Template

 

Die Nutzung von Cloud-Diensten stellt oft
datenschutzrechtliche Fragen

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.


Schlagwort

Hier steht der erste Tippl

Schlagwort

Hier steht der erste Tippl

Schlagwort

Hier steht der erste Tippl

Schlagwort

Hier steht der erste Tippl


Die Nutzung von Cloud-Diensten stellt oft datenschutzrechtliche Fragen

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.

Die Nutzung von Cloud-Diensten stellt oft datenschutzrechtliche Fragen

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.

Die Nutzung von Cloud-Diensten stellt oft datenschutzrechtliche Fragen

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.

Die Nutzung von Cloud-Diensten stellt oft datenschutzrechtliche Fragen

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.

Die Nutzung von Cloud-Diensten stellt oft datenschutzrechtliche Fragen

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.

Die Nutzung von Cloud-Diensten stellt oft datenschutzrechtliche Fragen

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.


Die Nutzung von Cloud-Diensten stellt oft datenschutzrechtliche Fragen

Was ist Cloud-Computing und wann ist es datenschutzrechtlich relevant?

Aus technischer Sicht bezeichnet «Cloud-Computing» die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen. 


Cloud-Computing-Beispiele: 

  • Office 365 Tools für die online Zusammenarbeit zwischen Mitarbeitenden;
  • Online Verwaltungstools von E-Mail-Adressen für Newsletter oder Kundenberatung;
  • Online CRM System;
  • Hochladen von Videos auf Streaming-Plattformen;
  • Hochladen von Dateien in einen remote Server, der über das Internet abrufbar ist etc. 

Wenn in diesem Rahmen Personendaten in eine Cloud übertragen werden, gelangt das Datenschutzrecht zur Anwendung.  

Der Verhältnis Cloud-Anbieterin und Kunde aus datenschutzrechtlicher Sicht

Das Unternehmen, das Cloud-Dienste anbietet, handelt in der Regel als Auftragsdatenbearbeiterin des Kunden (des Cloud-Nutzers) im Sinne von Art. 9 DSG. Der Kunde kann sowohl der Verantwortlicher für die Datenbearbeitung oder auch selbst ein Auftragsbearbeiter sein. Als Auftragsbearbeiter muss er die Anforderungen, welche durch den Verantwortlichen für seine Datenbearbeitungen festgelegt worden sind, erfüllen. Als Verantwortlicher trägt der Kunde selbst die Verantwortung dafür, dass die Datenbearbeitungen, die durch die Cloud-Anbieterin im Auftrag durchgeführt werden, datenschutzkonform erfolgen und dass die Rechte der betroffenen Personen durch diese Auslagerung nicht geschmälert werden.

Die Pflichten des Cloud-Nutzers

Der Cloud-Nutzer ist als Verantwortlicher verpflichtet, sich zu vergewissern und vertraglich abzusichern, dass er die Anforderungen an einer Auftragsbearbeitung gemäss Art. 9 DSG einhält. Hierzu verweisen wir auf unsere Erläuterungen zum Outsourcing bzw. Auftragsbearbeitung. 

Findet bei der Nutzung von Cloud-Diensten eine Datenbekanntgabe ins Ausland statt, dann muss ausserdem vor der Bekanntgabe ins Ausland geprüft werden, ob sie den gesetzlichen Anforderungen genügt. Wir verweisen dazu auf unsere Erläuterungen zur Datenbekanntgabe ins Ausland.  

Compliance-Herausforderungen

Cloud-Dienste zeichnen sich dadurch aus, dass sie als standardisierte Lösungen bereitgestellt werden. Dabei haben die Kunden kaum Verhandlungsspielraum und nur begrenzte Möglichkeiten, den Service an die Anforderungen ihrer Datenbearbeitungen anzupassen. Vor diesem Hintergrund kann es eine Herausforderung sein, die Vorgaben des Datenschutzes einzuhalten. 

Als Verantwortlicher tragen Sie die Hauptverantwortung dafür, dass die Datenbearbeitung rechtmässig erfolgt. Die Bestimmungen über den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 7 DSG) verpflichten Sie, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden und mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist. 

Wenn der standardisierte Dienst dies nicht bietet, können Sie prüfen, ob Sie die Möglichkeit haben, technische Massnahmen zu ergreifen, so dass potenzielle Datenschutzrisiken vollständig beseitigt werden. Zum Beispiel könnten Sie die Daten vor einer Übertragung in die Cloud vollständig verschlüsseln oder anonymisieren. Kommt das aber für die Erfüllung Ihrer Bearbeitungszwecke nicht in Frage, dann müssen Sie einen alternativen Dienst suchen, der Ihnen erlaubt, diese Datenbearbeitung rechtmässig durchzuführen oder auf die Auslagerung verzichten.

