Die Auslagerung von Daten in die Cloud

Transkript

1 RECHTLICHE A SPEK TE 19 Die Auslagerung von Daten in die Cloud Die Angebote von Cloud-Services boomen. Sie versprechen den Unternehmen Kosteneinsparungen durch den flexiblen Einsatz der Informatikressourcen sowie Effizienzsteigerungen, da man sich bei einer Auslagerung an externe spezialisierte Partner auf das Kerngeschäft konzentrieren kann. Die Angebote gehen dabei von einer reinen Speicherung der Daten in der Cloud bis hin zum Bezug von gesamten cloudbasierten Services. Wer Daten auslagert, muss zwingend die rechtlichen Rahmenbedingungen prüfen. M it dem Abschluss eines Vertrages über Cloud-Dienstleistungen geht das auslagernde Unternehmen eine in der Regel auf lange Zeit angelegte Vertragsverbindung ein. Daher lohnt es sich, einerseits den Vertragspartner selbst, andererseits aber auch die von ihm angebotenen Dienstleistungen vor Vertragsabschluss einer genauen Prüfung zu unterziehen. Dabei sollten nicht nur der Preis und die technischen Aspekte berücksichtigt werden. Vor einer Auslagerung der Datenbearbeitung in die Cloud sollte sich beispielsweise die Betreiberin der Videoüberwachungsanlage vor Augen führen, dass sie zwar die Datenbearbeitung, nicht jedoch die Verantwortung für die Einhaltung der Rechtsvorschriften auslagern kann. Dieser Artikel soll aufzeigen, welche rechtlichen Vorgaben dabei nach Schweizer Recht berücksichtigt werden müssen. Bei Cloud-Verträgen handelt es sich aus rechtlicher Sicht um Outsourcingverträge, die in der Regel die folgenden Merkmale aufweisen: Es werden standardisierte Leistungen angeboten. Eine individuelle Anpassung der Leistungen ist, abgesehen von der Menge, in der Regel nicht möglich. Die Leistungen werden über das Internet bezogen, weshalb eine grosse Abhängigkeit von einer funktionierenden Internetanbindung besteht. Es besteht eine grosse Flexibilität beim Bezug der Cloud-Dienste der depositphotos Von Maria Winkler Kunde bezieht und bezahlt so viel, wie er benötigt. Die Daten werden in verschiedenen Rechenzentren gespeichert, die sich in der Regel auch im Ausland befinden. Zur Reduktion von rechtlichen Risiken sollten daher möglichst frühzeitig die folgenden Punkte geklärt werden: Ist es zulässig, die Daten an ein externes Unternehmen auszulagern? Ist es zulässig, die Daten ins Ausland auszulagern? Welche datenschutzrechtlichen Vorgaben sind bei einer grundsätzlichen Zulässigkeit der Auslagerung zu beachten? Bestehen weitere spezialgesetzliche Vorgaben, die zu beachten sind?

