pri­vatim – Merk­blatt “Cloud-spe­zi­fi­sche Risi­ken und Mass­nah­men” für öffent­li­che Orga­ne: neue Fas­sung und kri­ti­sche Anmerkungen

Neu­es Merkblatt

pri­vatim, die ein­fluss­rei­che Kon­fe­renz der schwei­ze­ri­schen Daten­schutz­be­auf­trag­ten, hat ihr Merk­blatt “Cloud-spe­zi­fi­sche Risi­ken und Mass­nah­men” am 14. Febru­ar 2022 in neu­er Fas­sung ver­öf­fent­licht. Die älte­re und nun ersetz­te Fas­sung stamm­te vom Dezem­ber 2019 (dazu hier):

Das Ziel des Merk­blatts besteht dar­in, die spe­zi­fi­schen daten­schutz­recht­li­chen Risi­ken bei Cloud- und ähn­li­chen Dienst­lei­stun­gen zu benen­nen und zu zei­gen, wie öffent­li­che Orga­ne in die­sem Zusam­men­hang ihre Ver­ant­wor­tung wahr­neh­men kön­nen. Es bezieht sich ent­spre­chend weder auf all­ge­mei­ne Risi­ken der Auf­trags­be­ar­bei­tung noch auf Anlie­gen ausser­halb des Daten- und Geheimnisschutzes.

Grund­sätz­li­ches zu Cloud-Risiken

pri­vatim geht davon aus, dass die spe­zif­schen Cloud-Risi­ken durch fünf Fak­to­ren bestimmt werden:

  • Ver­trags­ge­stal­tung
  • Orte der Daten­be­ar­bei­tun­gen ein­schliess­lich aus­län­di­sche Behördenzugriffe
  • Vertraulichkeit/Geheimnisschutz, Ver­schlüs­se­lung und Schlüsselmanagement
  • Daten über die Nut­ze­rin­nen und Nut­zer der Cloud-Dienste
  • Unter­auf­trags­ver­hält­nis­se

Mit ande­ren Wor­ten betrach­tet pri­vatim mög­li­che Zugrif­fe durch aus­län­di­sche Behör­den als das wesent­li­che cloud-spe­zi­fi­sche (Datenschutz-)Risiko – mit Recht; alle ande­ren Risi­ko­fak­to­ren sind nicht cloud-spe­zi­fisch, son­dern erge­ben sich auch bei ande­ren Auftragsbearbeitungen.

Ergän­zend sieht pri­vatim aber wei­te­re Risi­ken, die sich durch die Ver­wen­dung einer Cloud erhö­hen kön­nen bzw. die zu beden­ken sind:

  • Mel­de­pflich­ten
  • Kon­troll­recht und ‑mög­lich­keit
  • Infor­ma­ti­ons­si­cher­heits­mass­nah­men
  • Pflich­ten bei Ver­trags­auf­lö­sung Abhän­gig­kei­ten vom Lei­stungs­er­brin­ger (Ver­füg­bar­keit, Migra­ti­ons­auf­wand bei Wechsel)

Anmer­kun­gen zu den Hauptfaktoren

Ver­trags­ge­stal­tung

Emp­feh­lun­gen privatim

  • schrift­lich
  • Ver­hält­nis­mä­ssig­keit und Zweck­bin­dung abdecken
  • Unter­stüt­zungs­pflicht bei daten­schutz­recht­li­chen Ansprüchen
  • Kon­troll­rech­te bzgl. der Vertragseinhaltung
  • Durch­set­zung vor ein­fach zugäng­li­chen Gerich­ten in einer ver­trau­ten Rechts­ord­nung; grund­sätz­lich daher schwei­ze­ri­sches Recht und Gerichts­stand in der Schweiz
  • Aus­nah­me: die Daten sind durch Ver­schlüs­se­lung wirk­sam vor dem Zugriff durch den Anbie­ter und Drit­te geschützt oder der Gerichts­stand und das anwend­ba­re Recht sind jene eines Staats mit ange­mes­se­nem Schutz­ni­veau. Die­se Aus­nah­me ent­fal­le aber, wenn die betrof­fe­ne Daten beson­ders schüt­zens­wert sind oder Per­sön­lich­keits­pro­fi­le oder Geheim­nis­se enthalten.

