Alle wollen in die Cloud. Sie kann mit eigenen Ressourcen betrieben werden (Private Cloud) oder über einen externen Anbieter (Public Cloud). Darüber hinaus gibt es diverse hybride Cloud-Lösungen, wobei Unternehmen zum Beispiel eine Mischung aus Private Cloud (im eigenen Rechenzentrum) und Public Cloud nutzen oder auch die Private Cloud im Rechenzentrum eines externen Anbieters betreiben.
Bei der Private Cloud hat ein Unternehmen die volle Kontrolle über seine Daten, was beispielsweise die Erfüllung regulatorischer Anforderungen erleichtern kann. Die eigene Infrastruktur lässt sich zudem vollständig an die Bedürfnisse des Unternehmens anpassen.
Ein externer Cloud-Anbieter bietet demgegenüber den Vorteil einer kontinuierlichen Aktualisierung und Wartung der Cloud-Infrastruktur. Er sorgt mit regelmässigen Updates und Wartungen dafür, dass immer die neuste Technologie zur Verfügung steht. Zudem bieten Cloud-Dienste eine hohe Ausfallsicherheit, da sie oft in mehreren georedundanten Rechenzentren betrieben werden. Fällt ein Rechenzentrum aus, übernimmt ein anderes nahtlos die Datenverarbeitung.
Die Sicherheitsaspekte spielen ebenfalls eine entscheidende Rolle. Cloud-Anbieter investieren erheblich in Sicherheitsmassnahmen wie Verschlüsselung, Zugriffskontrollen und weitere Schutzmechanismen gegen Cyberangriffe. Sie verfügen über Ressourcen und Fachwissen, die kleinere Unternehmen allein meist nicht zu leisten vermögen.
Rechenzentrum in der Schweiz vs. im Ausland
Ein rechtlicher Aspekt, der für den Betrieb beziehungsweise die Nutzung eines Rechenzentrums in der Schweiz spricht, ist der Schutz von Personendaten. Nach dem neuen Schweizer Datenschutzgesetz (DSG), das am 1. September 2023 in Kraft getreten ist, müssen Unternehmen sicherstellen, dass Personendaten nur in Länder übertragen werden, die ein angemessenes Datenschutzniveau bieten. Welche das sind, bestimmt der Bundesrat. Befindet sich also ein Rechenzentrum in einem Drittstaat ohne angemessenes Datenschutzniveau, muss dieses mit zusätzlichen Schutzmassnahmen, wie zum Beispiel den Standardvertragsklauseln (SCC) der Europäischen Kommission, gewährleistet werden.
Werden hingegen Daten in einem Rechenzentrum in der Schweiz gespeichert, können ausländische Behörden nur im Rahmen internationaler Amtshilfeersuchen auf diese Daten zugreifen. Das bedeutet, dass ein direkter Zugriff ausländischer Behörden nicht möglich ist, was in anderen Ländern, insbesondere in den USA, problematisch sein kann. Dort greifen Behörden über Gesetze wie den Cloud Act auf Daten zu, auch wenn diese ausserhalb der USA gespeichert sind. In der Schweiz hingegen müssen solche Anfragen den formellen Rechtsweg über Schweizer Behörden gehen, was den Schutz der Daten weiter erhöht.
Ein weiterer rechtlicher Vorteil des Standortes Schweiz ist die Rechtssicherheit für Unternehmen. Verträge, die mit inländischen Anbietern abgeschlossen werden, unterliegen in der Regel dem Schweizer Recht, was die Durchsetzung von Rechten und Pflichten vereinfacht. In einem Streitfall haben Schweizer Unternehmen den Vorteil, dass sie vor einem inländischen Gericht verhandeln und dabei auf ein ihnen vertrautes Rechtssystem zurückgreifen können.
Blick auf vertragliche Feinheiten
Eine tatsächliche rechtliche Pflicht, die Daten in der Schweiz zu speichern, gibt es aber in den allermeisten Fällen nicht. Es gibt nur wenige Ausnahmen, wie zum Beispiel für Datenspeicher für das elektronische Patientendossier. Im Rahmen des Datenschutzgesetzes können Daten für die meisten Anwendungsfälle auch im Ausland gespeichert werden, womit der Standort von Rechenzentren in erster Linie zur Vertrauensfrage wird.
Dementsprechend haben einige Cloud-Anbieter ihre Präsenz mit eigenen Rechenzentren in der Schweiz ausgebaut (z.B. Microsoft, Amazon Web Services oder Google). Die Datenbearbeitung sowie der Betrieb der Rechenzentren fallen folglich unter die stabile Schweizer Rechtsordnung. Damit wird sowohl lokalen als auch internationalen Unternehmen mit Sitz in der Schweiz die Möglichkeit geboten, den Standortvorteil Schweiz zu nutzen.
Bei der Entscheidung für einen ausländischen Cloud-Anbieter mit einem Schweizer Rechenzentrum sollten aber die vertraglichen Vereinbarungen genau geprüft werden. Besonders relevant ist die Frage nach der Datenbearbeitung durch Unterauftragsbearbeiter, die dann beispielsweise Supportleitungen doch wieder aus dem Ausland erbringen. Bei reinen Schweizer Anbietern von Cloud-Diensten und Rechenzentren ist das Risiko von Datenübermittlungen in Drittländer mit unangemessenem Datenschutz reduziert. Sie bieten ihren Kunden höhere Transparenz bezüglich Datensouveränität und können lokalen Support sowie Kundenbetreuung leisten, was das Vertrauen bei den Kunden stärkt.
