Datenschützer empfiehlt schweizerische Lösungen für Cloud Computing
Die Vorteile von Cloud Computing im Vergleich zu reinen Inhouse Lösungen (on premise) liegen auf der Hand: Kostenreduzierung bei IT-Infrastruktur und Software, laufend aktuelle Software Updates, bessere Performance, bedarfsgerechter Speicherplatz, höchste Ausfallsicherheit. Diese Vorzüge machen sich Unternehmen längst zunutze – und auch immer mehr Behörden und Institutionen setzen auf Cloud Lösungen. Doch dabei werden unzählige Daten auf Servern weltweit gespeichert und verarbeitet.
Wie sieht es mit dem Datenschutz beim Cloud Computing im Ausland aus?Der eidgenössische Datenschützer Hanspeter Thür warnt in einem Interview mit dem SRF deutlich vor einer Datenauslagerung in grosse Rechenzentren im Ausland und empfiehlt rein schweizerische Lösungen. Denn sensible Daten, so Thür, seien in den Wolken viel zu wenig geschützt. Gerade der Fall Snowden habe gezeigt, dass die Clouds, also die grossen externen Rechenzentren von Microsoft und Google eben nicht sicher seien. Doch genau solche hoch sensiblen Daten wie Patientendossiers, Bankdaten oder Behördenangaben werden zunehmend in der Cloud gespeichert. Und wenn der Cloud Anbieter nicht in der Schweiz ansässig ist, wird es schwierig, den Datenschutz zu gewährleisten. Denn ob beispielsweise ein Cloud Anbieter, der in den USA sitzt, die Schweizer Datenschutzbestimmungen einhält, kann nur unzureichend geprüft werden. Zudem haben die USA ganz offen bestätigt, dass der europäische Datenschutz für US-Firmen, die in Europa tätig sind, nicht gilt.
Mehr zur Bewertung von Cloud Computing mit ausländischen Anbietern im Podcast des SRF
Erschwerend kommt für den Cloud Nutzer hinzu, dass häufig nicht offensichtlich ist, wo seine Daten überhaupt gespeichert werden. Denn die meisten Cloud Anbieter nutzen Server in den unterschiedlichsten Teilen der Erde.
Als Unternehmen sind Sie für die Einhaltung des Datenschutzes verantwortlich
Bei der Auslagerung von Daten in eine Cloud ist der Cloud Nutzer als Auftraggeber verantwortlich für die Gewährleistung des Datenschutzes gegenüber den betroffenen Personen – nicht der Anbieter, der die Daten auf einem Cloud Server speichert oder in der Cloud bearbeitet. Folglich haften Sie als Nutzer der Cloud auch bei etwaigen Verletzungen der Schweizer Bestimmungen. Dies ist den Unternehmen und Behörden, die Cloud Computing in Anspruch nehmen, oft nicht bewusst.
Welche Daten in der Cloud sind überhaupt vom Datenschutz betroffen?
Das eidgenössische Datenschutzgesetz kommt zur Anwendung, wenn eine private Person oder ein Bundesorgan innerhalb einer Cloud Daten von natürlichen oder juristischen Personen „bearbeitet“ (vgl. Art. 2 DSG). «Bearbeiten» umfasst dabei alles, was mit Beschaffung, Aufbewahrung, Änderung, Verwendung, Bekanntgabe, Archivierung oder Vernichtung von Daten zu tun hat. Die Speicherung von Kundendaten in der Cloud oder deren Aktualisierung fällt also somit schon unter das Datenschutzgesetz.
Die liebe Not mit der Pflicht: Ihre Pflichten als Cloud Nutzer rund um den «Dritten»
Einhaltung des Datenschutzes
Wenn Sie als Unternehmen Personendaten nicht auf Ihrem eigenen Server speichern, sondern in der Cloud, so handelte es sich im datenschutzrechtlichen Sinne um die sogenannte «Datenbearbeitung durch Dritte», auch Auftragsbearbeitung genannt (Art. 10a DSG). Ein solches Cloud Computing mit personenbezogenen Daten ist erlaubt, wenn der Hosting Anbieter die Daten so bearbeitet, wie Sie selbst es tun müssten. Unzulässig ist die Auslagerung nur, wenn eine gesetzliche oder vertragliche Geheimhaltungspflicht die Bearbeitung durch einen Dritten untersagt.
