Datenbearbeitungen in der Cloud

 

 

 Cloud-Computing

Die Nutzung von Cloud-Diensten stellt oft
datenschutzrechtliche Fragen.

Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.

Was ist Cloud-Computing und wann ist es datenschutzrechtlich relevant?

Aus technischer Sicht bezeichnet «Cloud-Computing» die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen. Wenn in diesem Rahmen Personendaten in eine Cloud übertragen werden, gelangt das Datenschutzrecht zur Anwendung.

  • Office 365 Tools für die online Zusammenarbeit zwischen Mitarbeitenden;
  • Online Verwaltungstools von E-Mail-Adressen für Newsletter oder Kundenberatung;
  • Online CRM System;
  • Hochladen von Videos auf Streaming-Plattformen;
  • Hochladen von Dateien in einen remote Server, der über das Internet abrufbar ist etc

 

Das Verhältnis Cloud-Anbieterin und Kunde aus datenschutzrechtlicher Sicht

Das Unternehmen, das Cloud-Dienste anbietet, handelt in der Regel als Auftragsdatenbearbeiterin des Kunden (des Cloud-Nutzers) im Sinne von Art. 9 DSG. Der Kunde kann sowohl der Verantwortlicher für die Datenbearbeitung oder auch selbst ein Auftragsbearbeiter sein. Als Auftragsbearbeiter muss er die Anforderungen, welche durch den Verantwortlichen für seine Datenbearbeitungen festgelegt worden sind, erfüllen. Als Verantwortlicher trägt der Kunde selbst die Verantwortung dafür, dass die Datenbearbeitungen, die durch die Cloud-Anbieterin im Auftrag durchgeführt werden, datenschutzkonform erfolgen und dass die Rechte der betroffenen Personen durch diese Auslagerung nicht geschmälert werden.

Die Pflichten des Cloud-Nutzers

Der Cloud-Nutzer ist als Verantwortlicher verpflichtet, sich zu vergewissern und vertraglich abzusichern, dass er die Anforderungen an einer Auftragsbearbeitung gemäss Art. 9 DSG einhält. Hierzu verweisen wir auf unsere Erläuterungen zum Outsourcing bzw. Auftragsbearbeitung. 

Findet bei der Nutzung von Cloud-Diensten eine Datenbekanntgabe ins Ausland statt, dann muss ausserdem vor der Bekanntgabe ins Ausland geprüft werden, ob sie den gesetzlichen Anforderungen genügt. Wir verweisen dazu auf unsere Erläuterungen zur Datenbekanntgabe ins Ausland.  

Compliance-Herausforderungen

Cloud-Dienste zeichnen sich dadurch aus, dass sie als standardisierte Lösungen bereitgestellt werden. Dabei haben die Kunden kaum Verhandlungsspielraum und nur begrenzte Möglichkeiten, den Service an die Anforderungen ihrer Datenbearbeitungen anzupassen. Vor diesem Hintergrund kann es eine Herausforderung sein, die Vorgaben des Datenschutzes einzuhalten. 

Als Verantwortlicher tragen Sie die Hauptverantwortung dafür, dass die Datenbearbeitung rechtmässig erfolgt. Die Bestimmungen über den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 7 DSG) verpflichten Sie, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden und mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist. 

Wenn der standardisierte Dienst dies nicht bietet, können Sie prüfen, ob Sie die Möglichkeit haben, technische Massnahmen zu ergreifen, so dass potenzielle Datenschutzrisiken vollständig beseitigt werden. Zum Beispiel könnten Sie die Daten vor einer Übertragung in die Cloud vollständig verschlüsseln oder anonymisieren. Kommt das aber für die Erfüllung Ihrer Bearbeitungszwecke nicht in Frage, dann müssen Sie einen alternativen Dienst suchen, der Ihnen erlaubt, diese Datenbearbeitung rechtmässig durchzuführen oder auf die Auslagerung verzichten.


Tipps für Verantwortliche

Lernen Sie Ihre Daten und deren Schutzanforderungen kennen:

Der erste Schritt bei der Prüfung der Rechtskonformität der Auslagerung von Daten an einen Cloud-Anbieter besteht darin, die auszulagernden Daten zu analysieren. Handelt es sich um reine Sachdaten oder sind auch Personendaten betroffen? Wenn es sich nur um Sachdaten handelt, ist es nicht notwendig, sich mit den Anforderungen des Datenschutzes zu befassen.

Lernen Sie Ihren potentiellen Cloud-Anbieter kennen und prüfen Sie die Bedingungen der Servicebereitstellung (z.B. AGB oder Service Agreement).

