Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Zur Anmeldung
Anfrage
arrow-to-top

Kategorie: Datenschutz

Überarbeitetes privatim-Merkblatt Cloud-spezifische Risiken und Massnahmen

privatim hat sein im Februar 2019 veröffentlichtes Merkblatt zu den cloudspezifischen Risiken und Massnahmen ergänzt um Ausführungen zum US CLOUD Act. Nach diesem Erlass müssen dem CLOUD Act unterstehende Cloud-Anbieter US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA, sondern z.B. in einem EU-Mitgliedstaat oder in der Schweiz erfolgt. Dieses durch die US-amerikanische Gesetzgebung geschaffene Risiko ist in der umfassenden Risikoanalyse zu beachten, die vorzunehmen ist, bevor staatliche Behörden Cloud-Dienstleistungen nutzen dürfen.

Merkblatt Cloud-spezifische Risiken und Massnahmen

1. Einleitung

Öffentliche Organe nehmen für ihre Datenbearbeitungen in vielfältiger Art und Weise die Dienstleistungen Dritter in Anspruch. Für die Auslagerung von Datenbearbeitungen an Dritte enthalten die (Informations- und) Datenschutzgesetze regelmässig Bestimmungen, die im Wesentlichen festhalten, dass das öffentliche Organ auch bei einer Auslagerung für die Datenbearbeitung vollumfänglich verantwortlich bleibt. Wie diese Verantwortung bei solchen Auftragsdatenbearbeitungen wahrzunehmen ist, haben verschiedene Datenschutzbehörden in Leitfäden und Checklisten festgehalten (Vgl. die Links im Anhang 2.)

Die von Dritten zur Verfügung gestellten Datenbearbeitungsdienstleistungen basieren heute immer mehr auf der Verwendung von Cloud-Technologie

Die Ressourcen für die Datenbearbeitungen werden dynamisch zur Verfügung gestellt und eine konkrete Lokalisation von Datenbearbeitungen und Daten ist nicht vorgesehen: Sie befinden sich eben in der «Cloud».

Auch bei der Inanspruchnahme solcher Cloud-Dienstleistungen bleibt das öffentliche Organ vollumfänglich verantwortlich.

privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, will mit diesem Merkblatt aufzeigen, welche Risiken bei Cloud-Dienstleistungen zusätzlich zu denen einer Auftragsdatenbearbeitung hinzukommen oder sich akzentuieren und wie die Verantwortung diesbezüglich von den öffentlichen Organen konkret wahrgenommen werden kann.

Somit ist vorerst nach den allgemeinen Datenschutzbestimmungen zu prüfen, ob eine Auslagerung überhaupt zulässig ist. Wenn dies der Fall ist und bei dieser Auftragsdatenbearbeitung Cloud-Infrastruktur genutzt werden soll, sind anschliessend die cloud-spezi-fischen Risiken zu prüfen.

Das Merkblatt legt den Fokus auf datenschutzrechtliche Risiken. Die öffentlichen Organe müssen andere Risiken für ihre Aufgabenerfüllung – z.B. bei der Durchsetzung von Vertragsbestimmungen – selber mitberücksichtigen.

2. Akzentuierte oder zusätzliche Risiken bei Datenbearbeitungen in der Cloud

Bei der Inanspruchnahme von Cloud-Lösungen von Drittanbietern bestehen oder akzentuieren sich insbesondere die Risiken in folgenden Bereichen:

  • Transparenz über die Standorte der Server;
  • Kontrollmöglichkeiten (Abgrenzung der Datenbearbeitungen auf Cloud-Infrastruktur);
  • Gestaltungsspielraum bei Standardangeboten (anwendbares Recht, Gerichtsstand, Serviceumfang, Sicherheitsmassnahmen, Vertragsinhalt generell);
  • Durchsetzbarkeit von datenschutzrechtlichen Ansprüchen (Löschungs- respektive Berichtigungsansprüche);
  • Vertraulichkeit (Verschlüsselung, Geheimnisschutz);

Zugriffe von US-Behörden aufgrund des CLOUD Act (Clarifying Lawful Overseas Use of Data Act (CLOUD Act), H.R. 4943, oder anderer ausländischer Behörden aufgrund ähnlicher Rechtserlasse (Im Folgenden unter CLOUD Act miterfasst).

