- Das neue Merkblatt von privatim beschreibt Cloud-spezifische Risiken und Maßnahmen zum Datenschutz.
- Risiken werden durch fünf Faktoren bestimmt: Vertragsgestaltung, Datenstandorte, Geheimnisschutz, Nutzerdaten und Subauftragsverhältnisse.
- Behördenzugriffe durch ausländische Akteure gelten als das größte Datenschutzrisiko in Cloud-Diensten.
- Empfehlungen sind nicht bindend; Risikoeinschätzungen sollen praktikabel und auf konkreten Umständen basieren.
- Ein Nullrisiko für Behördenzugriffe ist nicht realistisch und widerspricht den datenschutzrechtlichen Anforderungen.
Neues Merkblatt
privatim, die einflussreiche Konferenz der schweizerischen Datenschutzbeauftragten, hat ihr Merkblatt “Cloud-spezifische Risiken und Massnahmen” am 14. Februar 2022 in neuer Fassung veröffentlicht. Die ältere und nun ersetzte Fassung stammte vom Dezember 2019 (dazu hier):
Das Ziel des Merkblatts besteht darin, die spezifischen datenschutzrechtlichen Risiken bei Cloud- und ähnlichen Dienstleistungen zu benennen und zu zeigen, wie öffentliche Organe in diesem Zusammenhang ihre Verantwortung wahrnehmen können. Es bezieht sich entsprechend weder auf allgemeine Risiken der Auftragsbearbeitung noch auf Anliegen ausserhalb des Daten- und Geheimnisschutzes.
Grundsätzliches zu Cloud-Risiken
privatim geht davon aus, dass die spezifschen Cloud-Risiken durch fünf Faktoren bestimmt werden:
- Vertragsgestaltung
- Orte der Datenbearbeitungen einschliesslich ausländische Behördenzugriffe
- Vertraulichkeit/Geheimnisschutz, Verschlüsselung und Schlüsselmanagement
- Daten über die Nutzerinnen und Nutzer der Cloud-Dienste
- Unterauftragsverhältnisse
Mit anderen Worten betrachtet privatim mögliche Zugriffe durch ausländische Behörden als das wesentliche cloud-spezifische (Datenschutz-)Risiko – mit Recht; alle anderen Risikofaktoren sind nicht cloud-spezifisch, sondern ergeben sich auch bei anderen Auftragsbearbeitungen.
Ergänzend sieht privatim aber weitere Risiken, die sich durch die Verwendung einer Cloud erhöhen können bzw. die zu bedenken sind:
- Meldepflichten
- Kontrollrecht und ‑möglichkeit
- Informationssicherheitsmassnahmen
- Pflichten bei Vertragsauflösung Abhängigkeiten vom Leistungserbringer (Verfügbarkeit, Migrationsaufwand bei Wechsel)
Anmerkungen zu den Hauptfaktoren
Vertragsgestaltung
Empfehlungen privatim
- schriftlich
- Verhältnismässigkeit und Zweckbindung abdecken
- Unterstützungspflicht bei datenschutzrechtlichen Ansprüchen
- Kontrollrechte bzgl. der Vertragseinhaltung
- Durchsetzung vor einfach zugänglichen Gerichten in einer vertrauten Rechtsordnung; grundsätzlich daher schweizerisches Recht und Gerichtsstand in der Schweiz
- Ausnahme: die Daten sind durch Verschlüsselung wirksam vor dem Zugriff durch den Anbieter und Dritte geschützt oder der Gerichtsstand und das anwendbare Recht sind jene eines Staats mit angemessenem Schutzniveau. Diese Ausnahme entfalle aber, wenn die betroffene Daten besonders schützenswert sind oder Persönlichkeitsprofile oder Geheimnisse enthalten.
Anmerkungen
Die Empfehlungen von privatim sind grundsätzlich nur dies – Empfehlungen. Als solche können sie kaum falsch sein, sie sind nur mehr oder weniger überzeugend.
Nicht überzeugend ist aber die Auffassung, dass die Kategorisierung betroffener Daten als besonders schützenswert oder Persönlichkeitsprofil ein für sich genommen entscheidender Faktor ist. Weder ist ein Behördenzugriff bei solchen Daten pauschal wahrscheinlicher noch muss er schädlicher sein (anders als bei einem Zugriff durch einen privaten Angreifer, bei dem eine Veröffentlichung im Darknet droht; hier rechtfertigt sich eine abstrakte Betrachtung, dies in Abgrenzung zum Behördenzugriff).
