VUD: FAQ zum Ein­satz von Cloud-Technologien

Der Ver­ein Unter­neh­mens-Daten­schutz (VUD) hat ange­sichts der der­zeit lau­fen­den Dis­kus­sio­nen “FAQ zum Ein­satz von Cloud-Tech­no­lo­gien” ver­öf­fent­licht. Das Doku­ment ist auf den 26. August 2022 datiert und hier auf der Web­site des VUD abrufbar.

Die FAQ bzw. die Ant­wor­ten sind nach fol­gen­den Fra­gen gegliedert:

  • Ist der Ein­satz von Cloud-Lösun­gen von US-Anbie­tern nach Schwei­zer Daten­schutz­recht zulässig?
  • War­um ist der aus­län­di­sche Behör­den­zu­griff plötz­lich ein Pro­blem – die­ses Risi­ko gab es doch immer?
  • Was hat das mit der Schweiz zu tun?
  • Ver­langt das Gesetz den Aus­schluss jedes theo­re­ti­schen Risikos?
  • Kann es denn beim Ein­satz der Cloud-Lösun­gen der US-Hypers­ca­ler zu einem Zugriff aus den USA kom­men, wenn wir eine Spei­che­rung der Daten in Euro­pa wählen?
  • In der Dis­kus­si­on scheint sich alles um den US CLOUD Act und wei­te­re Bestim­mun­gen des US-Rechts zu dre­hen – warum?
  • Wel­che beson­de­ren Anfor­de­run­gen gel­ten für Berufs- und Amtsgeheimnisträger?
  • Pas­sen die Ver­trä­ge der gro­ssen Cloud-Anbie­ter? Kann hier über­haupt ver­han­delt werden?
  • Spielt der Stand­ort der Daten­spei­che­rung und der Sitz des Anbie­ters eine Rolle?
  • Wel­che Ver­schlüs­se­lung erfor­dert das Schwei­zer Recht?
  • Wie muss eine Risi­ko­be­ur­tei­lung betref­fend US-Recht durch­ge­führt werden?
  • Wel­che Risi­ken sind beim Gang in die Cloud sonst zu beachten?

Den FAQs sind fol­gen­de Take-Aways vorangestellt:

Der risi­ko­ba­sier­te Ansatz ist ein Grund­satz des Daten­schutz­rechts – seit je her und auch nach der Revi­si­on des Daten­schutz­ge­set­zes. Er gilt auch für die Bekannt­ga­be von Per­so­nen­da­ten ins Ausland.

Für die Bekannt­ga­be von Per­so­nen­da­ten ins Aus­land genügt gemäss Daten­schutz­ge­setz ein “ange­mes­se­ner” und künf­tig ein “geeig­ne­ter” Schutz, was dem risi­ko­ba­sier­ten Ansatz ent­spricht. Ein Aus­schluss jedes theo­re­ti­schen Risi­kos ist nicht verlangt.

Das mit Cloud-Pro­jek­ten ver­bun­de­ne Risi­ko ist jeweils im kon­kre­ten Ein­zel­fall zu prü­fen. Dabei ergibt sich oft, dass selbst bei Cloud-Dien­sten unter Mit­wir­kung von US-Pro­vi­dern das Risi­ko eines aus­län­di­schen Behör­den­zu­griffs bei geeig­ne­ten Schutz­mass­nah­men gering und daten­schutz­recht­lich trag­bar ist.

Dis­c­lai­mer: Der Autor die­ses Bei­trags ist beim VUD Stell­ver­tre­ter des Sekre­tärs David Rosenthal.