Arbeiten in der Cloud – die datenschutzrechtlichen Herausforderungen

Cloud-Computing wird mehr denn je «conve-nience». Daten sind vermehrt in der Cloud gelagert, damit zu jeder Zeit und von jedem Ort aus auf diese zugegriffen werden kann. Informationen sind nicht mehr an einen Ort gebunden – und somit auch nicht der Arbeitnehmer. Während das dadurch begünstigte Homeoffice für die einen eine willkommene Abwechslung zum Büro darstellt, stellt diese Entwicklung eine Herausforderung für Organisationen und Unternehmen dar, welche es zu meistern gilt.

Durch die Bereitstellung von digitalen Infrastrukturen können Anwendungen oder Information eine geräteunabhängige Nutzung ermöglichen. Externe Ressourcen wie Rechenleistung, Speicherplatz oder andere Dienstleistungen können via Fernzugriff genutzt werden, ohne dass ein Unternehmen oder dessen Mitarbeitende über die notwendige Hardware oder Software verfügen müssen.

Bei der Nutzung einer Cloud werden Personendaten ausgelagert und somit von einem Dritten «bearbeitet». Selbst das Speichern auf einer fremden Cloud stellt ein Outsourcing dar. Outsourcing in Form von Cloud-Computing bietet einem Unternehmen auf den ersten Blick viele Vorteile. Es sind aber verschiedenste Fragen zu klären und individuell zu gewichten, bevor man teilweise ganze Arbeitsprozesse auslagert und somit vom Unternehmen trennt.

Die Entscheidung, unternehmerische Prozesse oder Anwendungen auszulagern, kann eine Abhängigkeit vom entsprechenden Cloud-Dienstleister begründen. Wenn mit der Zeit eng verknüpfte Strukturen entstanden sind, führen auftretende Probleme des Cloud-Dienstleisters auch schnell zu Komplikationen beim auftragsgebenden Unternehmen.

Ein Unternehmen, welches sich dafür entscheidet, Personendaten auf einer Cloud zu bearbeiten, muss den Cloud-Dienstleister (gemäss Art. 10a DSG) sorgfältig auswählen, instruieren sowie kontrollieren. Zwischen den verschiedenen Cloud-Anbietern muss sorgfältig der richtige Partner ausgesucht werden. Wie schon dargelegt, begibt man sich mit der Auslagerung von Daten in eine Abhängigkeit gegenüber dem Cloud-Anbieter. Es sollte vorweg eine Risikobeurteilung durchgeführt werden, ob Personendaten in einer Cloud bearbeitet werden können. Für eine solche Beurteilung empfiehlt sich der Beizug von Fachspezialistinnen und -spezialisten.

Auch muss der Cloud-Anbieter (wenn möglich) vertraglich dazu verpflichtet werden, sich an die Schweizer Datenschutzgesetze zu halten und die Daten nur gemäss Weisung (Instruktion) des Unternehmens zu bearbeiten. Allfällige gesetzliche Schweigepflichten sind vertraglich an den Cloud-Anbieter zu überbinden. Bei grossen Public-Cloud-Anbietern kann in der Regel eine individuelle Vertragsgrundlage nicht ausgehandelt werden. Für einige Unternehmen oder Organisationen (gerade im Gesundheitsbereich) ist die Nutzung von gewissen Cloud-Lösungen, vor allem in der Public Cloud, somit nicht möglich, da Geheim-haltungspflichten nur schwer überbunden werden können. Um gesetzliche Schweigepflichten sowie Berufsgeheimnisse wahren zu können, kommt oft nur die Nutzung einer Private Cloud (also eine unternehmensinterne Cloud) infrage.

Die Einhaltung der vertraglichen und gesetzlichen Pflichten des Cloud-Anbieters sollte entsprechend kontrolliert werden. Bei grossen Cloud-Anbietern ist eine Kontrolle, beispielsweise durch Audits, nicht möglich. Anstelle von persönlichen Kontrollen kann die Erfüllung von international anerkannten Security-Standards eingefordert werden.

Werden personenbezogene Daten (Art. 3 lit. a DSG) in einer externen Cloud gespeichert oder in sonst einer Weise bearbeitet, findet eine Datenbearbeitung durch einen Dritten statt (Art. 10a DSG).

Das Unternehmen muss sich dabei bewusst sein, dass es gegenüber den Personendaten der betroffenen Personen auch bei einer Auslagerung in eine Cloud für die Bearbeitung und Einhaltung der datenschutzrechtlichen Vorschriften verantwortlich bleibt. Eine Cloud könnte somit Unbefugten den Zugriff auf Personendaten ermöglichen. Damit besteht das Risiko, dass 

1. Daten bewusst oder unbewusst verfälscht werden (Verletzung der Integrität);
2. es zu einer ungewollten Offenlegung von Informationen und somit zu einer Verletzung von Geheimhaltungspflichten wie z. B. Berufsgeheimnissen kommt (Verletzung der Vertraulichkeit);
3. durch technische oder menschliche Einflüsse Daten verloren gehen oder gestohlen werden (Verletzung der Verfügbarkeit).

Besonders heikel ist es, wenn Daten auf ausländischen Servern gespeichert werden und dadurch nur ungenügend durch datenschutzrechtliche Vorschriften geschützt werden oder der Zugriff durch ausländische Behörden droht. Die Datenhaltung in der Schweiz ist stets zu bevorzugen, aber selbst dort besteht die Gefahr des Zugriffs von ausländischen Behörden. Durch den im Jahre 2018 in Kraft getretene US Cloud Act können US-Provider mit Sitz in der Schweiz von den US-Strafverfolgungsbehörden verpflichtet werden, Daten herauszugeben, was eine Verletzung der Schweizer Datenschutzgesetze darstellt. Dies stellt ein Risiko dar, welches Unternehmen, die sich entscheiden, einen US-Cloud-Provider zu nutzen, tragen müssen.

Eine Cloud bietet viele, fast unverzichtbare Vorteile für die moderne Arbeitswelt. Um die datenschutzrechtliche Verantwortung wahrzunehmen, muss ein Unternehmen entsprechend dafür sorgen, dass technische und organisatorische Massnahmen getroffen werden, damit die Cloud den rechtlichen Anforderungen genügt.

Ein Unternehmen muss sich bewusst sein, welche Art von Daten sie selber bearbeiten und welche in der Cloud gespeichert werden.
Allfällige Geheimhaltungspflichten müssen dabei gewahrt werden. Grundsätzlich gilt, nur die notwendigen Daten auf einer Cloud zu bearbeiten. Gerade durch eine Cloud-Nutzung bietet sich ein erhöhtes Missbrauchspotenzial, weswegen man genau definieren muss, wem Zugriff auf bestimmte Datensätze gewährt wird.

Es gilt, sich über die bestehenden Risiken in Bezug auf die einzuhaltende Datensicherheit und des Datenschutzes ein Bewusstsein zu schaffen und die Mitarbeitenden entsprechend zu sensibilisieren.