Cloud Act und Swiss-U.S. Data Privacy Framework
Der Cloud Act der USA (Clarifying Lawful Overseas Use of Data Act) hat weltweit für grosse Bedenken gesorgt, insbesondere im Hinblick auf den Datenschutz. Der Cloud Act erlaubt es US-Behörden, auf Daten zuzugreifen, die von US-Unternehmen – auch ausserhalb der USA – gespeichert werden. Davon betroffen sind insbesondere die Schlüsselspieler von Cloud-Angeboten: Microsoft, Amazon oder Google.
Zur Lösung dieses Problems wurde das Swiss-US Data Privacy Framework entwickelt, das am 15. September 2024 in Kraft getreten ist. Dieses Rahmenwerk stellt sicher, dass darunter zertifizierte US-Unternehmen ein angemessenes Datenschutzniveau bieten und dass Datenübermittlungen an diese Unternehmen den Datenschutzanforderungen der Schweiz entsprechen.
Spezialfall Verwaltung
Ein Spezialfall beim Einsatz von Cloud-Diensten könnte sich im Bereich der öffentlichen Verwaltung ergeben. Einige kantonale Datenschutzbeauftragte geben ihren öffentlichen Organen vor, dass sensitive Daten auch gegenüber den Cloud-Anbietern wirksam zu verschlüsseln sind, was viele Standard-Anbieter per se ausschliesst. Überdies werden cloudbasierte Kollaborationsmodelle (wie z.B. M365) massiv eingeschränkt oder verunmöglicht.
Der Kanton Zürich beabsichtigt momentan, solche Vorgaben im Gesetz zu verankern. Die Vorlage zum Gesetz über digitale Basisdienste befindet sich derzeit in Vernehmlassung. Ob das neue Swiss-U.S. Data Privacy Framework die Nutzung von externen Cloud-Diensten auch für Verwaltungseinheiten erleichtert, ist momentan noch offen.
Das neue DSG: Auswirkungen auf Rechenzentren
Das neue Schweizer Datenschutzgesetz (DSG) hat weitreichende Auswirkungen auf den Standort und die Ausgestaltung von Rechenzentren. Es fordert von Unternehmen unter anderem die Umsetzung von «Privacy by Design» und «Privacy by Default», also die Einhaltung von Datenschutzprinzipien bereits bei der Entwicklung und Voreinstellung von IT-Systemen. Dies bedeutet, dass Rechenzentren so gestaltet sein müssen, dass der Schutz von Personendaten von Anfang an integriert wird. Unternehmen müssen sicherstellen, dass die Bearbeitung von Daten auf das notwendige Minimum beschränkt bleibt und die Datensicherheit jederzeit gewährleistet wird.
Weiter beeinflusst das neue DSG die Dokumentationspflichten. Unternehmen müssen zum Beispiel umfassende Verzeichnisse über ihre Datenbearbeitungsprozesse führen und betroffene Personen über Empfänger ihrer Personendaten informieren. Dies gilt auch für den Einsatz von Cloud-Diensten. Wenn die Bearbeitung von Personendaten einem Auftragsbearbeiter übertragen wird, muss ein Unternehmen sicherstellen, dass der Cloud-Anbieter die Anforderungen an die Datensicherheit erfüllt und allfällige Datenbearbeitungen im Ausland rechtmässig sind, was in der Regel über sogenannte Auftragsbearbeitungsverträge geschieht. Schliesslich bleibt ein Unternehmen gemäss DSG für seine Personendaten vollumfänglich verantwortlich, auch wenn es die Bearbeitung zum Beispiel an einen Cloud-Dienst ausgelagert hat.
Zusammenfassend lässt sich sagen, dass die Wahl eines Cloud-Dienstes beziehungsweise der Standort eines Rechenzentrums rechtliche Herausforderungen mit sich bringen kann, insbesondere im Zusammenhang mit internationalen Datenübermittlungen. Das neue Schweizer Datenschutzgesetz stellt sicher, dass diese Herausforderungen adressiert werden, indem es klare Anforderungen an den Datenschutz und die Datenverarbeitung setzt. Der Standort Schweiz bleibt daher ein wichtiger Faktor bei der Entscheidung über die Nutzung von Cloud-Diensten oder den Betrieb eigener Rechenzentren.
Die Autoren
Rechtsanwalt
Reto Zbinden (Bild oben), Gründer und Inhaber von
Swiss Infosec, beschäftigt sich seit mehr als 35 Jahren neben der Führung seines Unternehmens als Berater und Ausbildner. Seine Fachgebiete sind Sicherheit und Organisation, Zertifizierung im Bereich der Informationssicherheit und die rechtlichen Aspekte der Informationssicherheit, so unter anderem Archivierung, Datenschutz und Vertragsrecht im Bereich IT/Informationssicherheit. Bei seiner Arbeit legt er den Fokus stets auf Praxiskonformität und Wirtschaftlichkeit. Er publiziert in Fachzeitschriften und referiert als gerngesehener Experte und Dozent an Fachtagungen, Bildungsinstituten und Universitäten.
Michael Widmer ist Head of Legal & Data Privacy Consulting und Mitglied der Geschäftsleitung bei Swiss Infosec. Der ICT-Jurist und Rechtsanwalt verfügt über langjährige Erfahrung in der Telekommunikationsbranche in verschiedenen Rollen und Funktionen. Mit Unterstützung seines Teams berät er Unternehmen, öffentlich-rechtliche Anstalten und Non-Profit-Organisationen kompetent und praxisorientiert zu sämtlichen Fragestellungen in den Bereichen Datenschutz und ICT-Recht. Er vermittelt sein Wissen an Lehrgängen von Swiss Infosec und ist Datenschutzberater für diverse Unternehmen und Organisationen.
