Hilfestellung für Cloud-Anwendungen

Nov 25, 2021

 

 

Die Auslagerung der Bearbeitung von Personendaten in die Cloud, womit in der Regel umfangreiche Datenbearbeitungen ausgelagert werden, birgt ein besonderes Risiko für die betroffenen Personen. Der nachfolgende Beitrag kann als Hilfestellung für Cloud-Anwendungen herangezogen werden.

Aufgrund der in der Regel umfangreichen Auslagerung der Datenbearbeitung in die Cloud, muss eine Datenschutz-Folgenabschätzung (DSFA) durchgeführt werden. Diese bezweckt besonders risikobehaftete Bearbeitungsvorgänge zu erkennen, zu bewerten und schliesslich die Risiken effektiv im Vorfeld zu senken. Mit der Revision des Schweizer Datenschutzgesetzes (revDSG) wurde dieses Institut in Artikel 22 revDSG nun auch explizit gesetzlich verankert.

Demnach erstellt der Verantwortliche vorgängig eine Datenschutz-Folgenabschätzung, wenn eine Bearbeitung ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person mit sich bringen kann. Sind mehrere ähnliche Bearbeitungsvorgänge geplant, so kann eine gemeinsame Abschätzung erstellt werden. Das hohe Risiko ergibt sich, insbesondere bei Verwendung neuer Technologien, aus der Art, dem Umfang, den Umständen und dem Zweck der Bearbeitung. Es liegt namentlich vor:

  1. bei der umfangreichen Bearbeitung besonders schützenswerter Personendaten;
  2. wenn systematisch umfangreiche öffentliche Bereiche überwacht werden.

Die Datenschutz-Folgenabschätzung enthält eine Beschreibung der geplanten Bearbeitung, eine Bewertung der Risiken für die Persönlichkeit oder die Grundrechte der betroffenen Person sowie die Massnahmen zum Schutz der Persönlichkeit und der Grundrechte. Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Bearbeitung trotz der vom Verantwortlichen vorgesehenen Massnahmen noch ein hohes Risiko für die Persönlichkeit oder die Grundrechte der betroffenen Person zur Folge hat, so holt er vorgängig die Stellungnahme des EDÖB ein. Der private Verantwortliche kann von der Konsultation des EDÖB absehen, wenn er die Datenschutzberaterin oder den Datenschutzberater konsultiert hat.

Im Einzelnen enthält eine DSFA insbesondere folgende Punkte:

Beschreibung der geplanten Bearbeitung

Zunächst gilt des die geplante Bearbeitung zu umschreiben:

  • Zweck der Datenbearbeitung
  • Art und Kategorien der bearbeiteten Daten
  • Betroffene Personen und Personenkategorien
  • Prüfung der Einhaltung der Grundprinzipien der Bearbeitungen (Rechtmässigkeit, Zweckbindung, Verhältnismässigkeit etc.)
  • Informationen zur Datenbearbeitung durch Dritte
  • ggf. Informationen zur Datenbearbeitung im Ausland
 

Ermittlung der Risiken und Risikobewertung

Anschliessend gilt es die Risiken der Bearbeitung zu ermitteln und zu evaluieren (Schadensschwere/Eintrittswahrscheinlichkeit). Bei der Inanspruchnahme von Cloud-Lösungen von Drittanbietern bestehen oder akzentuieren sich insbesondere die Risiken in folgenden Bereichen:

  • Unerwünschte Modifikation der Personendaten
  • Verlust der Personendaten
  • Ort der Bearbeitung (Server) / Datenübermittlung ins Ausland
  • Kontrollmöglichkeiten (Abgrenzung der Datenbearbeitungen auf Cloud-Infrastruktur);
  • Verletzung der Rechte der Betroffenen;
  • Verletzung der Meldepflichten
  • Gestaltungsspielraum bei Standardangeboten (anwendbares Recht, Gerichtsstand);
  • Vertraulichkeit (Verschlüsselung, Geheimnisschutz);
  • Transparenz über Informationssicherheitsmassnahmen (Datenverlust, -missbrauch);
  • Transparenz über weitere Beteiligte (Unterauftragsverhältnisse, Wartung der Infrastruktur);
  • Verfügbarkeit der Dienste und Transparenz bei Auflösung des Vertragsverhältnisses (Datenportabilität, Vernichtung der Daten)
 

