Direkt zum Inhalt

Nutzung von Cloud-Diensten

Cloud-Dienste

Cloud Services werden im Allgemeinen in drei Servicemodelle unterschieden:

  • Infrastructure as a Service (IaaS): Bezug von Komponenten einer Rechenzentrumsinfrastruktur («Hardwarekomponenten») aus der Cloud. Beispiele: Rechenleistung, Speicherplatz, Netzwerkressourcen
  • Platform as a Service (PaaS): Bezug von Plattform(en) für Anwendungsumgebungen aus der Cloud. Der IaaS werden weitere Features hinzugefügt, insbesondere eine Entwicklungsumgebung und damit zusammenhängende Funktionen, allenfalls bis zur Distribution der entwickelten Software.
  • Software as a Service (SaaS): Software wird auf einer Netzwerkressource ausgeführt und genutzt, in der Regel ohne die Notwendigkeit einer lokalen Installation.
Je nach der Bereitstellung bzw. Zugänglichkeit wird sodann zwischen «Public»-, «Community»-, «Hybrid»- oder «Private»-Cloud unterschieden.
 
In jedem Fall ist mit der Nutzung von Cloud Services eine Auslagerung von Informatikinfrastruktur verbunden, deren Ausmass und Relevanz von den obgenannten Faktoren abhängt.

Rechtlicher Rahmen für die Nutzung von Cloud-Diensten

Datenschutzgesetzgebung

Aus datenschutzrechtlicher Sicht stellt die Nutzung von Cloud-Diensten (abgesehen von der Nutzung einer exklusiven «Private Cloud» des Dateninhabers) eine Auslagerung der Datenbearbeitung an Dritte dar. Es gelten somit die Voraussetzungen für die Datenbearbeitung durch Dritte.

Datenbearbeitung durch Dritte
Vertragliche Regelung

Zu den Voraussetzungen gehört die Übertragung der Datenbearbeitungskompetenz an einen Dritten mittels Gesetz oder Vereinbarung. In der Praxis erfolgt diese Übertragung fast ausschliesslich mittels Vertrag. Dadurch wird das übertragende öffentliche Organ in die Lage versetzt, die trotz der Auslagerung an einen Dritten bei ihr verbleibende Verantwortung für die Datenbearbeitung wahrzunehmen. Das öffentliche Organ hat insbesondere sicherzustellen und sich zu vergewissern, dass
 
  • die Daten nur zum vorgesehenen Zweck bearbeitet werden,
  • die für das Organ geltenden Anforderungen an die Datensicherheit eingehalten werden,
  • und dies auch gegenüber allfälligen Subunternehmern kontrolliert und durchgesetzt werden kann.
In gewissen Kantonen bestehen Allgemeine Geschäftsbedingungen (AGBs), die beim Abschluss solcher Verträge zum Vertragsinhalt zu erklären sind.
Auslagerung ins Ausland

Personendaten dürfen nicht ins Ausland weitergegeben werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde. Dies ist insbesondere dann der Fall, wenn im Empfängerland keine Gesetze bestehen, welche einen angemessenen Datenschutz gewährleisten.
 
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) führt eine Staatenliste, aus welcher entnommen werden kann, ob nach der Beurteilung des EDÖB ein Staat über ein angemessenes Datenschutzniveau verfügt. Darunter fallen insbesondere die Mitgliedstaaten der EU und des EWR.
 
Seit dem 12. April 2017 verfügen auch US Unternehmen über die Möglichkeit sich zertifizieren zu lassen, womit sie aus schweizerischer Sicht gleich behandelt werden dürfen wie Staaten mit einem genügenden Datenschutzniveau. Zu beachten ist jedoch, dass gemäss dem am 23. März 2018 vom US-Präsident unterzeichneten «CLOUD Act», welcher den vorbestehenden «Stored Communications Act (SCA)» ergänzt, amerikanische Unternehmen unabhängig vom jeweiligen Datenspeicherort verpflichtet sind, amerikanischen Behörden Zugriff auf die Daten zu gewähren.

Andere Regelungen

Neben der Datenschutzgesetzgebung sind bei der Nutzung von Cloud Diensten in der öffentlichen Verwaltung folgende rechtlichen Regelungen mit Vorgaben und Einschränkungen im Hinblick auf die Auslagerung von Informatiksystemen zu beachten:
 
  • Gesetzgebung betreffend den Einsatz von Informatikmitteln und die Informationssicherheit
  • Allfällige allgemeine Regelungen betreffend die Auslagerung von Informatikleistungen
  • Allfällige bereichsspezifische Regelungen betreffend die Auslagerung von Informatikleistungen (z. B. im Personalrecht oder Gesundheitsrecht)
  • Allfällige Geheimhaltungsbestimmungen.

Melde-, Prüf- und Genehmigungsverfahren

Je nach Kanton muss geprüft werden, ob für die Auslagerung von Informatikleistungen bzw. der Bearbeitung von Personendaten ein Prüf- oder Genehmigungsverfahren vorgesehen ist (Beispiele: TG, LU, BE, ZH, VS).
 
Im Recht vieler Kantone sind weiter auch Vorabkontrollverfahren vorgesehen. Oft ist eine Genehmigungs- oder Informationspflicht dann vorgesehen, wenn durch die Weitergabe von Personendaten ins Ausland der Datenschutz durch besondere Garantien gewährleistet wird.