privatim hat sein im Februar 2019 veröffentlichtes Merkblatt zu den cloudspezifischen Risiken und Massnahmen ergänzt um Ausführungen zum US CLOUD Act. Nach diesem Erlass müssen dem CLOUD Act unterstehende Cloud-Anbieter US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA, sondern z.B. in einem EU-Mitgliedstaat oder in der Schweiz erfolgt. Dieses durch die US-amerikanische Gesetzgebung geschaffene Risiko ist in der umfassenden Risikoanalyse zu beachten, die vorzunehmen ist, bevor staatliche Behörden Cloud-Dienstleistungen nutzen dürfen.
Merkblatt Cloud-spezifische Risiken und Massnahmen
1. Einleitung
Öffentliche Organe nehmen für ihre Datenbearbeitungen in vielfältiger Art und Weise die Dienstleistungen Dritter in Anspruch. Für die Auslagerung von Datenbearbeitungen an Dritte enthalten die (Informations- und) Datenschutzgesetze regelmässig Bestimmungen, die im Wesentlichen festhalten, dass das öffentliche Organ auch bei einer Auslagerung für die Datenbearbeitung vollumfänglich verantwortlich bleibt. Wie diese Verantwortung bei solchen Auftragsdatenbearbeitungen wahrzunehmen ist, haben verschiedene Datenschutzbehörden in Leitfäden und Checklisten festgehalten (Vgl. die Links im Anhang 2.)
Die von Dritten zur Verfügung gestellten Datenbearbeitungsdienstleistungen basieren heute immer mehr auf der Verwendung von Cloud-Technologie
Die Ressourcen für die Datenbearbeitungen werden dynamisch zur Verfügung gestellt und eine konkrete Lokalisation von Datenbearbeitungen und Daten ist nicht vorgesehen: Sie befinden sich eben in der «Cloud».
Auch bei der Inanspruchnahme solcher Cloud-Dienstleistungen bleibt das öffentliche Organ vollumfänglich verantwortlich.
privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, will mit diesem Merkblatt aufzeigen, welche Risiken bei Cloud-Dienstleistungen zusätzlich zu denen einer Auftragsdatenbearbeitung hinzukommen oder sich akzentuieren und wie die Verantwortung diesbezüglich von den öffentlichen Organen konkret wahrgenommen werden kann.
Somit ist vorerst nach den allgemeinen Datenschutzbestimmungen zu prüfen, ob eine Auslagerung überhaupt zulässig ist. Wenn dies der Fall ist und bei dieser Auftragsdatenbearbeitung Cloud-Infrastruktur genutzt werden soll, sind anschliessend die cloud-spezi-fischen Risiken zu prüfen.
Das Merkblatt legt den Fokus auf datenschutzrechtliche Risiken. Die öffentlichen Organe müssen andere Risiken für ihre Aufgabenerfüllung – z.B. bei der Durchsetzung von Vertragsbestimmungen – selber mitberücksichtigen.
2. Akzentuierte oder zusätzliche Risiken bei Datenbearbeitungen in der Cloud
Bei der Inanspruchnahme von Cloud-Lösungen von Drittanbietern bestehen oder akzentuieren sich insbesondere die Risiken in folgenden Bereichen:
- Transparenz über die Standorte der Server;
- Kontrollmöglichkeiten (Abgrenzung der Datenbearbeitungen auf Cloud-Infrastruktur);
- Gestaltungsspielraum bei Standardangeboten (anwendbares Recht, Gerichtsstand, Serviceumfang, Sicherheitsmassnahmen, Vertragsinhalt generell);
- Durchsetzbarkeit von datenschutzrechtlichen Ansprüchen (Löschungs- respektive Berichtigungsansprüche);
- Vertraulichkeit (Verschlüsselung, Geheimnisschutz);
Zugriffe von US-Behörden aufgrund des CLOUD Act (Clarifying Lawful Overseas Use of Data Act (CLOUD Act), H.R. 4943, oder anderer ausländischer Behörden aufgrund ähnlicher Rechtserlasse (Im Folgenden unter CLOUD Act miterfasst).
- Transparenz über Informationssicherheitsmassnahmen (Datenverlust, -missbrauch);
- Transparenz über weitere Beteiligte (Unterauftragsverhältnisse, Wartung der Infra-struktur);
- Verfügbarkeit der Dienste und
- Transparenz bei Auflösung des Vertragsverhältnisses (Datenportabilität, Vernichtung der Daten).