Anmer­kun­gen

Die Emp­feh­lun­gen von pri­vatim sind grund­sätz­lich nur dies – Emp­feh­lun­gen. Als sol­che kön­nen sie kaum falsch sein, sie sind nur mehr oder weni­ger überzeugend.

Nicht über­zeu­gend ist aber die Auf­fas­sung, dass die Kate­go­ri­sie­rung betrof­fe­ner Daten als beson­ders schüt­zens­wert oder Per­sön­lich­keits­pro­fil ein für sich genom­men ent­schei­den­der Fak­tor ist. Weder ist ein Behör­den­zu­griff bei sol­chen Daten pau­schal wahr­schein­li­cher noch muss er schäd­li­cher sein (anders als bei einem Zugriff durch einen pri­va­ten Angrei­fer, bei dem eine Ver­öf­fent­li­chung im Darknet droht; hier recht­fer­tigt sich eine abstrak­te Betrach­tung, dies in Abgren­zung zum Behördenzugriff).

Die Daten­schutz­ge­set­ze knüp­fen zwar bestimm­te Rechts­fol­gen an den Sta­tus des beson­ders schüt­zens­wer­ten Datums (bzw. des beson­de­ren Per­so­nen­da­tums in den neue­ren kan­to­na­len Erlas­sen), dies aber spe­zi­fisch in Bezug auf bestimm­te Punk­te (z.B. die erfor­der­li­che Norm­stu­fe bei der gesetz­li­chen Grund­la­ge) und nicht in Bezug auf die Bekannt­ga­be ins Aus­land. Die Kate­go­rie des beson­de­ren Per­so­nen­da­tums kann bei der Aus­lands­be­kannt­ga­be des­halb höch­stens Indi­zwir­kung haben.

Bei Geheim­nis­sen gilt dies ähn­lich: Ent­schei­dend ist nicht pau­schal, ob ein Geheim­nis besteht, weil der Sta­tus eines Geheim­nis­ses als sol­cher nichts über das Zugriffs­ri­si­ko aus­sagt. Es besteht bspw. kein Grund zur Annah­me, dass aus­län­di­schen Behör­den an Geheim­nis­sen gene­rell beson­ders gele­gen sei. Im Gegen­teil: Schaut man z.B. auf FISA und ana­lo­ge Rechts­grund­la­gen ande­rer Staa­ten, zeigt sich, dass der Fokus nicht auf Geheim­nis­sen liegt, son­dern viel eher etwa auf Kommunikationsdaten.

Es ist daher bei jeder Art von Geheim­nis eine eige­ne und ergeb­nis­of­fe­ne Risi­ko­ana­ly­se durch­zu­füh­ren, gestützt auf

  • die Natur des Geheim­nis­ses und beson­ders die durch das Geheim­nis geschütz­ten Interessen,
  • die Wahr­schein­lich­keit eines Zugriffs durch aus­län­di­sche Behör­den und
  • die nega­ti­ven Fol­gen im Fal­le eines sol­chen Zugriffs.

Erst auf die­ser Basis ist eine sinn­vol­le Kate­go­ri­sie­rung von Infor­ma­ti­ons­be­stän­den nach Risi­ken möglich.

Beim all­ge­mei­nen Amts­ge­heim­nis etwa ist zu berück­sich­ti­gen, dass die­ses eine dop­pel­te Schutz­rich­tung hat, indem es einer­seits genui­ne staat­li­che Inter­es­sen und ande­rer­seits das Ver­trau­en des Bür­gers in sei­ner Inter­ak­ti­on mit dem Staat schützt. Genui­ne staat­li­che Inter­es­sen sind aber lan­ge nicht bei allen Infor­ma­tio­nen betrof­fen, die dem all­ge­mei­nen Amts­ge­heim­nis unter­ste­hen, und auch das Ver­trau­en des Bür­gers steht nicht immer auf dem Spiel, und selbst wo es das tut, ver­langt es kein Nullrisiko.

