Die Nutzung von Cloud-Diensten stellt oft
Es gibt einige datenschutzrechtliche Aspekte, denen Sie bei der Nutzung von Cloud-Diensten besondere Aufmerksamkeit schenken müssen. Dazu gehören (i) der Einsatz von Auftragsbearbeitern und Unterauftragsbearbeitern, (ii) die Sicherheit der Datenbearbeitung und (iii) die Übermittlung von Personendaten in Drittländer.
Weiterführende Informationen
- Überarbeitetes privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen» (2022)
- Broschüre des deutschen Bundesamts für Sicherheit in der Informationstechnik «Sichere Nutzung von Cloud-Diensten – Schritt für Schritt von der Strategie bis zum Vertragsende» (2016)
- Broschüre des deutschen Bundesamts für Sicherheit in der Informationstechnik «Checkliste zur Auswahl eines Cloud-Dienstes» (2022)
Was ist Cloud-Computing und wann ist es datenschutzrechtlich relevant?
Aus technischer Sicht bezeichnet «Cloud-Computing» die Möglichkeit, Anwendungen und Software, Speicherkapazitäten, Entwicklungstools, Netzwerkkapazitäten oder Rechnerleistung über ein Netzwerk, zum Beispiel das Internet, bedarfsorientiert von einem Cloud-Anbieter zu beziehen. Wenn in diesem Rahmen Personendaten in eine Cloud übertragen werden, gelangt das Datenschutzrecht zur Anwendung.
- Office 365 Tools für die online Zusammenarbeit zwischen Mitarbeitenden;
- Online Verwaltungstools von E-Mail-Adressen für Newsletter oder Kundenberatung;
- Online CRM System;
- Hochladen von Videos auf Streaming-Plattformen;
- Hochladen von Dateien in einen remote Server, der über das Internet abrufbar ist etc
Das Verhältnis Cloud-Anbieterin und Kunde aus datenschutzrechtlicher Sicht
Das Unternehmen, das Cloud-Dienste anbietet, handelt in der Regel als Auftragsdatenbearbeiterin des Kunden (des Cloud-Nutzers) im Sinne von Art. 9 DSG. Der Kunde kann sowohl der Verantwortlicher für die Datenbearbeitung oder auch selbst ein Auftragsbearbeiter sein. Als Auftragsbearbeiter muss er die Anforderungen, welche durch den Verantwortlichen für seine Datenbearbeitungen festgelegt worden sind, erfüllen. Als Verantwortlicher trägt der Kunde selbst die Verantwortung dafür, dass die Datenbearbeitungen, die durch die Cloud-Anbieterin im Auftrag durchgeführt werden, datenschutzkonform erfolgen und dass die Rechte der betroffenen Personen durch diese Auslagerung nicht geschmälert werden.
Die Pflichten des Cloud-Nutzers
Der Cloud-Nutzer ist als Verantwortlicher verpflichtet, sich zu vergewissern und vertraglich abzusichern, dass er die Anforderungen an einer Auftragsbearbeitung gemäss Art. 9 DSG einhält. Hierzu verweisen wir auf unsere Erläuterungen zum Outsourcing bzw. Auftragsbearbeitung.
Findet bei der Nutzung von Cloud-Diensten eine Datenbekanntgabe ins Ausland statt, dann muss ausserdem vor der Bekanntgabe ins Ausland geprüft werden, ob sie den gesetzlichen Anforderungen genügt. Wir verweisen dazu auf unsere Erläuterungen zur Datenbekanntgabe ins Ausland.
Compliance-Herausforderungen
Cloud-Dienste zeichnen sich dadurch aus, dass sie als standardisierte Lösungen bereitgestellt werden. Dabei haben die Kunden kaum Verhandlungsspielraum und nur begrenzte Möglichkeiten, den Service an die Anforderungen ihrer Datenbearbeitungen anzupassen. Vor diesem Hintergrund kann es eine Herausforderung sein, die Vorgaben des Datenschutzes einzuhalten.
Als Verantwortlicher tragen Sie die Hauptverantwortung dafür, dass die Datenbearbeitung rechtmässig erfolgt. Die Bestimmungen über den Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen (Art. 7 DSG) verpflichten Sie, die Datenbearbeitung technisch und organisatorisch so auszugestalten, dass die Datenschutzvorschriften eingehalten werden und mittels geeigneter Voreinstellungen sicherzustellen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist.
