Cloud und Datenschutz - Digitalisierung
Cloud und Datenschutz
Bearbeiten von Personendaten
Das Bearbeiten personenbezogener Daten, also von Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen, untersteht den Vorgaben des Datenschutzrechts (Art. 2 i. V. m. Art. 3 lit. a DSG).
Keine Anwendung findet das Datenschutzrecht auf die Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte, wenn die Cloud-Provider keine Personendaten bearbeiten. Dies ist der Fall, wenn die Daten beim Cloud-Provider lediglich gespeichert werden (IaaS-Dienst-Modell) und die Anwältinnen und Anwälte die Daten vor der Übermittlung an den Provider verschlüsseln, sodass dieser keinen Zugriff auf die Daten im Klartext hat. Anderes gilt, wenn Anwältinnen und Anwälte die Daten auf der Infrastruktur von Cloud-Providern (SaaS-Dienst-Modell) bearbeiten, weil die Cloud-Provider hier auf die Daten zu-greifen können.
Gemäss Lehre und Rechtsprechung liegen personenbezogene Daten vor, wenn nach der allgemeinen Lebenserfahrung damit gerechnet werden muss, dass der Bearbeiter den Aufwand auf sich nehmen wird, um eine Person zu bestimmen. Da dies bei der Nutzung von Cloud-Providern nach dem SaaS-Dienst-Modell nicht ausgeschlossen werden kann, ist die Nutzung dieser Dienste durch Anwältinnen und Anwälte als Bearbeiten von Personendaten zu qualifizieren, das nach den Vorgaben des DSG zu erfolgen hat.
Auftragsdatenbearbeitung:
Soweit die Bearbeitung von Personendaten durch die Anwältinnen und Anwälte zulässig ist und die Voraussetzungen der Auftragsdatenbearbeitung nach Art. 10a DSG erfüllt sind, dürfen die Daten auch durch den Cloud-Provider bearbeitet werden. Die Anwältinnen und Anwälte bleiben jedoch als Auftraggeber für die Einhaltung der Vorgaben des Datenschutzrechts verantwortlich.
Bei der Auftragsdatenbearbeitung beruht die Bearbeitung personenbezogener Daten auf einer Vereinbarung (Cloud-Vertrag) zwischen den Anwältinnen und Anwälten bzw. deren Kanzlei und dem Dienstleister, also dem Cloud-Provider.
Die Anbieter von Cloud-Diensten dürfen die von den Anwältinnen und Anwälten übermittelten Personendaten nur so bearbeiten, wie es diese als Auftraggeber auch selbst tun dürften (Art. 10a lit. a DSG). Soweit die Vorgaben des Datenschutzrechts eingehalten sind, die Bearbeitung der Personendaten durch die Anwältinnen und Anwälte also namentlich die Grund sätze der Datenbearbeitung einhält oder auf einem Rechtfertigungsgrund beruht, dürfen die Daten nicht nur von den Anwältinnen und Anwälten, sondern auch von den Cloud-Providern bearbeitet werden. Unzulässig wäre hingegen eine Bearbeitung durch die Cloud-Provider zu eigenen Zwecken. Um sicherzustellen, dass der Cloud-Provider die Daten nicht anders bearbeitet als die Anwältinnen und Anwälte, sollte die Art der Bearbeitung der Daten durch den Cloud-Provider im Cloud-Vertrag oder in einem Annex dazu geregelt wer-den. Dabei kann z. B. festgehalten werden, dass die Daten – unter Vorbehalt besonderer Weisungen – nur zur Vertragserfüllung bearbeitet werden dürfen
Die Bearbeitung von Personendaten durch Dritte ist unzulässig, wenn gesetzliche oder vertragliche Geheimhaltungspflichten bestehen und nicht eingehalten werden (Art. 10a Abs. 1 lit. b DSG). Wie vorstehend aufgezeigt, liegt bei der Nutzung von Cloud-Diensten durch Anwältinnen und Anwälte kein Verstoss gegen gesetzliche Geheim-haltungspflichten vor. Denkbar ist allerdings, dass vertraglich eine Pflicht zur Geheimhaltung vorgesehen wird, die einer Auslagerung entgegensteht.