Mit Bezug auf das anwend­ba­re Recht und den Gerichts­stand ist eben­falls nicht die Kate­go­ri­sie­rung als beson­ders schüt­zens­wert ent­schei­dend dafür, ob schwei­ze­ri­sches Recht oder eine Zustän­dig­keit in der Schweiz ver­ein­bart wer­den müs­sen. Zwar wird dies sinn­vol­ler­wei­se ver­ein­bart (sofern ein Urteil im Staat des Anbie­ters voll­streck­bar ist). Aber für eine klei­ne Gemein­de dürf­te die­ser Punkt wich­ti­ger sei als ein öffent­li­ches Organ, das über die Mit­tel und das Know­how ver­fügt, im Aus­land zu klagen.

Orte der Daten­be­ar­bei­tun­gen ein­schliess­lich aus­län­di­sche Behördenzugriffe

Emp­feh­lun­gen privatim

  • Dekla­ra­ti­on der Stand­or­te durch den Anbieter
  • Stand­ort Schweiz ist zu bevor­zu­gen (u.a. auf­grund der Kon­troll­mög­lich­kei­ten, aber auch aus ande­ren Sicherheitsüberlegungen)
  • zu beach­ten sind etwai­ge Her­aus­ga­be­pflich­ten nach dem CLOUD Act
  • Eine Bear­bei­tung im Aus­land – ein­schliess­lich von Zugrif­fen aus dem Aus­land – ist nur bei gleich­wer­ti­gem Schutz­ni­veau zuläs­sig. Dies kann durch Stan­dard­ver­trags­klau­seln sub­sti­tu­iert wer­den, unter der Vor­aus­set­zung, dass im Ziel­staat kei­ne Zugrif­fe auf Basis einer grund­recht­lich unzu­rei­chen­den Rechts­grund­la­ge mög­lich sind:

    Daten­be­ar­bei­tun­gen an aus­län­di­schen Stand­or­ten sind nur in Staa­ten zuläs­sig, die über ein gleich­wer­ti­ges Daten­schutz­ni­veau ver­fü­gen oder in denen ein ange­mes­se­ner Daten­schutz ver­trag­lich – nament­lich durch aner­kann­te Stan­dard­ver­trags­klau­seln – erreicht wer­den kann. Letz­te­res ist dann nicht der Fall, wenn im betref­fen­den Staat behörd­li­che Zugrif­fe mög­lich sind, die den ver­fas­sungs­mä­ssi­gen Grund­rechts­ga­ran­tien (Lega­li­täts­prin­zip, Ver­hält­nis­mä­ssig­keit, Rech­te der betrof­fe­nen Per­so­nen, Zugang zu unab­hän­gi­gen Gerich­ten) nicht genü­gen. Dies­falls sind zusätz­li­che Mass­nah­men (ins­be­son­de­re wirk­sa­me Ver­schlüs­se­lung) zu tref­fen, damit die Über­mitt­lung von Per­so­nen­da­ten ins Aus­land zuläs­sig ist.

Anmer­kun­gen

pri­vatim geht von den all­ge­mei­nen Grund­sät­zen der Aus­lands­über­mitt­lung aus. Es hat aber den Anschein, dass pri­vatim bei den Zugrif­fen auf Grund­la­ge einer unzu­rei­chen­den Rechts­grund­la­ge (in Schrems-II-Spra­che: einer “pro­ble­ma­ti­schen Gesetz­ge­bung” wie z.B. FISA in den USA) ein Null­ri­si­ko ver­langt. Das ist nicht kor­rekt – ein Null­ri­si­ko ver­langt das Daten­schutz­recht nicht. Das gilt nicht nur für das pri­va­te, son­dern auch das öffent­li­che Daten­schutz­recht, denn Grund­rech­te betrof­fe­ner Per­so­nen sind zu schüt­zen, aber nicht abso­lut. Auch öffent­li­che Orga­ne dür­fen und müs­sen sich die Fra­ge stel­len, wie sie die Ver­wal­tung effi­zi­ent aus­ge­stal­ten und ihre Mit­tel öko­no­misch ein­set­zen kön­nen. Gene­rell ver­langt das all­ge­mei­ne Daten­si­cher­heits­recht kein Null­ri­si­ko, auch nicht bei öffent­li­chen Orga­nen, und das ist bei der Aus­lands­be­kannt­ga­be nicht anders als bei den Daten­si­cher­heits­mass­nah­men im Allgemeinen.