Dies bedeutet: Der Cloud Computing Anbieter muss sich vollumfänglich an die in der Schweiz geltenden Datenschutzbestimmungen halten! Dies gilt genauso für alle etwaigen Subunternehmer, mit denen der Anbieter zusammenarbeitet. Alle Beteiligten, auf deren Servern Ihre personenbezogenen Daten bearbeitet werden, müssten also vertraglich eingebunden werden. Genau genommen müssten Sie sich vergewissern, dass Ihr Cloud Anbieter seinen Subunternehmen mit Servern im Ausland dieselben Pflichten auferlegt, wie er sie selbst hat. Je vernetzter der Cloud Anbieter im Ausland ist und je mehr ausländische Server oder Subunternehmer involviert sind, desto intransparenter wird die Situation und desto unmöglicher wird es für Sie, sicherzustellen und laufend zu prüfen, dass die datenschutzrechtlichen Bestimmungen eingehalten werden.
Gewährleistung der Datensicherheit
Als Cloud Nutzer müssen Sie sich zudem vergewissern, dass Ihr Cloud Anbieter die Datensicherheit gewährleistet (Art. 7 DSG). Im Fachjargon heisst es: Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden und es muss für die Vertraulichkeit, Verfügbarkeit und Integrität der Daten gesorgt sein (Art. 8 der Verordnung zum DSG). Im Detail muss der Cloud Anbieter Ihre Daten vor diesen Gefahren schützen: unbefugte oder zufällige Vernichtung oder zufälligen Verlust, technische Fehler, Fälschung, Diebstahl oder widerrechtliche Verwendung, unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
Und es wird noch schwieriger: Gemäss EDÖB müssten Sie als Cloud User die technischen und organisatorischen Massnahmen sogar vor Ort überprüfen, um Ihren Datenschutzpflichten vollumfänglich nachzukommen. Dass dies nicht durchführbar ist, sehen jedoch sogar die Datenschützer ein, denn wie oben beschrieben nimmt ein Cloud Anbieter häufig Server in Anspruch, die über den ganzen Globus verteilt sind. Der Gesetzgeber scheint selbst ratlos, wie eine solche Überprüfung zu bewerkstelligen sein soll, denn eine eindeutige Anleitung dazu gibt das Gesetz nicht.
Wolken mit starker Gewitterneigung: Die Probleme mit der «ausländischen Cloud»
Die fehlende Übersicht, wo der Cloud Anbieter die Daten seines Kunden überhaupt speichert, wird als hauptsächliches Problem angesehen. Bei Cloud Anbietern, die nicht ausschliesslich Schweizer Rechenzentren nutzen, ist oft schwer nachvollziehbar, wo die Daten überhaupt gespeichert und verarbeitet werden und ob weitere Subunternehmer involviert sind. In vielen Fällen werden die Daten in eine Cloud im Ausland übertragen und die Verarbeitung findet auf weltweit verstreuten Servern statt. Und es ist kein Geheimnis, dass dabei oft Länder im Spiel sind, die keinen oder nur einen sehr unzureichenden Datenschutz gewährleisten. Das Risiko ist also gross, dass Daten in einer Art und Weise verarbeitet werden, wie sie in der Schweiz nicht erlaubt wäre.
Dennoch sind Sie als Cloud Nutzer für die Daten weiterhin verantwortlich und müssen die Schweizer Datenschutzbestimmungen einhalten: Datensicherheit gewährleisten, Auskunftsrecht gewähren, Daten berichtigen oder löschen können. Diese Pflichten sind kaum oder nur sehr schwer zu erfüllen, wenn ausländische Standorte involviert sind und die Rechtslage nicht klar ist.
Besonders prekär wird es natürlich, wenn es sich um hoch sensible Daten handelt: Patientendaten (Stichwort «Patientendossier»), Behördenangaben, Bankdaten, Daten die dem Anwaltsgeheimnis unterliegen etc. Dennoch nutzen tatsächlich auch immer mehr Behörden, Institutionen, Ärzte und viele andere Cloud Computing und lagern ihre sensiblen Daten aus.
