Die Auslagerung der Bearbeitung von Personendaten in die Cloud, womit in der Regel umfangreiche Datenbearbeitungen ausgelagert werden, birgt ein besonderes Risiko für die betroffenen Personen. Der nachfolgende Beitrag kann als Hilfestellung für Cloud-Anwendungen herangezogen werden.
Aufgrund der in der Regel umfangreichen Auslagerung der Datenbearbeitung in die Cloud, muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Diese bezweckt besonders risikobehaftete Bearbeitungsvorgänge zu erkennen, zu bewerten und schliesslich die Risiken effektiv im Vorfeld zu senken. Mit der Revision des Schweizer Datenschutzgesetzes (revDSG) wurde dieses Institut in Artikel 22 revDSG nun auch explizit gesetzlich verankert.
Demnach erstellt der Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden. Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:
- bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
- wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.
Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte. Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein. Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater konsultiert hat.
Im Einzelnen enthält eine DSFA insbesondere folgende Punkte:
Beschreibung der geplanten Bearbeitung
Zunächst gilt des die geplante Bearbeitung zu umschreiben:
- Zweck der Datenbearbeitung
- Art und Kategorien der bearbeiteten Daten
- Betroffene Personen und Personenkategorien
- Prüfung der Einhaltung der Grundprinzipien der Bearbeitungen (Rechtmässigkeit, Zweckbindung, Verhältnismässigkeit etc.)
- Informationen zur Datenbearbeitung durch Dritte
- ggf. Informationen zur Datenbearbeitung im Ausland
Ermittlung der Risiken und Risikobewertung
Anschliessend gilt es die Risiken der Bearbeitung zu ermitteln und zu evaluieren (Schadensschwere/Eintrittswahrscheinlichkeit). Bei der Inanspruchnahme von Cloud-Lösungen von Drittanbietern bestehen oder akzentuieren sich insbesondere die Risiken in folgenden Bereichen:
- Unerwünschte Modifikation der Personendaten
- Verlust der Personendaten
- Ort der Bearbeitung (Server) / Datenübermittlung ins Ausland
- Kontrollmöglichkeiten (Abgrenzung der Datenbearbeitungen auf Cloud-Infrastruktur);
- Verletzung der Rechte der Betroffenen;
- Verletzung der Meldepflichten
- Gestaltungsspielraum bei Standardangeboten (anwendbares Recht, Gerichtsstand);
- Vertraulichkeit (Verschlüsselung, Geheimnisschutz);
- Transparenz über Informationssicherheitsmassnahmen (Datenverlust, -missbrauch);
- Transparenz über weitere Beteiligte (Unterauftragsverhältnisse, Wartung der Infrastruktur);
- Verfügbarkeit der Dienste und Transparenz bei Auflösung des Vertragsverhältnisses (Datenportabilität, Vernichtung der Daten)
Risiko Datenübermittlung ins Ausland
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von personenbezogenen Daten ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss.
Massnahmen zur Reduktion des Risikos
In der Folge sind die Massnahmen zu prüfen, welche zur Reduktion der Risiken in Frage kommen. Dabei ist zwischen vertraglichen (Auftragsverarbeitungsvertrag), organisatorischen und technischen (z.B. Verschlüsselung, Berechtigungen) Massnahmen zu unterscheiden. Der EDÖB hat hierzu ebenfalls einen Leitfaden publiziert. Technische und organisatorische Massnahmen des Datenschutzes (admin.ch)
Weitere Hilfestellung für Cloud-Anwendungen
- die Privacy Impact Assessment PIA-Methodik der französischen Datenschutz-Aufsichtsbehörde Commission Nationale de l’Informatique et des Libertés CNIL
- die Orientierungshilfe und Methodik des Bayerischen Landesbeauftragten für den Datenschutz BayLfD
- den Leitfaden der britischen Datenschutzbehörde Information Commissioner’s Office den Empfehlungen des EDSA (vormalig WP 29)
- Merkblatt Privatim
- Merkblatt Datenschutzfolgen-Abschätzung Kanton Zuerich