Personendaten in der Cloud – Risiko oder Chance?
Im Umfeld der öffentlichen Verwaltung besteht noch Skepsis und Unsicherheit beim Einsatz von Cloud-Lösungen im Zusammenhang mit Personendaten. Der Artikel erläutert Chancen und Risiken und gibt Tipps für das Vorgehen.
Die öffentliche Verwaltung nimmt es mit dem Datenschutz sehr genau. Davon zeugen regelmässige Medienberichte über Interventionen der Datenschutzbeauftragen von Bund und Kantonen. Die schweizerische Gesetzgebung zum Datenschutz gehört zu den weltweit strengsten. Das ist gut so, denn Staaten mit einem hohen Datenschutzniveau haben im internationalen Vergleich wirtschaftliche Vorteile, so z.B. bei Banking- oder Hosting-Dienstleistungen. Dies ist aber kein Alleinstellungsmerkmal der Schweiz. Der eidgenössische Datenschutzbeauftragte (EDÖB) anerkennt bei vielen europäischer Staaten das Datenschutzniveau als „angemessen für das Bearbeiten von Daten natürlicher Personen“. Einem Hosting von Personendaten in Deutschland oder den Niederlanden, wo sich viele Rechenzentren befinden, steht also auch für öffentliche Verwaltungen grundsätzlich nichts im Wege.
«Einem Hosting von Personendaten in Deutschland oder den Niederlanden, wo sich viele Rechenzentren befinden, steht also auch für öffentliche Verwaltungen grundsätzlich nichts im Wege»
Fragen zu Personendaten in der Cloud
Für viele Verwaltungen stellen sich heute Datenschutz-Fragen zum Outsourcing von Informatikdienstleistungen und zur Datenhaltung «in der Cloud». Sie sind gefordert, Entscheide für oder gegen den Einsatz von Cloud-Lösungen zu fällen – beispielsweise im Personalwesen. HR-Prozesse wie das Bewerbermanagement (E-Recruiting) oder auch «Talent Management» und Weiterbildungs-Lösungen werden zunehmend in der Cloud angeboten. Neben den Schwergewichten SAP mit der «Success Factors» Suite und Cloud-Pionier Haufe-Umantis werben weitere Anbieter um die öffentliche Verwaltung, so beispielsweise Abraxas mit der eigens übernommenen E-Recruiting Software «refline».
Unter welchen Bedingungen dürfen Personendaten durch Dritte «in der Cloud» verwaltet werden? Können die Server auch im Ausland stehen? Was gilt für besonders schützenswerte Personendaten wie Angaben über gesundheitsbedingten Absenzen oder Daten zur Mitarbeiterbewertung? Öffentliche Verwaltungen wollen hier keine Risiken eingehen, keine Fehler machen – und ganz bestimmt nicht mit einem Verstoss gegen den Datenschutz in der Presse erscheinen.
Vor dem Gang in die Cloud ist eine Risikoabschätzung unerlässlich, denn Massnahmen für Datensicherheit und Datenschutz sind gesetzlich vorgeschrieben. Langfristig führt aber kaum ein Weg an der Cloud vorbei, denn es geht längst nicht mehr ausschliesslich um die Einsparung von Kosten. Mit der rasanten Entwicklung der IT ist absehbar, dass auch im Personalbereich die «besten Lösungen» bald nur noch in der Cloud angeboten werden. Irgendwann wird es soweit sein, dass Wettbewerbsnachteile auf sich nimmt, wer diese Lösungen nicht nutzt. Dies kann sich längerfristig auch die öffentliche Verwaltung im Wettbewerb um Personalressourcen nicht leisten.
Die Rechtsgrundlagen
Die Rechtsgrundlagen der Kantone leiten sich vom Bundesgesetz über den Datenschutz (DSG) und der zugehörigen Verordnung ab. Leider lassen diese einigen Interpretationsspielraum zu. So heisst es in im Gesetz «Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden» (Art. 7 DSG). Zwar werden in der zugehörigen Verordnung diese Massnahmen weiter detailliert. Doch was bedeutet «unbefugte Eingabe in den Speicher sowie unbefugte, Einsichtnahme, Veränderung oder Löschung gespeicherter Personendaten sind zu verhindern»? (Art. 9, lit. e VDSG). Für den Juristen ist es einfach: die Angemessenheit der geforderten Massnahmen richtet sich „nach den Umständen im konkreten Fall und dem Stand der Technik“. Für den Informatiker ist dies zu schwammig: er muss bei der Umsetzung wissen, ob ein gängiger Berechtigungs- und Zugriffsschutz genügt, ob es eine zwei Faktoren-Authentisierung braucht und ob die Daten verschlüsselt werden müssen.
