Aufrufe
vor 9 Monaten

Netzwoche 03/2021

  • Text
  • Unternehmen
  • Schweiz
  • Netzmedien
  • Schweizer
  • Google
  • Digital
  • Digitale
  • Microsoft
  • Digitalswitzerland
  • Mitteilung

34 Web Focus Mit der

34 Web Focus Mit der umfassenden Revision des Datenschutzgesetzes So beeinflusst das neue Datenschutzgesetz die Nutzung von Cloud-Diensten Nicht erst seit Beginn der Covid-Pandemie verlagern immer mehr Unternehmen ihre Daten in die Cloud. Gerade datenschutzrechtlich bringt Cloud Computing aber gewisse Herausforderungen mit sich, die sich durch die Revision des Schweizer Datenschutzgesetzes weiter akzentuieren werden. DIE AUTOREN Florian Prantl Freelance Counsel, LEXR Thomas Kuster Legal Counsel, LEXR stellt sich für viele Unternehmen die Frage, ob ihre bestehenden Prozesse und Verträge mit Cloud-Providern datenschutzrechtlich weiterhin ausreichend sind oder ob Handlungsbedarf besteht. Das neue Schweizer Datenschutz gesetz (nDSG) orientiert sich stark an der Datenschutzgrundverordnung (DSGVO) der EU, auch wenn kleinere Unterschiede bestehen. Für Unternehmen, die bereits sämtliche Anforderungen der DSGVO erfüllen, gibt es deshalb nur wenig zu tun. Alle anderen sollten sich bereits heute mit den Änderungen des nDSG auseinandersetzen, die voraussichtlich 2022 in Kraft treten werden. Welche Daten werden an den Cloud-Provider übermittelt? Das nDSG regelt neu nur noch die Bearbeitung von Personendaten natürlicher Personen. Daten juristischer Personen werden nicht mehr erfasst. Ob das nDSG also auf einen Cloud-Vertrag anwendbar sein wird, hängt davon ab, welche Daten in der Cloud gespeichert werden. Sind nur Daten juristischer Personen betroffen, bietet das nDSG neu sogar mehr Handlungsspielraum. Wenn nur vollständig anonymisierte Daten in die Cloud geladen werden, wird dies datenschutzrechtlich weiterhin unbedenklich sein. Welche Pflichten muss der Cloud-Nutzer dem Provider auferlegen? Beim Cloud-Vertrag ist der Cloud-Provider gemäss nDSG Auftragsbearbeiter (Processor), der Cloud-Nutzer entweder Verantwortlicher (Controller, sofern er selbst über den Zweck und die Mittel der Datenbearbeitung entscheidet) oder selbst auch Auftragsbearbeiter (wenn er von Dritten zur Datenbearbeitung beauftragt wird, etwa wenn er Angestelltendaten als Buchhalter bearbeitet). Ist der Cloud- Nutzer selbst Auftragsbearbeiter, darf er die Datenbearbeitung nur mit vorgängiger Genehmigung des Verantwortlichen an einen Cloud-Provider übertragen. Der Cloud-Nutzer ist dafür verantwortlich, dass der Provider die Daten nur so bearbeitet, wie es der Cloud-Nutzer selbst dürfte. Dies wird künftig mittels Auftragsdatenverarbeitungsverträgen (ADV) sichergestellt werden, die zusätzlich zum Cloud-Vertrag geschlossen werden. Weil ADVs unter der DSGVO für viele Unternehmen schon jetzt vorgeschrieben sind, erfüllen zahlreiche Schweizer Unternehmen die entsprechenden Pflichten bereits. Zudem müssen Cloud-Nutzer neu unter Umständen eine sogenannte Datenschutz-Folgeabschätzung (DSFA) durchführen. In einer DSFA beantwortet das Unternehmen – in der Regel unter Beizug von Experten – die Frage, ob ein bestimmtes Vorhaben ein hohes Risiko für den Datenschutz der betroffenen Personen mit sich bringt. Ist dies der Fall, muss das Vorhaben im Vorfeld dem EDÖB zur Konsultation vorgelegt werden. Die reine Auslagerung von Daten in die Cloud wird zwar in aller Regel noch nicht zur Erstellung einer DSFA verpflichten. Sind jedoch bestimmte Arten von Daten betroffen – etwa besonders schützenswerte Daten wie Gesundheits- oder Sozialhilfedaten –, kann eine DSFA nötig werden, insbesondere wenn zusätzlich weitere Bearbeitungsschritte wie Profiling implementiert werden. Werden Daten nur in Länder mit angemessenem Schutzniveau übermittelt? Die Frage, wohin Daten übermittelt werden, bleibt auch unter dem nDSG zentral. Der EDÖB veröffentlicht hierzu eine Liste mit Staaten, die ein angemessenes Datenschutzniveau aufweisen. Man sollte sich bei der Auswahl einer Cloud-Lösung an Provider halten, die Daten nur an Server in auf dieser Liste aufgeführten Staaten übermitteln, also zum Beispiel die EU-Mitgliedsstaaten oder das Vereinigte Königreich. Die USA hingegen verfügen gemäss der aktuellen Einschätzung des EDÖB nur über ein ungenügendes Datenschutzniveau. Auch das bisher ausreichende Datenschutzabkommen zwischen der Schweiz und den USA, der Swiss-US-Privacy-Shield, bietet gemäss EDÖB keine genügende Rechtsgrundlage mehr für den Datentransfer in die USA. Wenn ein bisheriger Cloud-Vertrag die Datenübermittlung an Server in den USA auf Basis des Privacy Shields vorsieht, sollten deshalb zusätzliche rechtliche Absicherungen getroffen werden. Eine Alternative bieten etwa die Standard Contractual Clauses (SCC) der Europäischen Kommission – ein Standardvertrag, der die Übermittlung in ein Drittland regelt. Deren Gültigkeit ist zurzeit jedoch umstritten und es sollte im Zweifelsfall geprüft werden, ob die SCC einen angemessenen Datenschutz im Zielland erreichen können. 03 / 2021 www.netzwoche.ch © netzmedien ag

Bild: vectorjuice / freepik.com Welche Informationspflichten bestehen gegenüber den Endkunden und natürlichen Personen, deren Daten in der Cloud bearbeitet werden? Insbesondere die Datenschutzerklärung (Privacy Policy) und die ADVs müssen in der Regel angepasst werden, wenn Personendaten in die Cloud migriert werden: Wenn der Cloud-Nutzer als Verantwortlicher Personendaten in die Cloud migriert, müssen die betroffenen Personen (etwa Mitarbeitende oder Endkunden, die natürliche Personen sind) darüber informiert werden. Ein allgemeiner Hinweis über die Nutzung von Cloud-Providern in der Datenschutzerklärung genügt grundsätzlich. Sofern diese im Ausland sind, muss auch dies erwähnt werden. Sofern der Cloud-Nutzer als Auftragsbearbeiter Personendaten für einen Verantwortlichen in die Cloud migriert, muss der Verantwortliche im Vorfeld zustimmen. Diese Zustimmung kann im Rahmen des ADVs zwischen Cloud-Nutzer und dem Verantwortlichen erfolgen. Was passiert, wenn der Cloud-Provider gegen den Vertrag verstösst? Um sicherzustellen, dass der Cloud-Provider vertragliche Vereinbarungen einhält, sollten Cloud-Nutzer deshalb – soweit möglich – angemessene Service-Level-Agreements vereinbaren, idealerweise mit Service-Credits oder sogar Konventionalstrafen. Auch kann es empfehlenswert sein, den Abschluss einer Cyberversicherung zu prüfen. Je schützenswerter die ausgelagerten Daten, desto grösser ist das Risiko für den Cloud-Nutzer und desto umfangreicher sollten auch die Sicherheiten sein. Schliesslich muss der Cloud-Nutzer unter dem nDSG Verletzungen der Datensicherheit, die ein hohes Risiko negativer Folgen für die Betroffenen haben, dem EDÖB melden. Wann dies der Fall ist, bleibt eine Einzelfallabschätzung. So oder so müssen Cloud-Nutzer mögliche Zuständigkeiten und Prozesse für den Fall vorsehen, dass etwa ihr Cloud-Provider gehackt wird und dabei Daten kompromittiert werden. Immerhin ist der Cloud-Provider gesetzlich verpflichtet, jegliche Datenschutzverletzung umgehend dem Cloud-Nutzer mitzuteilen. Umgang mit standardisierten Cloud-Providern Viele Unternehmen beziehen Cloud-Dienstleistungen mittlerweile von grossen Providern wie Google, Amazon oder Microsoft, die hochgradig standardisierte Prozesse aufweisen. Dass dabei dem Cloud-Nutzer wenig Verhandlungsspielraum zukommt, ist klar. Insbesondere Audit- und Weisungsrechte sind auf ein Minimum reduziert. Datenschutzrechtlich muss dies aber nicht zwingend ein Nachteil sein, können sich Cloud-Nutzer doch in der Regel auf qualitativ gute Prozesse verlassen und gewisse Parameter selbst bestimmen – etwa den Standort der Server. Genügt dies dem Cloud-Nutzer nicht, wird er aber meist keine andere Option haben, als sich nach einer Alternative umzusehen. Fazit Die Revision des Schweizer Datenschutzgesetzes bringt in Bezug auf das Verhältnis zwischen Cloud-Nutzer und Cloud- Provider gewisse Änderungen. Cloud-Nutzer sollten sich etwa fragen: ·· Welche Arten von Daten werden in die Cloud geladen? ·· Sind die vereinbarten Datensicherheitsmassnahmen angemessen? ·· Verbleiben alle Personendaten auf Servern in der Schweiz/EU/UK? ·· Wenn Daten in die USA übertragen werden: Bestehen angemessene vertragliche Sicherheitsmassnamen (SCCs)? ·· Sind angemessene Service-Levels vereinbart? ·· Wurde die Datenschutzerklärung aktualisiert und haben etwaige Auftraggeber die Zustimmung erteilt? ·· Bestehen Prozesse und Verantwortlichkeiten für den Fall einer Datenschutzverletzung? Bei Unsicherheiten in Bezug auf diese Fragen sollte das Vertragswerk und die internen Prozesse angepasst oder zumindest eine Risikobeurteilung durch eine Fachperson vorgenommen werden. Für Unternehmen, die bereits sämtliche Anforderungen der DSGVO erfüllen, gibt es mit dem neuen DSG nur wenig Änderungen. Den vollständigen Artikel finden Sie online www.netzwoche.ch www.netzwoche.ch © netzmedien ag 03 / 2021

Archiv

Specials