Der EDÖB hat mit Datum vom 27. Okto­ber 2011 auf sei­ner Web­site Erläu­te­run­gen zum The­ma Cloud Com­pu­ting ver­öf­fent­licht, mit fol­gen­dem Infor­ma­ti­ons­text:

Immer mehr Unter­neh­men und Behörden/Institutionen lagern ihre bis­her typi­scher­wei­se intern erle­dig­ten Daten­ver­ar­bei­tun­gen an exter­ne Unter­neh­men aus («Out­sour­cing») und set­zen dafür auf «Cloud Com­pu­ting» (deutsch: «rech­nen in der Wol­ke»). Der EDÖB erläu­tert im fol­gen­den Doku­ment die Risi­ken des Cloud Com­pu­tings für die Pri­vat­sphä­re und gibt Emp­feh­lun­gen im Hin­blick auf den Daten­schutz ab.

Der EDÖB sieht fol­gen­de beson­de­re, d.h. cloud-spe­zi­fi­sche (und im Übri­gen bei der Ver­trags­ge­stal­tung beson­ders zu beach­ten­de) Risi­ken (jeweils Zita­te):

  • Kon­troll­ver­lust über die Daten;
  • feh­len­de oder man­geln­de Abgrenzung/Isolierung der ver­schie­de­nen Daten­ver­ar­bei­tun­gen;
  • Com­pli­an­ce Risi­ken;
  • Zugriff von aus­län­di­schen Behör­den auf die Daten;
  • Lock-in Effek­te.

Die daten­schutz­recht­li­chen Anfor­de­run­gen gemäss EDÖB las­sen sich wie folgt zusam­men­fas­sen:

  • nach DSG 10a dür­fen Daten durch den Drit­ten (Cloud-Anbie­ter) bear­bei­tet wer­den, jedoch nur so, wie der Auf­trag­ge­ber selbst dürf­te und unter Vor­be­halt einer gesetz­li­chen oder ver­trag­li­chen Geheim­hal­tungs­pflicht;
  • der Cloud-Nut­zer muss sicher­stel­len, dass der Anbie­ter die Daten­si­cher­heit iSv DSG 7 (und VDSG 8 ff. bzw. 20 ff.) gewähr­lei­stet, und zwar umso strik­ter und umfas­sen­der, je ver­trau­li­cher, gehei­mer, wich­ti­ger oder sen­si­ti­ver die Daten sind;
  • ins Aus­land dür­fen Per­so­nen­da­ten nur bekannt gege­ben wer­den, wenn eine ange­mes­se­ne Gesetz­ge­bung vor­han­den ist (DSG 6 I) oder eine der Bedin­gun­gen nach DSG 6 II erfüllt ist;
  • der Cloud-Nut­zer ist ver­ant­wort­lich, dass das Aus­kunfts­recht (DSG 8) und das Recht auf Löschung und Berich­ti­gung (DSG 5) gewähr­lei­stet bleibt. 
David Vasella

Posted by David Vasella

RA Dr. David Vasella ist Gründer von swissblawg und Rechtsanwalt und Counsel bei Walder Wyss. Er ist auf IT-, Datenschutz- und Immaterialgüterrecht spezialisiert, betreibt den Blog daten:recht und ist Lehrbeauftragter der Universität Zürich.