Kantonale Datenschutzbeauftragte und Stabstellen wie z.B. strategische Informatikdienste unterstützen hier mit weitergehenden Spezifikationen. So kennt beispielsweise der Kanton Zürich [1] seit 2015 „allgemeine Geschäftsbedingungen bei der Auslagerung von Datenbearbeitungen unter Inanspruchnahme von Informatikleistungen.“ Diese verlangen vom externen Systembetreiber ein Sicherheitsmanagement nach dem ISO 27001 Standard. Weitere Vorgaben betreffen Sicherheits-Audits durch unbhängige Prüfstellen sowie spezifische Anforderungen an «Cloud Computing» (gemeint sind Public Clouds).
«Soviel sei vorweggenommen: Personendaten dürfen nach praktisch allen kantonalen Gesetzgebungen auch «in der Cloud» verwaltet werden. Dies darf auch im Ausland geschehen»
Die wichtigsten Punkte zum Datenschutz
Soviel sei vorweggenommen: Personendaten (dazu gehören auch Personaldaten) dürfen nach praktisch allen kantonalen Gesetzgebungen auch «in der Cloud» verwaltet werden. Dies darf auch im Ausland geschehen. Nach dem Gesetz gilt dies zwar als „Weitergabe von Personendaten ins Ausland“. An diese gelten aber keine höheren Anforderungen als für die Datenhaltung im Inland – wenn im Empfängerland ein gleichwertiger gesetzlicher Datenschutz besteht. Dies ist bei den EU-Staaten der Fall, weshalb also z.B. einer deutschen Cloud-Lösung wie SAP «Success Factors» grundsätzlich nichts im Wege steht.
Die wichtigsten Punkte zum Datenschutz:
- Das öffentliche Organ ist für die Bearbeitung der Daten verantwortlich und muss die Verfügungsmacht über diese behalten
- Dritte (Systembetreiber im Outsourcing) sind vertraglich zu verpflichten, die Datenschutzregeln des Auftraggebers einzuhalten und angemessene Sicherheitsvorkehrungen zu treffen
- Dritte müssen über sämtliche möglichen Datenbearbeitungsorte Auskunft erteilen. Personendaten dürfen nur dann ohne spezielle Erlaubnis ins Ausland ausgelagert werden, wenn ein zur Schweiz gleichwertiges Datenschutzniveau besteht
- Die Kontrollrechte des öffentlichen Organs sowie unabhängiger Aufsichtsbehörden (Datenschutzbeauftragter/Finanzkontrolle) sind zu definieren. Da die Umsetzung im Ausland schwierig ist, sind die Anbieter zu regelmässigen Kontrollen nach internationalen Audit-Standards zu verpflichten.
- Für die Beendigung des Auftragsverhältnisses sind vertragliche Vorkehrungen zu treffen (Anforderungen an die Portabilität und Interoperabilität)
- Es ist vertraglich festzuhalten, dass schweizerisches Recht, insbesondere die Datenschutzgesetze (von Bund oder Kantonen) zur Anwendung kommt
Verbleibende Hürden für die Cloud
Kantonale Vorschriften zur Informatikauslagerung gehen zum Teil weiter als das Datenschutzrecht und verlangen Zutrittsrechte des Kunden oder Audits vor Ort. Dies ist für Public-Cloud Angebote im Ausland nicht praktikabel, da die Anbieter dies nicht akzeptieren oder der Kunde im Ausland diese Rechte gar nicht wahrnehmen kann oder will. Hier stellt sich die Frage, was denn der Mehrwert eines solchen „theoretischen“ Audit-Rechts ist. In der Praxis genügen anerkannte und offizielle Zertifizierungen, zusammen mit der Verpflichtung der Anbieter zu Audits nach internationalen Standards.