Wenn ein Land Behör­den­zu­grif­fe bspw. durch zwei Geset­ze ermög­licht, von denen eines den grund­recht­li­chen Anfor­de­run­gen genügt (z.B. der CLOUD Act im Fall der USA), das ande­re aber nicht (z.B. FISA im Fall der USA), so steht dies einer Bekannt­ga­be in das ent­spre­chen­de Land nur dann im Weg, wenn damit zu rech­nen ist, dass das man­gel­haf­te Gesetz bei den rele­van­ten Daten über­haupt zum Ein­satz kommt.

Daten­schutz­recht­lich ist bei der Bear­bei­tung des Daten­stand­orts des­halb die Wahr­schein­lich­keit eines Behör­den­zu­griffs ein­zu­schät­zen (sie­he dazu die Leit­li­ni­en des EDSA zu Schrems II-Mass­nah­men und die aktu­el­len Stan­dard­ver­trags­klau­seln, die in Klau­sel 14 expli­zit einen wahr­schein­lich­keits­ba­sier­ten Ansatz ver­lan­gen und die der EDÖB in die­ser Form aner­kannt hat). Das gilt nicht nur, wenn ein Zugriff über den CLOUD Act in Fra­ge kommt, son­dern auch dann, wenn Daten in einem Staat ohne ange­mes­se­nem Schutz­ni­veau lie­gen oder ein ent­spre­chen­der Zugriff mög­lich ist. Selbst­ver­ständ­lich ist ein Zugriffs­ri­si­ko aber höher, wenn Daten vor Ort gespei­chert sind und nicht nur ein Zugriff mög­lich ist – das sind alles Fak­to­ren, die im Rah­men der Wahr­schein­lich­keits­be­trach­tung rele­vant sind. Nicht gesagt ist damit im Übri­gen, wel­ches Risi­ko noch akzep­ta­bel ist – das ent­schei­det das betrof­fe­ne Organ.

Inter­es­sant ist in die­sem Zusam­men­hang eine Bemer­kung, der pri­vatim – bewusst? – nur eine Fuss­no­te gönnt:

Soweit Behördenzugriffe ohne Infor­ma­ti­on des ver­ant­wort­li­chen öffentlichen Organs erfol­gen können, ist die Ein­tre­tens­wahr­schein­lich­keit nicht beur­teil­bar (weil nicht überprüfbar), so dass das Haupt­au­gen­merk auf dem Scha­dens­aus­mass liegt, wo v.a. die Datenqualität mass­geb­lich ist (sen­si­ti­ve Personendaten).

Auch dann, wenn dem Anbie­ter eine Infor­ma­ti­on unter­sagt wird (durch eine “gag order”), fragt sich, mit wel­cher Wahr­schein­lich­keit dies der Fall ist. Dass der Zugriff heim­lich erfol­gen kann, ist schliess­lich nicht Aus­druck einer pro­ble­ma­ti­schen Rechts­ord­nung, son­dern in bestimm­ten Fäl­len selbst­ver­ständ­lich. Es bedeu­tet nicht, dass sol­che Zugrif­fe kei­nen kla­ren Regeln unter­lie­gen, und auch nicht, dass sie häu­fig sind, dass ein heim­li­cher Zugriff schäd­li­cher für den Betrof­fe­nen als ein offe­ner Zugriff ist oder dass über­haupt kei­ne Zah­len zu sol­chen Zugrif­fen vor­lie­gen. Es ist des­halb falsch, dass im Fall einer mög­li­chen Gag Order die Ein­tre­tens­wahr­schein­lich­keit nicht beach­tet wer­den könn­te oder dürf­te. Sie kann höch­stens mit weni­ger Sicher­heit ein­ge­schätzt wer­den, so dass das ent­spre­chen­de Risi­ko auf­grund der Unschär­fe etwas höher ein­ge­schätzt wer­den mag. Pro­vi­der haben aber oft eine Pflicht, gegen Behör­den­zu­grif­fe auch dann Rechts­mit­tel zu ergrei­fen, wenn der Kun­de kei­ne ent­spre­chen­de Anwei­sung aus­spre­chen kann, weil er nichts davon weiss. Und auch hier: ob ein Datum beson­ders schüt­zens­wert ist, ist im vor­lie­gen­den Kon­text nicht entscheidend.

Auch das Geheim­nis­schutz­recht ver­langt im Übri­gen, wie oben bereits ange­merkt, kein Null­ri­si­ko eines Behör­den­zu­griffs, zumin­dest nicht im Regelfall.

