Cloud-Lösungen: Was ist datenschutzrechtlich erlaubt?
Florian Müller, RA MLaw Notar, Informatiker EFZ
Florian Müller, RA, MLaw, Informatiker EFZ ist Partner bei LEXcellence AG. Er berät als erfahrener Technologie-Anwalt nationale und internationale Unternehmen in den Bereichen IT-, Datenschutz-, Immaterialgüterrecht (IP) sowie weiteren wirtschaftsrechtlichen Bereichen. Er hat weitere Dozentenaufträge an der FHNW sowie HSLU im Bereich IT- und Datenschutzrecht.
Passende Arbeitshilfen
Sind Cloud-Lösungen datenschutzrechtlich erlaubt?
Die kurze Antwort ist «JA!». Sowohl das neue Schweizer Datenschutzrecht als auch die europäische Datenschutz-Grundverordnung verbieten die Nutzung von Cloud-Lösungen nicht. Sie stellen jedoch gewisse Anforderungen, damit die Nutzung eines Clouddienstes datenschutzkonform erfolgen kann. Die wichtigsten Anforderungen sind:
- Beizug von Cloud-Anbieter allenfalls nur möglich, wenn eine gesetzliche oder vertragliche Grundlage besteht (ADV);
- Verantwortung, dass Cloud-Anbieter die Datensicherheit gewährleistet (TOM);
- Sicherstellung eines angemessenen Datenschutzniveaus bei Bearbeitungen im Ausland.
Die Wichtigkeit dieser Anforderungen ergeben sich aus Art. 61 DSG, welche bei (eventual-)vorsätzlicher Verletzung der Pflichten eine Busse bis CHF 250'000.- androhen.
Prüfschema Cloud-Lösung:
- Wer ist mein Vertragspartner?
- Vertragspartner in der Schweiz?
- Gesetzliche oder vertragliche Vereinbarung für Datenbearbeitung?
- Datensicherheit gewährleistet?
- Datenbearbeitung ausschliesslich in der Schweiz?
- Zusätzliche Massnahmen für Auslandtransfer?
Datenschutzrechtliche Rollen bei Cloud-Lösungen
Gerade bei Cloud-Lösungen, welche als SaaS-Angebote («Software-as-a-Service») vertrieben werden, wird der Dienstleister meist Personendaten im Auftrag des Verantwortlichen bearbeiten. Dies entlastet zwar den Kunden vom Betrieb der entsprechenden Infrastruktur, nicht aber von der Verantwortung. Der Anbieter wird folglich als Auftragsbearbeiter tätig werden und die entsprechenden gesetzlichen Voraussetzungen (Art. 9 DSG) müssen eingehalten werden. Die Übertragung der Bearbeitung bedarf folglich einer gesetzlichen oder vertraglichen Grundlage. In der Praxis ist dabei der Abschluss eines Auftragsbearbeitungsvertrages (meist «ADV») notwendig, da es an einer gesetzlichen Grundlage fehlt.
Eher selten sind Sachverhalte, bei denen keine datenschutzrechtlich relevante Datenbearbeitung durch den Cloud-Anbieter erfolgt. Dies wäre dann denkbar, wenn der Anbieter über keine Möglichkeit verfügt, die übermittelten Daten so zu verwenden, um einen Rückschluss auf eine natürliche Person zu ziehen. Möglich wäre dies bspw. durch eine vorgängige Verschlüsselung der Daten durch den Kunden, wenn der Schlüssel ausschliesslich beim Kunden verbleibt. Obwohl gewisse Anbieter entsprechende Nutzungsmöglichkeiten zur Verfügung stellen, geht diese meist mit drastischen Einschränkungen des Funktionsumfangs einher. Entsprechend selten wird diese Möglichkeit benutzt.
Jetzt Member werden und weiterlesen:
- Unlimitierter Zugriff auf alle 1300 Arbeitshilfen
- Alle kostenpflichtigen Beiträge auf weka.ch frei
- Zugriff auf alle Videos
- Täglich aktualisiert
- Wöchentlich neue Inhalte und Arbeitshilfen
- Exklusive Spezialangebote
- News- & Update-Services
- Seminargutscheine
