pri­va­tim: Merk­blatt «Cloud-spe­zi­fi­sche Risi­ken und Massnahmen»

pri­va­tim, die Kon­fe­renz der schwei­ze­ri­schen Daten­schutz­be­auf­trag­ten, hat ein Merk­blatt zu «Cloud-spe­zi­fi­schen Risi­ken und Mass­nah­men» ver­öf­fent­licht. Das Merk­blatt rich­tet sich an öffent­li­che Orga­ne und dis­ku­tiert beson­de­re erhöh­te, daten­schutz­recht­li­che Risi­ken bei einer Inan­spruch­nah­me von Cloud-Lei­stun­gen und die Ver­ant­wor­tung des öffent­li­chen Organs bei der Inan­spruch­nah­me sol­cher Leistungen.

Das Fazit lau­tet wie folgt:

Öffent­li­che Orga­ne kön­nen für ihre Daten­be­ar­bei­tun­gen – wenn ihre Aus­la­ge­rung nach den all­ge­mei­nen Regeln für die Auf­trags­da­ten­be­ar­bei­tung (sie­he die Leit­fä­den im Anhang 2) zuläs­sig ist – auch Cloud-Dienst­lei­stun­gen Drit­ter in Anspruch neh­men. Dafür sind in einer umfas­sen­den Risi­ko­ana­ly­se die spe­zi­fi­schen Risi­ken bei Inan­spruch­nah­me von Cloud-Dienst­lei­stun­gen zu berück­sich­ti­gen. Die­se Risi­ko­ana­ly­se muss dif­fe­ren­ziert für die ein­zel­nen Daten­be­ar­bei­tun­gen die cloud-spe­zi­fi­schen Risi­ken sowie die ent­spre­chen­den Mass­nah­men auf­zei­gen, mit denen die cloud-spe­zi­fi­schen Risi­ken aus­ge­schlos­sen oder auf ein trag­ba­res Mass redu­ziert wer­den kön­nen. Die Beur­tei­lung soll auf­zei­gen, ob für die Daten­be­ar­bei­tun­gen die Inan­spruch­nah­me von Cloud-Dien­sten umfas­send, teil­wei­se oder nicht zuläs­sig ist.

Die öffent­li­chen Orga­ne, die für ihre Auf­ga­ben­er­fül­lung Cloud-Dienst­lei­stun­gen in Anspruch neh­men, tra­gen wei­ter­hin voll­um­fäng­lich die Ver­ant­wor­tung für die Daten­be­ar­bei­tung. Das öffent­li­che Organ (bzw. sei­ne Lei­tung) ist anzu­hal­ten, schrift­lich zu bestä­ti­gen, dass es die Risi­ken ver­stan­den hat und das Rest­ri­si­ko über­nimmt. Die Über­nah­me von Rest­ri­si­ken kann allen­falls auch Aus­wir­kun­gen auf die Rech­nungs­le­gung haben, was durch die Finanz­kon­trol­len zu prü­fen ist. Den Exe­ku­ti­ven ist zu raten, die über­nom­me­nen (Rest-)Risiken regel­mä­ssig zu erfas­sen, da sie gegen­über Par­la­ment und Volk letzt­lich die Ver­ant­wor­tung für den Schutz der Grund­rech­te der Bür­ge­rin­nen und Bür­ger und für das finan­zi­el­le Geba­ren der Ver­wal­tung zu tra­gen haben.

Das öffent­li­che Organ muss sei­ner­seits eine Daten­schutz-Fol­gen­ab­schät­zung durch­füh­ren. Den zustän­di­gen Daten­schutz­auf­sichts­be­hör­den sind Risi­ko­ana­ly­se und Mass­nah­men­plan zur Prü­fung vor­zu­le­gen (Vor­ab­kon­trol­le bzw. Vor­ab­kon­sul­ta­ti­on). Sie ste­hen den öffent­li­chen Orga­nen auch bera­tend bezüg­lich recht­li­cher, orga­ni­sa­to­ri­scher und tech­ni­scher Fra­gen zur Seite.

In einem Anhang zum Merk­blatt gibt pri­va­tim “Bei­spie­le für mög­li­che Gesamt­be­ur­tei­lun­gen von Cloud-Risi­ken in Bezug auf anwend­ba­res Recht/Gerichtsstand, Stand­ort der Cloud-Infra­struk­tur und Geheimnisschutz/Schlüsselmanagement”, die jeweils die cloud-spe­zi­fi­schen Risi­ken bewer­ten (gering/erhöht/sehr hoch), ver­bun­den mit einer Empfehlung.

Edit 7.2.19: Das Merk­blatt ver­langt in erster Linie eine lege artis vor­ge­nom­me­ne Risi­ko­ein­schät­zung und erlaubt oder ver­bie­tet Aus­la­ge­run­gen nicht generell.