Auslagerung von Datenbearbeitungen durch Bundesorgane in die Cloud

Bundeorgane beabsichtigen vermehrt, Datenbearbeitungen in die Cloud auszulagern. So haben uns auch in diesem Berichtsjahr die verantwortlichen Stellen kontaktiert und uns um eine datenschutzrechtliche Einschätzung der geplanten Auslagerungen gebeten.

Möchten Bundesbehörden Datenbearbeitungen auslagern, müssen sie aus datenschutzrechtlicher Sicht neben den allgemeinen Grundsätzen auch folgende Punkte
beachten:

  • Sie dürfen gemäss dem Datenschutzgesetz (DSG) Personendaten nur dann
    an Dritte weitergeben, wenn dafür eine Rechtsgrundlage im Sinne von Art.
    17 DSG besteht oder eine Ausnahmebestimmung von Art. 19 Abs. 1 DSG
    zur Anwendung kommt.
  • Besteht eine gesetzliche oder vertragliche Geheimhaltungspflicht, so
    dürfen die Daten nicht an den Cloud-Anbieter übertragen werden. Diese
    Abklärung kann auch zum Ergebnis führen, dass nur ein Teil der Datenbearbeitung
    ausgelagert werden darf.
  • Der Dateninhaber muss sicherstellen, dass der Auftragsdatenbearbeiter
    die Daten nur so bearbeitet, wie er es selbst tun dürfte. Es liegt am Bundesorgan,
    die Einhaltung der Datenbearbeitungsverträge regelmässig zu
    überprüfen.
  • Befinden sich die Server des Dienstleistungsanbieters im Ausland, sind
    darüber hinaus die datenschutzrechtlichen Regelungen zum grenzüberschreitenden
    Datentransfer zu beachten. Die Übermittlung von
    Personendaten der Webseitenbesucher ins Ausland unterliegt u.a.
    der Gefahr, dass ausländische Behörden aufgrund ihrer nationalen
    Gesetzgebungen auf die sich in ihrem Land befindlichen Daten zugreifen
    können. Angesichts der Pflicht der Bundesorgane, sorgsam mit den
    Personendaten der Bürger umzugehen und sie insbesondere vor unbefugten
    Zugriffen zu sichern, dürfte sich dieser Punkt als heikel erweisen.

Kritisch beurteilten wir das teilweise fehlende Weisungsrecht gegenüber dem
Auftragsdatenbearbeiter. Zum Beispiel ist eine lange Aufbewahrungsdauer nicht
verhältnismässig und entspricht nicht den Anforderungen des DSG. Da die Dienstleistungsanbieter in der Regel keine Anpassungen ihrer Standardvertragsklausel
erlauben, hat das verantwortliche Bundesorgan zu beurteilen, ob unter den gemachten
Bedingungen ein Bezug der Dienstleistungen in Frage kommt oder nicht.
Gerade bei der Wahl von amerikanischen Unternehmen als Dienstleistungsanbieter
müssen die Risiken der Auslagerung genau abgeschätzt werden. So hat am 25.
April 2014 das Gericht des Southern District of New York betreffend des Zugriffs
der US-Behörden auf Kundendaten, die in der EU gespeichert sind, ein brisantes
Urteil gefällt. Gemäss dem Urteil können US-Behörden auf Daten zugreifen, welche
von Unternehmen mit Sitz in den USA im Auftragsverhältnis bearbeitet werden. Wir
gehen davon aus, dass die Cloud-Anwendungen von US-Unternehmen somit auch
mit einer Zusatzvereinbarung das Risiko bergen, dass US-Behörden ohne den Weg
über die internationale Rechtshilfe auf Kundendaten, welche auf Servern in der EU
oder der Schweiz gespeichert sind, Zugriff erhalten.

Aus diesen Gründen raten wir Bundesorganen davon ab, Datenbearbeitungen an
Firmen auszulagern, welche einer Gesetzgebung ohne angemessenem Datenschutzniveau
unterstellt sind. Weiter ist anzumerken, dass es sich bei den auszulagernden
Datenbearbeitungen um kritische Infrastrukturen handeln kann, die
entsprechend den Vorgaben des Bundesrats nur an Firmen ausgelagert werden
dürfen, welche «ausschliesslich unter Schweizer Recht handeln, sich zur Mehrheit
in Schweizer Eigentum befinden und ihre Leistung gesamtheitlich innerhalb der
Schweizer Landesgrenzen erzeugen».

https://www.edoeb.admin.ch/content/edoeb/de/home/dokumentation/taetigkeitsberichte/22--taetigkeitsbericht-2014-2015/auslagerung-von-datenbearbeitungen-durch-bundesorgane-in-die-clo.html