Noch mehr Pflichten, die beim Cloud Computing im Ausland schwer zu erfüllen sind
Im weiteren Sinne gehört auch das Auskunftsrecht zum Datenschutz: Als Nutzer einer Cloud müssen Sie das Auskunftsrecht nach Art. 8 DSG und das Recht auf Löschung und Berichtigung nach Art. 5 DSG jederzeit gewährleisten und gemäss datenschutzrechtlicher Vorgaben umsetzen können. Doch wie können Sie das einhalten, wenn Sie nicht genau wissen, wo welche Daten gespeichert sind und bearbeitet werden? Befreit werden Sie von dieser Pflicht aufgrund von Unwissenheit jedoch nicht.
Fazit: Sorgfalt sollte Ihre höchste Priorität sein
Cloud Computing mit Anbietern, die Daten auf Servern im Ausland speichern und bearbeiten, birgt besondere Risiken. Dies betrifft Unternehmen genauso wie Behörden, Institutionen oder Ärzte und Spitäler. Als Nutzer von Cloud Computing und Hosting Services müssen Sie Ihren Anbieter äusserst sorgfältig prüfen, um Datenschutz und Datensicherheit gewährleisten zu können. Bewertet werden müssen dabei organisatorische, rechtliche und technische Aspekte. Je vertraulicher und schützenswerter die auszulagernden Daten sind, desto strikter und umfassender müssen die Sicherheitsvorkehrungen und deren Kontrolle sein, die der Gesetzgeber vorschreibt.
So gelten beispielsweise für Patientendaten, Bankkundendaten und Daten, die dem Anwaltsgeheimnis unterliegen, besonders strenge rechtliche Rahmenvorschriften hinsichtlich Datenschutz, Datensicherheit sowie Geheimhaltung. Ob solche Daten auf Server im Ausland wandern sollten? Wohl eher nicht. Sicher sind sie nur in einer rein schweizerischen Cloud Computing Lösung.
Cloud Computing? Ja bitte, aber sicher. In der Schweiz!
Mit einer Cloud Lösung vom Schweizer Anbieter, der Ihre Daten ausschliesslich in Schweizer Rechenzentren speichert und bearbeitet, können Sie die unschlagbaren Vorzüge von Cloud Computing nutzen und zugleich sicherstellen, dass Sie das Schweizer Datenschutzgesetz einhalten und alle Vorkehrungen für die Datensicherheit getroffen werden. Ganz im Sinne des eidgenössischen Datenschützers Hanspeter Thür, der empfiehlt, «…nur noch Cloud Lösungen aus der Schweiz zu gebrauchen. Sensible Daten, …, also nur an externe Rechenzentren zu geben, wenn die entsprechenden Firmen nach Schweizer Recht handeln, zur Mehrheit in Schweizer Eigentum und mehrheitlich innerhalb der Schweiz tätig sind.»¹
Dazu gehört die Netrics. Wir betreiben eigene hoch sichere Rechenzentren in der Schweiz und die Datenhaltung beschränk sich ebenfalls auf die Schweiz. Dass wir uns dem Datenschutzgesetz zu 100% verpflichten, ist selbstverständlich.
Ein professioneller Anbieter wird Sie auch hinsichtlich der Cloud Variante gewissenhaft beraten – die unternehmensspezifischen Anforderungen entscheiden über die Art der idealen Lösung: Private Cloud, Public Cloud, Hybrid Cloud oder die Auslagerung der gesamten IT. Ihre individuelle Cloud Lösung wird so konzipiert, dass Sie von Beginn an alle Anforderungen rund um Datenschutz, Compliance und Sicherheit voll und ganz erfüllen können.
Wir wünschen Ihnen ein rechtskonformes, effizientes und sicheres Arbeiten sowie viele erfreuliche Kosteneinsparungen – mit Ihrer Schweizer Cloud!
¹Audiobeitrag SRF vom 29.06.2015