Cloud Services

Die datenschutzrechtlichen Grundsätze aus Art. 5 DSGVO sind bei jeder Verarbeitung von personenbezogenen Daten einzuhalten. Sie umfassen insbesondere:

• Rechtmässigkeit der Datenverarbeitung
• Verarbeitung nach Treu und Glauben
• Transparenz der Datenverarbeitung
• Zweckbindung der Datenverarbeitung
• Datenminimierung
• Richtigkeit der Daten
• Speicherbegrenzung der Daten
• Integrität und Vertraulichkeit der Daten
• Rechenschaftspflicht des Verantwortlichen

Vor jeder Datenverarbeitung, ob in der Cloud oder anderswo, sollte daher sichergestellt sein, dass die oben genannten Grundsätze eingehalten werden bzw. dass technische und organisatorische Massnahmen ergriffen wurden, um sie zu gewährleisten.

Weitere Informationen zu den datenschutzrechtlichen Grundsätzen finden Sie hier.

Cloud Service-Anbieter sind in den meisten Fällen als Auftragsverarbeiter nach Art. 28 DSGVO zu qualifizieren. Es ist daher ein datenschutzrechtlicher Auftragsverarbeitungsvertrag mit ihnen abzuschliessen.

Weitere Informationen zur Auftragsverarbeitung und zum Auftragsverarbeitungsvertrag finden Sie hier.

Cloud Services sind so auszugestalten und zu konfigurieren, dass die Sicherheit der darin verarbeiteten personenbezogenen Daten dem Risiko für die Betroffenen angemessen, jederzeit und in höchst möglichem Mass gewährleistet ist. Dies kann einerseits mit organisatorischen Massnahmen und andererseits mit technischen Massnahmen geschehen. Bei der Auswahl der geeigneten Massnahmen sollen nicht nur der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der geplanten Datenverarbeitung berücksichtigt werden, sondern auch die unterschiedliche Eintrittswahrscheinlichkeit und die Schwere des Risikos für die betroffenen Personen. In der Pflicht stehen hierbei sowohl der datenschutzrechtlich Verantwortliche als auch der Auftragsverarbeiter, in diesem Fall der Cloud Service-Anbieter.

In Bezug auf Cloud Services können solche geeigneten Massnahmen beispielsweise folgendes beinhalten:

• die Pseudonymisierung und Verschlüsselung der Daten, bevor sie in der Cloud verarbeitet werden,
• eine verschlüsselte Datenübertragung in die Cloud (z.B. via VPN),
• die Fähigkeit des Anbieters, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit des Cloud Services bzw. der darin verarbeiteten Daten auf Dauer sicherzustellen,
• die Fähigkeit des Anbieters, die Verfügbarkeit der Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen,
• eine optimierte Zugangs- und Berechtigungskontrolle (IAM) für den Zugang/Zugriff zu den Daten in der Cloud,
• ein optimiertes Passwortmanagement,
• die korrekte Konfiguration der sicherheitsrelevanten Einstellungen,
• ein optimiertes Security-Logging und Monitoring,
• ein Verfahren zur regelmässigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit dieser Massnahmen,
• etc.

Weitere hierunter fallende Überlegungen, die sich in technischer und organisatorischer Hinsicht bei der Auswahl und Konfiguration eines bestimmten Cloud Services stellen, sind die konkrete Ausgestaltung des Lizenz- und Servicevertrags, die Wahl des Serverstandorts, Aspekte des internationalen Datentransfers (siehe Pkt. 5)¹ etc.

Hinweis: Die Agentur der Europäischen Union für Cybersicherheit (ENISA) hat einen Leitfaden zur Cloud Sicherheit für kleine und mittlere Unternehmen veröffentlicht. In dem Leitfaden werden sowohl sicherheitsrelevante Chancen und Risiken erläutert als auch mögliche Massnahmen zur Verminderung der Risiken vorgeschlagen.   Das Dokument «Cloud Security Guide for SMEs» können Sie hier herunterladen.

Weitere Informationen zu technischen und organisatorischen Massnahmen (TOMs) finden Sie hier. 

1 Es gibt auch Rechtsgebiete, die eine Verarbeitung und Speicherung von Daten ausschliesslich im Inland vorsehen, so z.B. Art. 27 Bst. d Sorgfaltspflichtgesetz. Hier ist ein internationaler Datentransfer via Cloud mit Serverstandort im Ausland jedenfalls zu vermeiden.

Führt die Verarbeitung personenbezogener Daten in einem Cloud Service aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich zu einem hohen Risiko für die betroffenen Personen, so muss vorab eine Datenschutz-Folgenabschätzung gemäss Art. 35 DSGVO vorgenommen werden. Dies gilt auch, falls etwa in grossem Umfang besondere Kategorien personenbezogener Daten gemäss Art. 9 DSGVO oder solche über strafrechtliche Verurteilungen und Straftaten gemäss Art. 10 DSGVO in der Cloud verarbeitet werden sollen.

Weitere Informationen zur Datenschutz-Folgenabschätzung finden Sie hier.

Befindet sich der Server, auf dem der gewählte Cloud Service läuft, in einem EU/EWR-Mitgliedstaat, ist der Datentransfer dorthin weitgehend unproblematisch. Befindet er sich jedoch in einem Drittstaat ausserhalb des EU/EWR-Raums, so sind ausserdem die Regeln des Art. 44 ff. DSGVO zu beachten.

In einen Drittstaat, für den ein Angemessenheitsbeschluss der EU-Kommission gemäss Art. 45 DSGVO vorliegt (z.B. Schweiz), ist der Datentransfer dabei weitestgehend unbedenklich. Für alle anderen Fälle muss mit geeigneten Garantien gemäss Art. 46 f. DSGVO sichergestellt werden, dass ein den hierzulande geltenden Regeln gleichwertiges Datenschutzniveau gewährleistet ist. In jedem Fall müssen die betroffenen Personen aber über den Datentransfer und den entsprechenden Angemessenheitsbeschluss bzw. die gewählten geeigneten Garantien vorab informiert werden.

Hinweis: Mit dem EuGH-Urteil Schrems II vom 16. Juli 2020 wurde der Angemessenheitsbeschluss mit den USA, der EU-U.S.-Privacy Shield, für ungültig erklärt. Ein Datentransfer in die USA ist derzeit daher nicht mehr ohne weiteres möglich, was bei der Wahl des Serverstandorts insbesondere von amerikanischen Anbietern beachtet werden sollte.

Weitere Informationen zum internationalen Datentransfer und den dafür geltenden datenschutzrechtlichen Regeln finden Sie hier.