Diese Story ist aus der Kategorie Innovation und dem Dossier CloudInfrastrukturservicesSicherheit und Stabilität

Auf Wolke Legal

Hochschulen überlegen, mit Cloudprodukten zu arbeiten. Zögern lassen sie auch Datenschutz und Kleingedrucktes.

Text: Esther Zysset, publiziert am 01.04.2014

Würde man den Teufel in der Cloud lokalisieren, so sässe er im Datenschutz. Dieser wird oft als der grösste Stolperstein im Bereich Cloud Computing wahrgenommen. Werden nämlich Personendaten in die Cloud ausgelagert, so bleibt derjenige, der die Daten auslagert, weiterhin für die Einhaltung des Datenschutzgesetzes verantwortlich. Er muss besonders folgende Anforderungen im Auge behalten:

Datensicherheit

Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugten Zugriff und Verlust geschützt werden; dies gilt auch, wenn die Datenbearbeitung an einen Dritten ausgelagert wird. Das bedeutet: Wer die Cloud benützen will, muss in Erfahrung bringen, was der Cloud-Anbieter in Sachen Datensicherheit garantieren kann. 

Outsourcing

Das Gesetz erlaubt die Datenbearbeitung durch Dritte grundsätzlich. Mit zwei Einschränkungen: Erstens dürfen die Daten durch den Outsourcingpartner nur so bearbeitet werden, wie es der Auftraggeber selbst tun dürfte. Zweitens dürfen keine anderweitigen Geheimhaltungspflichten eine Auslagerung verbieten. Der Auftraggeber bleibt aber für die Sicherheit der bearbeiteten Daten weiterhin verantwortlich. 

Datenbekanntgabe ins Ausland

Gerade kommerzielle Anbieter von Cloud-Lösungen haben oftmals Datenzentren, die über den Globus verstreut sind. Zwischen ihnen werden die Daten der Kunden hin- und hergeschickt. Das Bundesgesetz über den Datenschutz verbietet die Bekanntgabe von Personendaten ins Ausland unter gewissen Umständen. Nämlich dann, wenn dadurch die Persönlichkeit der betroffenen Personen "schwerwiegend gefährdet würde". Dies ist gemäss Gesetz insbesondere dann der Fall, wenn im Zielstaat eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Der eidgenössische Datenschutzbeauftragte führt Listen mit Destinationen, die als sicher und solchen, die als unsicher gelten. Die USA zählen nur unter gewissen Voraussetzungen zu den sicheren (siehe letzten Paragraph), die Länder der Europäischen Union dagegen weisen grundsätzlich eine genügende Gesetzgebung auf. Weite Teile Asiens, Mittel- und Südamerikas werden als unsicher taxiert. Dies bedingt für eine rechtskonforme Wahl des Cloud-Providers, dass der Speicherort der Kundendaten bekannt ist. 

Zusammenfassend kann also gesagt werden, dass man bei der Auswahl des Cloud-Anbieters die Anforderungen des Datenschutzes berücksichtigen muss. Das bedeutet: Die Standardverträge der kommerziellen Anbieter verlangen nach einer minutiösen Untersuchung bei folgenden Punkten:

Das Kleingedruckte

Der Umfang der Leistungen wird im Kleingedruckten definiert: Was wird versprochen? Was garantiert der Anbieter zum Beispiel punkto Verfügbarkeit? Ausserdem muss ein Augenmerk auf Folgendes gerichtet werden:  

Haftung

Oft werden weitgehende Haftungssausschlüsse formuliert. Diese sind zwar rechtlich meist in einem gewissen Masse zulässig, können sich für den Kunden im Problemfall aber als nachteilig erweisen. 

Anwendbares Recht & Gerichtsstand

Bei problemloser Vertragsabwicklung sind diese Bestimmungen für den Kunden nicht spürbar. Bei Schwierigkeiten können sie jedoch den Ausschlag geben, ob Rechtsansprüche verfolgt werden oder nicht. Ein Gerichtsstand in den USA oder Australien wird oft zur Folge haben, dass es für den Schweizer Kunden zu kompliziert und kostspielig wird, Ansprüche geltend zu machen. Bei schweizerischem Recht und Gerichtsstand dagegen ist die Hürde für den Kunden bedeutend kleiner.

Exit-Szenario: Wie lauten die Kündigungsbestimmungen ? Regeln sie die Rückgabe der Daten oder die Übertragung auf einen anderen Cloud-Provider? Leistet der Anbieter dazu Hilfestellung? Verpflichtet sich der Anbieter, Kundendaten nach Vertragsende zu löschen? – Fazit: Die AGBs sollten kritisch analysiert werden. Allenfalls wäre es besser, für unterschiedliche Datentypen verschiedene Speicherplätze zu wählen. Dann können durchaus Cloud-Lösungen implementiert werden, die den Anforderungen des schweizerischen Rechts genügen.

Dieser Text ist im SWITCH Journal April 2013 erschienen
Über den Autor
Esther   Zysset

Esther Zysset

Seit 2012 leitet Esther Zysset den Rechtsdienst bei SWITCH. Zuvor war sie als Anwältin in einer Wirtschaftskanzlei tätig.

E-Mail

Wichtige Hinweise

Personendaten: Als Personendaten gelten gemäss Datenschutzgesetz "alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen". Daten in anonymisierter Form und Daten, die keinerlei Personenbezug aufweisen, werden daher vom Datenschutzgesetz nicht erfasst.

Datenschutzgesetz: In der Schweiz gibt es ein Bundesgesetz über den Datenschutz (DSG, SR 235.1), das die Bearbeitung von Personendaten durch Privatpersonen und Bundesorgane regelt, inkl. Institutionen des ETH-Bereichs. Dieser Beitrag bezieht sich auf das Bundesgesetz. Für kantonale Institutionen gelten kantonale Gesetze mit zum Teil abweichenden Anforderungen.

Voraussetzungen für Datenbekanntgabe in die USA: Es wird verlangt, dass das entsprechende US-Unternehmen einem besonderen Datenschutzabkommen, dem "US-Swiss Safe Harbour Framework", beigetreten ist, damit die Datenbearbeitung durch das entsprechende Unternehmen als sicher gilt.

Weitere Beiträge