2 20 RECHTLICHE A SPEK TE Entspricht die angebotene Standarddienstleistung den durch das auslagernde Unternehmen zu beachtenden gesetzlichen Vorgaben? Wie kann die Einhaltung der gesetzlichen Vorgaben während der gesamten Vertragsdauer angemessen kontrolliert werden? Welche Risiken enthalten die Vertragsbestimmungen des Cloud-Anbieters? Datenschutzrechtliche Vorgaben für die Auslagerung in die Cloud Videoaufnahmen zählen zu den Personendaten, da die betroffenen Personen auf den Videoaufzeichnungen in der Regel bestimmt oder zumindest bestimmbar sind, weshalb die anwendbaren datenschutzrechtlichen Grundsätze zu beachten sind. Das Datenschutzgesetz des Bundes (DSG) erlaubt das Outsourcing einer Datenbearbeitung an einen Dritten, sofern die folgenden Voraussetzungen erfüllt werden: Es besteht keine gesetzliche oder vertragliche Geheimhaltungsverpflichtung, welche die Auslagerung verbietet. Der Outsourcingpartner bearbeitet die Daten nur so, wie es das auslagernde Unternehmen selbst dürfte. Die Datensicherheit beim Outsourcingpartner muss gewährleistet werden. Die Einhaltung der vertraglichen Vereinbarung muss regelmässig geprüft werden. Die kantonalen Datenschutzgesetze verfügen durchwegs über ähnliche oder gleichlautende Bestimmungen, sodass davon ausgegangen werden kann, dass das Outsourcing der Datenbearbeitung grundsätzlich erlaubt ist, sofern dabei die gesetzlichen Vorgaben beachtet werden. Es gibt wenige gesetzliche Geheimhaltungspflichten, welche ein Outsourcing generell oder unter bestimmten Voraussetzungen verbieten. Unter Umständen können jedoch vertragliche Vereinbarungen (z.b. mit Lieferanten im Zusammenhang mit dem Schutz von Geschäfts geheimnissen) entsprechende Regelungen enthalten. In einem solchen Fall sollte geprüft werden, ob diese sich auch auf die Auslagerung von Videoaufzeichnungen auswirken. Auch wenn keine gesetzliche Datenbearbeitungen es ist «z wingend, die Vertragsbestimmungen des Cloud-Anbieters diesbezüglich genau zu überprüfen.» oder vertragliche Geheimhaltungspflicht besteht, kann eine Auslagerung in die Cloud unzulässig sein. Zudem kann eine Auslagerung aufgrund der Sensitivität von Daten und dem daraus resultierenden Risiko für Persönlichkeitsverletzungen nicht gestattet sein. Cloud-Anbieter darf Daten nicht zweckentfremden Wesentlich ist, dass sichergestellt wird, dass der Cloud-Anbieter die ausgelagerten Daten nur so bearbeitet, wie es das auslagernde Unternehmen dürfte. Der Cloud-Anbieter darf somit die Daten nur für die Zwecke des Vertragspartners bearbeiten, eine Datenbearbeitung für eigene Zwecke des Cloud-Anbieters muss ausdrücklich ausgeschlossen werden. Sofern diese Vorgabe erfüllt ist, erfolgt die Datenbearbeitung im Rahmen des ursprünglichen Zwecks und der Cloud-Anbieter wird praktisch wie ein Teil des eigentlichen Datenbearbeiters tätig. Für eine solche Weitergabe von Daten ist keine Einwilligung oder ein anderer Rechtfertigungsgrund erforderlich. Es ist daher zwingend, die Vertragsbestimmungen des Cloud-Anbieters im Hinblick auf mögliche eigene Datenbearbeitungen genau zu überprüfen. Behält sich der CloudAnbieter aber beispielsweise vor, die ausgelagerten Daten «zur Verbesserung der eigenen Dienstleistungen» oder für eigene Marketingzwecke auszuwerten, dann liegt kein reines Outsourcing mehr vor und die Auslagerung wäre (zumindest was diese Datenbearbeitungen durch den Cloud-Anbieter betrifft) als eine Weitergabe an einen Dritten zu qualifizieren. Dafür müsste das auslagernde Unternehmen aber