Lexipedia

AS 2023 738

Verordnung über die Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes (IAMV)

Präambel

Der Schweizerische Bundesrat

verordnet:

I

Die Verordnung vom 19. Oktober 20161 über Identitätsverwaltungs-Systeme und Verzeichnisdienste des Bundes wird wie folgt geändert:

Ingress

gestützt auf Artikel 26 und 84 Absatz 1 des Informationssicherheitsgesetzes vom 18. Dezember 20202 (ISG),
auf das Bundesgesetz vom 17. März 20233 über den Einsatz elektronischer Mittel zur Erfüllung von Behördenaufgaben (EMBAG),
auf das Regierungs- und Verwaltungsorganisationsgesetz vom 21. März 19974 (RVOG),
auf Artikel 27 Absätze 5 und 6 des Bundespersonalgesetzes vom 24. März 20005
und auf Artikel 186 des Bundesgesetzes vom 3. Oktober 20086 über militärische und andere Informationssysteme im VBS,

Art. 2 Geltungsbereich

1 Die Artikel 24 und 25 ISG sowie diese Verordnung gelten für:

  • a. die Verwaltungseinheiten der zentralen Bundesverwaltung nach Artikel 7 der Regierungs- und Verwaltungsorganisationsverordnung vom 25. November 19987 (RVOV);

  • b. die Armee.

2 Die Geltung dieser Verordnung für die Verwaltungseinheiten der dezentralen Bundesverwaltung nach Artikel 2 Absatz 3 RVOG und Organisationen nach Artikel 2 Absatz 4 RVOG richtet sich nach Artikel 2 Absätze 2 Buchstabe b und 3 der Informationssicherheitsverordnung vom 8. November 20238 (ISV).

Art. 5 IAM-Systeme

1 Die folgenden Bundesorgane sind für die nachstehenden IAM-Systeme der zentralen Bundesverwaltung verantwortlich:

  • a. der Bereich digitale Transformation und IKT-Lenkung der Bundeskanzlei (Bereich DTI der BK) für:

    1. alle als Standarddienste angebotenen oder dem Bereich DTI der BK ausdrücklich zugewiesenen IAM-Systeme einschliesslich derer Zurverfügungstellung an Kantone und Gemeinden sowie Organisationen und Personen des öffentlichen oder privaten Rechts nach Artikel 11 Absatz 3 EMBAG,

    2. das IAM-System der Supportprozesse Finanzen, Beschaffung, Immobilien und Logistik einschliesslich der Cloud-Anbindungen;

  • b. die Direktion für Ressourcen im Eidgenössischen Departement für auswärtige Angelegenheiten (EDA) für das von der Informatik EDA betriebene IAM-System;

  • c. das Generalsekretariat des Eidgenössischen Departements für Verteidigung, Bevölkerungsschutz und Sport für die von der Gruppe Verteidigung (Gruppe V) betriebenen IAM-Systeme;

  • d. die Eidgenössische Finanzverwaltung für das in der zentralen Ausgleichsstelle betriebene IAM-System zur Versorgung der Sozialversicherungssysteme der 1. Säule und deren Prozessunterstützung;

  • e. das Generalsekretariat des Eidgenössischen Departements für Wirtschaft, Bildung und Forschung (WBF) für das beim Information Service Center WBF (ISCeco) betriebene IAM-System;

  • f. das Bundesamt für Strassen für sein IAM-System zum Betrieb der Betriebs- und Sicherheitsausrüstungen der Nationalstrassen.

2 Sie sorgen dafür, dass die Bearbeitung der Personendaten in den IAM-Systemen, für die sie verantwortlich sind, mindestens alle vier Jahre von einer externen Stelle überprüft wird.

3 Die folgenden Organe sind für die nachstehenden IAM-Systeme verantwortlich:

  • a. die Gruppe V für die IAM-Systeme der Armee;

  • b. die jeweiligen Verwaltungseinheiten für die IAM-Systeme der Verwaltungseinheiten der dezentralen Bundesverwaltung;

  • c. die jeweiligen Organisationen für die IAM-Systeme der Organisationen nach Artikel 2 Absatz 4 RVOG.

4 Verpflichtete Behörden nach Artikel 2 Absatz 1 Buchstaben a und c–e ISG, auf die diese Verordnung gemäss Artikel 84 Absatz 3 ISG anwendbar ist, legen fest, welche die in ihrem Bereich verantwortlichen Bundesorgane sind.

5 Die Verantwortung für das nachgelagerte System, insbesondere für den Zugang dazu, bleibt bei der Fachstelle, die für dieses zuständig ist.

