Ausgangslage

In unserer Tätigkeit als Cloud Consultants werden wir häufig mit Fragen zu Datenschutz und Datensicherheit in der Cloud konfrontiert. Typische Fragen sind:

  • Welche Daten muss unsere Organisation schützen?
  • Welche Rechte und Pflichten hat unsere Organisation?
  • Wie sicher sind unsere Daten in der Cloud und wer hat Zugriff darauf?
  • Worauf müssen wir bei der Wahl des Cloud Anbieters besonders achten?
  • Erfüllen Microsoft Cloud Services die Anforderungen des schweizerischen Datenschutzes?

Wir stellen uns diesen anspruchsvollen Fragen und versuchen, im Rahmen mehrerer Blog Beiträge mehr Klarheit in diesem Thema zu schaffen. In unserem ersten Beitrag fassen wir zunächst die gesetzlichen Grundlagen zusammen. Im nächsten Beitrag werden wir anhand von Kundenbeispielen und den Microsoft Cloud Services den entsprechenden Praxisbezug schaffen. Unterstützung erhalten wir dabei von Dr. Ursula Widmer. Sie ist Rechtsanwältin und ehemaliges Mitglied der Eidgenössischen Datenschutzkommission.

Grundlagen des Datenschutz

Die nachfolgend aufgeführten Gesetzesartikel wurden dem Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992 (Stand am 1. Januar 2014) und der Verordnung zum Bundesgesetz über den Datenschutz entnommen.

Was fällt unter den Datenschutz?

Laut Bundesgesetz über den Datenschutz (DSG) bedeutet Datenschutz nicht Schutz der Daten, sondern Schutz der Persönlichkeit vor Missbrauch der sie betreffenden Daten durch Private und Behörden.

Geschützt sind Personendaten. Das sind alle Daten einer bestimmten oder bestimmbaren natürlichen oder juristischen Person. Besonders schützenswerte Personendaten (Definition in Art. 3 lit. c DSG) sind Daten über:

  • die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten,
  • die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
  • Massnahmen der sozialen Hilfe,
  • administrative oder strafrechtliche Verfolgungen und Sanktionen

Geschützt sind auch Persönlichkeitsprofile, welche die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlauben.

Welche Grundsätze gelten bei der Datenbearbeitung?

Bei der Bearbeitung von Daten gelten die folgenden Grundsätze (Definition in Art. 4 lit. c DSG)

  • Rechtmässigkeit: nur auf gesetzlicher Grundlage
  • Verhältnismässigkeit: nur soweit und solange als notwendig
  • Zweckgebundenheit: keine nachträgliche Zweckänderung
  • Erkennbarkeit: keine heimliche Datensammlung
  • Richtigkeit: Berichtigung falscher Daten
  • Sicherheit: angemessene organisatorische und technische Schutzmassnahen
  • Transparenz: Auskunftspflicht über die Datenbearbeitung

Welche Rechte haben Betroffene?

Die Betroffenen haben das Recht auf:

  • Auskunft und Einsichtnahme
  • Berichtigung unrichtiger Daten
  • Vernichtung oder Löschung unrechtmässig erlangter oder nicht mehr benötigter Daten
  • Sperrung der unberechtigten Bekanntgabe an Dritte
  • Bestreitungsvermerk wenn Richtigkeit bzw. Unrichtigkeit nicht erwiesen
  • Unterlassung unberechtigter Bearbeitungen
  • Schadenersatz, Genugtuung, Publikation Urteil

Welche Datenrisiken bestehen?

  • Zugriff nicht autorisierter Personen
  • Offenbarung oder Weitergabe von Informationen an Nichtberechtigte
  • Fehlende oder ungenügende Datensicherheit durch ungenügende Plausibilisierung, falsche Datenzuordnung oder Datenverlust
  • Fehlende Verfügbarkeit durch Ausfall oder Störungen von IT-Infrastrukturen oder Telekommunikation
  • Verfälschung oder Zerstörung von Daten
  • Denial of Service Attacken (dDoS), Hacking, Viren, Sabotage, Datendiebstahl

Welches sind die Risikofolgen?

  • Datenverfälschung oder -verlust durch Nutzer und Externe
  • Verletzung von Geheimhaltungspflichten
  • Persönlichkeitsverletzungen (Mitarbeitende, Kunden, Lieferanten)
  • Haftung für finanzielle Schäden
  • Vertrauens- oder Imageschaden

Was gilt bei der Bearbeitung der Daten durch Dritte?

Datenbearbeitung durch Dritte (DSG Art. 10a)

  1. Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen werden, wenn:
    1. die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und
    2. keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.
  2. Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit gewährleistet.

Bei der Datenbearbeitung durch Dritte sind Zweckbindung, Weisungsrecht und Sicherheit zu gewährleisten.

Was gilt beim Export von Daten ins Ausland?

