Datenschutzprobleme mit Cloudspeichern

Bei vielen bekannten Cloud-Diensten werden die Daten im Ausland gespeichert. Handelt es sich um personenbezogene Informationen, ist dies jedoch heikel. Das gilt es bei der Speicherung persönlicher Daten zu beachten.

Cloud-Dienste wie Dropbox, Skydrive und Google Drive sind zwar kostengünstig, speichern aber die Daten in ausländischen Staaten. Doch gemäss dem Schweizerischen Datenschutzgesetz ist das problematisch. Denn wenn personenbezogene Daten von Mitarbeitern oder Kunden in einem Land mit tieferem Datenschutz gespeichert werden, können die Persönlichkeitsrechte schwerwiegend gefährdet werden.

Dennoch können Organisationen, die vorallem grenzüberschreitend arbeiten, nicht auf die Speicherung im Ausland verzichten. Auch ist die Kappung der Datenverbindungen in die USA kaum denkbar. Dieses Problems ist sich der Gesetzgeber bewusst. So können Daten unter Einhaltung gewisser Bedingungen doch im Ausland gespeichert werden.

Wann kann im Ausland gespeichert werden?

Das Gesetz schreibt im Wesentlichen folgende Randbedingungen vor:

  1. Zwischen Cloud Anbieter und der Organisation besteht ein schriftlicher Vertrag, welcher den Schutz der Daten gewährleistet.
  2. Jede Person muss einzeln einwilligen, dass ihre personenbezogenen Daten im Ausland gespeichert werden.

Weiter muss der Cloud-Anbieter zwingend folgende Dienstleistungen anbieten:

  1. Er unterstützt den Kunden, wenn betroffene Personen ihre Rechte auf Auskunft, Berichtigung, Löschung und Sperrung geltend machen.
  2. Er trifft organisatorische und technische Massnahmen zur Wahrung der Datensicherheit.
  3. Der Kunde hat das Recht, die Datenspeicherung entweder selbst oder durch externe Audits zu überprüfen.

Ist dies überhaupt umsetzbar?

Doch die meisten Cloud-Dienstanbieter stellen keine schriftlichen Verträge aus. Dazu gehören auch die folgenden Anbieter: DropBox, Google Drive, OneDrive, iCloud. Auch wird kaum ein ausländischer Cloud-Anbieter Daten von Kunden sperren, löschen oder berichtigen. Zudem lassen sich die genannten Cloud-Anbieter in der Regel nicht in die eigenen Karten schauen - so kann der Kunde die Datenspeicherung nicht überprüfen.

Was geschieht bei Nicht-Beachtung des DSG?

Werden die obengenannten Massnahmen nicht eingehalten, verstösst wer personenbezogene Daten im Ausland speichert deutlich gegen das Schweizerische Datenschutzgesetz.

Verantwortlich für das Thema Datenschutz und Datensicherheit ist in der Regel der Vorstand oder der Verwaltungsrat einer Organisation (siehe Strafgesetzbuch Artikel 102). Bei einem Verfahren wird dieser zur Rechenschaft gezogen. Nur in Einzelfällen und bei mutwilligem Handeln, kann ein entsprechender Mitarbeiter direkt verantwortlich gemacht werden.

Das aktuelle Datenschutzgesetz dient allerdings weniger der Definition des Strafmasses, hierfür greift das Strafgesetzbuch bereits weit genug wenn es um die Verletzung von Persönlichkeitsrechten geht. Entsprechend ist das Strafmass bei direkten Verstössen gegen das DSG auch nicht sehr hoch. Ändern wird sich dies jedoch mit der DSG Revision im Jahr 2017, welche Geldbussen bis zu CHF 500'000 bei Verstössen vorsieht.

Auch in anderer Hinsicht ist ein Verfahren schlecht fürs Image einer Organisation: zumal der Eidgenössische Datenschutzbeauftragte solche Verfahren auf der Website des EDÖB publik machen muss. Schon manch namhaftes Unternehmen wie die CSS Versicherung oder die Zürcher Kantonalbank hat es auf diese Liste geschafft.

7 Tipps für die Auswahl eines Cloud-Anbieters

Wenn Sie die einen Cloud-Anbieter gefunden haben, welcher das DSG lückenlos befolgt, dann haben wir noch einige praktische Tipps für die Evaluation des richtigen Anbieters.

1. Daten überall zur Verfügung

Der Kunde soll auf die abgespeicherten Daten jederzeit und von überall aus Zugriff haben. Dies kann sich zum Beispiel durch ein Netz-Laufwerk zeigen, welches stets verfügbar ist und worauf die Benutzer ihre Daten ablegen und abrufen können. Dabei sollte der Zugriff über eine verschlüsselte Übertragung erfolgen. Auch ist ein Zugriff über ein einfach bedienbares Webinterface möglich.

2. Sichere Zugangskontrolle

Verlässt ein Mitarbeiter das Team, muss der Zugriff für diesen Mitarbeiter sofort gesperrt werden können. Damit kann der Mitarbeiter nicht mehr auf die Daten zugreifen. Abzuraten ist von reinen Synchronisationsanwendungen: bei diesen herkömmlichen Lösungen werden die Daten nämlich auf jedem Gerät der Mitarbeiter abgespeichert. Somit hat ein ehemaliger Mitarbeiter auch nach Austritt weiterhin Zugriff auf die Daten.

3. Sperrung bei Geräte Verlust

Verliert ein Mitarbeiter sein Laptop während eines Arbeitseinsatzes, so muss er seinen Zugang über eine ständig erreichbare Hotline sofort sperren lassen können. Somit hat ein unbefugter Nutzer keine Möglichkeit, auf die vertraulichen Daten zuzugreifen.

4. Virenschutz

Die Daten auf dem Cloudspeicher sollten in Echtzeit vor Bedrohungen durch Viren geschützt werden. Bei jedem Zugriff auf eine Datei, wird diese cloudseitig gescannt. Findet sich eine Infektion, so wird dem Benutzer der Zugang verwehrt. Auch darf es Benutzern nicht möglich sein, infizierte Dateien auf dem Server zu speichern - auch wenn dies unwissentlich geschehen würde.

5. Professionelle Datensicherung

Die Daten werden idealerweise mehrfach gesichert: zum Beispiel über ein mehrere Tage zurückgehendes Backup, aber auch durch eine gespiegelte Umgebung beim Cloud-Anbieter. In der Praxis haben sich die sogenannten Offsite Backups bewährt, welche den Datenstand gleichzeitig in zwei verschiedenen Rechenzentren führen.

6. Transparenz

Bei Bedarf soll der Kunde jederzeit eine physikalische Archiv-Kopie auf Festplatte oder USB-Disk anfordern können. Der Kunde sollte auch aus dem Vertrag jederzeit aussteigen können und an keine langjährigen Verträge gebunden sein.

7. Sicherung der Systeme

Der Cloudspeicher muss angemessen vor unberechtigten Zugriffen geschützt sein. Dies einerseits über den technischen Schutz mittels verschlüsselter Übertragung, andererseits organisatorisch über zentral verwalt- und sperrbare Benutzerzugänge.

Weiterführende Informationen

Weitere Artikel: