privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Öffentliche Organe nehmen beim Bearbeiten von Personendaten immer mehr Dienstleistungen Dritter in Anspruch. Dabei kommen auch immer mehr Cloud-Technologien zum Einsatz.

Die Behörden sind verantwortlich, nicht nur wenn sie Daten selber bearbeiten; sie bleiben es auch, auch wenn sie Daten durch Dritte bearbeiten lassen (Auftragsdatenbearbeitung). Ob eine Auftragsdatenbearbeitung zulässig ist, ist nach den entsprechenden Rechtsgrundlagen (Datenschutzgesetze und spezifische Fachgesetze) zu bestimmen, es ist eine Risikoanalyse zu erstellen und die notwendigen Schutzvorkehren sind zu treffen. Für diese Beurteilung stellen zahlreiche Datenschutzbehörden eigene Merkblätter zur Verfügung.

Ist eine Auftragsdatenbearbeitung zulässig und möglich und sollen Cloud-Technologien verwendet werden, sind zusätzlich die Cloud-spezifischen Risiken zu beurteilen und die zur Minimierung dieser Risiken notwendigen Massnahmen vorzukehren

Für diese Situation stellt privatim ein Merkblatt zur Verfügung. Der Einsatz von Cloud-Lösungen ist im konkreten Einzelfall zu beurteilen. Es muss eine umfassende Risikoanalyse durchgeführt werden, die neben der Art der Datenbearbeitung insbesondere auch die Fragen des anwendbaren Rechts und des Gerichtsstandes, des Orts der Datenbearbeitung (Serverstandort) und des Geheimnisschutzes (Verschlüsselung, Schlüsselmanagement) in den Fokus stellt.

Das Merkblatt soll helfen zu beurteilen, wie hoch die Cloud-spezifischen Risiken sind, damit dann in einer Gesamtbeurteilung entschieden werden kann, ob die Verwendung von Cloud-Technologien bei einer bestimmten behördlichen Datenbearbeitung vertretbar erscheint oder ob aufgrund der nicht zu beseitigenden oder nicht reduzierbaren Risiken darauf zu verzichten ist. Der Entscheid ist transparent zu dokumentieren, so dass das verantwortliche öffentliche Organ (nicht der IT-Dienstleister) die Risiken kennt und das verbleibende Restrisiko bewusst übernehmen und verantworten kann.

Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Verwandte Artikel

digma 2012.2 Aus den Datenschutzbehörden Die News in digma 2012.2 berichten unter anderem von den Budgetkürzungen im Kanton Genf sowie über die Zuger Gesetzgebung zur verdeckten Chatroom Überwachung durch
digma 2011.2 Aus den Datenschutzbehörden Die News in digma 2011.2 berichten über SwissDRG und enthalten Informationen über personelle Änderungen in den Datenschutzbehörden der Kantone sowie über zahlreiche Gesetzgebungsprojekte (Artikel
Why Should Americans Care... We are all in this together, argues Tim Edgar in this opinion piece: In the digital age, the only way to protect the privacy of Americans is to protect
LEITFADEN der Datenschutz... Auch eidgenössische Wahlen und Abstimmungen werden von den Kantonen durchgeführt. Die US-amerikanischen Präsidentschaftswahlen haben gezeigt, dass die digitalisierte Welt neue Möglichkeiten zur gezielten Einflussnahme auf Wählerinnen und
Facebook darf Nicht-Mitgl... Ein belgisches Gericht verbietet Facebook, Surfdaten von Nutzern zu erfassen, die keinen Account bei dem Social Network haben. Dem Unternehmen bleibt nur sehr wenig Zeit, das Urteil
Unabhängige Datenschutza... Eine unabhängige Datenschutzaufsicht im Staatsschutz fehlt nach wie vor Im Bereich des Staatsschutzes ist eine unabhängige und wirksame Datenschutzkontrolle nicht möglich. privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten
Vernehmlassung Informatio... Für privatim ist diese Vorlage problematisch.vDer Kreis derjenigen Personen, die in den Informationssystemen des Bundes im Bereich Sport erfasst werden könnten, ist viel zu gross und zu
Elektronische Identifizie... Bundesgesetz über elektronische Identifizierungsdienste (Geschäft Nr. 18.049) Stellungnahme privatim vom 4. Oktober 2018 Aufgrund der weitreichenden Auswirkungen nimmt privatim zum aktuellen Entwurf des Bundesgesetzes über elektronische Identifizierungsdienste (E-ID-Gesetz) wie
Datenschutz und selbstfah... Die Aufzeichnungen von Daten müssen vor unberechtigten Zugriffen, Manipulationen und Hackerangriffen wirkungsvoll geschützt werden. Ein Gastkommentar von René Huber, ehemaliger Datenschutzbeauftragter des Kantons Zug. www.nzz.ch
digma 2014.2 Aus den Datenschutzbehörden Die zweiten News des Jahres 2014 berichten über den vom Kanton Basel-Stadt durchgeführten Passwort-Check, das neue Öffentlichkeitsgesetz des Kantons Zug und die Umfrage des