Datensicherheit

 

Daten, die in der Cloud verarbeitet und abgelegt werden, unterliegen dem Datenschutz und den Sicherheitsanforderungen des jeweiligen Landes, die sich aus nationalen und internationalen Datenschutzvorgaben ableiten lassen.

Die Richtlinien in den europäischen Ländern sind annähernd gleich und unterliegen der so genannten Datenschutzrichtlinie 95/46/EG. Des Weiteren gelten verschiedene weitere Compliance-Anforderungen.

Das Datenschutzgesetz der Schweiz äussert sich wie folgt zum Thema Datenschutz in der Cloud:

Art. 10a DSG:
„…Speichert ein Cloud-Nutzer Personendaten nicht auf seinem eigenen Server, sondern auf einer Cloud, lässt er Personendaten im datenschutzrechtlichen Sinn durch einen Dritten bearbeiten (sog. Datenbearbeitung durch Dritte, auch Auftragsbearbeitung genannt).

Die Weitergabe von Personendaten zur Bearbeitung an Dritte (Cloud-Anbieter) ist grundsätzlich zulässig, und zwar auch ohne Einwilligung der betroffenen Personen, sofern die Daten vom Dritten (Cloud-Anbieter) nur so bearbeitet werden, wie der Cloud-Nutzer es selber tun dürfte und keine gesetzliche oder vertragliche Geheimhaltungspflicht die Bearbeitung durch einen Dritten verbietet….“

Generell gilt:
Der Cloud Computing-Kunde in der Schweiz bleibt verantwortlich für die Einhaltung der datenschutzrechtlichen Anforderungen. Diese Richtlinien müssen Unternehmen immer erfüllen. Dabei ist es egal, ob die Daten in der Cloud oder durch die eigene IT betrieben werden.

Zum Thema Datensicherheit besteht noch Handlungsbedarf durch den Bundesrat. Jedoch müssen Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden.

Datenschutzgesetz Art. 7: Datensicherheit
„1 Personendaten müssen durch angemessene technische und organisatorische Massnahmen
gegen unbefugtes Bearbeiten geschützt werden.
2 Der Bundesrat erlässt nähere Bestimmungen über die Mindestanforderungen an die Daten-sicherheit…“

Grenzüberschreitende Bekanntgabe (DSG Art.6)
„1 Personendaten dürfen nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet.“
Beispiel: Will eine Firma die Lohnverwaltung im Ausland zentralisieren, dürfen dafür nur lohnrelevante Daten übermittelt werden, welche wiederum nur zum angegebenen Zweck bearbeitet werden dürfen.

„2 Fehlt eine Gesetzgebung, die einen angemessenen Schutz gewährleistet, so können Personendaten ins Ausland nur bekannt gegeben werden, wenn:
a. hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten; …“
Beispiel: Eine Firma, die ihre Lohnverwaltung in die USA verlegen will, muss sicherstellen, dass das verarbeitende Unternehmen Safe Harbor zertifiziert ist. Sollte dies nicht der Fall sein, sind weitere vertragliche Garantien nötig.

Datenexport und Safe Harbor
Bei einem Datenexport ins Ausland ist darauf zu achten, dass das Zielland eine Gleichwertigkeit des Datenschutzes gewährleistet. In den Ländern der EU ist dies ohne zusätzliche Garantien möglich. Sind Unternehmen gemäss Safe Harbor zertifiziert, dürfen die Daten legal in die USA exportiert werden. Safe Harbor ist eine Entscheidung der Europäischen Kommission aus dem Jahr 2000, die es ermöglicht, legal personenbezogene Daten in die USA zu übermitteln. Eine vergleichbare Vereinbarung besteht für die Schweiz.

Einen gleichwertigen Datenschutz im Ausland bieten die Länder der EU, EFTA, Kanada, Argentinien, Uruguay, Israel, Neuseeland und Australien (bedingt). Für Unternehmen, die in den USA ansässig sind und eine Safe Harbor-Zertifizierung nachweisen können, ist ein angemessener Schutz gewährleistet. Für andere Länder ist eine vertragliche Garantie nötig.

Sind beim Export von Daten in andere Länder zusätzliche vertragliche Datenschutzgarantien nötig, ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage (EDÖB) beizuziehen. Werden die vom EDÖB anerkannten Standardklauseln verwendet, ist lediglich die Information des EDÖB notwendig. Andernfalls muss der Vertrag durch den EDÖB geprüft werden.

Was ist Datenschutz?
Datenschutz ist nicht der Schutz der Daten, sondern der Schutz der Persönlichkeit vor Missbrauch. Geschützt sind Personendaten, darunter fallen alle Daten einer bestimmten oder bestimmbaren natürlichen oder juristischen Person sowie Persönlichkeitsprofile, welche die Beurteilung wesentlicher Aspekte der Persönlichkeit einer natürlichen Person erlauben.

Besonders schützenswerte Personendaten (Definition in Art. 3 lit. c DSG ) sind Daten über:
die religiösen, weltanschaulichen, politischen oder gewerkschaftlichen Ansichten oder Tätigkeiten:
– die Gesundheit, die Intimsphäre oder die Rassenzugehörigkeit,
– Massnahmen der sozialen Hilfe,
– administrative oder strafrechtliche Verfolgungen und Sanktionen,
– Persönlichkeitsprofile natürlicher Personen,
– Beurteilung wesentlicher Aspekte der Persönlichkeit .

Datenbearbeitung durch Dritte (DSG Art.10a)
„1 Das Bearbeiten von Personendaten kann durch Vereinbarung oder Gesetz Dritten übertragen
werden, wenn:
a. die Daten nur so bearbeitet werden, wie der Auftraggeber selbst es tun dürfte; und
b. keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet.

2 Der Auftraggeber muss sich insbesondere vergewissern, dass der Dritte die Datensicherheit
gewährleistet…“

Was ist Datensicherheit?
Unter Datensicherheit wird der Schutz von Daten vor Verlust, Verfälschung, Beschädigung oder
Löschung durch organisatorische und technische Maßnahmen und durch Software verstanden.

Die Gesetzesgrundlagen zum Thema Datenschutz in der Schweiz
können Sie hier nachlesen.

Hier können Sie Unterlagen zum Datenschutz & Datensicherheit herunterladen.

pdf-download

Detailliertere Angaben zum Thema Datenschutz & Datensicherheit
unserer  Vertragspartner können Sie bei uns anfordern.