Diese Story ist aus der Kategorie Corporate und dem Dossier Infrastrukturservices

Die Crux mit der Datenklassifizierung

Eine Hochschule darf nicht nach Belieben Daten in eine Cloud auslagern.

Text: Floriane Zollinger-Löw, publiziert am 26.02.2016

Zahlreiche gesetzliche Regelungen schränken den Umgang mit Daten ein. Entsprechende Bestimmungen finden sich unter anderem in der Datenschutzgesetzgebung und in Informationssicherheitserlassen. Auch das Amtsgeheimnis ist zu beachten. Zusätzliche Regeln müssen Organisationen einhalten, die gemäss ISO Norm 27001 zertifiziert sind, also über ein zertifiziertes Informationssicherheits-Managementsystem verfügen. All diese Bestimmungen müssen beachtet werden, wenn Daten in eine Cloud ausgelagert werden sollen.

Datenschutzgesetzgebung

Beim Bearbeiten von Personendaten sind insbesondere die allgemeinen Grundsätze der Rechtmässigkeit, Verhältnismässigkeit, Zweckbindung, Erkennbarkeit und Datensicherheit zu beachten. Für kantonale öffentliche Organe sowie solche des Bundes gilt zudem, dass für die Bearbeitung von Personendaten grundsätzlich eine gesetzliche Grundlage vorhanden sein muss. Dies bedeutet unter anderem, dass Dokumente, welche Personendaten beinhalten, nur unter gewissen Voraussetzungen weitergegeben werden dürfen. Das gilt nicht nur für die Übermittlung an Externe, sondern auch innerhalb der Hochschule.

Ferner müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Die Massnahmen haben zum Ziel, die Vertraulichkeit, Verfügbarkeit und Integrität der Daten sicherzustellen.

Amtsgeheimnis

Das Auslagern von Amtsgeheimnissen in eine Cloud kann strafbar sein, wenn Dritte auf die Daten Zugriff erhalten. Also sollten Hochschulen Daten identifizieren, die unter das Amtsgeheimnis fallen.

Das Amtsgeheimnis wird in Art. 320 des Schweizer Strafgesetzbuches (StGB) geregelt. Es untersagt die Offenbarung von Geheimnissen durch Beamte oder Behördenmitglieder. Als Geheimnisse im Sinne dieser Bestimmung gelten Tatsachen, welche erstens nur einem begrenzten Personenkreis bekannt oder zugänglich sind, welche die Institution zweitens geheim halten will und an deren Geheimhaltung drittens ein berechtigtes Interesse besteht.

Als Amtsgeheimnis gilt dabei zwar nur, was gemäss Öffentlichkeitsgesetz geheim gehalten werden darf. Das ist beispielsweise der Fall, wenn durch die Gewährung des Zugangs zu den entsprechenden Informationen Geschäftsgeheimnisse offenbart werden können. Allerdings sollten Dokumente in der Praxis immer wie Amtsgeheimnisse behandelt werden, sobald ein subjektives Interesse an deren Geheimhaltung besteht – unabhängig davon, ob im Einzelfall ein Amtsgeheimnis im rechtlichen Sinn vorliegt oder nicht. Damit kann zwar nicht verhindert werden, dass die entsprechenden Dokumente in einem allfälligen Verfahren herausgegeben werden müssen; Es kann aber verhindert werden, dass die bearbeitenden Personen die Informationen von sich aus weitergeben.

Klassifizierung: Vorschläge zur Handhabung

Was kann eine Hochschule tun, um all diesen Bestimmungen gerecht zu werden? Es kann nicht erwartet werden, dass jeder Hochschulmitarbeitende weiss, wie die Gesetzeslage zu den Daten ist, die er gerade bearbeitet. Einfacher wäre es, wenn an einer Hochschule als erstes Kategorien von Daten geschaffen würden, welche verbindliche Regeln in Bezug auf die Behandlung der Daten vorsähen. Als zweites sollten bestimmte Datensammlungen diesen Kategorien zugeordnet werden.

Leider ist eine entsprechende Klassifizierung gar nicht so einfach. Das zeigt sich am Beispiel der Personendaten. Diese können nicht als eigenständige Datensammlung erfasst werden, da sie sich in unterschiedlichsten Dokumenten befinden. Es können aber immerhin Datensammlungen identifiziert werden, welche praktisch immer Personendaten beinhalten, wie zum Beispiel Verträge, Personalien von Studierenden oder E-Mails. Nun könnte die Hochschule diese Dokumente einer Kategorie zuordnen, welche die Weitergabe einschränkt und weitere Voraussetzungen für den Umgang damit vorsieht.

Schliesslich ist eine Datenklassifizierung immer nur so viel wert wie ihre effektive Umsetzung innerhalb der Organisation. Perfektionismus kann aber nicht das Ziel einer Datenklassifizerung sein, denn fest steht: Ohne Datenklassifizierung wird der Datenschutz erst recht nicht eingehalten – und eine nicht ganz perfekte Lösung ist oftmals besser als gar keine.

Foto: Dmitrii Kotin, iStock
Ausführliche Version des Aufsatzes (nur in Deutsch)
Dieser Text ist im SWITCH Journal März 2016 erschienen.

 

 

Über den Autor
Floriane   Zollinger-Löw

Floriane Zollinger-Löw

Seit Juli 2014 ist Floriane Zollinger-Löw bei SWITCH als Legal Counsel tätig. Sie studierte Rechtswissenschaften an der Universität Zürich und verfügt über die Zulassung als Rechtsanwältin in der Schweiz. Bevor sie zu SWITCH stiess, arbeitet sie bei einer wirtschaftsrechtlich ausgerichteten Anwaltskanzlei in Zürich und am Handelsgericht des Kanton Aargau.

E-Mail
Weitere Beiträge