einen Rechtfertigungsgrund (z.b. eine Einwilligung der betroffenen Personen oder eine gesetzliche Grundlage) vorweisen können. Ist Datensicherheit garantiert? Die Dienstleistungen des Cloud-Anbieters müssen auch inhaltlich den für das auslagernde Unternehmen geltenden gesetzlichen Bestimmungen entsprechen. So müssen beispielsweise Unternehmen des öffentlichen Verkehrs im Zusammenhang mit der Videoüberwachung zum Schutz der Reisenden, des Betriebs und der Infrastruktur die Videoüberwachungsverordnung ÖV (VüV-ÖV) beachten. Diese besagt, dass Videoaufzeichnungen spätestens nach 100 Tagen vernichtet werden müssen. Spielcasinos müssen wiederum gemäss den für sie geltenden Vorgaben zur Gewährleistung eines sicheren Spielbetriebs Videoaufzeichnungen machen und diese während mindestens 28 Tagen aufbewahren (Glücksspielverordnung GSV). Diese Vorgaben müssen auch bei einer Auslagerung der Videoaufzeichnungen an ein externes Unternehmen erfüllt werden. Das auslagernde Unternehmen muss sich gemäss Art. 10a DSG zudem vergewissern, dass der Cloud-Anbieter die Datensicherheit gewährleistet. Dabei handelt es sich um eine Daueraufgabe. Einerseits muss sich der Betreiber der Videoüberwachungsanlage vor der Auslagerung ein Bild darüber verschaffen, welche Datensicherheitsmassnahmen der Cloud-Anbieter ergreift und ob diese einen angemessenen Schutz der auszulagernden Daten bieten. Zudem muss er sich auch während des bestehenden Vertragsverhältnisses regelmässig vergewissern, dass dieser die Datensicherheit gewährleistet. Abhängig von der Sensitivität der ausgelagerten Daten müssen dabei besonders hohe Anforderungen an die Datensicherheit gestellt werden. Zu prüfen sind dabei unter anderem Zutrittsrechte ins Rechenzentrum, Zugriffsrechte auf die ausgelagerten Daten inklusive Wartungszugriffe, Massnahmen zur Verhinderung einer Vermischung von Daten verschiedener Kunden des Cloud-Anbieters, das Back-up der Daten, aber auch die Frage, ob, wann und wie die Videoaufzeichnungen gelöscht werden. Besonders zu empfehlen ist es, die eigenen Mitwirkungspflichten zu erfragen und diese auch vertraglich zu vereinbaren. Um der Kontrollpflicht nachkommen zu können, sollte sich das auslagernde

3

4 22 RECHTLICHE A SPEK TE Checkliste Auslagerung in die Cloud Werden Personendaten ausgelagert? Anwendbarkeit des Datenschutzgesetzes Befinden sich Rechenzentren des CloudAnbieters im Ausland? Prüfung der Staatenliste des EDÖB Befinden sich Rechenzentren in Staaten ohne angemessenem Datenschutz? Abschluss von speziellen Verträgen gemäss Art. 6 Abs. 2 DSG bzw. Verwendung der vom EDÖB anerkannten Musterverträge, wenn sich Rechenzentren in Staaten ohne angemessenem Datenschutz befinden Bestehen gesetzliche oder vertragliche Geheimhaltungspflichten, die eine Auslagerung verbieten? Verzicht auf die Auslagerung in die Cloud Bestehen gesetzliche oder vertragliche Geheimhaltungspflichten, die eine Auslagerung ins Ausland verbieten? Wahl eines Anbieters mit Rechenzentren in der Schweiz Unterliegt das auslagernde Unternehmen spezialgesetzlichen Vorschriften, die bei einer Auslagerung beachtet werden müssen? Erhebung der relevanten gesetzlichen Grundlagen Bearbeitet der Cloud-Anbieter die Daten auch für eigene Zwecke? Prüfung der Leistungen Beispiele für branchenspezifische Vorschriften mit Auswirkungen auf das Outsourcing von Datenbearbeitungen: FINMA Rundschreiben Outsourcing Banken, Weisung des BSV über Aktenführung in der AHV/IV/EO/ EL/FamZLw/FAMZ (WAF), etc. Prüfung der Vertragsbestimmungen Empfehlung: Vertragliche Zusicherung der Datenbearbeitung ausschliesslich für Zwecke des auslagernden Unternehmens Entsprechen die Datensicherheitsmassnahmen des Cloud-Anbieters den Anforderungen des auslagernden Unternehmens? Vertragliche Vereinbarung der Datensicherheitsmassnahmen Vereinbarung eines Kontrollrechts Vereinbarung von Informationspflichten bei Sicherheitsvorfällen Alternativ: Standardisierte Berichte externer Prüfstellen und Information über das Resultat von Audits Wie können Leistungen skaliert werden? Bezug zusätzlicher Leistungen Reduktion der Leistungen Kostenfolgen Welche Kündigungsfristen gelten? Prüfung der Dauer der Kündigungsfristen Ist sichergestellt, dass die Daten nach der Kündigung herausgegeben werden? Prüfung der Folgen der Vertragsauflösung Besteht ein entsprechender Prozess? Entsprechen die Haftungsbestimmungen den vertraglichen Risiken? Erhebung der vertraglichen Risiken Prüfung der Haftungsbestimmungen Die Checkliste gibt eine kurze Übersicht über die zu prüfenden Themen, ohne dabei Anspruch auf Vollständigkeit zu erheben. Unternehmen ein Kontrollrecht, optimalerweise gepaart mit einer Informationspflicht des Cloud-Anbieters bei Sicherheitsvorfällen, vertraglich zusichern lassen. Verfügt der Cloud-Anbieter über eine Zertifizierung im Bereich Informationssicherheit, dann kann die Ausübung dieses Kontrollrechts erleichtert werden, indem der Cloud-Anbieter verpflichtet wird, über die Ergebnisse der regelmässi gen Audits zu informieren oder standardisierte Berichte einer externen Prüfstelle abzugeben. Rechenzentren im Ausland Befinden sich die Rechenzentren des Cloud-Anbieters auch im Ausland, dann muss zusätzlich zu den erwähnten Punkten noch beachtet werden, dass die Datenweiterleitung ins Ausland daten- schutzrechtlich an gewisse Vorgaben geknüpft ist. Sie ist grundsätzlich nur erlaubt, wenn der Empfängerstaat über eine Datenschutzgesetzgebung verfügt, die derjenigen der Schweiz vergleichbar ist. Bei welchen Staaten dies der Fall ist und bei welchen nicht, ist der Staatenliste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) zu entnehmen, die dieser auf seiner Website veröffentlicht hat (vgl. Literaturhinweise). Befinden sich Rechenzentren des Cloud-Anbieters in einem oder mehreren Staaten ohne angemessenen Datenschutz, dann dürfen die Daten nur unter Einhaltung der Bedingungen von Art. 6 Abs. 2 DSG dorthin übermittelt werden. In der Praxis bedeutet dies in der Regel, dass die Einhaltung des Datenschutzes durch den Empfänger durch den Abschluss spezieller Verträge sichergestellt wird. Ein solcher Vertrag muss dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten vor der Übermittlung der Daten zur Information zugestellt werden, der diesen prüft. Verwendet das Unternehmen den vom EDÖB auf seiner Website veröffentlichten Mustervertrag oder die sogenannten EU-Standardvertragsklauseln, dann muss der EDÖB nur darüber informiert werden, dass diese verwendet werden, die Verträge selbst müssen ihm nicht zugestellt werden. Dies setzt jedoch voraus, dass die Musterverträge inhaltlich nicht verändert werden. Einfluss von Safe Harbor Datenübermittlungen in die USA konnten bis vor Kurzem auch an Unternehmen erfolgen, welche sich nach dem Swiss-USSafe-Harbor-Agreement zertifizieren liessen. In einem solchen Fall mussten keine zusätzlichen vertraglichen Garantien vereinbart werden, obwohl die USA gemäss Staatenliste des EDÖB nicht über einen angemessenen Datenschutz verfügen. Seit der Europäische Gerichtshof das Safe-Harbor-Abkommen zwischen der EU und den USA im Oktober 2015 für ungültig erklärt hat, dürfen Daten auch aus der Schweiz nicht mehr allein auf der Basis dieses Abkommens in die USA übermittelt werden, sodass solche Datenübermittelungen zurzeit ebenfalls vertraglich abgesichert werden müssen. Ein neues Abkommen zwischen der EU und den USA, das sogenannte «Privacy Shield», soll das bisherige Safe-HarborAbkommen ersetzen. Es ist zu erwarten,

