Der Verein Unternehmens-Datenschutz (VUD) hat angesichts der derzeit laufenden Diskussionen “FAQ zum Einsatz von Cloud-Technologien” veröffentlicht. Das Dokument ist auf den 26. August 2022 datiert und hier auf der Website des VUD abrufbar.
Die FAQ bzw. die Antworten sind nach folgenden Fragen gegliedert:
- Ist der Einsatz von Cloud-Lösungen von US-Anbietern nach Schweizer Datenschutzrecht zulässig?
- Warum ist der ausländische Behördenzugriff plötzlich ein Problem – dieses Risiko gab es doch immer?
- Was hat das mit der Schweiz zu tun?
- Verlangt das Gesetz den Ausschluss jedes theoretischen Risikos?
- Kann es denn beim Einsatz der Cloud-Lösungen der US-Hyperscaler zu einem Zugriff aus den USA kommen, wenn wir eine Speicherung der Daten in Europa wählen?
- In der Diskussion scheint sich alles um den US CLOUD Act und weitere Bestimmungen des US-Rechts zu drehen – warum?
- Welche besonderen Anforderungen gelten für Berufs- und Amtsgeheimnisträger?
- Passen die Verträge der grossen Cloud-Anbieter? Kann hier überhaupt verhandelt werden?
- Spielt der Standort der Datenspeicherung und der Sitz des Anbieters eine Rolle?
- Welche Verschlüsselung erfordert das Schweizer Recht?
- Wie muss eine Risikobeurteilung betreffend US-Recht durchgeführt werden?
- Welche Risiken sind beim Gang in die Cloud sonst zu beachten?
Den FAQs sind folgende Take-Aways vorangestellt:
Der risikobasierte Ansatz ist ein Grundsatz des Datenschutzrechts – seit je her und auch nach der Revision des Datenschutzgesetzes. Er gilt auch für die Bekanntgabe von Personendaten ins Ausland.
Für die Bekanntgabe von Personendaten ins Ausland genügt gemäss Datenschutzgesetz ein “angemessener” und künftig ein “geeigneter” Schutz, was dem risikobasierten Ansatz entspricht. Ein Ausschluss jedes theoretischen Risikos ist nicht verlangt.
Das mit Cloud-Projekten verbundene Risiko ist jeweils im konkreten Einzelfall zu prüfen. Dabei ergibt sich oft, dass selbst bei Cloud-Diensten unter Mitwirkung von US-Providern das Risiko eines ausländischen Behördenzugriffs bei geeigneten Schutzmassnahmen gering und datenschutzrechtlich tragbar ist.
Disclaimer: Der Autor dieses Beitrags ist beim VUD Stellvertreter des Sekretärs David Rosenthal.