Dabei helfen folgende Fragen:

Vertraulichkeit

Verfügt der Cloud-Anbieter über Richtlinien und Prozesse, die sicherstellen, dass seine Mitarbeiter sich zur Vertraulichkeit verpflichtet haben oder anderen angemessenen Vertraulichkeitsverpflichtungen unterliegen, und kann der Cloud-Anbieter deren Einhaltung nachweisen?

Weisung

Ist der Cloud-Anbieter gemäss dem Vertrag verpflichtet, Personendaten nur auf Ihre dokumentierten Weisungen hin zu bearbeiten, oder behält sich der Cloud-Anbieter das Recht vor, Personendaten für seine eigenen Zwecke zu bearbeiten? Wird im Vertrag geregelt oder können Sie bestimmen, dass der Cloud-Anbieter die Personendaten nach Beendigung des Vertrags löscht oder zurückgibt?

Sicherheitsmassnahmen

Trifft der Cloud-Anbieter angemessene Massnahmen, um die ihm übertragene Datenbearbeitung gegen Datensicherheitsrisiken zu schützen? Verfügt der Cloud-Anbieter über ein Verfahren, um die Massnahmen nach ihrer Wirksamkeit bzw. Aktualität zu prüfen?

Verzeichnis

Führt der Cloud-Anbieter ein Verzeichnis im Sinne von Art. 12 Abs. 1 und Abs. 3 DSG und steht dieser zur Verfügung, falls der EDÖB dies im Rahmen einer Untersuchung verlangt?

Unterauftragsbearbeiter

Hat der Cloud-Anbieter einen Überblick über seine Unterauftragsbearbeiter?Wurde Ihnen die entsprechende Dokumentation der Unterauftragsbearbeiter zur Verfügung gestellt die insbesondere auch darüber Auskunft gibt, in welchen Ländern die Daten bearbeitet werden? Verfügt der Cloud-Anbieter über ein Verfahren zur Überprüfung seiner Unterauftragsbearbeiter, um sicherzustellen, dass diese ebenfalls in der Lage sind, die von Ihnen auferlegten Datenschutzanforderungen zu erfüllen? Spiegelt die Vereinbarung des Cloud-Anbieters mit seinen Unterauftragsbearbeitern die gleichen Anforderungen wieder, die Sie als Verantwortlicher dem Cloud-Anbieter auferlegt haben? Wird im Vertrag eine Frist für die Einreichung der Dokumentation betreffend die Unterauftragsbearbeiter festgelegt? Ist diese angemessen, um Ihnen eine Überprüfung zu erlauben? 

Mitwirkung

Verfügt der Cloud-Anbieter im Hinblick auf die ihm übertragene Datenbearbeitung über ein Verfahren, um Sie bei der Handhabung von Anfragen betroffener Personen gemäss Kapitel 4 des DSG oder Untersuchungen durch die Datenschutzaufsichtsbehörde zu unterstützen?Verfügt der Cloud-Anbieter über Verfahren gemäss Art. 24 Abs. 3 DSG und bietet dieser falls nötig Unterstützung bei der Erfüllung Ihrer Meldepflicht gemäss Art. 24 Abs. 1 DSG?Falls Sie selbst Audits durchführen, bietet der Cloud-Anbieter bei der Durchführung von Audits Unterstützung?


Umgang mit Fotos

Das Smartphone und die Soziale Netzwerken haben die Aufnahme und Veröffentlichung von Fotos Teil unseres Alltags gemacht. Was gilt zu beachten?

Recht auf Vergessen im Internet

Suchmaschinen machen Informationen, die im Internet veröffentlicht wurden, für jedermann zugänglich. Wie ist hier die Rechtslage?

Tracking: Aus belanglosen Daten können Persönlichkeitsprofile entstehen

Mit Tracking sind Technologien gemeint, die das Verhalten von Menschen in einer online Umgebung oder einem physischen Raum erfassen und auswerten.

Bekanntgabe von Personendaten ins Ausland

Die Übermittlung von Personendaten ins Ausland unterliegt besonderen Regeln. Was beachtet werden muss, bevor Daten in andere Länder transferiert werden.


Fragen zum Datenschutz

Schauen Sie in unsere FAQ oder rufen Sie unsere Hotline an.

Infothek

Hier finden Sie alle Dokumente des EDÖB zum Download.

Wichtige Neuerungen

Hier erfahren Sie weiteres über Neuerungen beim Datenschutzgesetz, das am 1.9.2023 in Kraft getreten ist.

Webmaster
Letzte Änderung 02.12.2024

Zum Seitenanfang