privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Öffentliche Organe nehmen beim Bearbeiten von Personendaten immer mehr Dienstleistungen Dritter in Anspruch. Dabei kommen auch immer mehr Cloud-Technologien zum Einsatz.

Die Behörden sind verantwortlich, nicht nur wenn sie Daten selber bearbeiten; sie bleiben es auch, auch wenn sie Daten durch Dritte bearbeiten lassen (Auftragsdatenbearbeitung). Ob eine Auftragsdatenbearbeitung zulässig ist, ist nach den entsprechenden Rechtsgrundlagen (Datenschutzgesetze und spezifische Fachgesetze) zu bestimmen, es ist eine Risikoanalyse zu erstellen und die notwendigen Schutzvorkehren sind zu treffen. Für diese Beurteilung stellen zahlreiche Datenschutzbehörden eigene Merkblätter zur Verfügung.

Ist eine Auftragsdatenbearbeitung zulässig und möglich und sollen Cloud-Technologien verwendet werden, sind zusätzlich die Cloud-spezifischen Risiken zu beurteilen und die zur Minimierung dieser Risiken notwendigen Massnahmen vorzukehren

Für diese Situation stellt privatim ein Merkblatt zur Verfügung. Der Einsatz von Cloud-Lösungen ist im konkreten Einzelfall zu beurteilen. Es muss eine umfassende Risikoanalyse durchgeführt werden, die neben der Art der Datenbearbeitung insbesondere auch die Fragen des anwendbaren Rechts und des Gerichtsstandes, des Orts der Datenbearbeitung (Serverstandort) und des Geheimnisschutzes (Verschlüsselung, Schlüsselmanagement) in den Fokus stellt.

Das Merkblatt soll helfen zu beurteilen, wie hoch die Cloud-spezifischen Risiken sind, damit dann in einer Gesamtbeurteilung entschieden werden kann, ob die Verwendung von Cloud-Technologien bei einer bestimmten behördlichen Datenbearbeitung vertretbar erscheint oder ob aufgrund der nicht zu beseitigenden oder nicht reduzierbaren Risiken darauf zu verzichten ist. Der Entscheid ist transparent zu dokumentieren, so dass das verantwortliche öffentliche Organ (nicht der IT-Dienstleister) die Risiken kennt und das verbleibende Restrisiko bewusst übernehmen und verantworten kann.

Merkblatt «Cloud-spezifische Risiken und Massnahmen»

Verwandte Artikel

Zürcher O-Bike-Daten fli... Eine Datenanalyse des «Tages-Anzeigers» zeigt, dass der Velo-Leihdienst O-Bike ist nicht nur am Geld ihrer Kunden interessiert ist, sondern auch fleissig ihre Nutzerdaten sammelt und in regelmässigen Abständen
Bundesbeschluss über bio... Stellungnahme zum Bundesbeschluss über biometrische Pässe und Ausweise vom 13. Juni 2008 Dem Wortlaut nach wird das Gesetz kein Verbot der Verwendung von ISA-Daten zu Fahndungszwecken enthalten.
Die Angst vor der digital... Täglich hinterlassen wir im Netz unsere Daten. Das Link Institut hat im Auftrag der SRG eine Befragung durchgeführt. 21.11.18, SRF
L’utilisation du numér... Communiqué de presse       Dans plus de 14’000 bases de données gouvernementales le numéro d’AVS (AVSN13) est utilisé comme identificateur personnel supplémentaire. Une expertise de
Vernehmlassung zum Bundes... privatim begrüsst die Stossrichtung hinsichtlich der Vereinfachung des Rechtszuganges durch Bündelung des geltenden Polizeirechts – es gibt aber gleichwohl einige Punkte zu bemerken. Vernehmlassungsantwort als PDF
Vernehmlassung Krebsregis... Bei der Registrierung von Krebserkrankungen fallen sehr sensitive Personendaten an, für deren Bearbeitung aus datenschutzrechtlicher Sicht eine hinreichend bestimmte und demokratisch legitimierte Gesetzesgrundlage erforderlich ist. Nur wenige
digma 2014.4 Aus den Datenschutzbehörden Die letzten News aus den Datenschutzbehörden befassen sich mit den personellen Veränderungen in den Kantonen Wallis und Zug und verweisen auf die diversen Merkblätter
Telltale Heart The computer that keeps you alive can also, quite litteraly, put you in jail. The use of wearable and bio-technology — like a pacemaker — as evidence
Google verschwieg Mikrofo... Überraschung bei den Anwendern von Alarmanlagen von Googles „Nest Secure“: In deren System ist ein Mikrofon eingebaut, von dem die Nutzer nichts wussten. Google beteuert, die Technik
Nachlese: Ist das medizin...   Immer mehr Ärzte und Spitäler lagern die elektronische Verwaltung, Archivierung und Bearbeitung ihrer Patientendaten an Dritte aus.  Seit Jahren stellt sich  die Frage, ob dieses Outsourcing