3. Verantwortung des öffentlichen Organs bei der Inanspruchnahme von Cloud-Dienstleistungen
Das verantwortliche öffentliche Organ hat bei der Inanspruchnahme von Cloud-Dienstleistungen die spezifischen Risiken durch angemessene Massnahmen auszuschliessen oder auf ein tragbares Mass zu reduzieren. Bei der allgemeinen Risikoanalyse für die konkrete Datenbearbeitung sind die cloudspezifischen Risiken zu berücksichtigen und entsprechende Vorkehrungen zu treffen.
Im Vordergrund stehen drei Risikobereiche:
Das cloudspezifische Risiko wird primär von diesen drei Risiken bestimmt.
Hinzu kommen weitere Risiken, die durch die Verwendung von Cloud-Infrastruktur mindestens akzentuiert werden (unten 3.4-3.10).
3.1 Anwendbares Recht, Gerichtsstand
Grundsätzlich soll auf das Vertragsverhältnis schweizerisches Recht (insbesondere das entsprechende Datenschutzgesetz) anwendbar sein und für den Entscheid über Streitigkeiten aus dem Vertragsverhältnis ein Gerichtsstand in der Schweiz vereinbart werden.
Die Anwendbarkeit des Rechts eines anderen Staates und ein ausländischer Gerichtsstand kann vereinbart werden,
- wenn die Daten durch Verschlüsselung wirksam vor dem Zugriff durch Dritte (sowie den Anbieter der Cloud-Dienstleistung) geschützt werden können (Ziff. 3.3) oder
- bei nicht sensitiven Daten, wenn der entsprechende Staat über ein gleichwertiges Datenschutzniveau verfügt (z.B. EU-Mitgliedstaaten).
3.2 Ort der Datenbearbeitung
Der Anbieter muss offenlegen, wo er seine Cloud-Infrastruktur betreibt, damit die Risiken in Bezug auf die Serverstandorte bei der Risikoabwägung mitberücksichtigt werden können.
- Datenbearbeitungsstandorte in der Schweiz sind zu bevorzugen (Sicherheit der Infrastruktur, z.B. in Bezug auf die Schutzziele Verfügbarkeit und Integrität, Zurechenbarkeit und Nachvollziehbarkeit).
- Bei ausländischen Standorten sind solche in Staaten, die über ein gleichwertiges Datenschutzniveau verfügen, vorzuziehen (Rechtssicherheit).
Dem CLOUD Act unterstehende Cloud-Anbieter (Vgl. zur Frage, wer dem CLOUD Act untersteht, das Whitepaper des US-Justizdepartements von April 2019, insb. S. 8 müssen US-Behörden auch dann Zugriff auf gespeicherte Daten gewährleisten, wenn die Speicherung nicht in den USA, sondern z.B. in einem EU-Mitgliedstaat oder in der Schweiz erfolgt.
3.3 Geheimnisschutz, Verschlüsselung und Schlüsselmanagement
Daten (data at rest und data in transit) sind nach dem aktuellen Stand der Technik zu verschlüsseln.
Bei besonders schützenswerten Personendaten (inkl. Daten, die einem Berufs- oder be-sonderen Amtsgeheimnis unterstehen) sind zusätzliche Anforderungen an die Verschlüsselung und das Schlüsselmanagement zu stellen und in der Risikoabwägung zu berücksichtigen:
- Die Verschlüsselung soll durch das öffentliche Organ erfolgen. Grundsätzlich dürfen die Schlüssel nur für das öffentliche Organ verfügbar sein. Die Schlüssel sind vor Verlust, Entwendung sowie unrechtmässiger Bearbeitung und Kenntnisnahme zu schützen.
- Ist dies nicht möglich, können die Schlüssel beim Cloud-Anbieter aufbewahrt werden, wenn er sich vertraglich verpflichtet, sie nur mit der ausdrücklichen Zustimmung des öffentlichen Organs zu verwenden. Zugriffe sind zu protokollieren. Ausserdem muss der Cloud-Anbieter die Schlüssel vor Verlust, Entwendung sowie unrechtmässiger Bearbeitung und Kenntnisnahme schützen und sicherstellen, dass die Daten beim Verschlüsselungsvorgang nicht kompromittiert werden können.
3.4 Vertrag
Das öffentliche Organ schliesst mit dem Cloud-Dienstleister einen schriftlichen Vertrag. Alternativ schliesst es sich einem Rahmenvertrag an oder akzeptiert die Allgemeinen Geschäftsbedingungen (AGB), welche die hier erwähnten Anforderungen erfüllen und nicht einseitig abänderbar sein dürfen.
3.5 Unterauftragsverhältnisse (Subcontracting)
Der Anbieter muss Unterauftragsverhältnisse offenlegen, damit die Risiken in Bezug auf die beteiligten Erbringer von Cloud-Dienstleistungen bei der Risikoabwägung mitberücksichtigt werden können.