Art. 6 Bst. b Ziff. 3

Die für Verzeichnisdienste ausserhalb von IAM-Systemen verantwortlichen Bundesorgane sind:

  • b. für die anderen Verzeichnisse: die Informatik-Leistungserbringer, die diese Systeme betreiben, im Einzelnen:

    1. die Gruppe V,

Art. 7 Bst. b

Die betroffenen Personen machen ihre Rechte in Bezug auf IAM-Systeme und Verzeichnisdienste bei den folgenden Stellen geltend:

  • b. ihr Berichtigungs- und Vernichtungsrecht:

    1. beim Personaldienst ihrer Verwaltungseinheit oder ihrer Organisation oder bei der sonst für die Nachführung ihrer Daten zuständigen Stelle,

    2. im Falle von Artikel 9 Buchstabe b: bei den verantwortlichen Organen.

Art. 9 Bst. b

In den IAM-Systemen können, zusätzlich zu den Daten nach Artikel 8, Daten der folgenden Personen bearbeitet werden:

  • b. von Privatpersonen und Vertreterinnen oder Vertretern von Organisationen, die auf vom Bund oder, für den Vollzug von kantonalem Recht, von Kantonen und Gemeinden sowie Organisationen und Personen des öffentlichen oder privaten Rechts bereitgestellte Informationssysteme, wie E-Government-Anwendungen, zugreifen.

Art. 11 Abs. 2 und 3

2 Es darf in diesen Systemen kein Profiling nach Artikel 5 Buchstaben f und g des Datenschutzgesetzes vom 25. September 20209 durchgeführt werden.

3 Es dürfen in diesen Systemen, sofern hierfür keine besondere rechtliche Grundlage besteht, keine besonders schützenswerten Personendaten bearbeitet werden. Davon ausgenommen ist die Bearbeitung biometrischer Daten durch IAM-Systeme zur risikogerechten Identifizierung von Personen nach den Artikeln 8 und 9 Buchstabe a (Art. 20 Abs. 2 ISG).

Art. 12 Abs. 4

4 Sie können Daten von externen Personen automatisch von externen IAM-Systemen beziehen, die nach den Artikeln 21–24 mit den IAM-Systemen des Bundes verbunden sind.

Art. 13 Abs. 4 Bst. a

4 Die Daten können weiteren bundesinternen Informationssystemen automatisch zur Übernahme und zum Abgleich bereitgestellt werden, sofern das jeweilige System:

  • a. über eine Rechtsgrundlage, welche die Bearbeitung der bereitzustellenden Daten vorsieht, und ein Bearbeitungsreglement nach Artikel 6 der Datenschutzverordnung vom 31. August 202210 (DSV) verfügt; und

Art. 14 Abs. 2

2 Vorbehalten bleiben die Bestimmungen über die Vernichtung von biometrischen Daten nach Artikel 20 Absatz 2 ISG.

Gliederungstitel vor Art. 18

6. Abschnitt: Massnahmen zum Schutz der IAM-Systeme und Verzeichnisdienste

Art. 18 Abs. 1 und 2

1 Interne und externe Betreiber von Komponenten eines IAM-Systems oder Verzeichnisdiensts müssen über schriftlich festgehaltene Vorgaben für die Handhabung der Informationssicherheit und der Risiken verfügen. Insbesondere erlässt jedes nach dieser Verordnung verantwortliche Organ eines Systems oder Verzeichnisdiensts ein Bearbeitungsreglement nach Artikel 6 DSV11.

2 IAM-Systeme und Verzeichnisdienste, die nicht von Stellen nach Artikel 2 oder in deren Auftrag geführt werden, dürfen nur mit bundesinternen IAM-Systemen oder Verzeichnisdiensten verbunden werden, wenn sie die Minimalanforderungen bezüglich der Informationssicherheit erfüllen.

Art. 20 IAM-Gesamtsystem

Die IAM-Systeme des Bundes können untereinander und mit den externen IAM-Systemen nach Artikel 21 zu einem Gesamtsystem verbunden werden.

Art. 21 Einleitungssatz und Bst. a

Die nachstehenden externen IAM-Systeme können für den Zugang der in ihnen geführten Personen zu den Ressourcen des Bundes an die IAM-Systeme des Bundes angeschlossen werden, sofern sie die Bedingungen und Verfahren nach den Artikeln 22 und 23 einhalten und ihre Betreiber sich verpflichten, diese Verordnung und die gestützt darauf erlassenen Vorgaben einzuhalten oder im Falle der Kantone diese eine mindestens gleichwertige Informationssicherheit gewährleisten:

IAM-Systeme mit kantonalen und kommunalen Mitarbeiterinnen und Mitarbeitern nach Artikel 9 Buchstabe a sowie IAM-Systeme des Fürstentums Liechtenstein;