Wenn der standardisierte Dienst dies nicht bietet, können Sie prüfen, ob Sie die Möglichkeit haben, technische Massnahmen zu ergreifen, so dass potenzielle Datenschutzrisiken vollständig beseitigt werden. Zum Beispiel könnten Sie die Daten vor einer Übertragung in die Cloud vollständig verschlüsseln oder anonymisieren. Kommt das aber für die Erfüllung Ihrer Bearbeitungszwecke nicht in Frage, dann müssen Sie einen alternativen Dienst suchen, der Ihnen erlaubt, diese Datenbearbeitung rechtmässig durchzuführen oder auf die Auslagerung verzichten.
Tipps für Verantwortliche
Lernen Sie Ihre Daten und deren Schutzanforderungen kennen:
Der erste Schritt bei der Prüfung der Rechtskonformität der Auslagerung von Daten an einen Cloud-Anbieter besteht darin, die auszulagernden Daten zu analysieren. Handelt es sich um reine Sachdaten oder sind auch Personendaten betroffen? Wenn es sich nur um Sachdaten handelt, ist es nicht notwendig, sich mit den Anforderungen des Datenschutzes zu befassen.
Lernen Sie Ihren potentiellen Cloud-Anbieter kennen und prüfen Sie die Bedingungen der Servicebereitstellung (z.B. AGB oder Service Agreement).
Dabei helfen folgende Fragen:
Vertraulichkeit
Verfügt der Cloud-Anbieter über Richtlinien und Prozesse, die sicherstellen, dass seine Mitarbeiter sich zur Vertraulichkeit verpflichtet haben oder anderen angemessenen Vertraulichkeitsverpflichtungen unterliegen, und kann der Cloud-Anbieter deren Einhaltung nachweisen?
Weisung
Ist der Cloud-Anbieter gemäss dem Vertrag verpflichtet, Personendaten nur auf Ihre dokumentierten Weisungen hin zu bearbeiten, oder behält sich der Cloud-Anbieter das Recht vor, Personendaten für seine eigenen Zwecke zu bearbeiten? Wird im Vertrag geregelt oder können Sie bestimmen, dass der Cloud-Anbieter die Personendaten nach Beendigung des Vertrags löscht oder zurückgibt?
Sicherheitsmassnahmen
Trifft der Cloud-Anbieter angemessene Massnahmen, um die ihm übertragene Datenbearbeitung gegen Datensicherheitsrisiken zu schützen? Verfügt der Cloud-Anbieter über ein Verfahren, um die Massnahmen nach ihrer Wirksamkeit bzw. Aktualität zu prüfen?
Verzeichnis
Führt der Cloud-Anbieter ein Verzeichnis im Sinne von Art. 12 Abs. 1 und Abs. 3 DSG und steht dieser zur Verfügung, falls der EDÖB dies im Rahmen einer Untersuchung verlangt?
Unterauftragsbearbeiter
Hat der Cloud-Anbieter einen Überblick über seine Unterauftragsbearbeiter?Wurde Ihnen die entsprechende Dokumentation der Unterauftragsbearbeiter zur Verfügung gestellt die insbesondere auch darüber Auskunft gibt, in welchen Ländern die Daten bearbeitet werden? Verfügt der Cloud-Anbieter über ein Verfahren zur Überprüfung seiner Unterauftragsbearbeiter, um sicherzustellen, dass diese ebenfalls in der Lage sind, die von Ihnen auferlegten Datenschutzanforderungen zu erfüllen? Spiegelt die Vereinbarung des Cloud-Anbieters mit seinen Unterauftragsbearbeitern die gleichen Anforderungen wieder, die Sie als Verantwortlicher dem Cloud-Anbieter auferlegt haben? Wird im Vertrag eine Frist für die Einreichung der Dokumentation betreffend die Unterauftragsbearbeiter festgelegt? Ist diese angemessen, um Ihnen eine Überprüfung zu erlauben?
Mitwirkung
Verfügt der Cloud-Anbieter im Hinblick auf die ihm übertragene Datenbearbeitung über ein Verfahren, um Sie bei der Handhabung von Anfragen betroffener Personen gemäss Kapitel 4 des DSG oder Untersuchungen durch die Datenschutzaufsichtsbehörde zu unterstützen?Verfügt der Cloud-Anbieter über Verfahren gemäss Art. 24 Abs. 3 DSG und bietet dieser falls nötig Unterstützung bei der Erfüllung Ihrer Meldepflicht gemäss Art. 24 Abs. 1 DSG?Falls Sie selbst Audits durchführen, bietet der Cloud-Anbieter bei der Durchführung von Audits Unterstützung?
Letzte Änderung 02.12.2024