Ausgangslage/Problemstellung
Im Zuge des stetigen Kostendruckes und der Effizienzbestreben lagern derzeit viele kleine und grosse Unternehmen mit Sitz oder Standort in der Schweiz ihre Datenhaltung und ihr Datenmanagement ins nahe Ausland aus. Das Outsourcing ins Ausland wird manchmal vorschnell vorgenommen und erst im Nachhinein wird analysiert, ob die Daten überhaupt im Ausland gespeichert werden dürfen. Falls ja, stellt sich dann immer noch die Frage, mit welchen technischen und organisatorischen Massnahmen die jeweiligen Daten im ausländischen Rechenzentrum gesichert werden müssen.
Welche Vorteile bietet eine ausländische Cloud?
Aus rein datenschutzrechtlicher Sicht bieten die zunehmenden ähnlichen datenschutzrechtlichen Standards im europäischen Raum eine Datenhaltung und –Bearbeitung im (nahen) Ausland an. Durch die flächendeckende Geltung der europäischen Datenschutzverordnung (DSGVO; www.eulex.eu ) und die dadurch Befeuerte Entwicklung des Schweizer Datenschutzgesetzes (DSG; derzeit in Revision, Entwurf unter www.XY abrufbar) herrscht ein ähnlicher Standard in der EU und der Schweiz hinsichtlich Datenschutz. Der rein technische Datenschutz kann also im Ausland durchaus dem Schweizer Level entsprechen. Aufgrund des zumeist markant tieferen Preis- und Lohnniveaus im nahen Ausland ist die ausländische Datenhaltung und –Betreuung oft preisgünstiger und damit attraktiv. Für ein in der Zentralschweiz tätiges KMU mit Business-Modell Managed Services für Businesskunden (Hosting, Wartung und Support, eigene Software) kann die Ersparnis durch ein Rechenzentrum plus technischen Support in Deutschland durchaus im Rahmen von ca. CHF 100'000.00 liegen. Für viele Unternehmen mit Preisdruck ist das Outsourcing ins Ausland somit eine Frage der Existenz.
Dürfen alle Daten ins Ausland ausgelagert werden?
Bank- und Versicherungsdaten dürfen im Rahmen und mit den in der XY-Finma-Richtlinie (vgl. www.finman.ch ) speziellen technischen und organisatorischen Auflagen ins Ausland ausgelagert werden. Personenbezogene Daten und auch besonders schützenswerte Personendaten gemäss dem Schweizer Datenschutzgesetz dürfen grundsätzlich unter Einhaltung von strengen Datenschutzrichtlinien ins Ausland ausgelagert werden. Daten, die zusätzlich zum Datenschutzgesetz noch unter das qualifizierte Berufsgeheimnis nach Art. 321 Strafgesetzbuch fallen, sind hier heikler. Prominente Beispiele solcher Berufsgeheimnisse sind das Arzt- und Anwaltsgeheimnis. Führende Experten im IT- und Strafrecht halten die Berufsgeheimnisse nur für eingehalten, solange die Geheimnisse – und damit die Daten – sich innerhalb der Landesgrenze befinden. Der Hoster/Provider wird dabei als Hilfsperson des Geheimnisträgers (z.B. der Arzt/Anwalt) verstanden (Geheimnisherr ist der Patient/Klient). Der Hoster/Provider muss folglich vom Geheimnisträger kontrolliert werden können. Das sei eben im Ausland nicht mit den gleichen Mitteln möglich, weshalb ein Hoster/Provider im Ausland nicht mehr als Hilfsperson betrachtet werden kann. Will nun ein Arzt oder Anwalt die Daten trotzdem im Ausland speichern, so muss jeder Patient/Klient ihn für diesen Vorgang explizit vom Arztgeheimnis/Anwaltsgeheimnis entbinden. In der Praxis ist das schwer durchführbar; wenn man sich vorstellt, dass ein lokaler Managed Services Anbieter kleine Gesundheitsdienstleister als Kunden hat, deren Kundendaten eben unter das Arztgeheimnis fallen. Es ist heute davon auszugehen, dass Daten, die unter qualifizierte Berufsgeheimnisse fallen, nur in der Schweiz gespeichert und bearbeitet werden dürfen!
Welche Nachteile hat eine ausländische Cloud?
Derjenige, der über den Zweck von Daten entscheidet, ist datenschutzrechtlich der Inhaber der Daten (oder im europäischen Recht «Verantwortlicher» genannt). Dieser ist verpflichtet – wenn er Dienste wie Support, Hosting oder Wartung auslagert – seine Auftragsverarbeiter sorgfältig auszuwählen, zu überwachen und zu kontrollieren. Diese Pflichten wahrzunehmen, ist über die Landesgrenze hinaus i.d.R. schwieriger als innerhalb des gleichen Rechtsraumes (da der Inhaber dann die direkte Unterstützung der Behörden hat). Der Inhaber der Daten muss im Falle einer ausländischen Cloud folglich vermehrte technische und organisatorische Massnahmen treffen, um die gleiche Sicherheit zu gewährleisten wie eine inländische Cloud.
Welche Massnahmen sollten im Falle einer ausländischen Cloud konkret ergriffen werden?
- Sorgfältige Auswahl des Auftragsverarbeiters; z.B. mittels Zertifizierung, Zertifikat, Auditberichte, persönliche Inspektion, Empfehlung, Einsicht in Sicherheitshandbuch und weitere Dokumente des Risikomanagements, Risikomatrix, Abschluss eines griffigen Auftragsverarbeitungsvertrages
- Sorgfältige Überwachung: Regelmässiges Einverlangen von Auditberichten, Rezertifizierung, persönliche Inspektion, Risikomeldungen
- Sorgfältige Kontrolle: Persönliche Inspektion, Einverlangen von Auditberichten, Untersuchung von Zwischenfällen.
Kommentar schreiben