Im Zusammenhang mit dem Thema Cloud polarisiert wohl kein Thema so stark wie der Datenschutz. Dabei sind die Vorgaben des Datenschutzgesetzes (DSG) sowohl bei On Prem Services als auch bei Cloud Services einzuhalten. Ist die Verarbeitung von Personendaten On Prem per se sicherer? Nicht unbedingt – bei der Verarbeitung in der Cloud müssen aber ein paar zusätzliche Risiken und Rahmenbedingungen berücksichtigt werden. Werden diese beachtet und die notwendigen technischen und organisatorischen Massnahmen abgeleitet, kann ein Cloud Service ebenso ’sicher‘ sein.
Gesetzliche Vorschriften
Die Kernbestimmung zur Datenübermittlung ins Ausland wird für die Schweiz in Art. 6 DSG geregelt. Darin wird festgehalten, dass Personendaten nur ins Ausland übermittelt werden dürfen, wenn ein angemessener Schutz gewährleistet ist. Jedes Unternehmen sollte für sich sowohl eine Security- als auch Datenschutz-Governance definieren.
Die EU und die Schweiz anerkennen sich gegenseitig als sichere Drittstaaten bezüglich Datenschutz. In der EU und der Schweiz widerspiegelt sich der Schutz der Privatsphäre in den entsprechenden Datenschutzgesetzgebungen, während dem in den USA kein umfassendes Datenschutzgesetz existiert. Die meisten grossen Public Cloud Anbieter sind jedoch US-Amerikanische Unternehmen. Gerade deswegen ist das Thema Datenschutz ein heiss diskutiertes Thema, wenn es um die Nutzung von Cloud-Diensten geht.
Safe Harbor
Bis im Oktober 2015 regelte das Safe Harbor Abkommen zwischen der EU und der USA die Übertragung und Verarbeitung von Personendaten. Mit dem sogenannten Safe Harbor-Urteil vom 6. Oktober 2015 hatte der Europäische Gerichtshof (EuGH) diese Regelung für ungültig erklärt (Urteil C-362/14 vom 6. Oktober 2015).
Auch zwischen der Schweiz und der USA bestand damals seit mehreren Jahren ein vergleichbares Safe Harbor-Abkommen. Am 22.Oktober informierte der EDÖB, dass die Safe Harbor-Regelung „auch in der Schweiz keine genügende Rechtsgrundlage mehr für die datenschutzkonforme Übermittlung von Personendaten“ bildet.
Privacy Shield
Seit dem 12. Juli 2016 ist mit dem Privacy Shield USA/EU ein Nachfolgeabkommen zum Safe Harbor Abkommen zwischen der USA und der EU in Kraft. Seit dem 11. Januar 2017 gibt es auch zwischen der Schweiz und der USA ein entsprechendes Nachfolgeabkommen, nämlich das CH-US-Privacy Shield.
In der aktuellen Staatenliste vom 01. März 2018 vom EDÖB ist zu den Vereinigten Staaten vermerkt:
‚Datenbearbeiter, die in Bezug auf Personendaten, welche aus der Schweiz stammen, Privacy Shield beitreten und auf der Liste des U.S. Department of Commerce verzeichnet sind, garantieren einen angemessenen Schutz im Sinne von Art. 6 Abs. 1 DSG‘
Cloud Act
Rechenzentren in EU-Ländern sind Rechenzentren in der Schweiz datenschutzrechtlich fast gleichgestellt, da diese Länder ein angemessenes Datenschutzniveau gewährleisten. Für Google, Amazon oder Microsoft gelten nämlich bei den Rechenzentren innerhalb der EU auch die Vorschriften der EU DSGVO.