Risiko Datenübermittlung ins Ausland

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat am 18. Juni 2021 eine Anleitung veröffentlicht, welche den Datenbearbeitern die Prüfung der Zulässigkeit von Datenübermittlungen von personenbezogenen Daten ins Ausland erleichtern soll. Anhand eines Schemas erläutert diese Anleitung den Anwendungsfall des Datentransfers ins Ausland, wenn dort eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet, und dieser Mangel durch hinreichende Garantien kompensiert werden muss.

 

Massnahmen zur Reduktion des Risikos

In der Folge sind die Massnahmen zu prüfen, welche zur Reduktion der Risiken in Frage kommen. Dabei ist zwischen vertraglichen (Auftragsverarbeitungsvertrag), organisatorischen und technischen (z.B. Verschlüsselung, Berechtigungen) Massnahmen zu unterscheiden. Der EDÖB hat hierzu ebenfalls einen Leitfaden publiziert. Technische und organisatorische Massnahmen des Datenschutzes (admin.ch)

 

Weitere Hilfestellung für Cloud-Anwendungen

 

Edith Luginbühl

Assistentin

Edith Luginbühl ist eine engagierte und erfahrene Assistentin mit über 50 Jahren Berufserfahrung. Ihre berufliche Laufbahn begann mit einer kaufmännischen Ausbildung bei einer Grossbank, und führte sie durch verschiedene Branchen, darunter die Gastronomie, Hotellerie, Autovermietung, Reisebüro, Zeitungsredaktion. Zu ihren Stärken zählen ihre freundliche und professionelle Art, ihre Zuverlässigkeit sowie ihr ausgeprägtes Auge für Details.

Alexander Wild begann 2019 sein rechtswissenschaftliches Studium an der Universität Zürich. Vor und während seinem Studium konnte er bereits erste Erfahrungen in einer Compliance Abteilung einer Bank erlangen, arbeitete als IT-Supporter sowie in einer Legal Abteilung eines international tätigen Pharmaunternehmen. Seine Tätigkeiten umfassten unter anderem die Prüfung/Einhaltung von Bankweisungen, Sanktionen, Kunden und Länderrisiko; Beurteilung des generellen Kunden-Risikos für die Bank; Wet Ink Support sowie Support in der Prozessoptimierung von Vertragsunterzeichnungen. Seit 2022 arbeitet er als Anwaltsassistent bei der Balthasar Legal AG sowie LR | Rechtsanwälte. Sein Masterstudium wird er voraussichtlich 2025 abschliessen. 

Sangmo Agontsang

Paralegal

Sangmo Agontsang schloss 2012 ihr Diplom als Wirtschaftsfachfrau an der Kaderschule Zürich ab. Nach ihrem Abschluss arbeitete sie als CEO-Assistentin, unter anderem für die Freitag lab ag und CBM Schweiz. Zusätzlich sammelte sie Erfahrung in der Organisation der Kaderschule Zürich und war in der Intellectual Property Abteilung der Freitag lab ag tätig. Dort arbeitete sie international mit einem Team von Anwälten zusammen, um die Rechte des Unternehmens zu verteidigen. Seit 2022 ist sie als Paralegal bei der Balthasar Legal AG beschäftigt.

Markus Bruggmann

MLaw Senior Berater

MLaw Markus Bruggmann hat 2013 sein rechtswissenschaftliches Studium an der Universität Zürich abgeschlossen und war seitdem unter anderem bei einer Bank, einer Wirtschaftskanzlei und einer Versicherung tätig, wo er sich auf die Beratung sowie die Prüfung und Redaktion von Verträgen in den Bereichen des Kommunikations- und Technologierechts (Datenschutz) unter Berücksichtigung des Haftpflicht- und Immaterialgüterrechts spezialisierte. Zu seinen Stärken gehören seine analytischen Fähigkeiten und seine breite Erfahrung.