1. Ausgangslage

Die Nutzung von Cloudlösung birgt bestimmte Risiken, welche bei der Beurteilung, ob deren Nutzung zulässig ist, berücksichtigt werden müssen. Allem voran führt die Nutzung von Cloudlösungen zur Abgabe der physischen Kontrolle über die IT-Mittel, was für sich allein bereits einen Risikofaktor darstellt. Des Weiteren sind nachstehende weiteren Faktoren in die Beurteilung einzubeziehen:

• Die Mehrheit der grossen Anbieter von Public-Cloud-Dienstleistungen befindet sich heute im Ausland. Der damit einhergehende Auslandbezug mindert die Kontrolle der Verwaltungseinheit über das rechtliche Umfeld (bspw. Angemessenheit der anwendbaren Datenschutzgesetzgebung oder Risiko von Behördenzugriffen), welche in der Folge mit entsprechenden Massnahmen kompensiert werden muss.
• Für die Auftragserfüllung ziehen Anbieter von Cloud-Dienstleistungen regelmässig Dritte bei, welche ihrerseits ihre Aufgaben in Drittländer wahrnehmen.
• Die Inanspruchnahme einer Cloudlösung kann eine Verwaltungseinheit abhängig vom jeweiligen Dienstleister machen (bspw. in Bezug auf die Verfügbarkeit der Leistungen).

1. Welche Anforderungen stellt die neue Datenschutzgesetzgebung des Bundes an Cloudlösungen?

Die neue Datenschutzgesetzgebung des Bundes sieht vor, dass die Bearbeitung von Personendaten durch die Gesetzgebung oder durch Vertrag einem Auftragsbearbeiter übertragen werden darf, soweit dieser die Daten nur in dem Umfang und zu dem Zweck bearbeitet, wie es die Verwaltungseinheit selbst tun dürfte (Art. 9 DSG). Insbesondere darf der Auftragsbearbeiter die Daten nicht zu eigenen Zwecken bearbeiten.

Des Weiteren bleibt die Verwaltungseinheit für die Personendaten trotz Auslagerung verantwortlich und muss die Einhaltung des Datenschutzes durch den Cloud-Anbieter als auch dessen Unterauftragnehmer so sicherstellen, wie sie es selbst tun müsste.

2. Datenbekanntgabe ins Ausland

Eine Datenbekanntgabe ins Ausland ist unter dem neuen Datenschutzgesetz erlaubt, wenn der Bundesrat einen Angemessenheitsbeschluss zur Datenschutzgesetzgebung des fraglichen Staates getroffen hat (Art. 16 Abs. 1 DSG). Aktuell erfüllen insbesondere alle Länder der EU und das Vereinigte Königreich[1] – im Gegensatz zu den USA und China – diese Anforderungen. Die EU hat in Bezug auf die USA kürzlich einen Angemessenheitsbeschluss gefällt.[2] Ein gleichwertiger Entscheid der Schweiz liegt zum Zeitpunkt der Publikation dieses Beitrags nicht vor, ein entsprechendes Rahmenwerk wird gemäss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zurzeit aber verhandelt.[3]

Eine Datenbearbeitung in einem Staat, der nicht über eine angemessene Datenschutzgesetzgebung verfügt, ist ausnahmsweise möglich, wenn diese erforderlich ist und eine entsprechende vertragliche Absicherung, etwa unter Verwendung der vom EDÖB genehmigten bzw. bereitgestellten Standardvertragsklauseln oder spezifischer Garantien, die die zuständige Verwaltungseinheit erarbeitet und dem EDÖB vorgängig mitgeteilt hat, erfolgt. Zudem sind auch angemessene technische und organisatorische Massnahmen zu treffen, wie z.B. eine Verschlüsselung der Daten.

Der Cloud-Anbieter ist vertraglich zu verpflichten, sich an das Schweizer Recht und insbesondere das Schweizer Datenschutzrecht zu halten und als Gerichtsstand ist grundsätzlich die Schweiz zu vereinbaren. Im Vertrag ist weiter zu regeln, dass die Daten nur im/n von der Verwaltungseinheit bestimmten ausländischen Staat/en bearbeitet oder gespeichert werden.

3. Rechtslage in den USA

Aufgrund der Marktlage im Cloudbereich, ist kurz auf die Rechtslage in den USA einzugehen: Der US Cloud-Act und der Foreign Intelligence Surveillance Act (FISA) ermöglichen den amerikanischen Behörden in bestimmten Fällen den Datenzugriff auf Firmen mit Sitz in den USA oder anderen rechtlichen Beziehungen zur USA, und zwar unabhängig vom Datenstandort. Dem Risiko eines amerikanischen Behördenzugriffes kann jedoch wirksam begegnet werden, indem mit technischen Massnahmen (bspw. durch Verschlüsselung) verhindert wird, dass der Cloud-Anbieter überhaupt Zugriff auf die Daten hat.

Trotz bestehender Risiken, gilt es darauf hinzuweisen, dass Daten von Schweizer Behörden vor einem Datenzugriff durch amerikanische Behörden grundsätzlich geschützt sein sollten, da gemäss amerikanischem Recht Behördendaten einen höheren Schutz als private Daten geniessen. Die Verwaltungseinheit hat folglich sicherzustellen, dass der Cloud-Anbieter auf eine Anfrage einer US-Behörde stets erwidert, dass sein Kunde ein ausländischer Staat sei, welcher Souveränität beansprucht. Eine absolute Garantie für den Schutz der Schweizer Souveränität besteht jedoch nicht.

4. Datenschutz-Folgenabschätzung

Die Verwaltungseinheit oder der Auftragsbearbeiter hat vor der Nutzung einer Cloudlösung eine Datenschutz-Folgenabschätzung durchzuführen, wenn bspw. eine umfangreiche Bearbeitung von besonders schützenswerten Personendaten erfolgen soll (Art. 22 Abs. 1 DSG). Kann den mit der Datenschutz-Folgenabschätzung erkannten Risiken nicht mit geeigneten Massnahmen begegnet werden, muss der EDÖB konsultiert werden (Art. 23 Abs. 1 DSG). Eine Auslagerung von Daten in eine Cloud ist grundsätzlich immer mit potentiellen Risiken verbunden, weshalb dringend zu empfehlen ist, die Datenschutz-Folgenabschätzung geradezu standardmässig durchzuführen.

5. Schlussfolgerung

Die Nutzung von Public-Cloudlösungen durch Verwaltungseinheiten ist durch die neue Datenschutzgesetzgebung weder ausgeschlossen noch verboten, sondern hat gewissen Grundsätzen zu folgen und bestimmte Voraussetzungen zu erfüllen. Den inhärenten Risiken der Cloudlösungen muss mit gezielten Massnahmen begegnet werden, weshalb die undifferenzierte Inanspruchnahme von Cloud-Dienstleistungen nicht empfohlen wird.
 

[1]      Für die vollständige Liste wird auf Anhang 1 der neuen Datenschutzverordnung verwiesen, abrufbar unter:     
https://www.fedlex.admin.ch/eli/cc/2022/568/de, (zuletzt aufgerufen am 16. August 2023).

[2]      Angemessenheitsbeschluss der EU, abrufbar unter: 
https://ec.europa.eu/commission/presscorner/detail/de/ip_23_3721, (zuletzt aufgerufen am 16. August 2023).

[3]      Stellungnahme des EDÖB zum Angemessenheitsbeschluss der EU, abrufbar unter:     
https://www.edoeb.admin.ch/edoeb/de/home/kurzmeldungen/20230410_eu_us_dpf.html, (zuletzt aufgerufen am 16. August 2023).