gelten. Sie müssen die mit der ETH abgeschlossenen Verträge/Abmachungen, z.B. bzgl. Informationssicherheit und Business Continuity, einhalten.