Vertraulichkeit/Geheimnisschutz, Ver­schlüs­se­lung und Schlüsselmanagement

Emp­feh­lun­gen privatim

  • Zumin­dest im Tran­sit sind Daten zu verschlüsseln
  • bei der wei­te­ren Bear­bei­tung sind Daten ange­mes­sen zu schützen
  • bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten gel­ten erhöh­te Anfor­de­run­gen: sie sind durch das öffent­li­che Organ zu ver­schlüs­seln, und die Schlüs­sel dür­fen nur für das öffent­li­che Organ ver­füg­bar sein
  • eine Ent­schlüs­se­lung beim Anbie­ter setzt vor­aus, dass das öffent­li­che Organ dar­legt, dass sich “kei­ne untrag­ba­ren Risi­ken für die Grund­rech­te der betrof­fe­nen Per­so­nen” erge­ben. Der Anbie­ter darf die Schlüs­sel hier aber nur auf­be­wah­ren, wenn er sich ver­pflich­tet, sie nur mit aus­drück­li­cher Zustim­mung des Organs zu ver­wen­den, und Zugrif­fe sind zu protokollieren
  • Geheim­nis­se dür­fen dem Anbie­ter nur zugäng­lich gemacht wer­den, soweit die Geheim­hal­tungs­vor­schrift den Bei­zug von Hilfs­per­so­nen erlaubt, und ggf. unter Ein­hal­tung der ent­spre­chen­den Auflagen
  • die unge­recht­fer­tig­te Ver­let­zung von Geheim­hal­tungs­vor­schrif­ten sei “als recht­li­che Schran­ke der Aus­la­ge­rung und nicht nur als Risi­ko” zu betrachten

Anmer­kun­gen

Die Unter­schei­dung zwi­schen nor­ma­len und beson­ders schüt­zens­wer­ten Per­so­nen­da­ten ist auch hier nicht das sach­ge­rech­te Kri­te­ri­um. Das spielt in zwei Rich­tun­gen: Es kann sein, dass die von pri­vatim skiz­zier­ten Mass­nah­men auch bei nicht beson­ders schüt­zens­wer­ten Per­so­nen­da­ten erfor­der­lich sind, und umge­kehrt sind sie es auch bei beson­ders schüt­zens­wer­ten Per­so­nen­da­ten nicht immer. Mass­ge­bend sind Risi­ko­über­le­gun­gen, die die gesam­ten Umstän­de ein­be­zie­hen, und nicht die abstrak­te Ein­stu­fung von Daten. Zudem darf – muss – das öffent­li­che Organ wie bei allen Sicher­heits­mass­nah­men auch Prakt­ka­bi­li­täts­über­le­gun­gen einbeziehen.

Bei den Geheim­nis­sen ist es rich­tig, dass das betref­fen­de Geheim­nis aus­zu­le­gen ist. Unklar ist aber die Anmer­kung von pri­vatim, die Ver­let­zung sei als Schran­ke und nicht nur Risi­ko zu ver­ste­hen. Mög­li­cher­wei­se meint pri­vatim, dass das öffent­li­che Organ eine objek­tiv tat­be­stands­mä­ssi­ge Offen­ba­rung zu ver­hin­dern hat und sich nicht damit her­aus­re­den kann, sub­jek­tiv feh­le es an Ver­schul­den. Das ist zwar rich­tig. Es wäre aber ein Zir­kel­schluss, dar­aus abzu­lei­ten, dass der objek­ti­ve Tat­be­stand ein Null­ri­si­ko ver­langt. Aus­zu­ge­hen ist viel­mehr vom Geheim­nis­in­ter­es­se, und das wird in den aller­mei­sten Fäl­len – aus­ge­nom­men viel­leicht bei eigent­li­chen Staats­ge­heim­nis­sen – nicht weni­ger, aber auch nicht mehr als ange­mes­se­ne Schutz­mass­nah­men ver­lan­gen. Nicht jedes Rest­ri­si­ko einer Offen­ba­rung durch den Anbie­ter gegen­über einer Behör­de macht die Aus­la­ge­rung an den Anbie­ter daher unzulässig.

