privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Öffentliche Organe nehmen beim Bearbeiten von Personendaten immer mehr Dienstleistungen Dritter in Anspruch. Dabei kommen auch immer mehr Cloud-Technologien zum Einsatz.

Die Behörden sind verantwortlich, nicht nur wenn sie Daten selber bearbeiten; sie bleiben es auch, auch wenn sie Daten durch Dritte bearbeiten lassen (Auftragsdatenbearbeitung). Ob eine Auftragsdatenbearbeitung zulässig ist, ist nach den entsprechenden Rechtsgrundlagen (Datenschutzgesetze und spezifische Fachgesetze) zu bestimmen, es ist eine Risikoanalyse zu erstellen und die notwendigen Schutzvorkehren sind zu treffen. Für diese Beurteilung stellen zahlreiche Datenschutzbehörden eigene Merkblätter zur Verfügung.

Ist eine Auftragsdatenbearbeitung zulässig und möglich und sollen Cloud-Technologien verwendet werden, sind zusätzlich die Cloud-spezifischen Risiken zu beurteilen und die zur Minimierung dieser Risiken notwendigen Massnahmen vorzukehren

Für diese Situation stellt privatim ein Merkblatt zur Verfügung. Der Einsatz von Cloud-Lösungen ist im konkreten Einzelfall zu beurteilen. Es muss eine umfassende Risikoanalyse durchgeführt werden, die neben der Art der Datenbearbeitung insbesondere auch die Fragen des anwendbaren Rechts und des Gerichtsstandes, des Orts der Datenbearbeitung (Serverstandort) und des Geheimnisschutzes (Verschlüsselung, Schlüsselmanagement) in den Fokus stellt.

Das Merkblatt soll helfen zu beurteilen, wie hoch die Cloud-spezifischen Risiken sind, damit dann in einer Gesamtbeurteilung entschieden werden kann, ob die Verwendung von Cloud-Technologien bei einer bestimmten behördlichen Datenbearbeitung vertretbar erscheint oder ob aufgrund der nicht zu beseitigenden oder nicht reduzierbaren Risiken darauf zu verzichten ist. Der Entscheid ist transparent zu dokumentieren, so dass das verantwortliche öffentliche Organ (nicht der IT-Dienstleister) die Risiken kennt und das verbleibende Restrisiko bewusst übernehmen und verantworten kann.

Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Verwandte Artikel

Vernehmlassung E-Patiente... eHealth ist ein Vorhaben von nationaler Bedeutung, weshalb eine Koordination notwendig ist, um zu vermeiden, dass einzelne, isolierte Projekte entstehen und sich später heraus stellt, dass diese
Nutzung von Social Media Datenschutzkonforme Nutzung von Social Media durch öffentliche Organe Twitter und Facebook werden als Plattform für Veröffentlichungen und zum direkten Austausch mit Bürgerinnen und Bürgern genutzt. Mehrere Akteure
Rechnungskontrolle bei st... Nach dem Krankenversicherungsgesetz haben die Kantone bei stationären Leistungen im Bereich der obligatorischen Krankenpflegeversicherung mindestens 55 Prozent des entstandenen Rechnungsbetrages zu übernehmen. privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten,
Datenschutzgesetz: Die H... Kommt der Entwurf für ein neues Datenschutzgesetz durch, können sich Schweizer Unternehmen leichter bei Rechtsstreitigkeiten mit ausländischen Behörden wehren. Für die Mitarbeiter wird es aber schwieriger, ihre
Videoüberwachung Videoüberwachung braucht klare Grenzen Die Ausbreitung der Videoüberwachung beeinträchtigt zunehmend die Privatheit der Bürgerinnen und Bürger. privatim, die Vereinigung der schweizerischen Datenschutzbeauftragten, verlangt, dass klare Grenzen eingehalten
LEITFADEN der Datenschutz... Auch eidgenössische Wahlen und Abstimmungen werden von den Kantonen durchgeführt. Die US-amerikanischen Präsidentschaftswahlen haben gezeigt, dass die digitalisierte Welt neue Möglichkeiten zur gezielten Einflussnahme auf Wählerinnen und
Verwendung der AHV-Nummer... In über 14’000 staatlichen Datenbanken wird heute als zusätzlicher Personenidentifikator die AHV-Nummer (AHVN13) eingesetzt. Ein Gutachten der ETH Zürich zeigt, dass die damit verbundenen Risiken für den
Bundesgesetz über Vorlä... Vernehmlassungsantwort privatim
digma 2013.2 Aus den Datenschutzbehörden Die News in digma 2013.2 können endlich die Inbetriebnahme des Schengener Informationssystems der zweiten Generation verkünden, berichten unter anderem von einem nicht unproblematischen Entscheid
Angriff auf die Privatsph... Die Digitalisierung macht den Menschen gläsern und seine Privatsphäre potenziell verwundbar. Deren wahrer Wert wird wohl erst erkannt, wenn sie missbraucht worden ist. NZZ, 15.12.17