Grenzüberschreitende Bekanntgabe (DSG Art. 6)

  1. Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet.
  2. Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten ins Ausland nur bekannt gegeben werden, wenn:
    1. hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten;

Datenexport und Safe Harbor

Beim Datenexport ist die Gleichwertigkeit des Datenschutzes im Ausland zu gewährleisten. In den Ländern der Europäischen Union ist die ohne zusätzliche vertragliche Datenschutzgarantien möglich. Sind Unternehmen gemäss Safe Harbor Zertifiziert, dann ebenso in den USA. Safe Harbor ist eine Direktive der Europäischen Kommission, die es europäischen Unternehmen ermöglicht, personenbezogene Daten legal an die USA zu übermitteln. Eine vergleichbare Vereinbarung besteht für die Schweiz.

Der Gleichwertige Datenschutz kann im Ausland wie folgt gewährleistet werden:

  • EU, EFTA, Kanada, Argentinien, Uruguay, Israel, Neuseeland, Australien (bedingt) bieten angemessenen Schutz und es sind keine weiteren Massnahmen nötig.
  • USA: Besteht eine Safe Harbor Zertifizierung, dann ist der angemessene Schutz gewährleistet und es sind keine Massnahmen nötig. Ohne Safe Harbor gibt es keinen angemessenen Schutz und es sind vertragliche Garantien nötig.
  • Übrige: Kein angemessener Schutz und es sind vertragliche Garantien nötig

Sind beim Export von Daten in andere Länder zusätzliche vertragliche Datenschutzgarantien nötig ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage (EDÖB) beizuziehen. Werden die vom EDÖB anerkannten Standardklauseln verwendet, dann ist lediglich die Information des EDÖB notwendig. Andernfalls muss der Vertrag durch den EDÖB geprüft werden.

Datensicherheit

Was fällt unter Datensicherheit?

Unter Datensicherheit fallen sowohl Personendaten als auch andere Daten. Während die Anforderungen bezüglich den Personendaten bereits geregelt sind, besteht bei den anderen Daten noch Handlungsbedarf durch den Bundesrat.

Datenschutzgesetz Art. 7: Datensicherheit

  1. Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.
  2. Der Bundesrat erlässt nähere Bestimmungen über die Mindestanforderungen an die Datensicherheit (Vertraulichkeit, Integrität der Daten, Verfügbarkeit der Daten)

Aktuell gilt:

Personendaten Andere Daten
Datenschutz
Rechtsmässigkeit X
Verhältnismässigkeit X
Zweckgebundenheit X
Erkennbarkeit X
Richtigkeit X
Transparenz X
Informationssicherheit
Vertraulichkeit X X
Verfügbarkeit X X
Integrität X X

 

Wie wird Datensicherheit gewährleistet?

Verordnung zum DSG Art. 8: Allgemeine Massnahmen

  1. Wer als Privatperson Personendaten bearbeitet oder ein Datenkommunikationsnetz zur Verfügung stellt, sorgt für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten, um einen angemessenen Datenschutz zu gewährleisten. Insbesondere schützt er die Systeme gegen folgende Risiken:
    1. unbefugte oder zufällige Vernichtung;
    2. zufälligen Verlust;
    3. technische Fehler;
    4. Fälschung, Diebstahl oder widerrechtliche Verwendung;
    5. unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
  2. Die technischen und organisatorischen Massnahmen müssen angemessen sein. Insbesondere tragen sie folgenden Kriterien Rechnung:
    1. Zweck der Datenbearbeitung;
    2. Art und Umfang der Datenbearbeitung;
    3. Einschätzung der möglichen Risiken für die betroffenen Personen;
    4. Gegenwärtiger Stand der Technik
  3. Diese Massnahmen sind periodisch zu prüfen.

Fazit

Der Cloud Computing Kunde in der Schweiz ist verantwortlich für die Einhaltung der datenschutzrechtlichen Anforderungen. Wenn es also darum geht, Daten schweizerischer Unternehmen in der Cloud im Ausland zu speicher, sollte den rechtlichen Aspekten genügend Aufmerksamkeit gewidmet werden. Legal und Compliance, wie beispielsweise Datenschutz und Datensicherheit, verlangen Aufmerksamkeit und etwas Zeit, sind jedoch keine unüberwindbaren Hindernisse.

Fragen zum Datenschutz?

AskMeWhy legt grossen Wert auf den Schutz der Daten seiner Kunden und die Einhaltung des Datenschutz. Gemeinsam mit dem Auftraggeber erheben wir die Anforderungen und entwickeln die Regeln für den Umgang mit sensiblen Personendaten und anderen Daten. Bei höheren Sicherheitsanforderungen ziehen wir auch den Eidgenössischen Datenschutz zur Unterstützung bei.

Haben Sie Fragen zum Thema Datenschutz und Datensicherheit? Melden Sie sich über unser Kontaktformular, via E-Mail oder telefonisch.  Simon Feldkamp, 079 503 42 60, simon@askmewhy.ch