‚Zu beachten ist jedoch, dass gemäss dem am 23. März 2018 vom US-Präsident unterzeichneten «CLOUD Act», welcher den vorbestehenden «Stored Communications Act (SCA)» ergänzt, amerikanische Unternehmen unabhängig vom jeweiligen Datenspeicherort verpflichtet sind, amerikanischen Behörden Zugriff auf die Daten zu gewähren.‘
Der Cloud Act umgeht damit die internationale Rechtshilfe und steht im Widerspruch zum EU- und CH-Recht. Auch Microsoft fordert strengere Regeln für die Herausgabe von Cloud-Daten. Cloud Anbieter können sich gemäss CLOUD Act unter zwei Bedingungen gegen die Herausgabe von Nutzerdaten wehren:
- Die betroffenen Kunden sind weder Amerikaner noch haben sie ihre Niederlassung in den USA, und
- das betroffene Internet-Unternehmen riskiert, durch die Herausgabe von Nutzerdaten ausländisches Recht zu verletzen.
Zu weiteren Informationen zum Thema Cloud Act verweise ich auf den ausführlichen blog meines Kollegen.
Arztgeheimnis
Wegen der zusätzlichen Risiken und der Schwierigkeit bei der Durchsetzung vom Schweizer Recht ist laut EDÖB in den Fällen, wo eine vertragliche Schweigepflicht wie beim Arztgeheimnis besteht, eine Datenbearbeitung im Ausland nicht zulässig:
‚Aus diesem Grund gibt es aus unserer Sicht für einen in der Schweiz tätigen Arzt nur die folgende Lösung: Der Cloud-Anbieter bzw. die Cloud müssen in der Schweiz sein und dem Arzt vertraglich garantieren, dass keine Patientendaten die Schweiz verlassen.‘
Und Jetzt?
Datenschutz und Cloud sind kein Widerspruch. Aufgrund der hohen Sicherheitsstandards bei den public Cloud Anbietern stellt sich die Frage, ob die Datenverarbeitung im eigenen Rechenzentrum sicherer ist. Da die Cloud eine Schlüsseltechnologie für die zunehmende Digitalisierung bietet, kann sich wohl kein Unternehmen den Verzicht auf Cloud-Technologien mittel- und langfristig leisten.
Aufgrund der rechtlichen und internen Rahmenbedingungen (Governance und Compliance) muss sich aber jede Unternehmung beim Sourcing aus der Cloud die Fragestellung beantworten, welche Services und welche Daten allenfalls ausgelagert werden. Die Verantwortung über Datensicherheit und Datenschutz bleibt beim auftraggebenden Unternehmen. Es gilt, die Risiken aufzuzeigen und zu adressieren. Ein einfaches Raster mit Minimalanforderungen kann beim Cloud-Sourcing unterstützen:
Art der Datenverarbeitung | Datenhaltung Cloud | Mindest-Anforderungen Zertifizierung Cloud-Anbieter |
Personendaten mit vertraglicher Geheimhaltungspflicht (Bsp. Ärztedossier) | nur in private oder public Cloud mit Standort CH. | ISO 27001 |
besonders schützenswerte Personendaten | nur in CH, EU oder sicherer Drittstaat gemäss EDÖB Liste | ISO 27001 |
schützenswerte Personendaten | nur in CH, EU oder sicherer Dritstaat gemäss EDÖB Liste und USA, falls privacy-shield zertifiziert | ISO 27001 |
Quellenangaben:
- Titelbild: https://pixabay.com/illustrations/security-castle-sure-internet-1202344/
- https://www.edoeb.admin.ch/edoeb/de/home/dokumentation/taetigkeitsberichte/22–taetigkeitsbericht-2014-2015/aufbewahrung-von-patientenakten-in-einer-cloud.html
- https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/handel-und-wirtschaft/uebermittlung-ins-ausland.html
- https://www.egovernment.ch/de/dokumentation/rechtliche-fragen/datenbearbeitung-und-datenschutz/nutzung-von-cloud-diensten
- https://www.netzwoche.ch/news/2018-09-18/microsoft-fordert-strengere-regeln-fuer-die-herausgabe-von-cloud-daten
- https://steigerlegal.ch/2018/03/28/cloud-act-nutzerdaten/
- https://widmer.ch/fileadmin/templates/publikationen/GesundheitsdateninderCloud.pdf