  • Transparenz über Informationssicherheitsmassnahmen (Datenverlust, -missbrauch);
  • Transparenz über weitere Beteiligte (Unterauftragsverhältnisse, Wartung der Infra-struktur);
  • Verfügbarkeit der Dienste und
  • Transparenz bei Auflösung des Vertragsverhältnisses (Datenportabilität, Vernichtung der Daten).

3. Verantwortung des öffentlichen Organs bei der Inanspruchnahme von Cloud-Dienstleistungen

Das verantwortliche öffentliche Organ hat bei der Inanspruchnahme von Cloud-Dienstleistungen die spezifischen Risiken durch angemessene Massnahmen auszuschliessen oder auf ein tragbares Mass zu reduzieren. Bei der allgemeinen Risikoanalyse für die konkrete Datenbearbeitung sind die cloudspezifischen Risiken zu berücksichtigen und entsprechende Vorkehrungen zu treffen.

Im Vordergrund stehen drei Risikobereiche:

Das cloudspezifische Risiko wird primär von diesen drei Risiken bestimmt.

Hinzu kommen weitere Risiken, die durch die Verwendung von Cloud-Infrastruktur mindestens akzentuiert werden (unten 3.4-3.10).

3.1 Anwendbares Recht, Gerichtsstand

Grundsätzlich soll auf das Vertragsverhältnis schweizerisches Recht (insbesondere das entsprechende Datenschutzgesetz) anwendbar sein und für den Entscheid über Streitigkeiten aus dem Vertragsverhältnis ein Gerichtsstand in der Schweiz vereinbart werden.

Die Anwendbarkeit des Rechts eines anderen Staates und ein ausländischer Gerichtsstand kann vereinbart werden,

  • wenn die Daten durch Verschlüsselung wirksam vor dem Zugriff durch Dritte (sowie den Anbieter der Cloud-Dienstleistung) geschützt werden können (Ziff. 3.3) oder
  • bei nicht sensitiven Daten, wenn der entsprechende Staat über ein gleichwertiges Datenschutzniveau verfügt (z.B. EU-Mitgliedstaaten).

3.2 Ort der Datenbearbeitung

Der Anbieter muss offenlegen, wo er seine Cloud-Infrastruktur betreibt, damit die Risiken in Bezug auf die Serverstandorte bei der Risikoabwägung mitberücksichtigt werden können.

  • Datenbearbeitungsstandorte in der Schweiz sind zu bevorzugen (Sicherheit der Infrastruktur, z.B. in Bezug auf die Schutzziele Verfügbarkeit und Integrität, Zurechenbarkeit und Nachvollziehbarkeit).
  • Bei ausländischen Standorten sind solche in Staaten, die über ein gleichwertiges Datenschutzniveau verfügen, vorzuziehen (Rechtssicherheit).

Dem CLOUD Act unterstehende Cloud-Anbieter (Vgl. zur Frage, wer dem CLOUD Act untersteht, das Whitepaper des US-Justizdepartements von April 2019, insb. S. 8 müssen US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA, sondern z.B. in einem EU-Mitgliedstaat oder in der Schweiz erfolgt.

3.3 Geheimnisschutz, Verschlüsselung und Schlüsselmanagement

Daten (data at rest und data in transit) sind nach dem aktuellen Stand der Technik zu verschlüsseln.

Bei besonders schützenswerten Personendaten (inkl. Daten, die einem Berufs- oder be-sonderen Amtsgeheimnis unterstehen) sind zusätzliche Anforderungen an die Verschlüsselung und das Schlüsselmanagement zu stellen und in der Risikoabwägung zu berücksichtigen:

  • Die Verschlüsselung soll durch das öffentliche Organ erfolgen. Grundsätzlich dürfen die Schlüssel nur für das öffentliche Organ verfügbar sein. Die Schlüssel sind vor Verlust, Entwendung sowie unrechtmässiger Bearbeitung und Kenntnisnahme zu schützen.
  • Ist dies nicht möglich, können die Schlüssel beim Cloud-Anbieter aufbewahrt werden, wenn er sich vertraglich verpflichtet, sie nur mit der ausdrücklichen Zustimmung des öffentlichen Organs zu verwenden. Zugriffe sind zu protokollieren. Ausserdem muss der Cloud-Anbieter die Schlüssel vor Verlust, Entwendung sowie unrechtmässiger Bearbeitung und Kenntnisnahme schützen und sicherstellen, dass die Daten beim Verschlüsselungsvorgang nicht kompromittiert werden können.