Daten über die Nut­ze­rin­nen und Nut­zer der Cloud-Dienste

Emp­feh­lun­gen privatim

  • Wenn ein Anbie­ter bei der Cloud-Nut­zung Daten über die Nut­zer gene­riert (z.B. Rand‑, Tele­me­trie- oder Pro­to­kol­lie­rungs­da­ten), sind die­se mit der glei­chen Sorg­falt zu behan­deln wie mit­ge­teil­te Daten. Sie müs­sen den glei­chen ver­trag­li­chen Bestim­mun­gen unter­stellt sein, und die Wah­rung der Betrof­fe­nen­rech­te und Löschung müs­sen sicher­ge­stellt sein
  • sol­che Daten dür­fen nur zu Zwecken ver­wen­det wer­den, die auch dem öffent­li­chen Organ erlaubt wären, z.B. für nicht per­so­nen­be­zo­ge­ne Zwecke
  • sol­che Daten kön­nen beson­ders schüt­zens­wert sein und unter­ste­hen dann den ent­spre­chen­den Vorgaben

Anmer­kun­gen

Dass Rand­da­ten mit glei­cher Sorg­falt zu behan­deln sind wie ande­re Daten, ist rich­tig, aber das heisst nur, dass die­sel­ben Masstä­be an die Risi­ko­ein­schät­zung anzu­le­gen sind, und nicht etwa, dass sol­che Rand­da­ten zwin­gend als gleich schutz­be­dürf­tig ein­zu­stu­fen sind wie ande­re Daten. Zum The­ma beson­ders schüt­zens­wer­te Per­so­nen­da­ten sie­he oben. So pau­schal nicht rich­tig ist fer­ner die Aus­sa­ge, es lie­ge ein beson­ders schüt­zens­wer­tes Per­so­nen­da­tum vor, wenn Rand­da­ten anzei­gen, “dass sich eine betrof­fe­ne Per­son in einer Psych­ia­trie­an­stalt oder Straf­voll­zugs­ein­rich­tung auf­hält”. Im Übri­gen ist der Anbie­ter bei der Ver­wen­dung von Rand­da­ten für eige­ne Zwecke kaum ein Auf­trags­be­ar­bei­ter, son­dern ein Verantwortlicher.

Unter­auf­trags­ver­hält­nis­se (Sub­con­trac­ting)

Emp­feh­lun­gen privatim

  • Vor dem Ver­trags­schluss muss der Anbie­ter sei­ne Unter­auf­trags­ver­hält­nis­se ein­zeln so offen­le­gen, dass das Organ die Zuläs­sig­keit von Daten­über­mitt­lun­gen ins Aus­land und die Risi­ken beur­tei­len kann.
  • der Ver­trag muss fest­le­gen, wie der Anbie­ter die Sub­un­ter­neh­men instru­iert und kon­trol­liert und z.B. mit Unter-Unter­be­auf­trag­ten umgeht
  • Sub-Unter­neh­mer aus Län­dern ohne ange­mes­se­nem Schutz sind aus­zu­schlie­ssen, wenn dies nicht wirk­sam ver­trag­lich kom­pen­siert wer­den kann
  • wäh­rend der Ver­trags­dau­er sind Ände­run­gen anzu­zei­gen, und das Organ muss den Ver­trag been­den kön­nen, wenn es einem neu­en Unter­be­auf­tra­gen nicht zustimmt

Anmer­kun­gen

Offen bleibt, wel­che Infor­ma­tio­nen der Anbie­ter über Unter­be­auf­trag­te offen­le­gen muss. Das Organ muss aber zumin­dest das Risi­ko ein­schät­zen kön­nen, dass aus­län­di­sche Behör­den auf Auf­trags­da­ten zugrei­fen. Aller­dings kann es dazu auch den Anbie­ter in Anspruch neh­men, denn bei einer Wei­ter­ga­be durch einen Anbie­ter in einem siche­ren Staat an einen Unter­be­auf­trag­ten in einem Staat ohne ange­mes­se­nes Schutz­ni­veau muss die­ser daten­schutz­recht­lich eine Risi­ko­ana­ly­se durch­füh­ren (weil die­ser der Expor­teur ist). Das Organ kann sich auf die­se Risi­ko­ana­ly­se ver­las­sen, muss sie aber u.U. – je nach Risi­ko­pro­fil der betrof­fe­nen Daten – ken­nen und nachvollziehen.