Die Datenschutzgesetze knüpfen zwar bestimmte Rechtsfolgen an den Status des besonders schützenswerten Datums (bzw. des besonderen Personendatums in den neueren kantonalen Erlassen), dies aber spezifisch in Bezug auf bestimmte Punkte (z.B. die erforderliche Normstufe bei der gesetzlichen Grundlage) und nicht in Bezug auf die Bekanntgabe ins Ausland. Die Kategorie des besonderen Personendatums kann bei der Auslandsbekanntgabe deshalb höchstens Indizwirkung haben.
Bei Geheimnissen gilt dies ähnlich: Entscheidend ist nicht pauschal, ob ein Geheimnis besteht, weil der Status eines Geheimnisses als solcher nichts über das Zugriffsrisiko aussagt. Es besteht bspw. kein Grund zur Annahme, dass ausländischen Behörden an Geheimnissen generell besonders gelegen sei. Im Gegenteil: Schaut man z.B. auf FISA und analoge Rechtsgrundlagen anderer Staaten, zeigt sich, dass der Fokus nicht auf Geheimnissen liegt, sondern viel eher etwa auf Kommunikationsdaten.
Es ist daher bei jeder Art von Geheimnis eine eigene und ergebnisoffene Risikoanalyse durchzuführen, gestützt auf
- die Natur des Geheimnisses und besonders die durch das Geheimnis geschützten Interessen,
- die Wahrscheinlichkeit eines Zugriffs durch ausländische Behörden und
- die negativen Folgen im Falle eines solchen Zugriffs.
Erst auf dieser Basis ist eine sinnvolle Kategorisierung von Informationsbeständen nach Risiken möglich.
Beim allgemeinen Amtsgeheimnis etwa ist zu berücksichtigen, dass dieses eine doppelte Schutzrichtung hat, indem es einerseits genuine staatliche Interessen und andererseits das Vertrauen des Bürgers in seiner Interaktion mit dem Staat schützt. Genuine staatliche Interessen sind aber lange nicht bei allen Informationen betroffen, die dem allgemeinen Amtsgeheimnis unterstehen, und auch das Vertrauen des Bürgers steht nicht immer auf dem Spiel, und selbst wo es das tut, verlangt es kein Nullrisiko.
Mit Bezug auf das anwendbare Recht und den Gerichtsstand ist ebenfalls nicht die Kategorisierung als besonders schützenswert entscheidend dafür, ob schweizerisches Recht oder eine Zuständigkeit in der Schweiz vereinbart werden müssen. Zwar wird dies sinnvollerweise vereinbart (sofern ein Urteil im Staat des Anbieters vollstreckbar ist). Aber für eine kleine Gemeinde dürfte dieser Punkt wichtiger sei als ein öffentliches Organ, das über die Mittel und das Knowhow verfügt, im Ausland zu klagen.
Orte der Datenbearbeitungen einschliesslich ausländische Behördenzugriffe
Empfehlungen privatim
- Deklaration der Standorte durch den Anbieter
- Standort Schweiz ist zu bevorzugen (u.a. aufgrund der Kontrollmöglichkeiten, aber auch aus anderen Sicherheitsüberlegungen)
- zu beachten sind etwaige Herausgabepflichten nach dem CLOUD Act
- Eine Bearbeitung im Ausland – einschliesslich von Zugriffen aus dem Ausland – ist nur bei gleichwertigem Schutzniveau zulässig. Dies kann durch Standardvertragsklauseln substituiert werden, unter der Voraussetzung, dass im Zielstaat keine Zugriffe auf Basis einer grundrechtlich unzureichenden Rechtsgrundlage möglich sind:
Datenbearbeitungen an ausländischen Standorten sind nur in Staaten zulässig, die über ein gleichwertiges Datenschutzniveau verfügen oder in denen ein angemessener Datenschutz vertraglich – namentlich durch anerkannte Standardvertragsklauseln – erreicht werden kann. Letzteres ist dann nicht der Fall, wenn im betreffenden Staat behördliche Zugriffe möglich sind, die den verfassungsmässigen Grundrechtsgarantien (Legalitätsprinzip, Verhältnismässigkeit, Rechte der betroffenen Personen, Zugang zu unabhängigen Gerichten) nicht genügen. Diesfalls sind zusätzliche Massnahmen (insbesondere wirksame Verschlüsselung) zu treffen, damit die Übermittlung von Personendaten ins Ausland zulässig ist.
