Die Nutzung von Cloud-Diensten unter dem revidierten Datenschutzgesetz
Nicht erst seit Beginn der Covid-Pandemie verlagern immer mehr Unternehmen ihre Daten in die Cloud. Gerade datenschutzrechtlich bringt Cloud Computing aber gewisse Herausforderungen mit sich, die sich durch die Revision des Schweizer Datenschutzgesetzes (nDSG) weiter akzentuiert haben.
Mit der umfassenden Revision des Datenschutzgesetzes stellte sich für viele Unternehmen die Frage, ob ihre bestehenden Prozesse und Verträge mit Cloud-Providern datenschutzrechtlich weiterhin ausreichend sind oder ob Handlungsbedarf besteht. Das nDSG orientiert sich stark an der Datenschutzgrundverordnung (DSGVO) der EU, auch wenn kleinere Unterschiede weiter bestehen bleiben. Für Unternehmen, die bereits sämtliche Anforderungen der DSGVO erfüllen, gibt es deshalb nur wenig zu tun. Alle anderen sollten sich mit den Änderungen des nDSG auseinandersetzen, das am 1. September 2023 in Kraft getreten ist.
Welche Daten werden an den Cloud-Provider übermittelt?
Das nDSG regelt neu nur noch die Bearbeitung von Personendaten natürlicher Personen. Daten juristischer Personen werden nicht mehr erfasst. Ob das nDSG also auf einen Cloud-Vertrag anwendbar sein wird, hängt davon ab, welche Daten in der Cloud gespeichert werden. Sind nur Daten juristischer Personen betroffen, bietet das nDSG neu sogar mehr Handlungsspielraum. Wenn nur vollständig anonymisierte Daten in die Cloud geladen werden, wird auch dies datenschutzrechtlich weiterhin unbedenklich sein, da das nDSG nicht auf vollständig anonymisierte Daten anwendbar ist.
Welche Pflichten muss der Cloud-Nutzer dem Provider auferlegen?
Beim Cloud-Vertrag ist der Cloud-Provider gemäss nDSG Auftragsbearbeiter (Processor), der Cloud-Nutzer entweder Verantwortlicher (Controller, das heisst, wenn er selbst über den Zweck und die Mittel der Datenbearbeitung entscheidet) oder selbst auch Auftragsbearbeiter (wenn er von Dritten zur Datenbearbeitung beauftragt wird, zum Beispiel wenn er Angestelltendaten als Buchhalter bearbeitet). Ist der Cloud-Nutzer selbst Auftragsbearbeiter, darf er die Datenbearbeitung als Sub-Auftragsbearbeiter nur mit vorheriger Genehmigung des Verantwortlichen an einen Cloud-Provider übertragen. Der Cloud-Nutzer ist dafür verantwortlich, dass der Provider die Daten nur so bearbeitet, wie es der Cloud-Nutzer selbst dürfte. Dies kann mittels vertraglicher Regelung, etwa Auftragsdatenverarbeitungsverträgen (ADV) sichergestellt werden, die zusätzlich zum Cloud-Vertrag geschlossen werden. Darin muss festgelegt werden, dass der Cloud-Anbieter in der Lage ist, die Datensicherheit zu gewährleisten und dass dieser den Cloud-Nutzer bei Verletzungen der Datensicherheit so rasch wie möglich informiert. Weil ADVs unter der DSGVO (dort AVV oder oft auch im Englischen DPA) für viele Unternehmen schon jetzt vorgeschrieben sind, erfüllen zahlreiche Schweizer Unternehmen die entsprechenden Pflichten bereits. In der Praxis stellen Cloud-Anbieter solche Verträge auch standardmässig zur Verfügung oder hängen diese als Anhang an die Hauptverträge an. Zudem müssen Cloud-Nutzer neu unter Umständen eine sogenannte Datenschutz-Folgeabschätzung (DSFA) durchführen. In einer DSFA beantwortet das Unternehmen – in der Regel unter Beizug von Experten – die Frage, ob ein bestimmtes Vorhaben ein hohes Risiko für den Datenschutz der betroffenen Personen mit sich bringt. Die reine Auslagerung von Daten in die Cloud wird zwar in aller Regel noch nicht zur Erstellung einer DSFA verpflichten. Sind jedoch bestimmte Arten von Daten betroffen – etwa besonders schützenswerte Daten wie Gesundheits- oder Sozialhilfedaten – kann eine DSFA nötig werden, insbesondere wenn zusätzlich weitere Bearbeitungsschritte wie Profiling etc. implementiert werden.
Werden Daten nur in Länder mit angemessenem Schutzniveau übermittelt?
