Cloud-Dienste und Datenschutz
- Cloud-Dienste und Datenschutz
-
Das Bearbeiten von Personendaten in einer Cloud bzw. die Nutzung eines Cloud-Dienstes resp. in der rechtlichen Fachsprache eines Cloud-Services ist aus (datenschutz-)rechtlicher Sicht ein «Bearbeiten im Auftrag». Die Zulässigkeit richtet sich daher nach § 6 IDG sowie § 25 IDV. Aufgrund des erhöhten Risikos einer Persönlichkeitsverletzung ist auf einzelne, vom Gesetz geforderte Bestimmungen, spezielles Augenmerk zu richten. Denn: die Schulen sind für die Datenverarbeitung verantwortlich. Sie müssen ihren Pflichten in Bezug auf Datenschutz und Informationssicherheit auch bei der Nutzung von Cloud-Services nachkommen.
Ausgangspunkt der Nutzung eines Cloud-Services ist eine fundierte Risikoanalyse. Aus dieser Analyse resultieren die Anforderungen an den Cloud-Anbieter und die vertraglich zu vereinbarenden Massnahmen. Diese müssen detailliert geregelt und im Verlauf der Vertragsdauer regelmässig kontrolliert werden. Grundsätzlich gliedert sich das Vorgehen wie folgt:
- Risikoanalyse und Anbieterauswahl
- Prüfung, ob die Datenbearbeitung ausgelagert werden darf: Sie müssen prüfen, ob rechtliche oder vertragliche Bestimmungen die Nutzung eines Cloud-Services ausschliessen, insbesondere Geheimhaltungspflichten wie beispielsweise das Berufsgeheimnis bei Schulpsychologen. Wenn Sie jedoch mittels Verschlüsselung sicherstellen, dass der Cloud-Anbieter nicht auf Daten zugreifen kann, dürfen Sie auch solche Daten auslagern.
- Prüfung, ob die Daten «cloud-tauglich» sind: In einem nächsten Schritt müssen Sie das Gefährdungspotenzial sowie den Schutzbedarf ermitteln. Sie müssen zum einen prüfen, ob die Sensivität der Daten und die damit verbundenen Risiken und Massnahmen eine Auslagerung in die Cloud zulassen. Zum anderen müssen Sie den Schutzbedarf bestimmen. Grundsätzlich gilt: Je sensitiver die Daten, desto umfangreicher sind die organisatorischen, technischen und rechtlichen Anforderungen, die der Cloud-Service bzw. -Anbieter zu erfüllen hat.
- Auswahl des Cloud-Services bzw. des Anbieters: Nachdem Sie die Risikoanalyse durchgeführt und die Anforderungen definiert haben, sind Sie nun in der Lage, einen adäquaten Cloud-Service bzw. -Anbieter auszuwählen. Die Anbieter sollen dabei darlegen, wie sie den geforderten Anforderungen gerecht werden. Anerkannte Zertifikate oder Auditberichte von unabhängigen Stellen können Sie bei der Auswahl eines Cloud-Services bzw. -Anbieters unterstützen.
- Vertragsgestaltung oder Prüfung der Nutzungsbedingungen/AGB: Grundsätzlich ist ein schriftlicher Vertrag zwischen der Schule und dem Cloud-Anbieter erforderlich. Die Anforderungen an den Inhalt ergeben sich aus dem IDG und der durchgeführten Risikoanalyse. Zentraler Punkt des Vertrags ist, dass Sie ihre Verantwortung auch innerhalb einer Cloud-Struktur wahrnehmen können. Sie sollten insbesondere die folgenden Punkte gut regeln:
- Verantwortung und Zuständigkeit: Legen Sie fest, wer wofür verantwortlich und zuständig ist.
- Verfügungsmacht: Stellen Sie sicher, dass die Verfügungsmacht über die Daten bei Ihnen liegt.
- Zweckbindung: Halten Sie ausdrücklich fest, dass die Daten nur für die Zwecke der Schule bearbeitet werden dürfen.
