Auslagerung von Datenbearbeitungen durch Bundesorgane in die Cloud

Bundeorgane beabsichtigen vermehrt, Datenbearbeitungen in die Cloud auszulagern. So haben uns auch in diesem Berichtsjahr die verantwortlichen Stellen kontaktiert und uns um eine datenschutzrechtliche Einschätzung der geplanten Auslagerungen gebeten.

Möchten Bundesbehörden Datenbearbeitungen auslagern, müssen sie aus datenschutzrechtlicher Sicht neben den allgemeinen Grundsätzen auch folgende Punkte beachten:

  • Sie dürfen gemäss dem Datenschutzgesetz (DSG) Personendaten nur dann an Dritte weitergeben, wenn dafür eine Rechtsgrundlage im Sinne von Art. 17 DSG besteht oder eine Ausnahmebestimmung von Art. 19 Abs. 1 DSG zur Anwendung kommt.
  • Besteht eine gesetzliche oder vertragliche Geheimhaltungspflicht, so dürfen die Daten nicht an den Cloud-Anbieter übertragen werden. Diese Abklärung kann auch zum Ergebnis führen, dass nur ein Teil der Datenbearbeitung ausgelagert werden darf.
  • Der Dateninhaber muss sicherstellen, dass der Auftragsdatenbearbeiter die Daten nur so bearbeitet, wie er es selbst tun dürfte. Es liegt am Bundesorgan, die Einhaltung der Datenbearbeitungsverträge regelmässig zu überprüfen.
  • Befinden sich die Server des Dienstleistungsanbieters im Ausland, sind darüber hinaus die datenschutzrechtlichen Regelungen zum grenzüberschreitenden Datentransfer zu beachten. Die Übermittlung von Personendaten der Webseitenbesucher ins Ausland unterliegt u.a. der Gefahr, dass ausländische Behörden aufgrund ihrer nationalen
    Gesetzgebungen auf die sich in ihrem Land befindlichen Daten zugreifen können. Angesichts der Pflicht der Bundesorgane, sorgsam mit den Personendaten der Bürger umzugehen und sie insbesondere vor unbefugten Zugriffen zu sichern, dürfte sich dieser Punkt als heikel erweisen.

Kritisch beurteilten wir das teilweise fehlende Weisungsrecht gegenüber dem Auftragsdatenbearbeiter. Zum Beispiel ist eine lange Aufbewahrungsdauer nicht verhältnismässig und entspricht nicht den Anforderungen des DSG. Da die Dienstleistungsanbieter in der Regel keine Anpassungen ihrer Standardvertragsklausel erlauben, hat das verantwortliche Bundesorgan zu beurteilen, ob unter den gemachten Bedingungen ein Bezug der Dienstleistungen in Frage kommt oder nicht.

Gerade bei der Wahl von amerikanischen Unternehmen als Dienstleistungsanbieter müssen die Risiken der Auslagerung genau abgeschätzt werden. So hat am 25. April 2014 das Gericht des Southern District of New York betreffend des Zugriffs der US-Behörden auf Kundendaten, die in der EU gespeichert sind, ein brisantes Urteil gefällt. Gemäss dem Urteil können US-Behörden auf Daten zugreifen, welche von Unternehmen mit Sitz in den USA im Auftragsverhältnis bearbeitet werden. Wir gehen davon aus, dass die Cloud-Anwendungen von US-Unternehmen somit auch mit einer Zusatzvereinbarung das Risiko bergen, dass US-Behörden ohne den Weg über die internationale Rechtshilfe auf Kundendaten, welche auf Servern in der EU oder der Schweiz gespeichert sind, Zugriff erhalten.

Aus diesen Gründen raten wir Bundesorganen davon ab, Datenbearbeitungen an Firmen auszulagern, welche einer Gesetzgebung ohne angemessenem Datenschutzniveau unterstellt sind. Weiter ist anzumerken, dass es sich bei den auszulagernden Datenbearbeitungen um kritische Infrastrukturen handeln kann, die entsprechend den Vorgaben des Bundesrats nur an Firmen ausgelagert werden dürfen, welche «ausschliesslich unter Schweizer Recht handeln, sich zur Mehrheit in Schweizer Eigentum befinden und ihre Leistung gesamtheitlich innerhalb der Schweizer Landesgrenzen erzeugen».

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/22--taetigkeitsbericht-2014-2015/auslagerung-von-datenbearbeitungen-durch-bundesorgane-in-die-clo.html