Die Frage, wohin Daten übermittelt werden, bleibt auch unter dem nDSG zentral. Der EDÖB veröffentlicht hierzu weiterhin eine Liste mit Staaten, die ein angemessenes Datenschutzniveau aufweisen. Man sollte sich bei der Auswahl einer Cloud-Lösung an Provider halten, die Daten nur an Server in auf dieser Liste aufgeführten Staaten übermitteln, also etwa an die EU-Mitgliedstaaten oder das Vereinigte Königreich. Die USA hingegen verfügen aktuell gemäss der aktuellen Einschätzung des EDÖB nur über ein ungenügendes Datenschutzniveau. Dies sollte sich aber in naher Zukunft ändern, da die EU bereits ein neues Datenschutzabkommen mit den USA geschlossen hat und die Schweiz ebenfalls an einem solchen arbeitet. Im Falle eines positiven Abschlusses sollten damit auch die USA wieder auf der Liste des EDÖB zu finden sein, was eine rechtskonforme Übermittlung auf Cloud-Server in die USA ermöglichen wird. Eine Alternative bieten etwa die Standard Contractual Clauses (SCC) der Europäischen Kommission – ein Standardvertrag, der die Übermittlung in ein Drittland regelt inklusive der notwendigen kleineren Anpassungen und Ergänzungen für die Schweiz. Basiert die Datenübermittlung auf den SCC sollte aber immer im Zweifelsfall geprüft werden, ob die SCC für sich alleine einen angemessenen Datenschutz im Zielland erreichen können.
Welche Informationspflichten bestehen gegenüber den Endkunden und natürlichen Personen, deren Daten in der Cloud bearbeitet werden?
Insbesondere die Datenschutzerklärung (Privacy Policy) und die ADVs müssen in der Regel angepasst werden, wenn Personendaten in die Cloud migriert werden: Wenn der Cloud-Nutzer als Verantwortlicher Personendaten in die Cloud migriert, müssen die betroffenen Personen (z.B. Mitarbeiter oder Endkunden, die natürliche Personen sind) darüber informiert werden. Ein allgemeiner Hinweis über die Nutzung von Cloud-Providern in der Datenschutzerklärung genügt grundsätzlich. Sofern diese im Ausland sind, muss auch dies inklusive der konkreten Nennung des Landes erwähnt werden. Sofern der Cloud-Nutzer als Auftragsbearbeiter Personendaten für einen Verantwortlichen in die Cloud migriert, muss der Verantwortliche im Vorfeld zustimmen. Diese Zustimmung kann im Rahmen des ADVs zwischen Cloud-Nutzer und dem Verantwortlichen erfolgen.
Umgang mit standardisierten Cloud-Providern
Viele Unternehmen beziehen Cloud-Dienstleistungen mittlerweile von grossen Providern wie Google, Amazon oder Microsoft, die hochgradig standardisierte Prozesse aufweisen. Dass dabei dem Cloud-Nutzer wenig Verhandlungsspielraum zukommt, ist klar. Insbesondere Audit- und Weisungsrechte sind auf ein Minimum reduziert. Datenschutzrechtlich muss dies aber nicht zwingend ein Nachteil sein, können sich Cloud-Nutzer in der Regel auf qualitativ gute Prozesse verlassen und gewisse Parameter – etwa den Standort der Server – selbst bestimmen. Genügt dies dem Cloud-Nutzer nicht, wird er aber meist keine andere Option haben, als sich nach einer Alternative umzusehen.
Fazit
- Die Revision des Schweizer Datenschutzgesetzes bringt auch in Bezug auf das Verhältnis zwischen Cloud-Nutzer und Cloud-Provider gewisse Änderungen. Cloud-Nutzer sollten sich etwa fragen:
- Welche Arten von Daten werden in die Cloud geladen?
- Sind die vereinbarten Datensicherheitsmassnahmen angemessen?
- In welche Länder werden die Personendaten übermittelt und wo werden diese gespeichert?
- Sind angemessene Service-Levels vereinbart?
- Wurde die Datenschutzerklärung aktualisiert und haben etwaige Auftraggeber die Zustimmung erteilt?
- Bestehen Prozesse und Verantwortlichkeiten für den Fall einer Datenschutzverletzung?
Bei Unsicherheiten in Bezug auf diese Fragen sollte das Vertragswerk und die internen Prozesse angepasst oder zumindest eine Risikobeurteilung durch eine Fachperson vorgenommen werden.
Was passiert, wenn der Cloud-Provider gegen den Vertrag verstösst?
Um sicherzustellen, dass der Cloud-Provider vertragliche Vereinbarungen einhält, sollten Cloud-Nutzer deshalb soweit möglich angemessene Service-Level-Agreements vereinbaren, idealerweise mit Service-Credits oder sogar Konventionalstrafen. Auch empfehlenswert kann es sein, den Abschluss einer Cyberversicherung zu prüfen. Je schützenswerter die ausgelagerten Daten, desto grösser ist das Risiko für den Cloud-Nutzer und desto umfangreicher sollten auch die Sicherheiten sein.
Schliesslich muss der Cloud-Nutzer unter dem nDSG Verletzungen der Datensicherheit, die ein hohes Risiko negativer Folgen für die Betroffenen haben, dem EDÖB melden. Wann dies der Fall ist, bleibt eine Einzelfallabschätzung. So oder so müssen Cloud-Nutzer mögliche Zuständigkeiten und Prozesse für den Fall vorsehen, dass etwa ihr Cloud-Provider gehackt wird und dabei Daten kompromittiert werden. Immerhin ist der Cloud-Provider gesetzlich verpflichtet, jegliche Datenschutzverletzung umgehend dem Cloud-Nutzer mitzuteilen.