Anmerkungen
privatim geht von den allgemeinen Grundsätzen der Auslandsübermittlung aus. Es hat aber den Anschein, dass privatim bei den Zugriffen auf Grundlage einer unzureichenden Rechtsgrundlage (in Schrems-II-Sprache: einer “problematischen Gesetzgebung” wie z.B. FISA in den USA) ein Nullrisiko verlangt. Das ist nicht korrekt – ein Nullrisiko verlangt das Datenschutzrecht nicht. Das gilt nicht nur für das private, sondern auch das öffentliche Datenschutzrecht, denn Grundrechte betroffener Personen sind zu schützen, aber nicht absolut. Auch öffentliche Organe dürfen und müssen sich die Frage stellen, wie sie die Verwaltung effizient ausgestalten und ihre Mittel ökonomisch einsetzen können. Generell verlangt das allgemeine Datensicherheitsrecht kein Nullrisiko, auch nicht bei öffentlichen Organen, und das ist bei der Auslandsbekanntgabe nicht anders als bei den Datensicherheitsmassnahmen im Allgemeinen.
Wenn ein Land Behördenzugriffe bspw. durch zwei Gesetze ermöglicht, von denen eines den grundrechtlichen Anforderungen genügt (z.B. der CLOUD Act im Fall der USA), das andere aber nicht (z.B. FISA im Fall der USA), so steht dies einer Bekanntgabe in das entsprechende Land nur dann im Weg, wenn damit zu rechnen ist, dass das mangelhafte Gesetz bei den relevanten Daten überhaupt zum Einsatz kommt.
Datenschutzrechtlich ist bei der Bearbeitung des Datenstandorts deshalb die Wahrscheinlichkeit eines Behördenzugriffs einzuschätzen (siehe dazu die Leitlinien des EDSA zu Schrems II-Massnahmen und die aktuellen Standardvertragsklauseln, die in Klausel 14 explizit einen wahrscheinlichkeitsbasierten Ansatz verlangen und die der EDÖB in dieser Form anerkannt hat). Das gilt nicht nur, wenn ein Zugriff über den CLOUD Act in Frage kommt, sondern auch dann, wenn Daten in einem Staat ohne angemessenem Schutzniveau liegen oder ein entsprechender Zugriff möglich ist. Selbstverständlich ist ein Zugriffsrisiko aber höher, wenn Daten vor Ort gespeichert sind und nicht nur ein Zugriff möglich ist – das sind alles Faktoren, die im Rahmen der Wahrscheinlichkeitsbetrachtung relevant sind. Nicht gesagt ist damit im Übrigen, welches Risiko noch akzeptabel ist – das entscheidet das betroffene Organ.
Interessant ist in diesem Zusammenhang eine Bemerkung, der privatim – bewusst? – nur eine Fussnote gönnt:
Soweit Behördenzugriffe ohne Information des verantwortlichen öffentlichen Organs erfolgen können, ist die Eintretenswahrscheinlichkeit nicht beurteilbar (weil nicht überprüfbar), so dass das Hauptaugenmerk auf dem Schadensausmass liegt, wo v.a. die Datenqualität massgeblich ist (sensitive Personendaten).
Auch dann, wenn dem Anbieter eine Information untersagt wird (durch eine “gag order”), fragt sich, mit welcher Wahrscheinlichkeit dies der Fall ist. Dass der Zugriff heimlich erfolgen kann, ist schliesslich nicht Ausdruck einer problematischen Rechtsordnung, sondern in bestimmten Fällen selbstverständlich. Es bedeutet nicht, dass solche Zugriffe keinen klaren Regeln unterliegen, und auch nicht, dass sie häufig sind, dass ein heimlicher Zugriff schädlicher für den Betroffenen als ein offener Zugriff ist oder dass überhaupt keine Zahlen zu solchen Zugriffen vorliegen. Es ist deshalb falsch, dass im Fall einer möglichen Gag Order die Eintretenswahrscheinlichkeit nicht beachtet werden könnte oder dürfte. Sie kann höchstens mit weniger Sicherheit eingeschätzt werden, so dass das entsprechende Risiko aufgrund der Unschärfe etwas höher eingeschätzt werden mag. Provider haben aber oft eine Pflicht, gegen Behördenzugriffe auch dann Rechtsmittel zu ergreifen, wenn der Kunde keine entsprechende Anweisung aussprechen kann, weil er nichts davon weiss. Und auch hier: ob ein Datum besonders schützenswert ist, ist im vorliegenden Kontext nicht entscheidend.
Auch das Geheimnisschutzrecht verlangt im Übrigen, wie oben bereits angemerkt, kein Nullrisiko eines Behördenzugriffs, zumindest nicht im Regelfall.
