Der EDÖB hat mit Datum vom 27. Oktober 2011 auf seiner Website Erläuterungen zum Thema Cloud Computing veröffentlicht, mit folgendem Informationstext:
Immer mehr Unternehmen und Behörden/Institutionen lagern ihre bisher typischerweise intern erledigten Datenverarbeitungen an externe Unternehmen aus («Outsourcing») und setzen dafür auf «Cloud Computing» (deutsch: «rechnen in der Wolke»). Der EDÖB erläutert im folgenden Dokument die Risiken des Cloud Computings für die Privatsphäre und gibt Empfehlungen im Hinblick auf den Datenschutz ab.
Der EDÖB sieht folgende besondere, d.h. cloud-spezifische (und im Übrigen bei der Vertragsgestaltung besonders zu beachtende) Risiken (jeweils Zitate):
- Kontrollverlust über die Daten;
- fehlende oder mangelnde Abgrenzung/Isolierung der verschiedenen Datenverarbeitungen;
- Compliance Risiken;
- Zugriff von ausländischen Behörden auf die Daten;
- Lock-in Effekte.
Die datenschutzrechtlichen Anforderungen gemäss EDÖB lassen sich wie folgt zusammenfassen:
- nach DSG 10a dürfen Daten durch den Dritten (Cloud-Anbieter) bearbeitet werden, jedoch nur so, wie der Auftraggeber selbst dürfte und unter Vorbehalt einer gesetzlichen oder vertraglichen Geheimhaltungspflicht;
- der Cloud-Nutzer muss sicherstellen, dass der Anbieter die Datensicherheit iSv DSG 7 (und VDSG 8 ff. bzw. 20 ff.) gewährleistet, und zwar umso strikter und umfassender, je vertraulicher, geheimer, wichtiger oder sensitiver die Daten sind;
- ins Ausland dürfen Personendaten nur bekannt gegeben werden, wenn eine angemessene Gesetzgebung vorhanden ist (DSG 6 I) oder eine der Bedingungen nach DSG 6 II erfüllt ist;
- der Cloud-Nutzer ist verantwortlich, dass das Auskunftsrecht (DSG 8) und das Recht auf Löschung und Berichtigung (DSG 5) gewährleistet bleibt.