- Rechte der betroffenen Personen: Verpflichten Sie den Cloud-Anbieter, insbesondere das Auskunftsrecht sowie die Durchsetzung der Rechte auf Berichtigung und Löschung zu gewährleisten.
- Kontrolle: Verankern Sie Kontrollmöglichkeiten für sich sowie für externe Prüfstellen und unabhängige Aufsichtsbehörden, beispielsweise Datenschutzbeauftragte, Finanzkontrolle etc. Sie sollten auch physische Kontrollen vor Ort sowie Berichtspflichten vorsehen.
- Informationssicherheit: Vereinbaren Sie Massnahmen zur Gewährleistung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität und Nachvollziehbarkeit der Daten bzw. deren Bearbeitung. Ferner sollten Sie den Cloud-Anbieter verpflichten, Sie über die wichtigsten Sicherheitsmassnahmen sowie über sicherheitsrelevante Vorfälle zu orientieren.
- Unterauftragsverhältnisse: Setzen Sie durch, dass der Cloud-Anbieter vor Vertragsabschluss sämtliche Unterauftragsverhältnisse (Subunternehmen) offenlegt. Halten Sie im Vertrag schriftlich fest, dass Änderungen bzw. der Zuzug neuer Subunternehmen nur nach Ihrer vorgängigen Zustimmung erlaubt ist (Genehmigungsvorbehalt). Verpflichten Sie den Cloud-Anbieter, sämtliche seiner vertraglichen Pflichten auf die Subunternehmen zu überbinden.
- Orte der Datenbearbeitung: Stellen Sie sicher, dass Sie über sämtliche mögliche Datenbearbeitungsorte informiert sind. Legen Sie fest, dass Ortswechsel bzw. neue Bearbeitungsorte gemeldet und vorgängig bewilligt werden müssen.
- Bearbeitung im Ausland: Bei der Datenverarbeitung im Ausland, auch im Rahmen von Cloud-Services, müssen die Bestimmungen von § 19 IDG und § 22 IDV eingehalten werden. Sie müssen sicherstellen, dass Daten nur in Ländern mit einem der Schweiz gleichwertigen Datenschutzniveau bearbeitet werden. Ist dies nicht der Fall, müssen Sie zusätzliche Sicherheitsmassnahmen vereinbaren und umsetzen.
- Anwendbares Recht und Gerichtsstand: Sie müssen einen schweizerischen Gerichtsstand sowie die Anwendbarkeit von Schweizer Recht, insbesondere des IDG, vereinbaren.
Sollten Sie mit dem Cloud-Anbieter keinen schriftlichen Vertrag abschliessen können, ist auch das Akzeptieren von Nutzungsbedingungen respektive von AGB möglich. Diese dürfen jedoch nicht einseitig durch den Anbieter abgeändert werden können.
- Umsetzung der Massnahmen: Letztlich müssen Sie die vertraglich vereinbarten Anforderungen und Massnahmen laufend überprüfen. Hier können Sie beispielsweise unabhängige Prüfstellen beiziehen.
Tipp: Die AGB «Auslagerung Informatikleistungen» ist ein gutes Anwendungsbeispiel für die Umsetzung der oben genannten Punkte und kann auch als Vorlage genutzt werden.
Tipp: Betreffend Cloud-Services und Datenschutz existieren zahlreiche Merkblätter und Guides. An dieser Stelle sei auf das Merkblatt «Cloud Computing im Schulbereich» von privatim, sowie der Leitfaden «Bearbeiten im Auftrag» des Datenschutzbeauftragten des Kantons Zürich und den Guide von educa.ch «Datenschutz, Massnahmen betreffend Cloud Services» zu verweisen. Darüber hinaus bestehen weitere Merkblätter zu spezifischen Cloud-Themen wie das Merkblatt «Online-Speicherdienste» und der Leitfaden «Microsoft 365 im Bildungsbereich» sowie "Google Workspace for Education" der Datenschutzbeauftragten des Kantons Zürich.
- Risikoanalyse und Anbieterauswahl