Vertraulichkeit/Geheimnisschutz, Verschlüsselung und Schlüsselmanagement
Empfehlungen privatim
- Zumindest im Transit sind Daten zu verschlüsseln
- bei der weiteren Bearbeitung sind Daten angemessen zu schützen
- bei besonders schützenswerten Personendaten gelten erhöhte Anforderungen: sie sind durch das öffentliche Organ zu verschlüsseln, und die Schlüssel dürfen nur für das öffentliche Organ verfügbar sein
- eine Entschlüsselung beim Anbieter setzt voraus, dass das öffentliche Organ darlegt, dass sich “keine untragbaren Risiken für die Grundrechte der betroffenen Personen” ergeben. Der Anbieter darf die Schlüssel hier aber nur aufbewahren, wenn er sich verpflichtet, sie nur mit ausdrücklicher Zustimmung des Organs zu verwenden, und Zugriffe sind zu protokollieren
- Geheimnisse dürfen dem Anbieter nur zugänglich gemacht werden, soweit die Geheimhaltungsvorschrift den Beizug von Hilfspersonen erlaubt, und ggf. unter Einhaltung der entsprechenden Auflagen
- die ungerechtfertigte Verletzung von Geheimhaltungsvorschriften sei “als rechtliche Schranke der Auslagerung und nicht nur als Risiko” zu betrachten
Anmerkungen
Die Unterscheidung zwischen normalen und besonders schützenswerten Personendaten ist auch hier nicht das sachgerechte Kriterium. Das spielt in zwei Richtungen: Es kann sein, dass die von privatim skizzierten Massnahmen auch bei nicht besonders schützenswerten Personendaten erforderlich sind, und umgekehrt sind sie es auch bei besonders schützenswerten Personendaten nicht immer. Massgebend sind Risikoüberlegungen, die die gesamten Umstände einbeziehen, und nicht die abstrakte Einstufung von Daten. Zudem darf – muss – das öffentliche Organ wie bei allen Sicherheitsmassnahmen auch Praktkabilitätsüberlegungen einbeziehen.
Bei den Geheimnissen ist es richtig, dass das betreffende Geheimnis auszulegen ist. Unklar ist aber die Anmerkung von privatim, die Verletzung sei als Schranke und nicht nur Risiko zu verstehen. Möglicherweise meint privatim, dass das öffentliche Organ eine objektiv tatbestandsmässige Offenbarung zu verhindern hat und sich nicht damit herausreden kann, subjektiv fehle es an Verschulden. Das ist zwar richtig. Es wäre aber ein Zirkelschluss, daraus abzuleiten, dass der objektive Tatbestand ein Nullrisiko verlangt. Auszugehen ist vielmehr vom Geheimnisinteresse, und das wird in den allermeisten Fällen – ausgenommen vielleicht bei eigentlichen Staatsgeheimnissen – nicht weniger, aber auch nicht mehr als angemessene Schutzmassnahmen verlangen. Nicht jedes Restrisiko einer Offenbarung durch den Anbieter gegenüber einer Behörde macht die Auslagerung an den Anbieter daher unzulässig.
Daten über die Nutzerinnen und Nutzer der Cloud-Dienste
Empfehlungen privatim
- Wenn ein Anbieter bei der Cloud-Nutzung Daten über die Nutzer generiert (z.B. Rand‑, Telemetrie- oder Protokollierungsdaten), sind diese mit der gleichen Sorgfalt zu behandeln wie mitgeteilte Daten. Sie müssen den gleichen vertraglichen Bestimmungen unterstellt sein, und die Wahrung der Betroffenenrechte und Löschung müssen sichergestellt sein
- solche Daten dürfen nur zu Zwecken verwendet werden, die auch dem öffentlichen Organ erlaubt wären, z.B. für nicht personenbezogene Zwecke
- solche Daten können besonders schützenswert sein und unterstehen dann den entsprechenden Vorgaben
Anmerkungen
Dass Randdaten mit gleicher Sorgfalt zu behandeln sind wie andere Daten, ist richtig, aber das heisst nur, dass dieselben Masstäbe an die Risikoeinschätzung anzulegen sind, und nicht etwa, dass solche Randdaten zwingend als gleich schutzbedürftig einzustufen sind wie andere Daten. Zum Thema besonders schützenswerte Personendaten siehe oben. So pauschal nicht richtig ist ferner die Aussage, es liege ein besonders schützenswertes Personendatum vor, wenn Randdaten anzeigen, “dass sich eine betroffene Person in einer Psychiatrieanstalt oder Strafvollzugseinrichtung aufhält”. Im Übrigen ist der Anbieter bei der Verwendung von Randdaten für eigene Zwecke kaum ein Auftragsbearbeiter, sondern ein Verantwortlicher.