3.4 Vertrag

Das öffentliche Organ schliesst mit dem Cloud-Dienstleister einen schriftlichen Vertrag. Alternativ schliesst es sich einem Rahmenvertrag an oder akzeptiert die Allgemeinen Geschäftsbedingungen (AGB), welche die hier erwähnten Anforderungen erfüllen und nicht einseitig abänderbar sein dürfen.

3.5 Unterauftragsverhältnisse (Subcontracting)

Der Anbieter muss Unterauftragsverhältnisse offenlegen, damit die Risiken in Bezug auf die beteiligten Erbringer von Cloud-Dienstleistungen bei der Risikoabwägung mitberücksichtigt werden können.

3.6 Meldepflichten

Der Cloud-Dienstleister hat Änderungen in der Art und Weise der Datenbearbeitung (Standort, Unterauftragsverhältnisse) und Sicherheitsvorfälle dem öffentlichen Organ zu melden, damit rechtzeitig Massnahmen in Bezug auf die Cloud-Dienstleistung getroffen werden können.

3.7 Kontrollrecht und -möglichkeit

Das öffentliche Organ hat sich ein Kontrollrecht vorzubehalten: Der Anbieter ist zu verpflichten, regelmässige Kontrollen seiner Cloud-Infrastruktur nach internationalen Audit-Standards vorzunehmen und die Prüfberichte dem öffentlichen Organ und der für dieses zuständigen Datenschutzaufsichtsbehörde auf Verlangen vorzulegen.

3.8 Informationssicherheitsmassnahmen

Das öffentliche Organ hat sicherzustellen, dass ein dem Schutzbedarf entsprechender Schutz gewährleistet wird. Um das zu beurteilen, hat es den Cloud-Dienstleister zu verpflichten, in Bezug auf die Cloud-Infrastruktur darzulegen, welche Schutzziele er mit welchen Informationssicherheitsmassnahmen erreicht.

3.9 Betrieb der Cloud-Infrastruktur

Der Cloud-Dienstleister hat die Cloud-Infrastruktur nach internationalen Standards zu führen und weist dies allenfalls mit Zertifizierungen nach (ISO).

3.10 Pflichten bei Auflösung

Der Prozess bei der Auflösung des Vertragsverhältnisses ist bereits beim Vertragsabschluss festzuhalten (insb. Rücklieferung und Vernichtung der Daten).

4. Fazit

Öffentliche Organe können für ihre Datenbearbeitungen – wenn ihre Auslagerung nach den allgemeinen Regeln für die Auftragsdatenbearbeitung (siehe die Leitfäden im Anhang 2) zulässig ist – auch Cloud-Dienstleistungen Dritter in Anspruch nehmen. Dafür sind in einer umfassenden Risikoanalyse die spezifischen Risiken bei Inanspruchnahme von Cloud-Dienstleistungen zu berücksichtigen. Diese Risikoanalyse muss differenziert für die einzelnen Datenbearbeitungen die cloud-spezifischen Risiken sowie die entsprechenden Massnahmen aufzeigen, mit denen die cloud-spezifischen Risiken ausgeschlossen oder auf ein tragbares Mass reduziert werden können. Die Beurteilung soll aufzeigen, ob für die Datenbearbeitungen die Inanspruchnahme von Cloud-Diensten umfassend, teilweise oder nicht zulässig ist.

