Seit September 2023 ist das neue Schweizer Datenschutzgesetz in Kraft. Viele Unternehmen sind verunsichert, was dies für Sie bezüglich ihrer IT-Infrastruktur bedeutet. In diesem Artikel werden Sie Probleme kennenlernen, welche datenschutztechnisch durch die Nutzung einer Cloud entstehen können, und wir werden Ihnen mögliche Lösungen aufzeigen, um Cloud und DSG unter einen Hut zu bringen.
Vorweg ist festzuhalten, dass dieser Blogbeitrag nicht als juristische Quelle für den Umgang mit dem Schweizerischen Datenschutzgesetz dienen kann und soll. Sie finden hier jedoch hilfreiche Informationen für den datenschutzkonformen Umgang mit der Cloud sowie eine Auflistung der wichtigsten Quellen bezüglich Datenschutzgesetz, welche Sie für eine gute Absicherung konsultieren sollten.
Kernpunkte revidiertes Datenschutzgesetz (revDSG)
Das SECO nennt folgende Punkte als wichtigste Veränderungen für Schweizer KMU, welche durch das neue Datenschutzgesetz entstehen:
- Natürliche Personen stehen im Fokus, Daten juristischer Personen sind nicht mehr betroffen.
- Genetische & biometrische Daten sind nun auch besonders schützenswert.
- «Privacy by Design» und «Privacy by Default» müssen standardmässig berücksichtigt werden.
- Besteht ein hohes Risiko für Verletzung der Persönlichkeit oder der Grundrechte von Personen, muss eine Folgeabschätzung erstellt werden.
- Über die Beschaffung aller Personendaten muss vorgängig informiert werden.
- Ein Verzeichnis der Bearbeitungstätigkeiten der Personendaten muss erstellt werden, eine Ausnahme gilt für gewisse KMU.
- Verletzungen der Datensicherheit müssen dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) schnellstmöglich gemeldet werden.
Mehr dazu finden Sie im Artikel des SECO.
Datenschutzprobleme in der Public Cloud
Die Auslagerung von Daten und Services in eine Public-Cloud-Lösung ist für viele Unternehmen ein wichtiger Schritt in ihrer Digitalisierungsstrategie. Auch KMU möchten immer öfter von den Vorteilen einer Cloud profitieren. Neben allen Vorteilen dürfen jedoch die Nachteile und Risiken, die mit einem solchen Outsourcing einhergehen, nicht vergessen werden. Ein grosses Risiko betrifft den Umgang mit dem Datenschutz, welches sich mit dem Inkrafttreten des neuen Datenschutzgesetzes der Schweiz weiter akzentuiert hat.
Welche Faktoren bezüglich Datenschutz müssen bei der Verwendung einer Public Cloud beachtet werden?
Speicherort: Die Daten in einer Public Cloud werden häufig in Serverzentren in verschiedenen geografischen Regionen gespeichert. Sie haben normalerweise keine Kontrolle darüber, wo genau Ihre Daten physisch liegen. Nach Art. 16 DSG ist die Auslagerung von Daten ins Ausland grundsätzlich nur gestattet, wenn der Staat durch den Bundesrat als sicher erklärt wurde oder der Datenschutz durch andere Vorkehrungen gewährleistet werden kann. Auch ist es in speziellen Fällen verboten, Personendaten ausserhalb der Schweiz zu lagern.
Verantwortung: Die Verantwortung für die Einhaltung des Datenschutzgesetzes liegt auch bei Auslagerung der Daten an einen Auftragsbearbeiter immer noch bei Ihnen.
Kontrolle: Sie sind verpflichtet, die Sicherheit Ihrer Daten regelmässig zu kontrollieren. So eine Kontrolle kann sich sehr schwierig gestalten, vor allem bei grossen Unternehmen im Ausland.
Flexibilität: Die meisten Public-Cloud-Lösungen sind standardisiert und können nicht flexibel an Ihre speziellen Bedürfnisse angepasst werden.
Zugriffe: Ihre Cloud muss ohne Unterbrüche für Sie erreichbar sein. Die Zugriffe müssen zudem kontrollierbar und beschränkbar sein.
Sicherheit: Die Daten müssen in Ihrer Public Cloud gegen unerwünschte Änderungen, Diebstahl oder Löschungen abgesichert sein. Dazu gehört auch eine Backup-Lösung. In aller Regel bieten Public-Cloud-Anbieter Sicherheitslösungen an, welche von Ihnen unbedingt genutzt werden sollten.
All diese Punkte und weitere Details müssen mittels Verträgen zwischen Ihnen und dem Auftragsbearbeiter der Daten geklärt werden. Trotzdem müssen Sie schlussendlich darauf vertrauen, dass sich der Auftragsbearbeiter an die Verträge hält, denn oft können Sie nur sehr beschränkt Einfluss nehmen auf den Umgang mit Ihren Daten bei einem Public-Cloud-Anbieter.
Was müssen Unternehmen bei Public-Cloud-Anbietern beachten?
