privatim-Merkblatt Cloud-spezifische Risiken und Massnahmen
privatim-Merkblatt «Cloud-spezifische Risiken und Massnahmen»
Öffentliche Organe nehmen beim Bearbeiten von Personendaten immer mehr Dienstleistungen Dritter in Anspruch. Dabei kommen auch immer mehr Cloud-Technologien zum Einsatz.
Die Behörden sind verantwortlich, nicht nur wenn sie Daten selber bearbeiten; sie bleiben es auch, auch wenn sie Daten durch Dritte bearbeiten lassen (Auftragsdatenbearbeitung). Ob eine Auftragsdatenbearbeitung zulässig ist, ist nach den entsprechenden Rechtsgrundlagen (Datenschutzgesetze und spezifische Fachgesetze) zu bestimmen, es ist eine Risikoanalyse zu erstellen und die notwendigen Schutzvorkehren sind zu treffen.
Ist eine Auftragsdatenbearbeitung zulässig und möglich und sollen Cloud-Technologien verwendet werden, sind zusätzlich die Cloud-spezifischen Risiken zu beurteilen und die zur Minimierung dieser Risiken notwendigen Massnahmen vorzukehren
Für diese Situation stellt privatim ein Merkblatt zur Verfügung. Es wurde 2022 gründlich überarbeitet, damit die neuen Entwicklungen und Erkenntnisse berücksichtigt werden können.
Das Merkblatt soll helfen zu beurteilen, wie hoch die Cloud-spezifischen Risiken sind, damit dann in einer Gesamtbeurteilung entschieden werden kann, ob die Verwendung von Cloud-Technologien bei einer bestimmten behördlichen Datenbearbeitung als vertretbar erscheint oder ob aufgrund der nicht zu beseitigenden oder nicht reduzierbaren Risiken darauf zu verzichten ist. Der Entscheid ist transparent zu dokumentieren, so dass das verantwortliche öffentliche Organ (nicht der IT-Dienstleister) die Risiken kennt und das verbleibende Restrisiko bewusst übernehmen und verantworten kann.