Weitere Themen

Teaser 1

zum nächsten Thema

Teaser 1

zum nächsten Thema

Der Verhältnis Cloud-Anbieterin und Kunde aus datenschutzrechtlicher Sicht

Das Unternehmen, das Cloud-Dienste anbietet, handelt in der Regel als Auftragsdatenbearbeiterin des Kunden (des Cloud-Nutzers) im Sinne von Art. 9 DSG. Der Kunde kann sowohl der Verantwortlicher für die Datenbearbeitung oder auch selbst ein Auftragsbearbeiter sein. Als Auftragsbearbeiter muss er die Anforderungen, welche durch den Verantwortlichen für seine Datenbearbeitungen festgelegt worden sind, erfüllen. Als Verantwortlicher trägt der Kunde selbst die Verantwortung dafür, dass die Datenbearbeitungen, die durch die Cloud-Anbieterin im Auftrag durchgeführt werden, datenschutzkonform erfolgen und dass die Rechte der betroffenen Personen durch diese Auslagerung nicht geschmälert werden.

Was ist Cloud-Computing und wann ist es datenschutzrechtlich relevant?

Aus technischer Sicht bezeichnet «Cloud-Computing» die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen. 


Cloud-Computing-Beispiele: 

  • Office 365 Tools für die online Zusammenarbeit zwischen Mitarbeitenden;
  • Online Verwaltungstools von E-Mail-Adressen für Newsletter oder Kundenberatung;
  • Online CRM System;
  • Hochladen von Videos auf Streaming-Plattformen;
  • Hochladen von Dateien in einen remote Server, der über das Internet abrufbar ist etc. 

Wenn in diesem Rahmen Personendaten in eine Cloud übertragen werden, gelangt das Datenschutzrecht zur Anwendung.  

Neues Thema

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.


Tipps für Verantwortliche

Was ist Cloud-Computing und wann ist es datenschutzrechtlich relevant?

Aus technischer Sicht bezeichnet «Cloud-Computing» die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen. 


Cloud-Computing-Beispiele: 

  • Office 365 Tools für die online Zusammenarbeit zwischen Mitarbeitenden;
  • Online Verwaltungstools von E-Mail-Adressen für Newsletter oder Kundenberatung;
  • Online CRM System;
  • Hochladen von Videos auf Streaming-Plattformen;
  • Hochladen von Dateien in einen remote Server, der über das Internet abrufbar ist etc. 

Wenn in diesem Rahmen Personendaten in eine Cloud übertragen werden, gelangt das Datenschutzrecht zur Anwendung.  

Der Verhältnis Cloud-Anbieterin und Kunde aus datenschutzrechtlicher Sicht

Das Unternehmen, das Cloud-Dienste anbietet, handelt in der Regel als Auftragsdatenbearbeiterin des Kunden (des Cloud-Nutzers) im Sinne von Art. 9 DSG. Der Kunde kann sowohl der Verantwortlicher für die Datenbearbeitung oder auch selbst ein Auftragsbearbeiter sein. Als Auftragsbearbeiter muss er die Anforderungen, welche durch den Verantwortlichen für seine Datenbearbeitungen festgelegt worden sind, erfüllen. Als Verantwortlicher trägt der Kunde selbst die Verantwortung dafür, dass die Datenbearbeitungen, die durch die Cloud-Anbieterin im Auftrag durchgeführt werden, datenschutzkonform erfolgen und dass die Rechte der betroffenen Personen durch diese Auslagerung nicht geschmälert werden.

Die Pflichten des Cloud-Nutzers

Der Cloud-Nutzer ist als Verantwortlicher verpflichtet, sich zu vergewissern und vertraglich abzusichern, dass er die Anforderungen an einer Auftragsbearbeitung gemäss Art. 9 DSG einhält. Hierzu verweisen wir auf unsere Erläuterungen zum Outsourcing bzw. Auftragsbearbeitung. 

Findet bei der Nutzung von Cloud-Diensten eine Datenbekanntgabe ins Ausland statt, dann muss ausserdem vor der Bekanntgabe ins Ausland geprüft werden, ob sie den gesetzlichen Anforderungen genügt. Wir verweisen dazu auf unsere Erläuterungen zur Datenbekanntgabe ins Ausland.  

Compliance-Herausforderungen

Cloud-Dienste zeichnen sich dadurch aus, dass sie als standardisierte Lösungen bereitgestellt werden. Dabei haben die Kunden kaum Verhandlungsspielraum und nur begrenzte Möglichkeiten, den Service an die Anforderungen ihrer Datenbearbeitungen anzupassen. Vor diesem Hintergrund kann es eine Herausforderung sein, die Vorgaben des Datenschutzes einzuhalten. 

Als Verantwortlicher tragen Sie die Hauptverantwortung dafür, dass die Datenbearbeitung rechtmässig erfolgt. Die Bestimmungen über den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 7 DSG) verpflichten Sie, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden und mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist. 

Wenn der standardisierte Dienst dies nicht bietet, können Sie prüfen, ob Sie die Möglichkeit haben, technische Massnahmen zu ergreifen, so dass potenzielle Datenschutzrisiken vollständig beseitigt werden. Zum Beispiel könnten Sie die Daten vor einer Übertragung in die Cloud vollständig verschlüsseln oder anonymisieren. Kommt das aber für die Erfüllung Ihrer Bearbeitungszwecke nicht in Frage, dann müssen Sie einen alternativen Dienst suchen, der Ihnen erlaubt, diese Datenbearbeitung rechtmässig durchzuführen oder auf die Auslagerung verzichten.

Webmaster
Letzte Änderung 09.12.2022

Zum Seitenanfang