Die öffentlichen Organe, die für ihre Aufgabenerfüllung Cloud-Dienstleistungen in An-spruch nehmen, tragen weiterhin vollumfänglich die Verantwortung für die Datenbearbeitung. Das öffentliche Organ (bzw. seine Leitung) ist anzuhalten, schriftlich zu bestätigen, dass es die Risiken verstanden hat und das Restrisiko übernimmt. Die Übernahme von Restrisiken kann allenfalls auch Auswirkungen auf die Rechnungslegung haben, was durch die Finanzkontrollen zu prüfen ist. Den Exekutiven ist zu raten, die übernommenen (Rest-)Risiken regelmässig zu erfassen, da sie gegenüber Parlament und Volk letztlich die Verantwortung für den Schutz der Grundrechte der Bürgerinnen und Bürger und für das finanzielle Gebaren der Verwaltung zu tragen haben.

Das öffentliche Organ muss seinerseits eine Datenschutz-Folgenabschätzung durchfüh-
ren. Den zuständigen Datenschutzaufsichtsbehörden sind Risikoanalyse und Massnah-
menplan zur Prüfung vorzulegen (Vorabkontrolle bzw. Vorabkonsultation). Sie stehen den
öffentlichen Organen auch beratend bezüglich rechtlicher, organisatorischer und techni-
scher Fragen zur Seite.

Anhänge s. Merkblatt Cloud-spezifische Risiken und Massnahmen

Privatim.ch; Abgerufen am 19.12.2019 von https://www.privatim.ch/wp-content/uploads/2019/12/privatim-Cloud-Papier_v2_1_20191217.pdf

Swiss Infosec AG; 05.02.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch

Kategorie: Cybersecurity | Datenschutz

Revision Datenschutzgesetz (DSG) Schweiz

01/2020 – Fachartikel Swiss Infosec AG

Aktueller Stand der Totalrevision des Datenschutzgesetzes

Am 18. Dezember 2019 hat der Ständerat über den Entwurf zur Totalrevision des Datenschutzgesetzes debattiert und abgestimmt. In der Gesamtabstimmung stimmte er mit 29 zu 4 Stimmen bei 0 Enthaltungen dem zuvor vom Nationalrat behandelten Vorlage zu. Der Ständerat ist dabei weitestgehend seiner Staatspolitischen Kommission gefolgt. Als nächstes geht die laut Justizministerin Karin Keller-Sutter nun «ausgewogene Vorlage» zurück zur Vorbereitung an die Staatspolitische Kommission des Nationalrats.

Das schweizerische Datenschutzrecht soll der Europäischen Datenschutzgrundverordnung (DSGVO) angeglichen werden. Diese gilt seit dem 25. Mai 2018. Die EU-Kommission wird bis im Mai 2020 überprüfen, ob aus ihrer Sicht der Datenschutz in der Schweiz noch angemessen ist.

Der Ständerat hat den Entwurf gegenüber der nationalrätlichen Version klar verschärft. Die kleine Kammer verfolgte dabei zwei Ziele: ein mindestens gleiches Schutzniveau wie heute und einen mit der DSGVO kompatiblen Datenschutz.

Folgende Eckpunkte sind nun vorgesehen:

  • Geschützt nach DSG sind zukünftig nur noch die Daten natürlicher Personen, nicht mehr auch die Daten juristischer Personen.
  • Auch für ausländische Unternehmen, die auf dem schweizerischen Markt tätig sind, soll das DSG gelten; gewisse ausländische Unternehmen sollen einen Vertreter in der Schweiz benennen.
  • Gewerkschaftliche Ansichten oder Tätigkeiten und Massnahmen über soziale Hilfe fallen weiterhin in die Kategorie der besonders schützenswerten Personendaten; neu dazu kommen biometrische und genetische Daten; letztere unabhängig davon, ob sie «eine natürliche Person eindeutig identifizieren» oder nicht.
  • Ebenfalls neu soll der Begriff «Profiling mit hohem Risiko» in das DSG aufgenommen werden. Als Profiling mit hohem Risiko gilt, wenn Daten verschiedener Herkunft und verschiedener Lebensbereiche systematisch verknüpft oder Daten systematisch und umfangreich bearbeitet werden, um Rückschlüsse auf verschiedene Lebensbereiche zu ziehen.
  • Ist für das Bearbeiten «normaler» Personendaten eine Einwilligung erforderlich, so hat sie nach angemessener Information freiwillig zu erfolgen. Für die Bearbeitung besonders schützenswerter Personendaten und das Profiling mit hohem Risiko muss die Einwilligung ausdrücklich erfolgen.
  • Die Führung eines Verzeichnisses der Datenbearbeitungen wird für Unternehmen obligatorisch, die mindestens 250 Mitarbeitende beschäftigen. Für Unternehmen mit weniger Angestellten entfällt diese Pflicht, sofern die Datenbearbeitung nur ein geringes Risiko mit sich bringt.
  • Im Rahmen der Informationspflicht teilt das Unternehmen den betroffenen Personen bei der Beschaffung diejenigen Informationen mit, die erforderlich sind, damit sie ihre Rechte geltend machen können. Dies sind mindestens die Identität und die Kontaktdaten des Verantwortlichen, der Bearbeitungszweck, ggf. die Empfänger und nunmehr auch die Liste der Rechte der betroffenen Personen und gegebenenfalls die Absicht des Verantwortlichen, Personendaten zu Prüfung der Kreditwürdigkeit zu bearbeiten und sie Dritten bekanntzugeben. Der Ständerat beschloss, die vom Nationalrat vorgeschlagene Ausnahme von der Informationspflicht bei unverhältnismässigem Aufwand aufzuheben.
  • Entgegen dem Entwurf des Bundesrats erfordert doch nicht jedes beliebige Profiling eine Datenschutzfolgenabschätzung.
  • Ein Unternehmen wird dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) so rasch als möglich eine Verletzung der Datensicherheit melden müssen, wenn sie voraussichtlich zu einem hohen Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person führt.
  • Die betroffene Person erhält im Rahmen des Auskunftsrechts ausschliesslich diejenigen Informationen, die erforderlich sind, damit sie ihre Rechte nach DSG geltend machen kann.
  • Es wird ein Recht auf Datenportabilität eingeführt. Jede Person kann demnach verlangen, ihr sie betreffende Personendaten in einem gängigen elektronischen Format herauszugeben, oder diese Daten einem anderen Unternehmen zu übergeben.
  • Es gelten strafrechtliche Sanktionen in der Höhe von CHF 250’000. Mit einer Busse bestraft werden kann neu, wer die Mindestanforderungen an die Datensicherheit nicht einhält. Gleichermassen strafbar ist auch eine unzulässige Auslandsübermittlung, eine nicht den Vorgaben entsprechende Auftragsbearbeitung oder die Verletzung der Informationspflichten. Nach wie vor können nur vorsätzlich handelnde natürliche Personen, namentlich (aber nicht nur) die Führungskräfte eines Unternehmens, juristisch belangt werden.
  • Das revidierte DSG soll zwei Jahre nach Ablauf der Referendumsfrist in Kraft treten.

Die Wortdebatte des Nationalrates ist hier verfügbar:
https://www.parlament.ch/de/ratsbetrieb/amtliches-bulletin/amtliches-bulletin-die-verhandlungen?SubjectId=48166#speaker42

Die SDA-Meldung vom 18.12.2019 finden Sie unter:
https://www.parlament.ch/de/services/news/Seiten/2019/20191218150124740194158159041_bsd125.aspx

Empfehlungen: unser Fazit

Der Ständerat hat den Entwurf gegenüber der nationalrätlichen Version klar verschärft um sich dabei mehr an die DSGVO anzu-lehnen. Die Revision des Datenschutzgesetzes geht in die nächste Runde, zurück zur Staatspolitischen Kommission des Nationalrates. Es bleibt abzuwarten, wie der Nationalrat entscheiden wird. Oberstes Ziel muss es sein, einen mit der DSGVO kompatiblen Datenschutz zu erreichen.

Ihre unternehmensspezifischen Fragen zum Schweizer Datenschutzgesetz und zur DSGVO, ebenso alle Fragen zur Revision DSG beantworten wir Ihnen gerne. Ebenso unterstützen wir Sie bei der Einhaltung des DSG und der DSGVO nach unserem Best Practice-Ansatz: Genau so viel, wie Sie brauchen und angemessen ist!

Kategorie: Datenschutz | Fachartikel Swiss Infosec AG
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage
Dimitri Korostylev
Head of Legal & Data Privacy Consulting
Anfrage
© Swiss Infosec AG 2026