privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Öffentliche Organe nehmen beim Bearbeiten von Personendaten immer mehr Dienstleistungen Dritter in Anspruch. Dabei kommen auch immer mehr Cloud-Technologien zum Einsatz.

Die Behörden sind verantwortlich, nicht nur wenn sie Daten selber bearbeiten; sie bleiben es auch, auch wenn sie Daten durch Dritte bearbeiten lassen (Auftragsdatenbearbeitung). Ob eine Auftragsdatenbearbeitung zulässig ist, ist nach den entsprechenden Rechtsgrundlagen (Datenschutzgesetze und spezifische Fachgesetze) zu bestimmen, es ist eine Risikoanalyse zu erstellen und die notwendigen Schutzvorkehren sind zu treffen. Für diese Beurteilung stellen zahlreiche Datenschutzbehörden eigene Merkblätter zur Verfügung.

Ist eine Auftragsdatenbearbeitung zulässig und möglich und sollen Cloud-Technologien verwendet werden, sind zusätzlich die Cloud-spezifischen Risiken zu beurteilen und die zur Minimierung dieser Risiken notwendigen Massnahmen vorzukehren

Für diese Situation stellt privatim ein Merkblatt zur Verfügung. Der Einsatz von Cloud-Lösungen ist im konkreten Einzelfall zu beurteilen. Es muss eine umfassende Risikoanalyse durchgeführt werden, die neben der Art der Datenbearbeitung insbesondere auch die Fragen des anwendbaren Rechts und des Gerichtsstandes, des Orts der Datenbearbeitung (Serverstandort) und des Geheimnisschutzes (Verschlüsselung, Schlüsselmanagement) in den Fokus stellt.

Das Merkblatt soll helfen zu beurteilen, wie hoch die Cloud-spezifischen Risiken sind, damit dann in einer Gesamtbeurteilung entschieden werden kann, ob die Verwendung von Cloud-Technologien bei einer bestimmten behördlichen Datenbearbeitung vertretbar erscheint oder ob aufgrund der nicht zu beseitigenden oder nicht reduzierbaren Risiken darauf zu verzichten ist. Der Entscheid ist transparent zu dokumentieren, so dass das verantwortliche öffentliche Organ (nicht der IT-Dienstleister) die Risiken kennt und das verbleibende Restrisiko bewusst übernehmen und verantworten kann.

Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Verwandte Artikel

Kirche rüstet sich gegen... Nicht nur Firmen können Opfer von Hackerangriffen werden. Deshalb bietet jetzt die römisch-katholische Landeskirche Luzern Kurse für Mitglieder an, die über heikle Daten wachen – und stösst
L’utilisation du numér... Communiqué de presse       Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de
Vernehmlassung Informatio... privatim begrüsst die Schaffung eines formell-gesetzlichen Rahmens für die Informationssicherheit des Bundes aus zweierlei Gründen: Der Informationssicherheit wird damit endlich jene Rolle verliehen, welche sie im Verwaltungsalltag
digma 2012.1 Aus den Datenschutzbehörden Die News in digma 2012.1 enthalten einen ersten Ausblick auf die Revisionsbemühungen der EU im Bereich des Datenschutzrechts (Artikel als PDF).
LEITFADEN der Datenschutz... Auch eidgenössische Wahlen und Abstimmungen werden von den Kantonen durchgeführt. Die US-amerikanischen Präsidentschaftswahlen haben gezeigt, dass die digitalisierte Welt neue Möglichkeiten zur gezielten Einflussnahme auf Wählerinnen und
Datenschutztag 2019 – D... Anlässlich eines Medientalks thematisieren die Datenschutzbehörden von Bund und Kantonen ihre gemeinsamen Herausforderungen bezüglich Wahlen, Polizei und AHV-Nummer. Zu den Nationalratswahlen vom kommenden Herbst haben sie Leitfaden
digma 2013.1 Aus den Datenschutzbehörden Die News in digma 2013.1 berichten unter anderem über die Revision der Europaratskonvention 108 sowie über die Zusammenlegung der Datenschutzbehörden der Kantone Jura und
Die falsche Dramaturgie Das EU-Parlament lädt Facebook-Chef Mark Zuckerberg zur Anhörung – redet dann aber lieber selbst. So vertun die Politiker eine ebenso seltene wie wertvolle Chance. Nach etwa 40 Minuten
Digitalisierung und mediz... Überlebt das medizinische Berufsgeheimnis die Digitalisierung? privatim schlägt Lösungen vor Viele Ärzte und Spitäler lagern die elektronische Verwaltung, Archivierung und Bearbeitung ihrer Patientendaten an Dritte aus. Mit
digma 2014.2 Aus den Datenschutzbehörden Die zweiten News des Jahres 2014 berichten über den vom Kanton Basel-Stadt durchgeführten Passwort-Check, das neue Öffentlichkeitsgesetz des Kantons Zug und die Umfrage des