3.6 Meldepflichten
Der Cloud-Dienstleister hat Änderungen in der Art und Weise der Datenbearbeitung (Standort, Unterauftragsverhältnisse) und Sicherheitsvorfälle dem öffentlichen Organ zu melden, damit rechtzeitig Massnahmen in Bezug auf die Cloud-Dienstleistung getroffen werden können.
3.7 Kontrollrecht und -möglichkeit
Das öffentliche Organ hat sich ein Kontrollrecht vorzubehalten: Der Anbieter ist zu verpflichten, regelmässige Kontrollen seiner Cloud-Infrastruktur nach internationalen Audit-Standards vorzunehmen und die Prüfberichte dem öffentlichen Organ und der für dieses zuständigen Datenschutzaufsichtsbehörde auf Verlangen vorzulegen.
3.8 Informationssicherheitsmassnahmen
Das öffentliche Organ hat sicherzustellen, dass ein dem Schutzbedarf entsprechender Schutz gewährleistet wird. Um das zu beurteilen, hat es den Cloud-Dienstleister zu verpflichten, in Bezug auf die Cloud-Infrastruktur darzulegen, welche Schutzziele er mit welchen Informationssicherheitsmassnahmen erreicht.
3.9 Betrieb der Cloud-Infrastruktur
Der Cloud-Dienstleister hat die Cloud-Infrastruktur nach internationalen Standards zu führen und weist dies allenfalls mit Zertifizierungen nach (ISO).
3.10 Pflichten bei Auflösung
Der Prozess bei der Auflösung des Vertragsverhältnisses ist bereits beim Vertragsabschluss festzuhalten (insb. Rücklieferung und Vernichtung der Daten).
4. Fazit
Öffentliche Organe können für ihre Datenbearbeitungen – wenn ihre Auslagerung nach den allgemeinen Regeln für die Auftragsdatenbearbeitung (siehe die Leitfäden im Anhang 2) zulässig ist – auch Cloud-Dienstleistungen Dritter in Anspruch nehmen. Dafür sind in einer umfassenden Risikoanalyse die spezifischen Risiken bei Inanspruchnahme von Cloud-Dienstleistungen zu berücksichtigen. Diese Risikoanalyse muss differenziert für die einzelnen Datenbearbeitungen die cloud-spezifischen Risiken sowie die entsprechenden Massnahmen aufzeigen, mit denen die cloud-spezifischen Risiken ausgeschlossen oder auf ein tragbares Mass reduziert werden können. Die Beurteilung soll aufzeigen, ob für die Datenbearbeitungen die Inanspruchnahme von Cloud-Diensten umfassend, teilweise oder nicht zulässig ist.
Die öffentlichen Organe, die für ihre Aufgabenerfüllung Cloud-Dienstleistungen in An-spruch nehmen, tragen weiterhin vollumfänglich die Verantwortung für die Datenbearbeitung. Das öffentliche Organ (bzw. seine Leitung) ist anzuhalten, schriftlich zu bestätigen, dass es die Risiken verstanden hat und das Restrisiko übernimmt. Die Übernahme von Restrisiken kann allenfalls auch Auswirkungen auf die Rechnungslegung haben, was durch die Finanzkontrollen zu prüfen ist. Den Exekutiven ist zu raten, die übernommenen (Rest-)Risiken regelmässig zu erfassen, da sie gegenüber Parlament und Volk letztlich die Verantwortung für den Schutz der Grundrechte der Bürgerinnen und Bürger und für das finanzielle Gebaren der Verwaltung zu tragen haben.
Das öffentliche Organ muss seinerseits eine Datenschutz-Folgenabschätzung durchführen. Den zuständigen Datenschutzaufsichtsbehörden sind Risikoanalyse und Massnahmenplan zur Prüfung vorzulegen (Vorabkontrolle bzw. Vorabkonsultation). Sie stehen den öffentlichen Organen auch beratend bezüglich rechtlicher, organisatorischer und technischer Fragen zur Seite.
Anhang 1: Beispiele für mögliche Gesamtbeurteilungen von Cloud-Risiken in Bezug auf anwendbares Recht/Gerichtsstand, Standort der Cloud-Infrastruktur und Geheimnisschutz/Verschlüsselung/Schlüsselmanagemen. PDF hier herunterladen
Anhang 2: Leitfäden Auftragsdatenbearbeitung der kantonalen Datenschutzbeauftragten
Privatim.ch; Abgerufen am 19.12.2019 von https://www.privatim.ch/wp-content/uploads/2019/12/privatim-Cloud-Papier_v2_1_20191217.pdf
Swiss Infosec AG; 05.02.2020
Kompetenzzentrum Datenschutz, +41 41 984 12 12, infosec@infosec.ch