Unterauftragsverhältnisse (Subcontracting)
Empfehlungen privatim
- Vor dem Vertragsschluss muss der Anbieter seine Unterauftragsverhältnisse einzeln so offenlegen, dass das Organ die Zulässigkeit von Datenübermittlungen ins Ausland und die Risiken beurteilen kann.
- der Vertrag muss festlegen, wie der Anbieter die Subunternehmen instruiert und kontrolliert und z.B. mit Unter-Unterbeauftragten umgeht
- Sub-Unternehmer aus Ländern ohne angemessenem Schutz sind auszuschliessen, wenn dies nicht wirksam vertraglich kompensiert werden kann
- während der Vertragsdauer sind Änderungen anzuzeigen, und das Organ muss den Vertrag beenden können, wenn es einem neuen Unterbeauftragen nicht zustimmt
Anmerkungen
Offen bleibt, welche Informationen der Anbieter über Unterbeauftragte offenlegen muss. Das Organ muss aber zumindest das Risiko einschätzen können, dass ausländische Behörden auf Auftragsdaten zugreifen. Allerdings kann es dazu auch den Anbieter in Anspruch nehmen, denn bei einer Weitergabe durch einen Anbieter in einem sicheren Staat an einen Unterbeauftragten in einem Staat ohne angemessenes Schutzniveau muss dieser datenschutzrechtlich eine Risikoanalyse durchführen (weil dieser der Exporteur ist). Das Organ kann sich auf diese Risikoanalyse verlassen, muss sie aber u.U. – je nach Risikoprofil der betroffenen Daten – kennen und nachvollziehen.
Weitere Risikofaktoren
- Meldungen: Der Cloud-Dienstleister muss Sicherheitsvorfälle und Abhilfemassnahmen melden, so dass dieses seinerseits rechtzeitig Massnahmen treffen kann.
- Kontrolle: Der Anbieter ist zu verpflichten, regelmässige Kontrollen der Dienstleistung vorzunehmen, und Prüfberichte sind dem Organ und der zuständigen Datenschutzaufsichtsbehörde auf Verlangen vorzulegen. Prüfungen durch das Organ und die Aufsichtsbehörde müssen ebenfalls möglich sein.
- Informationssicherheitsmassnahmen: Das Organ muss die Sicherheitsmassnahmen des Dienstleisters kennen, und diese müssen angemessen und ggf. zertifziert sein.
- Vertragsauflösung: Der Prozess bei Beendigung muss vereinbart werden (insbesondere Rücklieferung und Vernichtung der Daten).
Schlussbemerkungen
Insgesamt drängt sich der Eindruck auf, dass privatim der Risikoeinschätzung durch das zuständige Gremium des öffentlichen Organs nicht allzu viel zutraut und deshalb recht schematische Kriterien vorgibt. Dagegen ist an sich nichts einzuwenden. Wenn diese Kriterien aber zu schematisch sind, unterstützen sie die Risikoeinschätzung nicht, sondern verfälschen sie. Das trifft insbesondere dann zu, wenn die Kategorie der besonderen Personendaten zu einem Hauptfaktor bei der Auslandsbekanntgabe gemacht wird, denn der besondere Schutzbedarf dieser Daten bezieht sich nicht auf das Risiko von Behördenzugriffen, sondern viel eher auf die Persönlichkeitsnähe dieser Daten. Das ist für eine Risikobeurteilung aber ein zu abstrakter Masstab, zumal diese Art von Daten für ausländische Behörden vermutlich unterdurchschnittlich interessant ist.
Bei der Frage der Risikoakzeptanz ist es ähnlich: Die Aussagen von privatim lassen zumindest stellenweise anklingen, es müsse ein Nullrisiko erreicht werden. So deutlich ist privatim zwar nicht, und es finden sich auch Aussagen, die gegenteilig klingen (z.B. in Ziff. 5: “Diese Risikoanalyse muss […] die […] Massnahmen aufzeigen, mit denen jene Risiken ausgeschlossen oder auf ein tragbares Mass reduziert werden können”). Ein Nullrisiko zu verlangen, wäre jedenfalls aber falsch. Es gibt keine Grundlage für die Auffassung, das Risiko eines Zugriffs durch eine ausländische Behörde müsse auf Null reduziert werden – ein Nullrisiko wird generell nirgends verlangt. Zudem ist es nicht die Datenschutzbehörde, die einen Risikoakzeptanzentscheid zu treffen hat, sondern das zuständige Exekutivorgan (was privatim zwar auch festhält; verlangt privatim aber ein Nullrisiko, wird der Risikoakzeptanzentscheid faktisch verboten).