privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Öffentliche Organe nehmen beim Bearbeiten von Personendaten immer mehr Dienstleistungen Dritter in Anspruch. Dabei kommen auch immer mehr Cloud-Technologien zum Einsatz.

Die Behörden sind verantwortlich, nicht nur wenn sie Daten selber bearbeiten; sie bleiben es auch, auch wenn sie Daten durch Dritte bearbeiten lassen (Auftragsdatenbearbeitung). Ob eine Auftragsdatenbearbeitung zulässig ist, ist nach den entsprechenden Rechtsgrundlagen (Datenschutzgesetze und spezifische Fachgesetze) zu bestimmen, es ist eine Risikoanalyse zu erstellen und die notwendigen Schutzvorkehren sind zu treffen. Für diese Beurteilung stellen zahlreiche Datenschutzbehörden eigene Merkblätter zur Verfügung.

Ist eine Auftragsdatenbearbeitung zulässig und möglich und sollen Cloud-Technologien verwendet werden, sind zusätzlich die Cloud-spezifischen Risiken zu beurteilen und die zur Minimierung dieser Risiken notwendigen Massnahmen vorzukehren

Für diese Situation stellt privatim ein Merkblatt zur Verfügung. Der Einsatz von Cloud-Lösungen ist im konkreten Einzelfall zu beurteilen. Es muss eine umfassende Risikoanalyse durchgeführt werden, die neben der Art der Datenbearbeitung insbesondere auch die Fragen des anwendbaren Rechts und des Gerichtsstandes, des Orts der Datenbearbeitung (Serverstandort) und des Geheimnisschutzes (Verschlüsselung, Schlüsselmanagement) in den Fokus stellt.

Das Merkblatt soll helfen zu beurteilen, wie hoch die Cloud-spezifischen Risiken sind, damit dann in einer Gesamtbeurteilung entschieden werden kann, ob die Verwendung von Cloud-Technologien bei einer bestimmten behördlichen Datenbearbeitung vertretbar erscheint oder ob aufgrund der nicht zu beseitigenden oder nicht reduzierbaren Risiken darauf zu verzichten ist. Der Entscheid ist transparent zu dokumentieren, so dass das verantwortliche öffentliche Organ (nicht der IT-Dienstleister) die Risiken kennt und das verbleibende Restrisiko bewusst übernehmen und verantworten kann.

Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Verwandte Artikel

Helsana-App verstösst ge... Die Helsana-Krankenkasse hat mit ihrem digitalen Bonusprogramm gegen Datenschutzrichtlinien verstossen. Zu diesem Urteil kommt das Bundesverwaltungsgericht nach einer Klage des eidgenössischen Datenschützers. SRF, 29.3.19
Datenschutz und selbstfah... Die Aufzeichnungen von Daten müssen vor unberechtigten Zugriffen, Manipulationen und Hackerangriffen wirkungsvoll geschützt werden. Ein Gastkommentar von René Huber, ehemaliger Datenschutzbeauftragter des Kantons Zug. www.nzz.ch
digma 2012.2 Aus den Datenschutzbehörden Die News in digma 2012.2 berichten unter anderem von den Budgetkürzungen im Kanton Genf sowie über die Zuger Gesetzgebung zur verdeckten Chatroom Überwachung durch
digma 2011.1 Aus den Datenschutzbehörden Die News in digma 2011.1 berichten von der Stellungnahme der Joint Supervisory Authority of Schengen zum Thema «Hotelmeldescheine», berichten zum Thema «live@edu» und enthalten
Google weiss mehr über u... Dass Google über seine Apps Standortinformationen sammelt, weiss jeder.  Nutzer geben dem Konzern aber noch weit mehr preis. Das zeigen abgefangene Smartphone-Daten. 9.2.18,  Tages-Anzeiger
Facebook darf Nicht-Mitgl... Ein belgisches Gericht verbietet Facebook, Surfdaten von Nutzern zu erfassen, die keinen Account bei dem Social Network haben. Dem Unternehmen bleibt nur sehr wenig Zeit, das Urteil
Vernehmlassungsantwort GU... Stellungnahme von privatim zur Vernehmlassung betreffend Totalrevision des Bundesgesetzes über genetische Untersuchungen beim Menschen (GUMG) (weiterlesen).
Das revidierte Datenschut... Es ist bedauerlich, dass der Bundesrat nicht den Mut gehabt hat, souverän einen schweizerischen Weg zu suchen und einfache Datenschutzregeln aufzustellen. Beat Rudin, Bruno Baeriswyl und Claudia
Vernehmlassung Erwachsene... Mit den vorgeschlagenen Änderungen im Erwachsenenschutzrecht sollen Einschränkungen der Handlungsfähigkeit im Betreibungsregisterauszug ersichtlich werden. privatim lehnt diese Änderungen ab. Vernehmlassungsantwort als PDF
Private sollen via App Sc... Walliser Baumeister haben eine App entwickelt, mit der Privatpersonen verdächtige Baustellen den Behörden melden können. Datenschützer melden Bedenken an. 6.3.18, 20 Minuten