privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Öffentliche Organe nehmen beim Bearbeiten von Personendaten immer mehr Dienstleistungen Dritter in Anspruch. Dabei kommen auch immer mehr Cloud-Technologien zum Einsatz.

Die Behörden sind verantwortlich, nicht nur wenn sie Daten selber bearbeiten; sie bleiben es auch, auch wenn sie Daten durch Dritte bearbeiten lassen (Auftragsdatenbearbeitung). Ob eine Auftragsdatenbearbeitung zulässig ist, ist nach den entsprechenden Rechtsgrundlagen (Datenschutzgesetze und spezifische Fachgesetze) zu bestimmen, es ist eine Risikoanalyse zu erstellen und die notwendigen Schutzvorkehren sind zu treffen. Für diese Beurteilung stellen zahlreiche Datenschutzbehörden eigene Merkblätter zur Verfügung.

Ist eine Auftragsdatenbearbeitung zulässig und möglich und sollen Cloud-Technologien verwendet werden, sind zusätzlich die Cloud-spezifischen Risiken zu beurteilen und die zur Minimierung dieser Risiken notwendigen Massnahmen vorzukehren

Für diese Situation stellt privatim ein Merkblatt zur Verfügung. Der Einsatz von Cloud-Lösungen ist im konkreten Einzelfall zu beurteilen. Es muss eine umfassende Risikoanalyse durchgeführt werden, die neben der Art der Datenbearbeitung insbesondere auch die Fragen des anwendbaren Rechts und des Gerichtsstandes, des Orts der Datenbearbeitung (Serverstandort) und des Geheimnisschutzes (Verschlüsselung, Schlüsselmanagement) in den Fokus stellt.

Das Merkblatt soll helfen zu beurteilen, wie hoch die Cloud-spezifischen Risiken sind, damit dann in einer Gesamtbeurteilung entschieden werden kann, ob die Verwendung von Cloud-Technologien bei einer bestimmten behördlichen Datenbearbeitung vertretbar erscheint oder ob aufgrund der nicht zu beseitigenden oder nicht reduzierbaren Risiken darauf zu verzichten ist. Der Entscheid ist transparent zu dokumentieren, so dass das verantwortliche öffentliche Organ (nicht der IT-Dienstleister) die Risiken kennt und das verbleibende Restrisiko bewusst übernehmen und verantworten kann.

Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Verwandte Artikel

Telltale Heart The computer that keeps you alive can also, quite litteraly, put you in jail. The use of wearable and bio-technology — like a pacemaker — as evidence
Vernehmlassung Krebsregis... Bei der Registrierung von Krebserkrankungen fallen sehr sensitive Personendaten an, für deren Bearbeitung aus datenschutzrechtlicher Sicht eine hinreichend bestimmte und demokratisch legitimierte Gesetzesgrundlage erforderlich ist. Nur wenige
digma 2012.4 Aus den Datenschutzbehörden Die News in digma 2012.4 enthalten frohe Neuigkeiten zum Schengener Informationssystem der zweiten Generation – und weniger erfreuliche Nachrichten zur Budgetkürzung im Kanton Genf.
Zwei neue Vorlagen zur Be... Der Bundesrat will mit dem Vorentwurf zu einem Bundesgesetz über Vorläuferstoffe für explosionsfähige Stoffe (Vorläuferstoffgesetz, VSG) und dem Vorentwurf zu einem Bundesgesetz über polizeiliche Massnahmen zur Bekämpfung
digma 2013.3 Aus den Datenschutzbehörden Die News in digma 2013.3 behandeln unter anderem die im Kanton Basel-Stadt vorgeschlagene Schaffung einer Bestimmung zur Verwendung von besonderen Personendaten im Rahmen von
Stärkung des Datenschutz... Die Vernetzung der einzelnen Amtsstellen und Behörden, intern wie extern, schreitet unaufhaltsam voran. Durch das technisch problemlose Zusammenführen von Informationen und Daten kann die Verwaltung ganze Persönlichkeitsprofile
Die falsche Dramaturgie Das EU-Parlament lädt Facebook-Chef Mark Zuckerberg zur Anhörung – redet dann aber lieber selbst. So vertun die Politiker eine ebenso seltene wie wertvolle Chance. Nach etwa 40 Minuten
Verwendung der AHV-Nummer... Medienmitteilung       Verwendung der AHV-Nummer mit hohen Risiken verbunden In über 14’000 staatlichen Datenbanken wird heute als zusätzlicher Personenidentifikator die AHV-Nummer (AHVN13) eingesetzt. Ein Gutachten
Getting your data out of ... If you’re not a journalist or a privacy advocate, convincing big tech to release your data is almost impossible. But hope is coming with the EU’s General
Vernehmlassung E-Patiente... eHealth ist ein Vorhaben von nationaler Bedeutung, weshalb eine Koordination notwendig ist, um zu vermeiden, dass einzelne, isolierte Projekte entstehen und sich später heraus stellt, dass diese