Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Hier steht der erste Tippl
Hier steht der erste Tippl
Hier steht der erste Tippl
Hier steht der erste Tippl
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Aus technischer Sicht bezeichnet «Cloud-Computing» die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen.
Cloud-Computing-Beispiele:
Wenn in diesem Rahmen Personendaten in eine Cloud übertragen werden, gelangt das Datenschutzrecht zur Anwendung.
Das Unternehmen, das Cloud-Dienste anbietet, handelt in der Regel als Auftragsdatenbearbeiterin des Kunden (des Cloud-Nutzers) im Sinne von Art. 9 DSG. Der Kunde kann sowohl der Verantwortlicher für die Datenbearbeitung oder auch selbst ein Auftragsbearbeiter sein. Als Auftragsbearbeiter muss er die Anforderungen, welche durch den Verantwortlichen für seine Datenbearbeitungen festgelegt worden sind, erfüllen. Als Verantwortlicher trägt der Kunde selbst die Verantwortung dafür, dass die Datenbearbeitungen, die durch die Cloud-Anbieterin im Auftrag durchgeführt werden, datenschutzkonform erfolgen und dass die Rechte der betroffenen Personen durch diese Auslagerung nicht geschmälert werden.
Der Cloud-Nutzer ist als Verantwortlicher verpflichtet, sich zu vergewissern und vertraglich abzusichern, dass er die Anforderungen an einer Auftragsbearbeitung gemäss Art. 9 DSG einhält. Hierzu verweisen wir auf unsere Erläuterungen zum Outsourcing bzw. Auftragsbearbeitung.
Findet bei der Nutzung von Cloud-Diensten eine Datenbekanntgabe ins Ausland statt, dann muss ausserdem vor der Bekanntgabe ins Ausland geprüft werden, ob sie den gesetzlichen Anforderungen genügt. Wir verweisen dazu auf unsere Erläuterungen zur Datenbekanntgabe ins Ausland.
Cloud-Dienste zeichnen sich dadurch aus, dass sie als standardisierte Lösungen bereitgestellt werden. Dabei haben die Kunden kaum Verhandlungsspielraum und nur begrenzte Möglichkeiten, den Service an die Anforderungen ihrer Datenbearbeitungen anzupassen. Vor diesem Hintergrund kann es eine Herausforderung sein, die Vorgaben des Datenschutzes einzuhalten.
Als Verantwortlicher tragen Sie die Hauptverantwortung dafür, dass die Datenbearbeitung rechtmässig erfolgt. Die Bestimmungen über den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 7 DSG) verpflichten Sie, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden und mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
Wenn der standardisierte Dienst dies nicht bietet, können Sie prüfen, ob Sie die Möglichkeit haben, technische Massnahmen zu ergreifen, so dass potenzielle Datenschutzrisiken vollständig beseitigt werden. Zum Beispiel könnten Sie die Daten vor einer Übertragung in die Cloud vollständig verschlüsseln oder anonymisieren. Kommt das aber für die Erfüllung Ihrer Bearbeitungszwecke nicht in Frage, dann müssen Sie einen alternativen Dienst suchen, der Ihnen erlaubt, diese Datenbearbeitung rechtmässig durchzuführen oder auf die Auslagerung verzichten.
Der erste Schritt bei der Prüfung der Rechtskonformität der Auslagerung von Daten an einen Cloud-Anbieter besteht darin, die auszulagernden Daten zu analysieren. Handelt es sich um reine Sachdaten oder sind auch Personendaten betroffen? Wenn es sich nur um Sachdaten handelt, ist es nicht notwendig, sich mit den Anforderungen des Datenschutzes zu befassen. Wie sensibel sind die bearbeitenden Daten? Unterliegen diese Daten Geheimhaltungspflichten oder gelten sie als besonders schützenswerten Personendaten? Die zu treffenden Schutzmassnahmen sind sehr von der Art der Daten abhängen. Ausserdem könnte je nach Datenbearbeitung eine Datenschutz-Folgeabschätzung erforderlich sein .
Dabei helfen folgende Fragen:
Das Unternehmen, das Cloud-Dienste anbietet, handelt in der Regel als Auftragsdatenbearbeiterin des Kunden (des Cloud-Nutzers) im Sinne von Art. 9 DSG. Der Kunde kann sowohl der Verantwortlicher für die Datenbearbeitung oder auch selbst ein Auftragsbearbeiter sein. Als Auftragsbearbeiter muss er die Anforderungen, welche durch den Verantwortlichen für seine Datenbearbeitungen festgelegt worden sind, erfüllen. Als Verantwortlicher trägt der Kunde selbst die Verantwortung dafür, dass die Datenbearbeitungen, die durch die Cloud-Anbieterin im Auftrag durchgeführt werden, datenschutzkonform erfolgen und dass die Rechte der betroffenen Personen durch diese Auslagerung nicht geschmälert werden.
