Was sind die wichtigsten datenschutzrechtlichen Fragen, die für die Nutzung von Cloud-Diensten geklärt werden müssen?
Die Datenschutzstelle Fürstentum Liechtenstein, die Datenschutz-Aufsichtsbehörde gemäss europäischer Datenschutz-Grundverordnung (DSGVO) im Fürstentum Liechtenstein, hat eine nützliche «Cloud Services»-Checkliste veröffentlicht.
Die Checkliste umfasst fünf Punkte mit zusammenfassenden Hinweisen sowie Weblinks zu weiterführenden Informationen. Die Checkliste ist auch hilfreich, wenn nur das schweizerische Datenschutzrecht gilt.
Checkliste gemäss europäischer DSGVO
1. Werden die datenschutzrechtlichen Grundsätze eingehalten?
«Die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO sind bei jeder Verarbeitung von personenbezogenen Daten einzuhalten. […]»
Eingehalten werden müssen unter anderem die Grundsätze von Rechtmässigkeit, Treu und Glauben, Richtigkeit, Transparenz sowie Zweckbindung.
2. Ist ein Auftragsverarbeitungsvertrag vorhanden?
«Cloud Service-Anbieter sind in den meisten Fällen als Auftragsverarbeiter nach Art. 28 DSGVO zu qualifizieren. Es ist daher ein datenschutzrechtlicher Auftragsverarbeitungsvertrag mit ihnen abzuschliessen. […]»
Die meisten Auftragsverarbeiter stellen einen Auftragsverarbeitungsvertrag (AVV) zur Verfügung. Der Vertrag kann häufig online abgeschlossen werden oder ist Bestandteil der Allgemeinen Geschäftsbedingungen (AGB).
3. Bestehen geeignete technische und organisatorische Massnahmen zur Gewährleistung der Datensicherheit?
«Cloud Services sind so auszugestalten und zu konfigurieren, dass die Sicherheit der darin verarbeiteten personenbezogenen Daten dem Risiko für die Betroffenen angemessen, jederzeit und in höchst möglichem Mass gewährleistet ist. Dies kann einerseits mit organisatorischen Massnahmen und andererseits mit technischen Massnahmen geschehen. […]»
4. Ist eine Datenschutz-Folgenabschätzung erforderlich?
Führt die Verarbeitung personenbezogener Daten […] voraussichtlich zu einem hohen Risiko für die betroffenen Personen, so muss vorab eine Datenschutz-Folgenabschätzung gemäss Art. 35 DSGVO vorgenommen werden. […]
5. Findet ein Daten-Export statt, der besonders abgesichert werden muss?
«Befindet sich der Server, auf dem der gewählte Cloud Service läuft, in einem EU/EWR-Mitgliedstaat, ist der Datentransfer dorthin weitgehend unproblematisch. Befindet er sich jedoch in einem Drittstaat ausserhalb des EU/EWR-Raums, so sind ausserdem die Regeln des Art. 44 ff. DSGVO zu beachten.
In einen Drittstaat, für den ein Angemessenheitsbeschluss der EU-Kommission gemäss Art. 45 DSGVO vorliegt (z.B. Schweiz), ist der Datentransfer dabei weitestgehend unbedenklich. Für alle anderen Fälle muss mit geeigneten Garantien gemäss Art. 46 f. DSGVO sichergestellt werden, dass ein den hierzulande geltenden Regeln gleichwertiges Datenschutzniveau gewährleistet ist. In jedem Fall müssen die betroffenen Personen aber über den Datentransfer und den entsprechenden Angemessenheitsbeschluss bzw. die gewählten geeigneten Garantien vorab informiert werden.
Mit dem EuGH-Urteil Schrems II vom 16. Juli 2020 wurde der Angemessenheitsbeschluss mit den USA, der EU-U.S.-Privacy Shield, für ungültig erklärt. Ein Datentransfer in die USA ist derzeit daher nicht mehr ohne weiteres möglich, was bei der Wahl des Serverstandorts insbesondere von amerikanischen Anbietern beachtet werden sollte.»
Wichtig: «Für die Beurteilung der Datenschutzkonformität einer bestimmten Lösung ist immer eine Betrachtung der konkreten Situation im Einzelfall erforderlich.»
Was gilt gemäss dem schweizerischen Datenschutzgesetz?
Die Checkliste können viele Unternehmen und andere Verantwortliche in der Schweiz nutzen. Sie unterliegen häufig teilweise der DSGVO, zum Beispiel aufgrund von Kundinnen und Kunden im EWR oder weil sie sich vertraglich zur Einhaltung der DSGVO verpflichtet haben.
Auch wer sich ausschliesslich im Anwendungsbereich des schweizerischen Datenschutzgesetzes (DSG) bewegt, kann die Checkliste in weiten Teilen nutzen:
Die datenschutzrechtlichen Grundsätze müssen genauso eingehalten werden (Art. 5 ff. DSG) und die Datenbearbeitung im Auftrag muss genauso durch Vereinbarung an Dritte übertragen werden (Art. 10a DSG).
Genauso muss die Datensicherheit mit geeigneten Massnahmen gewährleistet werden (Art. 7 URG) und für den Daten-Export in Länder ohne einen angemessenen Datenschutz ist genauso eine entsprechende Absicherung erforderlich (Art. 6 DSG).
Einzig das Erfordernis einer allenfällgen Datenschutz-Folgenabschätzung kennt das geltende DSG noch nicht. Mit dem revidierten DSG wird dieses Erfordernis aber voraussichtlich in der zweiten Jahreshälfte 2022 im schweizerischen Datenschutzrecht Einzug halten.
(Via Stefan Hessel.)