EDÖB: Erläuterungen zum Thema “Cloud Computing”

Der EDÖB hat mit Datum vom 27. Okto­ber 2011 auf sein­er Web­site Erläuterun­gen zum The­ma Cloud Com­put­ing veröf­fentlicht, mit fol­gen­dem Informationstext:

Immer mehr Unternehmen und Behörden/Institutionen lagern ihre bish­er typ­is­cher­weise intern erledigten Daten­ver­ar­beitun­gen an externe Unternehmen aus («Out­sourc­ing») und set­zen dafür auf «Cloud Com­put­ing» (deutsch: «rech­nen in der Wolke»). Der EDÖB erläutert im fol­gen­den Doku­ment die Risiken des Cloud Com­put­ings für die Pri­vat­sphäre und gibt Empfehlun­gen im Hin­blick auf den Daten­schutz ab.

Der EDÖB sieht fol­gende beson­dere, d.h. cloud-spez­i­fis­che (und im Übri­gen bei der Ver­trags­gestal­tung beson­ders zu beach­t­ende) Risiken (jew­eils Zitate):

  • Kon­trol­lver­lust über die Daten;
  • fehlende oder man­gel­nde Abgrenzung/Isolierung der ver­schiede­nen Datenverarbeitungen;
  • Com­pli­ance Risiken;
  • Zugriff von aus­ländis­chen Behör­den auf die Daten;
  • Lock-in Effek­te.

Die daten­schutzrechtlichen Anforderun­gen gemäss EDÖB lassen sich wie fol­gt zusammenfassen:

  • nach DSG 10a dür­fen Dat­en durch den Drit­ten (Cloud-Anbi­eter) bear­beit­et wer­den, jedoch nur so, wie der Auf­tragge­ber selb­st dürfte und unter Vor­be­halt ein­er geset­zlichen oder ver­traglichen Geheimhaltungspflicht;
  • der Cloud-Nutzer muss sich­er­stellen, dass der Anbi­eter die Daten­sicher­heit iSv DSG 7 (und VDSG 8 ff. bzw. 20 ff.) gewährleis­tet, und zwar umso strik­ter und umfassender, je ver­traulich­er, geheimer, wichtiger oder sen­si­tiv­er die Dat­en sind;
  • ins Aus­land dür­fen Per­so­n­en­dat­en nur bekan­nt gegeben wer­den, wenn eine angemessene Geset­zge­bung vorhan­den ist (DSG 6 I) oder eine der Bedin­gun­gen nach DSG 6 II erfüllt ist;
  • der Cloud-Nutzer ist ver­ant­wortlich, dass das Auskun­ft­srecht (DSG 8) und das Recht auf Löschung und Berich­ti­gung (DSG 5) gewährleis­tet bleibt.