Aus technischer Sicht bezeichnet «Cloud-Computing» die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen.
Cloud-Computing-Beispiele:
Wenn in diesem Rahmen Personendaten in eine Cloud übertragen werden, gelangt das Datenschutzrecht zur Anwendung.
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Der erste Schritt bei der Prüfung der Rechtskonformität der Auslagerung von Daten an einen Cloud-Anbieter besteht darin, die auszulagernden Daten zu analysieren. Handelt es sich um reine Sachdaten oder sind auch Personendaten betroffen? Wenn es sich nur um Sachdaten handelt, ist es nicht notwendig, sich mit den Anforderungen des Datenschutzes zu befassen. Wie sensibel sind die bearbeitenden Daten? Unterliegen diese Daten Geheimhaltungspflichten oder gelten sie als besonders schützenswerten Personendaten? Die zu treffenden Schutzmassnahmen sind sehr von der Art der Daten abhängen. Ausserdem könnte je nach Datenbearbeitung eine Datenschutz-Folgeabschätzung erforderlich sein .
Dabei helfen folgende Fragen:
Aus technischer Sicht bezeichnet «Cloud-Computing» die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen.
Cloud-Computing-Beispiele:
Wenn in diesem Rahmen Personendaten in eine Cloud übertragen werden, gelangt das Datenschutzrecht zur Anwendung.
Das Unternehmen, das Cloud-Dienste anbietet, handelt in der Regel als Auftragsdatenbearbeiterin des Kunden (des Cloud-Nutzers) im Sinne von Art. 9 DSG. Der Kunde kann sowohl der Verantwortlicher für die Datenbearbeitung oder auch selbst ein Auftragsbearbeiter sein. Als Auftragsbearbeiter muss er die Anforderungen, welche durch den Verantwortlichen für seine Datenbearbeitungen festgelegt worden sind, erfüllen. Als Verantwortlicher trägt der Kunde selbst die Verantwortung dafür, dass die Datenbearbeitungen, die durch die Cloud-Anbieterin im Auftrag durchgeführt werden, datenschutzkonform erfolgen und dass die Rechte der betroffenen Personen durch diese Auslagerung nicht geschmälert werden.
Der Cloud-Nutzer ist als Verantwortlicher verpflichtet, sich zu vergewissern und vertraglich abzusichern, dass er die Anforderungen an einer Auftragsbearbeitung gemäss Art. 9 DSG einhält. Hierzu verweisen wir auf unsere Erläuterungen zum Outsourcing bzw. Auftragsbearbeitung.
Findet bei der Nutzung von Cloud-Diensten eine Datenbekanntgabe ins Ausland statt, dann muss ausserdem vor der Bekanntgabe ins Ausland geprüft werden, ob sie den gesetzlichen Anforderungen genügt. Wir verweisen dazu auf unsere Erläuterungen zur Datenbekanntgabe ins Ausland.
Cloud-Dienste zeichnen sich dadurch aus, dass sie als standardisierte Lösungen bereitgestellt werden. Dabei haben die Kunden kaum Verhandlungsspielraum und nur begrenzte Möglichkeiten, den Service an die Anforderungen ihrer Datenbearbeitungen anzupassen. Vor diesem Hintergrund kann es eine Herausforderung sein, die Vorgaben des Datenschutzes einzuhalten.
Als Verantwortlicher tragen Sie die Hauptverantwortung dafür, dass die Datenbearbeitung rechtmässig erfolgt. Die Bestimmungen über den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 7 DSG) verpflichten Sie, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden und mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
Wenn der standardisierte Dienst dies nicht bietet, können Sie prüfen, ob Sie die Möglichkeit haben, technische Massnahmen zu ergreifen, so dass potenzielle Datenschutzrisiken vollständig beseitigt werden. Zum Beispiel könnten Sie die Daten vor einer Übertragung in die Cloud vollständig verschlüsseln oder anonymisieren. Kommt das aber für die Erfüllung Ihrer Bearbeitungszwecke nicht in Frage, dann müssen Sie einen alternativen Dienst suchen, der Ihnen erlaubt, diese Datenbearbeitung rechtmässig durchzuführen oder auf die Auslagerung verzichten.
Letzte Änderung 09.12.2022