Wei­te­re Risikofaktoren

  • Mel­dun­gen: Der Cloud-Dienst­lei­ster muss Sicher­heits­vor­fäl­le und Abhil­fe­mass­nah­men mel­den, so dass die­ses sei­ner­seits recht­zei­tig Mass­nah­men tref­fen kann.
  • Kon­trol­le: Der Anbie­ter ist zu ver­pflich­ten, regel­mä­ssi­ge Kon­trol­len der Dienst­lei­stung vor­zu­neh­men, und Prüf­be­rich­te sind dem Organ und der zustän­di­gen Daten­schutz­auf­sichts­be­hör­de auf Ver­lan­gen vor­zu­le­gen. Prü­fun­gen durch das Organ und die Auf­sichts­be­hör­de müs­sen eben­falls mög­lich sein.
  • Infor­ma­ti­ons­si­cher­heits­mass­nah­men: Das Organ muss die Sicher­heits­mass­nah­men des Dienst­lei­sters ken­nen, und die­se müs­sen ange­mes­sen und ggf. zer­tif­ziert sein.
  • Ver­trags­auf­lö­sung: Der Pro­zess bei Been­di­gung muss ver­ein­bart wer­den (ins­be­son­de­re Rück­lie­fe­rung und Ver­nich­tung der Daten).

Schluss­be­mer­kun­gen

Ins­ge­samt drängt sich der Ein­druck auf, dass pri­vatim der Risi­ko­ein­schät­zung durch das zustän­di­ge Gre­mi­um des öffent­li­chen Organs nicht all­zu viel zutraut und des­halb recht sche­ma­ti­sche Kri­te­ri­en vor­gibt. Dage­gen ist an sich nichts ein­zu­wen­den. Wenn die­se Kri­te­ri­en aber zu sche­ma­tisch sind, unter­stüt­zen sie die Risi­ko­ein­schät­zung nicht, son­dern ver­fäl­schen sie. Das trifft ins­be­son­de­re dann zu, wenn die Kate­go­rie der beson­de­ren Per­so­nen­da­ten zu einem Haupt­fak­tor bei der Aus­lands­be­kannt­ga­be gemacht wird, denn der beson­de­re Schutz­be­darf die­ser Daten bezieht sich nicht auf das Risi­ko von Behör­den­zu­grif­fen, son­dern viel eher auf die Per­sön­lich­keits­nä­he die­ser Daten. Das ist für eine Risi­ko­be­ur­tei­lung aber ein zu abstrak­ter Mas­stab, zumal die­se Art von Daten für aus­län­di­sche Behör­den ver­mut­lich unter­durch­schnitt­lich inter­es­sant ist.

Bei der Fra­ge der Risi­ko­ak­zep­tanz ist es ähn­lich: Die Aus­sa­gen von pri­vatim las­sen zumin­dest stel­len­wei­se anklin­gen, es müs­se ein Null­ri­si­ko erreicht wer­den. So deut­lich ist pri­vatim zwar nicht, und es fin­den sich auch Aus­sa­gen, die gegen­tei­lig klin­gen (z.B. in Ziff. 5: “Die­se Risi­ko­ana­ly­se muss […] die […] Mass­nah­men auf­zei­gen, mit denen jene Risi­ken aus­ge­schlos­sen oder auf ein trag­ba­res Mass redu­ziert wer­den kön­nen”). Ein Null­ri­si­ko zu ver­lan­gen, wäre jeden­falls aber falsch. Es gibt kei­ne Grund­la­ge für die Auf­fas­sung, das Risi­ko eines Zugriffs durch eine aus­län­di­sche Behör­de müs­se auf Null redu­ziert wer­den – ein Null­ri­si­ko wird gene­rell nir­gends ver­langt. Zudem ist es nicht die Daten­schutz­be­hör­de, die einen Risi­ko­ak­zep­t­anz­ent­scheid zu tref­fen hat, son­dern das zustän­di­ge Exe­ku­tiv­or­gan (was pri­vatim zwar auch fest­hält; ver­langt pri­vatim aber ein Null­ri­si­ko, wird der Risi­ko­ak­zep­t­anz­ent­scheid fak­tisch verboten).