Art. 24 Abs. 1 Bst. a

1 IAM-Systeme des Bundes können als Lieferant von Identitäts- und Authentifizierungsinformationen an ein externes IAM-System oder einen externen Identitätsverbund angeschlossen werden, wenn die folgenden Voraussetzungen erfüllt sind:

  • a. Der Anschluss dient dazu, Personen nach Artikel 8 oder 9 den Zugang:

    1. zu im Auftrag des Bundes von Externen betriebenen Informationssystemen oder zu fremden Informationssystemen zu gewähren, auf die sie zur Erfüllung ihrer gesetzlichen Aufgaben zugreifen müssen; oder

    2. zu für den Vollzug von kantonalem Recht von Kantonen und Gemeinden sowie Organisationen und Personen des öffentlichen oder privaten Rechts bereitgestellten Informationssystemen, wie E-Government-Anwendungen, zu gewähren.

II

Der Anhang erhält die neue Fassung gemäss Beilage.

III

Diese Verordnung tritt am 1. Januar 2024 Kraft.

8. November 2023

Im Namen des Schweizerischen Bundesrates

Der Bundespräsident: Alain Berset
Der Bundeskanzler: Walter Thurnherr

Anhang

(Art. 11 sowie 13 Abs. 1 und 2)

Datenkategorien

Vorbemerkung: Zur Bedeutung der Sterne (*) siehe Artikel 11 Absatz 4.

Verzeichnisdienste

IAM-Systeme mit Personen nach Art. 8 und 9 Bst. a

IAM-Systeme mit Personen nach Art. 9 Bst. b

  • a. Angaben zur Person

  1. Name*

x

x

x

  1. Vornamen*

x

x

x

  1. Geburtsdatum

x

x

  1. Geburtsort

x

  1. Nationalität

x

  1. Geschlecht

x

x

  1. Anrede*

x

x

x

  1. Titel*

x

x

x

  1. Initialen*

x

x

x

  1. lokale Personenidentifikatoren

x

x

x

  1. Berufsbezeichnung*

x

x

x

  1. Korrespondenzsprache*

x

x

x

  1. besondere biometrische Personenmerkmale, insbesondere Irisbild, Retina, Venenscan, Fingerabdruck, Handabdruck, Gesichtsformmerkmale und Stimmprofil

x

  1. Gesichtsbild

x

x

x

  1. AHV-Nummer

x

x

x

  • b. Angaben zum Verhältnis zum Arbeit-/Auftraggeber

  1. Anstellungsverhältnis (intern/extern)*

x

x

  1. Informationen zur Organisation und zu den Planstellen*

x

x

x

  1. künftige Zuordnung zu einer Organisationseinheit

x

x

  1. Personalkategorie

x

  1. Personalnummer (auch kantonale)

x

x

  1. Funktion*

x

x

  1. Stellenbezeichnung*

x

x

  1. Kennung des Personalinformationssystems (Quelle)

x

x

  1. Eintritts- und Austrittsdatum

x

x

  1. Ausweis- und/oder Badgenummer

x

x

x

  • c. Kontaktangaben

  1. Arbeitsort und geschäftliche Postadresse*

x

x

x

  1. private Postadresse

x

  1. Büronummer*

x

x

  1. geschäftliche Adressierungselemente* wie E‑Mail‑Adresse*, Telefonnummern*, Faxnummer*, VOIP‑Adresse*

x

x

x

  1. externe Adressierungselemente*

    (für Mitarbeiter/innen und Beauftragte*) oder private Adressierungselemente

x

x

x

  • d. Angaben zu beruflichen Funktionen

  1. Einträge aus offiziellen Berufsregistern (Arzt/Ärztin, Urkundsperson, Anwalt/Anwältin usw.)

x

x

  1. Funktionen gemäss Handelsregister und weiteren Vertretungsregistern

x

x

  • e. technische Angaben

  1. zugeordnete Geräte, Anschlüsse, Systeme, Anwendungen usw.

x

x

x

  1. Adressierungselemente, Kennnummern usw.

x

  1. Systemsprache der Geräte, Anschlüsse usw.

x

x

x

  1. öffentliche Schlüssel der digitalen Zertifikate*

x

x

x

  1. Berechtigungsgruppen

x

x

x

  1. Namen für die Anmeldung an den IT-Systemen

x

x

x

  1. Passwörter (kryptographisch gesichert)

x

x

  1. letztes Login

x

x

  1. fehlgeschlagene Login-Versuche

x

x

  1. Status (aktiv/passiv)

x

x

  • 11. Authentisierungsqualität

x

x

  • f. Daten über die Personensicherheitsprüfung, sofern diese zu einer vorbehaltlosen Sicherheitserklärung geführt hat oder die entscheidende Instanz einen positiven Entscheid gefällt hat.

  1. Prüfstufe

x

  1. Geltungsdauer der Sicherheitserklärung

x