Bei der Beschaffung von Software und Storage-Möglichkeiten sind in den letzten Jahren Cloud-Lösungen in den Vordergrund gerückt. Unternehmen versprechen sich von den Lösungen Effizienzsteigerungen in Arbeitsprozessen, Kommunikation und Kollaboration. Verbesserte Effizienz wird also grossgeschrieben – aber was ist mit den in der Cloud gespeicherten Daten, wenn der Anbieter Ausländer ist, Datencenter im Ausland hat oder Support vom Ausland anbietet? Solche ausländischen Lösungen erfordern eine gezielte Vorgehensweise in puncto Einhaltung des Schweizerischen Datenschutzes und der Datensicherheit. Die folgenden Schritte sind als kleine Checkliste gedacht, wie zu definieren ist, ob Daten in eine ausländische Cloud-Lösung transferiert und dort bearbeitet werden dürfen oder nicht.
Einordnung betroffener Daten
Die Varietät an Daten, die in einer Cloud abgespeichert werden können, ist riesig. So reichen die Daten eines Unternehmens von Kundendaten über HR-Daten bis zu allfälligen Produktions- oder anderen Geschäftsgeheimnissen. Am Anfang steht deshalb immer eine Datenklassifikation mit einer anschliessenden Datenqualifikation. Bei der Datenklassifikation wird eine Einteilung in Vertraulichkeitsstufen vorgenommen und in "öffentlich", "intern" oder "vertraulich" kategorisiert. Derweil wird bei einer Qualifikation beurteilt, ob es sich um Personendaten handelt oder nicht. Darüber hinaus können auch noch weitere rechtliche Kategorien von Daten relevant sein. Dazu gehören beispielsweise all diejenigen Daten, die im Rahmen von Berufsgeheimnissen geschützt sind. Darunter fallen unter anderem das Bank-, Anwalts-, und Arztgeheimnis.
Rechtliche Qualifikation
Die Bearbeitung von Personendaten, besonders schützenswerten Personendaten und Persönlichkeitsprofilen unterliegen allesamt dem Schweizerischen Datenschutzgesetz. Unter Personendaten sind alle Angaben zu verstehen, die sich auf eine bestimmte oder zumindest bestimmbare Person beziehen. Zudem wird bei den Personendaten noch eine weitere Kategorisierung vorgenommen. Diese umfasst auf der einen Seite Personendaten mit besonderes schützenswertem Charakter, nämlich dann, wenn die Daten Aussagen über religiöse oder politische Ansichten, Rassenzugehörigkeit, Gesundheitszustände oder strafrechtliche Verfahren enthalten. Auf der anderen Seite stehen die Persönlichkeitsprofile. Ein Persönlichkeitsprofil liegt dann vor, wenn es sich um eine Zusammenstellung von Daten handelt, die eine Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlaubt.
Zusätzlich ist bei Bankkundendaten das Bankgeheimnis nach dem Bankengesetz zu befolgen. Ausserdem bestehen strafrechtliche Bestimmungen für Ärzte, Anwälte oder Geistliche, falls diese ihr Berufsgeheimnis nicht entsprechend wahren. Da die Strafbewehrung nur in der Schweiz erfolgen kann, können solche Daten nicht ohne die explizite Zustimmung der betroffenen Person durch einen Dritten bearbeitet werden oder ins Ausland exportiert werden.
Zu beachten ist zudem, dass weitere Spezialgesetze Normen enthalten können, welche eine weitergehende Kategorisierung sowie eine darauffolgende Qualifikation notwendig machen. Zu denken sei dabei unter anderem an die Vorgaben im Fernmelderecht oder bei den Sozialversicherungen.
"Bearbeiten" hat viele Bedeutungen
Unter dem Stichwort "Bearbeiten" ist auf rechtlicher Ebene mitunter das Beschaffen, Aufbewahren, Verwenden, Bekanntgeben aber auch das Archivieren oder Vernichten von Daten zu verstehen. Wenn also zum Beispiel Kundendaten in einer Cloud abgespeichert werden, ist das Datenschutzgesetz anwendbar und zu befolgen, da diese abgespeichert und in der Regel auch für einen gewissen Zweck verwendet werden. Eine Verwendung liegt zudem auch dann schon vor, wenn die Daten nur am Bildschirm angesehen werden, was ja regelmässig der Fall ist, wenn die Daten in der Cloud sind oder auf die Daten mit einem Remote Access zugegriffen wird.
Zulässige Daten in der ausländischen Cloud
Als Zwischenfazit lässt sich nun mal festhalten, dass all diejenigen Daten in einer ausländischen Cloud bearbeitet werden dürfen, die keine Personendaten beinhalten und auch keine Beeinträchtigung einer Person herbeiführen können. Es bestehen also keine Hindernisse, wenn die Daten öffentlich sind und keine finanzielle Relevanz für Ad-hoc-Publizitätsvorschriften aufweisen. Dasselbe gilt für Daten, die nach State-of-the Art verschlüsselt sind, anonymsierte Daten und Daten, für deren Bearbeitung und öffentliche Bekanntgabe ein Rechtfertigungsgrund wie eine gesetzliche Grundlage besteht.
Mythos Verbot Datenexport ins Ausland
Oft wird behauptet, dass Personendaten nicht durch Dritte bearbeitet werden dürfen. Dies ist nicht zutreffend, denn Personendaten dürfen zur Verarbeitung an Dritte übertragen werden. Es braucht aber eine vertragliche Vereinbarung, dass die Daten nur so bearbeitet werden, wie der Auftraggeber es selbst tun dürfte. Zudem darf der Bearbeitung keine gesetzliche, darunter fallen Amtsgeheimnis, Anwalts-, Arzt- oder Bankgeheimnis, oder vertragliche Geheimhaltungspflicht entgegenstehen, es sei denn, die betroffene Person willigt in die Bearbeitung durch einen Dritten ein.
Der Auftraggeber bleibt für die von ihm ausgelagerten Daten also weiterhin und bis zu einem gewissen Grad verantwortlich. Er hat den Anbieter von inländischen wie auch ausländischen Cloud-Dienstleistungen sorgfältig auszuwählen und sicherzustellen, dass dieser die notwendigen Voraussetzungen für die Datenbearbeitung erfüllt und insbesondere die erforderliche Datensicherheit gewährleisten kann. Dazu muss der Auftraggeber dem Anbieter Vorgaben über technische, organisatorische und administrative Massnahmen auferlegen.
Datenexport aus der Schweiz
Nach Schweizer Recht dürfen grundsätzlich keine Personendaten von der Schweiz ins Ausland bekannt gegeben werden, wenn dies zu einer schwerwiegenden Gefährdung der Persönlichkeit der betroffenen Personen führt. Dies ist gemäss Gesetz insbesondere dann der Fall, wenn im Zielstaat eine Gesetzgebung fehlt, die einen angemessenen, mithin gleichwertigen Schutz gewährleistet. Der eidgenössische Datenschutzbeauftragte hat eine unverbindliche Liste derjenigen Staaten veröffentlicht, die einen solchen angemessenen Schutz aufweisen. Dies trifft unter anderem für die Staaten der EU zu, für die USA, derzeit noch gestützt auf die Safe Harbour Self Declaration – da der Bundesrat den entsprechenden Briefwechsel zwischen der Schweiz und den USA bis anhin nicht aufgekündigt hat – und auch für Kanada. Betreffend den USA empfiehlt es sich heute wie auch zukünftig nach dem Inkrafttreten des Privacy Shield, die Selbstdeklarationen exakt zu prüfen und mit den eigenen Anforderungen zu vergleichen. Nur wer in der Folge zum Schluss kommt, dass eine Gleichwertigkeit besteht, sollte sich allein auf eine Safe Harbour-Deklaration beziehungsweise auf Erklärungen unter dem Privacy Shield verlassen und dies auch als Rechtfertigungsgrund dokumentieren.
Ebenfalls heikel ist ein Datenexport ins Ausland von besonders schützenswerten Personendaten und Persönlichkeitsprofilen, da die Zustimmung der betroffenen Personen ausdrücklich erfolgen und auf einer transparenten Information basieren muss. Gerade hier sind spezialgesetzliche Regelungen wie beispielsweise im allgemeinen Sozialversicherungsrecht zu berücksichtigen.
Aufgepasst bei der Wahl des Cloud-Providers
Die bisher erwähnten Punkte bedingen also eine rechtskonforme Wahl des Cloud-Providers, so dass der Speicherort der Kundendaten bekannt ist. Ausserdem muss hinterfragt werden, wer von wo aus auf die gespeicherten Daten zugreifen kann, was insbesondere im Rahmen von globalen Support-Organisationen, Stichwort 24x7-Support, relevant sein kann. Erfolgt die Datenbearbeitung oder der Zugriff auf Daten von Ländern aus, die über kein angemessenes Schutzniveau verfügen, kann datenschutzrechtliche Konformität unter anderem durch vertragliche Garantien erreicht werden. Um dem vorzubeugen, schliesst man im idealen Fall eine EU-Standardklausel ab.
Einige Anbieter haben bereits auf die in internationaler Hinsicht stark variierenden Datenschutzniveaus reagiert, und bieten Datenverarbeitung ausschliesslich innerhalb der Landesgrenzen europäischer Länder an. Es ist anzunehmen, dass diese Tendenz künftig weiter zunehmen wird.
Datenschutzniveau beachten
Zusammenfassend kann also gesagt werden, dass man bei der Auswahl des Cloud-Anbieters die Anforderungen des Datenschutzes berücksichtigen muss. Wer auf einen Anbieter ausserhalb der EU trifft, muss prüfen, ob ein gleichwertiges Datenschutzniveau besteht. Ansonsten verletzt man seine Sorgfaltspflicht und sodann das Datenschutzgesetz. Falls dies nicht der Fall ist, empfiehlt es sich zu prüfen, ob der Anbieter bereit ist, die EU-Standard-Klauseln zu vereinbaren. Falls nicht, sollte man sich einen anderen Anbieter auswählen, der bereit ist, eine solche Verpflichtung einzugehen.
Die Autorin
RA lic. iur. Nicole Beranek Zanon, Executive MBA HSG, ist Gründungspartnerin der Anwaltskanzlei De la Cruz Beranek Rechtsanwälte, die sich auf Informatik-, Kommunikations- und Technologie-Recht fokussiert. Nicole Beranek Zanon berät sowohl Start-ups wie auch börsenkotierte Unternehmen in Datenschutzthemen, Security, Cloud, Outsourcing und neuen Technologien. Sie unterrichtet sporadisch an der FHNW, ZHAW und der Universität St. Gallen. Sie ist Vorstandsmitglied von Eurocloud Swiss und Cloud Security Alliance Switzerland Chapter. Nicole Beranek Zanon publiziert regelmässig zu ICT-Themen.
(Quelle: De la Cruz Beranek Rechtsanwälte)