privatim, die Konferenz der schweizerischen Datenschutzbeauftragten, hat ein Merkblatt zu «Cloud-spezifischen Risiken und Massnahmen» veröffentlicht. Das Merkblatt richtet sich an öffentliche Organe und diskutiert besondere erhöhte, datenschutzrechtliche Risiken bei einer Inanspruchnahme von Cloud-Leistungen und die Verantwortung des öffentlichen Organs bei der Inanspruchnahme solcher Leistungen.
Das Fazit lautet wie folgt:
Öffentliche Organe können für ihre Datenbearbeitungen – wenn ihre Auslagerung nach den allgemeinen Regeln für die Auftragsdatenbearbeitung (siehe die Leitfäden im Anhang 2) zulässig ist – auch Cloud-Dienstleistungen Dritter in Anspruch nehmen. Dafür sind in einer umfassenden Risikoanalyse die spezifischen Risiken bei Inanspruchnahme von Cloud-Dienstleistungen zu berücksichtigen. Diese Risikoanalyse muss differenziert für die einzelnen Datenbearbeitungen die cloud-spezifischen Risiken sowie die entsprechenden Massnahmen aufzeigen, mit denen die cloud-spezifischen Risiken ausgeschlossen oder auf ein tragbares Mass reduziert werden können. Die Beurteilung soll aufzeigen, ob für die Datenbearbeitungen die Inanspruchnahme von Cloud-Diensten umfassend, teilweise oder nicht zulässig ist.
Die öffentlichen Organe, die für ihre Aufgabenerfüllung Cloud-Dienstleistungen in Anspruch nehmen, tragen weiterhin vollumfänglich die Verantwortung für die Datenbearbeitung. Das öffentliche Organ (bzw. seine Leitung) ist anzuhalten, schriftlich zu bestätigen, dass es die Risiken verstanden hat und das Restrisiko übernimmt. Die Übernahme von Restrisiken kann allenfalls auch Auswirkungen auf die Rechnungslegung haben, was durch die Finanzkontrollen zu prüfen ist. Den Exekutiven ist zu raten, die übernommenen (Rest-)Risiken regelmässig zu erfassen, da sie gegenüber Parlament und Volk letztlich die Verantwortung für den Schutz der Grundrechte der Bürgerinnen und Bürger und für das finanzielle Gebaren der Verwaltung zu tragen haben.
Das öffentliche Organ muss seinerseits eine Datenschutz-Folgenabschätzung durchführen. Den zuständigen Datenschutzaufsichtsbehörden sind Risikoanalyse und Massnahmenplan zur Prüfung vorzulegen (Vorabkontrolle bzw. Vorabkonsultation). Sie stehen den öffentlichen Organen auch beratend bezüglich rechtlicher, organisatorischer und technischer Fragen zur Seite.
In einem Anhang zum Merkblatt gibt privatim “Beispiele für mögliche Gesamtbeurteilungen von Cloud-Risiken in Bezug auf anwendbares Recht/Gerichtsstand, Standort der Cloud-Infrastruktur und Geheimnisschutz/Schlüsselmanagement”, die jeweils die cloud-spezifischen Risiken bewerten (gering/erhöht/sehr hoch), verbunden mit einer Empfehlung.
Edit 7.2.19: Das Merkblatt verlangt in erster Linie eine lege artis vorgenommene Risikoeinschätzung und erlaubt oder verbietet Auslagerungen nicht generell.