Da die Anwältinnen und Anwälte für die Einhaltung der Vorgaben des Datenschutzrechts verantwortlich bleiben, sind sie zur sorgfältigen Auswahl, Instruktion und Überwachung des Cloud-Providers verpflichtet. Sie müssen insbesondere sicherstellen, dass der Cloud-Provider die Datensicherheit (Art. 10a Abs. 2 DSG), d. h. die Vertraulichkeit, Verfügbarkeit und Integrität der Daten, gewähr-leistet (Art. 8 Abs. 1 VDSG). Für diese Beurteilung kann ein unabhängiger Spezialist beigezogen werden, der das Sicherheitsdispositiv des Cloud-Providers prüft. Es kann aber auch auf ein zertifiziertes Qualitätsmanagementsystem des Cloud-Providers nach ISO 9001 bzw. ISO 27001 oder auf eine datenschutzspezifische Zertifizierung (z. B. GoodPriv@cy, VDSZ:2014 oder ePrivacy) vertraut werden.
Auslagerung ins Ausland
Können Personen ausserhalb der Schweiz auf die in der Cloud gespeicherten Daten zugreifen (insb. bei der Nutzung eines ausländischen Cloud-Providers, aber auch im Rahmen einer Fernwartung), liegt eine grenzüberschreitende Bekanntgabe von Daten vor (Art. 6 DSG). Existiert m fraglichen Land eine angemessene Datenschutzgesetzgebung, ist dies datenschutzrechtlich grundsätzlich unproblematisch (Art. 6 Abs. 1 DSG). Der EDÖB veröffentlicht gemäss Art. 7 VDSG eine Liste der Staaten, die vermutungsweise einen angemessenen Datenschutz gewährleisten. Für Staaten, die nicht auf dieser Liste stehen, wie etwa die USA, müssen sich Anwältinnen und Anwälte hinreichende Garantien hinsichtlich des Daten-schutzes geben lassen. Solche Garantien können vertraglicher Natur sein oder in der Selbstzertifizierung des Cloud-Providers unter dem Swiss-US Privacy Shield bestehen.
Exkurs: Datenschutzgrundverordnung (DSGVO)
Auf die Tätigkeit von Schweizer Anwältinnen und Anwälten kann die Datenschutzgrund-verordnung (DSGVO) der EU Anwendung finden, namentlich wenn die Anwältinnen und Anwälte ihre Tätigkeit (auch) auf Klienten aus der EU ausrichten (Art. 3 Abs. 2 DSGVO). Die Anwendbarkeit der DSGVO kann sich aber auch aus dem IPRG ergeben, weil der Verletzte bei Persönlichkeitsverletzungen das Recht am Aufenthalts- oder Erfolgsort wählen kann, wenn mit einem Schadenseintritt in diesem Land zu rechnen war (Art. 139 Abs. 3 i. V. m. Abs. 1 IPRG). Auf eine persönlichkeitsverletzende Bearbeitung von Personendaten in einer Cloud könnte die DSGVO namentlich als Recht des Aufenthaltsorts des Klienten Anwendung finden, zumal ein Erfolgseintritt am gewöhnlichen Aufenthaltsort des Klienten in der Regel vorhersehbar ist.
Die Rechtslage für die Auslagerung einer Datenverarbeitung nach Art. 28 DSGVO entspricht in den Grund-zügen derjenigen nach dem DSG. Die Auslagerung im Rahmen der Auftragsdatenverarbeitung wird privilegiert und muss nicht durch einen eigenständigen Erlaubnistatbestand nach Art. 6 DSGVO abgedeckt sein. Art. 28 DSGVO gibt aber im Unterschied zum DSG sehr detailliert vor, wie der Auftraggeber seine Pflichten bei der Auftragsdatenverarbeitung einzuhalten hat. Der Auftragsdatenverarbeiter ist zudem ein Empfänger im Sinn von Art. 4 Nr. 9 DSGVO, wenn ihm Daten offengelegt werden. Der Verantwortliche muss die betroffenen Personen über die Empfänger von Daten informieren (Art. 13 Abs. 1 lit. e DSGVO; Art. 14 Abs. 1 lit. e DSGVO), wobei ein Bereitstellen der In-formation, z. B. in einer über das Internet abrufbaren Datenschutzerklärung, genügt.
Vertragsmuster mit Cloudanbietern
Liste von Cloudanbietern
Übersicht Anbieter von Clouddienstern