Die Nutzung von Software in der Cloud ist heute unverzichtbar. Doch was genau bedeutet es, eine HR-Software in der Public Cloud zu nutzen? Und wie unterscheidet sich die Nutzung einer Public Cloud mit Firmensitz und Datenhaltung in der CH/EU von einer Public Cloud mit Datenhaltung in der CH/EU und aber Firmensitz in den USA? Dieser Blog geht diesen Fragen nach und gibt wichtige Hinweise für die Nutzung der Public Cloud, bspw. für eine HR-Software.

Immer mehr Softwarehersteller setzen für den Betrieb ihrer Software inkl. Datenhaltung auf die grossen Hyperscaler Microsoft, Google oder Amazon. Bei der Nutzung dieser Public Cloud ist hinsichtlich Datenschutz und -sicherheit Vorsicht geboten. Auch wenn die Cloud-Giganten angeben, dass die Daten in der CH/EU verarbeitet werden, ist der Firmensitz meist in den USA und untersteht somit dem Cloud Act.

Was sieht das Schweizer Datenschutzgesetz vor und welche Rolle spielt es?

Das Datenschutzgesetz ist grundsätzlich ein Menschenrecht. Es gewährleistet den Schutz personenbezogener Daten und sichert die Privatsphäre und die informationelle Selbstbestimmung des Einzelnen.
Mit dem Einsatz einer HR-Software wird eine umfangreiche Bearbeitung besonders schützenswerter Personendaten, wie bspw. Gesundheitsdaten (Art. 5 Abs. c. DSG) angestrebt. Gemäss Art. 22 DSG muss deshalb vor dem Einsatz eine Datenschutzfolgeabschätzung, sprich eine umfassende Risikoanalyse gemacht werden.
Die Nutzung einer HR-Software aus der Public Cloud ist meist mit einem Datentransfer ins Ausland verbunden. Insbesondere dann, wenn sich der Firmensitz der Public Cloud im Ausland befindet. Und hier kommt der Art. 16 DSG ins Spiel, welcher die Grundsätze der Bekanntgabe von Personendaten ins Ausland regelt.
Diese Auswahl an Gesetzesanforderungen steht für diesen Blog im Fokus und ist nicht abschliessend.

Was heisst das für eine HR-Software?

Es liegt in der Natur der Sache, dass mit einer HR-Software in grossem Umfang personenbezogene Daten, darunter auch besonders schützenswerte Daten, verarbeitet werden. Die HR-Software und die entsprechende Public Cloud müssen daher sorgfältig evaluiert werden.

Datenschutzfolgeabschätzung (Risiko-Analyse)

Eine Datenschutzfolgeabschätzung ist eine Risikoanalyse. Die Risiken der geplanten Bearbeitung von Personendaten werden aufgeführt und bewertet. In einem zweiten Schritt geht es darum, diese Risiken zu minimieren und neu zu beurteilen. Es stehen bereits einige Vorlagen für die konkrete Durchführung zur Verfügung wie Bspw. diese vom Kanton Zürich.

1. Beschreibung der beabsichtigten Bearbeitung
   Zunächst ist zu überlegen, welche personenbezogenen Daten / Datenkategorien in welchen Verarbeitungsvorgängen zu welchem Zweck verarbeitet werden sollen.
2. Risikoanalyse
   In einem zweiten Schritt werden die Risiken evaluiert und hinsichtlich ihrer Auswirkung, d. h. der Schwere des Eingriffs in die Grundrechte der betroffenen Person und ihrer Eintrittswahrscheinlichkeit bewertet.
   Für die Risikoanalyse und Risikominimierung empfehle ich ein Benchmarking. Es gibt einige öffentliche Gutachten und Empfehlungen zur Nutzung der Public Cloud wie Bspw. folgende: Cloud-Merkblatt (privatim.ch), Cloud Gutachten (OIZ) oder Restrisiken (KAIO).Ausgehend von diesen Berichten empfehle ich die Behandlung der folgenden 6 Risiken:
   • • Kontrollverlust an die die Public Cloud
     • Kontrollverlust an ausländische Behörde (Stichwort Cloud-Act)
     • Fehlende Transparenz
     • Begrenzte Überprüfbarkeit der Umsetzung der vertraglichen Massnahmen
     • Nichteinhaltung von Bearbeitungsvorschriften
     • Rasche Änderung der Services von der Public Cloud oder Wechsel von Subunternehmen
3. Risikominimierung und erneute Risikoanalyse
   Für die identifizierten Risiken sind technische und organisatorische Massnahmen, TOMs, zur Risikominimierung zu evaluieren. Anschliessend sind die Restrisiken erneut zu bewerten. Sind die Restrisiken nach der Risikominimierung gering, können sie vom Verantwortlichen selbständig akzeptiert werden. Bei hohen Restrisiken ist für die beabsichtigte Datenbearbeitung eine Stellungnahme des EDÖB einzuholen (siehe dazu sein Merkblatt).

Am Ende ist es die Bewertung der Restrisiken

Die Eingangsfrage lässt sich nicht pauschal beatworten. Bei der Einhaltung des Datenschutzgesetzes gibt es oft kein Schwarz oder Weiss. Dies gilt auch bei der Prüfung, ob Daten in einer Public Cloud mit Speicherort CH/EU und Firmensitz in den USA verarbeitet werden dürfen. An einer individuellen und sorgfältigen Risikobeurteilung führt kein Weg vorbei. Beide Arten der Datenhaltung bergen unterschiedliche Risiken, die im Einzelfall gegeneinander abgewogen werden müssen.

Weiterführende Links zum Thema

• Kein Freipass für «Microsoft 365» (Privatim)  – Interessanter Bericht inkl. Merkblatt von Privatim (30.09.2022)
• Edöb: „Vertrauen Behörden nur auf private Gutachten, können sie sich eine blutige Nase holen“ (INSIDE IT) – Interessanter Bericht von INSIDE-IT (28.09.2022)
• Edöb fordert Neubeurteilung der Microsoft Cloud (INSIDE IT) – Interessanter Bericht von INSIDE-IT (14.06.2022)
• Ist die Cloud des Berufsgeheimnis‘ Kryptonit? (Chantal Lutz) – Weiterer interessanten Blogbeitrag zum Thema (25.01.2022)
• Microsoft Cloud für Schweizer Anwälte (David Rosenthal) – Interessanter Bericht aus der ANWALTS REVUE DE L’AVOCAT 10/2021

Hinweis: Dieser Blog-Beitrag wurde mit Unterstützung des Sprachmodells DeepL Write erstellt.