5 23 dass dieses nach seinem Inkrafttreten auch von der Schweiz wiederum übernommen und analog angewandt wird. Vertragsbestimmungen des Cloud-Anbieters Cloud-Dienste werden als hoch standardisierte Dienstleistungen angeboten, die unter den vom Cloud-Anbieter formulierten Vertragsbestimmungen erbracht werden. Meist besteht wenig Handlungsspielraum für abweichende Vereinbarungen, weshalb diese sorgfältig geprüft werden sollten. Neben den oben bereits erwähnten Klauseln betreffend die Zweckbindung bei der Verwendung der Daten, der Verpflichtung zur Gewährleistung der Datensicherheit sowie der Einräumung eines Kontrollrechts und von Informationspflichten sollten noch weitere Bestimmungen genauer geprüft werden. So sollte nicht nur geklärt werden, welche Voraussetzungen für die Kündigung des Vertrages gelten, sondern auch, welche Folgen eine Vertragsauflösung hat. Dabei ist es insbesondere wichtig, dass die Kündigungsregelung dem auslagernden Unternehmen die Möglichkeit gibt, bei einer Vertragsauflösung die Daten zu einem anderen Anbieter zu migrieren. Dafür wird einerseits genügend Zeit benötigt, um einen anderen Anbieter zu suchen und andererseits auch die Zusicherung, die eigenen Daten bei Vertragsauflösung ausgehändigt zu bekommen. Nicht zuletzt muss der Cloud-Anbieter verpflichtet werden, die Daten nach Vertragsauflösung unwiderruflich zu löschen. Dies sollte aber erst erfolgen, wenn die Daten erfolgreich migriert wurden. Es lohnt sich zudem genau zu prüfen, ob die Skalierbarkeit der Leistungen wie nachfolgend dargestellt auch vertraglich zugesichert wird und nicht nur Eingang in die Marketingmaterialien gefunden hat. Während der Bezug zusätzlicher Leistungen bzw. einer grösseren Menge der bezogenen Leistung in der Regel stets möglich ist, ist eine Reduktion von Leistungen oft an Kündigungsfristen gebunden. Entsprechen die Standardverträge nicht den Marketinginformationen, dann sollte genauer nachgefragt werden. Nicht zuletzt sollten die Haftungsbestimmungen geprüft werden, wobei generell Vorsicht geboten ist, wenn der Cloud-Anbieter jegliche Haftung für die Qualität seiner Leistungen sowie für allfällige Schäden ablehnt. Auch wenn solche Haftungsausschlüsse oft einer gerichtlichen Prüfung nicht standhalten, wird es in einem solchen Fall oft schwierig sein, einen allfälligen Schaden ersetzt zu bekommen. EMPFOHLENE LINKS Informationen des EDÖB zur Datenübermittlung ins Ausland inkl. Staatenliste Erläuterungen des EDÖB zu Cloud Computing gerung in die Cloud einzuhalten sind und die Angebote der diversen Anbieter auf dieser Basis überprüfen. Kann der CloudAnbieter zwingende gesetzliche Vorgaben nicht erfüllen, dann muss auf ein solches Angebot verzichtet werden, auch wenn es finanziell allenfalls reizvoll wäre. n Fazit Um sicherzustellen, dass all diese Anforderungen erfüllt werden, sollte das auslagernde Unternehmen sich daher zunächst einmal selbst darüber informieren, welche rechtlichen Vorgaben bei der Ausla- MARIA WINKLER ist Juristin und Geschäftsführerin von IT & Law Consulting GmbH, Zug. ANZEIGE