CONTROLLER
2.10
Datenbearbeitungen in der Cloud
Ein Spezialfall der Auslagerung von Datenbearbeitungen sind Cloud-Lösungen. Hier erwarten uns besondere Herausforderungen.
Wenn wir Cloud-Lösungen benutzen, handelt es sich um einen Fall der Auftragsdatenbearbeitung durch ein öffentliches Organ. Dabei werden die Datenbearbeitungen ausgelagert auf ein externes System, wobei wir einen Teil der Kontrollhoheit über die Daten verlieren, denn wir wissen nicht genau, auf welchem Server und in wessen Verantwortung sie dann liegen und was mit ihnen passiert. Das sind schon ganz allgemein Herausforderungen und Risiken des Outsourcings, erst recht aber bei Auslagerungen in die Cloud.
Risiken
Darüber hinaus gibt es nämlich auch cloudspezifische Risiken, denen wir wiederum mit cloudspezifischen Massnahmen begegnen müssen. Denn auch bei dieser Form der Auslagerung bleibt das öffentliche Organ vollumfänglich verantwortlich für die Personendaten, selbst wenn wir nicht mehr die volle Kontrolle darüber haben. Gehen wir also schrittweise vor. Zuerst müssen wir nach den üblichen Regeln für die Auftragsdatenbearbeitung prüfen, ob die Bearbeitung der Daten überhaupt ausgelagert werden darf. Wenn das zulässig ist und wir Cloudtechnologien nutzen wollen, müssen wir als nächstes prüfen, was die spezifischen datenschutzrechtlichen Risiken sind, die dadurch entstehen. Bei Cloudlösungen von Drittanbietern begegnen uns Risiken in verschiedenen Bereichen.
- Wir wissen oft nicht genau, wo die Datenbearbeitung erfolgt, und es ist schwieriger, es herauszufinden.
- Die Kontrollmöglichkeiten werden kleiner, denn es kann schwierig sein, die Datenbearbeitung auf Cloudinfrastrukturen fest abzugrenzen.
- Der Gestaltungsspielraum ist bei Standardangeboten in der Regel recht klein und es kann kaum verhandelt werden.
- Es ist schwieriger, datenschutzrechtliche Ansprüche durchzusetzen. Das betrifft etwa Löschungs- und Berechtigungsansprüche und ist abhängig davon, welches Recht anwendbar ist und wo die Server mit den Daten stehen.
- Die Vertraulichkeit der Daten kann gefährdet sein, wenn innerhalb von Cloudanwendungen Dritte Zugang zu den Daten haben.
- Unter Umständen sind Zugriffe von ausländischen Behörden ein Problem. Wenn Daten im Ausland liegen, können sie einfacher von den dortigen Behörden behändigt werden, als wenn sie in der Schweiz gelagert wären. Dieses Risiko droht vor allem bei US-amerikanischen Anbietern, weil sie durch den US CLOUD Act dazu verpflichtet sind, den US-Behörden Zugriff auf die Daten zu gewähren, und zwar unabhängig davon, ob sie auf Servern in den USA liegen oder in einem anderen Land.
Lösungen
Wie können wir mit diesen Risiken umgehen? Das öffentliche Organ bleibt verantwortlich für die Daten, deshalb muss es sich diese Risiken zunächst ansehen und umfassend abwägen, ob sie tragbar sind. Besonders wichtig sind dabei das anwendbare Recht und der Gerichtsstand, der Ort der Datenbearbeitung und der Geheimnisschutz.
In Bezug auf das anwendbare Recht und den Gerichtsstand müssen wir mitunter eine grundsätzliche Entscheidung treffen. Nehmen wir an, wir schliessen einen Vertrag nach ausländischem Recht ab. Wir sind dann noch immer für die Personendaten verantwortlich und müssen deshalb auch noch immer Vertragsverletzungen durchsetzen. Das könnte bedeuten, dass wir dafür beispielsweise nach irischem oder nach US-amerikanischem Recht klagen müssten und unsere Verantwortung schlecht oder gar nicht durchsetzen könnten. Es gibt also mitunter gute Gründe, sich bei der Risikoabwägung grundsätzlich gegen einen Vertragsabschluss nach ausländischem Recht zu entscheiden.
Der Ort der Datenbearbeitung ist im Falle von Cloudlösungen der Ort der Server, auf denen die Daten liegen. Wir müssen uns fragen: Wo befinden sich diese Server und damit unsere Daten? Stehen sie in einem Land mit angemessenem Datenschutz bzw. mit einem gleichwertigen Datenschutzrecht wie bei uns in der Schweiz oder nicht? Anbieter aus Staaten mit einer solchen Gleichwertigkeit wären in einer Abwägung Anbietern vorzuziehen, in deren Staaten kein gleichwertiges Datenschutzniveau garantiert ist.
Der Geheimnisschutz wiederum betrifft den Schutz der Vertraulichkeit. Grundsätzlich sollen Dritte nicht auf die Daten etwa unserer Bürgerinnen und Bürger oder unserer Patientinnen und Patienten zugreifen können. Davor schützen wir die Daten, indem wir sie verschlüsseln. Eine sichere Verschlüsselung ist nur dann gegeben, wenn das öffentliche Organ die Daten selbst verschlüsselt und auch nur selbst den Schlüssel besitzt, mit dem man die Daten wieder entschlüsseln und lesbar machen kann. Daten, die auf dem Weg in die Cloud sind (data in transit), oder Daten, die irgendwo gespeichert sind (data addressed), kann man relativ leicht verschlüsseln. Meistens bieten Cloudangebote aber nicht nur eine Speicherlösung an, sondern die Daten können innerhalb der Cloud auch bearbeitet werden. Das wiederum ist nur möglich, wenn auch die Cloudanbieterin über den Schlüssel verfügt.
Risikoanalyse
Bei einer umfassenden Risikoabwägung müssen wir in jedem konkreten Fall alle diese Punkte in Betracht ziehen und auf dieser Basis entscheiden, ob wir eine Datenbearbeitung in die Cloud auslagern können oder nicht. Zu diesem Zweck erstellen wir vorab eine umfassende Risikoanalyse. In dieser Risikoanalyse führen wir an, welche cloudspezifischen Risiken für die einzelnen Datenbearbeitungen bestehen, und zeigen entsprechende Schutzmassnahmen auf, mit denen wir diese Risiken ausschliessen oder auf ein tragbares Mass reduzieren können. Wenn das nicht möglich ist, sollten wir auf die Cloudlösung verzichten. Ansonsten trägt das öffentliche Organ ausdrücklich das Restrisiko, was nicht zuletzt finanzielle Auswirkungen haben kann.
Der Datenschutzbeauftragte des Kantons Basel-Stadt hat auf seiner Website ein Cloud-Merkblatt zur Verfügung gestellt, das von der Konferenz der Schweizerischen Datenschutzbeauftragten PRIVATIM erlassen worden ist. Dort finden Sie weitere Informationen zu diesem Thema.
Lizenz
Universität Basel