Als Unternehmer sind Sie verpflichtet, bei Outsourcing der Datenaufbewahrung und -pflege an einen Auftragsbearbeiter eine sorgfältige Auswahl des Dienstleisters vorzunehmen, den Auftragsbearbeiter sorgfältig zu instruieren und sorgfältig zu kontrollieren. Dabei sollten folgende Punkte beachtet werden:
- Verschlüsseln Sie Ihre Daten für die Übertragung zu Ihrem Cloud-Anbieter, sowie für die Speicherung.
- Anonymisieren oder pseudonomyiseren Sie nach Möglichkeit Ihre Daten, um sie besser zu schützen.
- Achten Sie bei der Auswahl Ihres künftigen Public-Cloud-Anbieters auf branchenspezifische Zertifizierungen wie die Norm ISO-27701.
- Holen Sie Referenzen zu potenziellen Vertragspartnern ein.
- Schliessen Sie mit rechtlicher Unterstützung einen Vertrag zur Auftragsbearbeitung ab, der alle wichtigen Punkte abdeckt wie z. B. Speicherort der Daten, Vertraulichkeit, Bearbeitung nur nach Weisung und Backup-Lösung.
- Stellen Sie sicher, dass der Auftragsbearbeiter nur nach Absprache mit Ihnen, Subauftragnehmer einsetzen kann.
- Klären Sie genau ab, wie mit Ihren Daten umgegangen werden muss, um das Schweizer Datenschutzgesetz und allenfalls weitere Datenschutzgesetze wie die DSGVO einzuhalten. Geben Sie diese Instruktion an den Auftragsbearbeiter weiter.
- Kontrollieren Sie nach Ihren Möglichkeiten regelmässig, dass Ihre Daten gemäss Vertrag aufbewahrt und bearbeitet werden.
- Fordern Sie Audit-Berichte und ein jährliches Management Commitment an.
- Stellen Sie sicher, dass Ihr Auftragsbearbeiter seine Mitarbeitenden zur Vertraulichkeit verpflichtet.
- Klären Sie vorab, wie Sie Ihr Cloud-Dienstleister bei Auskunftsverfahren oder Meldeverfahren unterstützt.
Weitere Tipps und Informationen:
Welche Alternativen gibt es?
Eine Private Cloud bietet eine gute Alternative zur Public Cloud. Sie unterscheidet sich von einer Public-Cloud-Lösung dadurch, dass die Daten Ihres Unternehmens abgeschottet von anderen Daten auf einer eigenen Cloud liegen. Dadurch wird die Sicherheit und Privatsphäre gestützt. Es gibt dabei zwei Arten, eine Private Cloud einzurichten:
1. Externe Private Cloud
Bei der externen Private-Cloud wird auf der Infrastruktur eines Auftragsbearbeiters eine speziell abgeschottete Cloud für ein einzelnes Unternehmen oder eine einzelne Organisation aufgesetzt. Auf diese kann über das Internet zugegriffen werden. Im Unterschied zur Public Cloud sind die Daten Ihres Unternehmens also komplett von anderen Unternehmen abgeschottet und die Cloud kann besser auf Ihre individuellen Bedürfnisse abgestimmt werden. Eine solche Lösung ist jedoch oft merklich teurer als eine «normale» Public Cloud.
2. On-prem Private Cloud
Eine on-premise Private Cloud wird auf der Infrastruktur Ihres Unternehmens aufgebaut. Sie können über das Internet oder ein internes Netzwerk auf die Daten in der Private Cloud zugreifen, womit Sie auch bei einem Internetausfall noch an Ihre Daten kommen. Die Private Cloud kann komplett auf Ihre Bedürfnisse abgestimmt werden, was die Einhaltung des Datenschutzgesetzes stark vereinfacht. Ihre Daten befinden sich nur bei Ihnen und Sie können so diversen Problemen bezüglich Datenschutz aus dem Weg gehen und trotzdem von den Vorteilen einer Cloud profitieren.
Wichtig ist jedoch dabei, dass die Private Cloud entweder intern von Spezialisten installiert und betreut wird, oder dass Sie externe Spezialisten wie die Swissmakers GmbH hinzuziehen. Nur so kann Ihre on-premise Private Cloud sicher und zuverlässig auf Ihrem eigenen Server betrieben werden. Erfahren Sie mehr über die Vorteile unserer Private-Cloud-Lösung und melden Sie sich noch heute für ein kostenloses Beratungsgespräch.
Kostenlose Beratung
Fazit
Die Verwendung einer Public-Cloud-Lösung gibt datenschutztechnisch einiges zu beachten. Durch gründliche Abklärungen, rechtlich sauber formulierte Verträge und guter Beratung durch Spezialisten kann das Risiko minimiert werden. Bezüglich Datenschutz ist die Verwendung einer Private Cloud (besonders on-prem) die bessere Lösung, da hier die komplette Kontrolle über die Daten in den Händen des jeweiligen Unternehmens liegen, wodurch die Einhaltung des Datenschutzgesetzes vereinfacht wird.