Login-Lösungen für Umfragen Technologie und Gouvernanz
Ausgangslage Bezugspflicht
Müssen Personen in Applikationen der zentralen Bundesverwaltung einloggen, ist die Nutzung eines Services wie eIAM aus dem entsprechenden Standarddienst obligatorisch (Bezugspflicht, andere Login-/IAM-Systeme sind nicht zulässig). Für die dezentrale Bundesverwaltung ist die Nutzung des Standarddienstes möglich, aber nicht verpflichtend.Fünf Terme benötigen eine nähere Definition, damit die Bezugspflicht korrekt ausgelegt werden kann:
- Applikationen der zentralen Bundesverwaltung
Der Term "Applikationen der zentralen Bundesverwaltung" erfasst sämtliche Applikationen, unabhängig von ihrer Betriebsart und ihrem Betriebsort; auch gemietete SaaS unterliegen der Bezugspflicht . - Personen, die einloggen
Erfasst sämtliche Personen: Mitarbeitende, Partner, Privatpersonen, natürliche Personen handelnd für Gesellschaften etc. In anderen Worten: Die Bezugspflicht gilt intern im Enterprise-Kontext wie extern, z. B. im E-Government-Kontext. - Einloggen im Sinne der DigiV W008
Prinzipiell gilt als Einloggen / Login im Sinne der DigiV W008 jede Transaktion, bei welcher eine Person ein oder mehrere Geheimnisse oder Pseudo-Geheimnisse – auch bezeichnet als Loginfaktoren – eingeben muss, um Zugriff auf eine Applikation, deren Funktionen und Daten zu erhalten. Allerdings gibt es im Bereich von Umfragen das Pattern "Fire-and-Forget", für welches die Bezugspflicht nicht gelten soll. - Pattern "Fire-and-Forget"
Fire-and-Forget ist gegeben, wenn zur Teilnahme an einer Umfrage Wegwerf-Loginfaktoren – üblicherweise ein zugestellter Code – verwendet werden, für eine EINMALIGE Teilnahme. Entsteht ein Datenraum, in welchen der Benutzer später für eine weitere Umfrage (z. B. ein Jahr später) wieder eintritt, ist Fire-and-Forget NICHT gegeben und die Bezugspflicht gilt. Ist eine Umfrage so ausgestaltet, dass ein Benutzer diese in mehreren Sitzungen absolviert (über Tage bis Wochen), ist das Pattern "Fire-and-Forget" jedoch weiterhin erfüllt. CAVE: Ist die Schutzstufe der Daten höher als 0A , gelten gesonderte Bestimmungen, siehe weiter unten. - Umfrage-Tool-Administratoren
Für diese gilt – unabhängig ob interne oder externe – die Bezugspflicht, wobei eine Ausnahme erteilt wird, wenn es sich nur um eine Handvoll Administratoren handelt; das BFS beantragt solche Ausnahmen im Spezialprozess bei der BK DTI anstelle des P035-Prozesses. CAVE: Ist die Schutzstufe der Daten höher als 0A , gelten gesonderte Bestimmungen, siehe weiter unten.
Schutzstufen höher als 0A
Was zu Schutzstufen höher als 0A führt, ist im DSG und in der ISchV geregelt (). Als Beispiel seien Gesundheitsdaten genannt. Das Umfragetool muss in diesem Fall wie folgt funktionieren:Entweder ist das Umfrage-Tool für die Umfrageteilnehmenden ein Briefkasten, in den man Daten "einwerfen" kann, die man bei einem Wiederbesuch jedoch keinesfalls wieder sieht, oder – wenn ein Datenraum mit Wiedereinsicht entsteht – dürfen die Umfrageteilnehmenden nur mit einem Login auf Level of Assurance 3 (LOA 3), auch bekannt als QoA 50 des Standarddienstes, die Wiedereinsicht erlangen. Es kann fallweise geprüft werden, ob eine Entschärfung durch absolute Anonymisierung / Pseudonymisierung ohne jegliche Personenrückschlüsse funktionieren könnte, was das notwendige LOA wieder unter 3 bringen kann; es ist hier aber grosse Vorsicht geboten – bereits die Kombination Geburtsdatum plus ein Gesundheitsinhalt gilt als nicht anonym/pseudonym.
Umfrage-Tool-Administratoren – auch wenn es nur einer ist – müssen zwingend über den Standarddienst auf LOA 3 (QoA 50) auf Daten mit Schutzstufen höher als 0A zugreifen.
Onboarding
"Wenn ein Umfragetool einen eIAM-User zum ersten Mal sieht..."
Verfahren: - eIAM lässt jede Person einloggen; das Umfrage-Tool entscheidet, was mit Ersterscheinungen zu tun ist (z. B. a) einfach zulassen oder b) einen tool-spezifischen Code verlangen, der versendet worden ist)
- Es wurden via eIAM Einladungen mit Onboarding-Codes verschickt; eIAM lässt nur Personen mit gültigem Onboarding-Code durch