Für «besondere Personendaten» wird oftmals die Verschlüsselung verlangt, meist ohne Angabe, wie weit diese gehen soll. Pflicht ist sicherlich die Verschlüsselung des Netzwerkverkehrs, da dies neben den Daten auch Passwörter und somit den Zugang generell schützt. Eine Verschlüsselung des Datenbestandes ist hingegen bei den heute gängigen Applikationen wie z.B. ERP-Systemen nicht gegeben. Auch das richtungsweisende deutsche BSI [2] konstatiert dazu: „Die Verwaltung der kryptographischen Schlüssel in Cloud Computing Umgebungen ist komplex und derzeit fehlen entsprechende Werkzeuge zur Schlüsselverwaltung. Deswegen werden ruhende Daten von den meisten Anbietern nicht verschlüsselt.“ Erinnern wir uns an die juristische Definition: „die Angemessenheit der geforderten Massnahmen richtet sich nach den Umständen im konkreten Fall und dem Stand der Technik“. Wo die kantonalen AGB mehr verlangen, als der «Stand der Technik» erlaubt, ist es vertretbar und angebracht diese Vorgaben bei der Vertragserstellung zu relativieren. Eine solche Differenzierung der vertraglichen Bestimmungen sollte in Absprache mit den kantonalen Datenschutzbeauftragten geschehen, bzw. mit den Stellen, welche die AGB formuliert haben.
Zusammenfassend: wo kantonale Vorgaben weiter gehen, als das Datenschutzrecht dies verlangt, muss ihre Anwendung im konkreten Fall überprüft werden. AGB sind nicht sakrosankt sondern sollen im spezifischen Outsourcing-Vertrag geprüft und präzisiert werden.
Verbesserungsmöglichkeiten für die Anbieter von Cloud-Lösungen
Die Anbieter von Informatikdienstleistungen haben ein grosses Interesse daran, ihre Professionalität unter Beweis zu stellen. Sie werben unter anderem mit der ISO 27001 Zertifizierung ihrer Rechenzentren mit Backup-Infrastrukturen, Betriebskonzepten und Notfallplanungen. Was leider oft fehlt sind Erläuterungen zu ganz praktischen Sicherheitsfragen der Kunden. „Kann der Personalchef von zu Hause aus oder aus dem Ferienhotel zugreifen?“ (nötig wäre eine Zwei-Faktor-Authentisierung). „Wie können wir mit Mobilgeräten auf die Daten zugreifen?“ (gefragt sind Sicherheits-Infrastrukturen für den mobilen Zugriff). Für viele Anbieter hört das Thema Cloud-Sicherheit heute beim eigenen Rechenzentrum auf. Ein Angebot und eine Beratung welche sich stärker an den Kundenbedürfnissen orientiert, würde hier Hindernisse abbauen und den Cloud-Lösungen noch rascher zum Durchbruch verhelfen.
Auch auf der technischen Seite gibt es noch Verbesserungspotenzial, beispielsweise bei der Protokollierung von Datenänderungen und den Möglichkeiten zur verschlüsselten Datenablage. Die heute verfügbaren Systeme sind aus Sicht des Datenschutzes noch nicht perfekt, das muss ja aber nicht der Stand der Technik bleiben.
Praktische Tipps zum Nutzen von Cloud-Lösungen
Die Personalabteilung sucht neue Lösungen und will mit E-Recruiting, Talent Management oder Learning Management in die Cloud. Wie ist vorzugehen?
- Evaluieren Sie die beste Lösung für Ihre Bedürfnisse und Prozesse, unabhängig davon, ob sie «in der Cloud» oder «on premise» betrieben wird. Orientieren Sie sich primär an Kosten-/Nutzen Aspekten.
- Prüfen Sie ob nur Personendaten oder «besonders schützenswerte Personendaten» verwaltet werden. Nur für die letzteren sind die Anforderungen an den Datenschutz besonders hoch.
- Lassen Sie sich nicht behindern durch „theoretische“ Maximalanforderungen an die Sicherheit. Es gilt die Datenschutzgesetzgebung und darüber hinaus der «Stand der Technik». Regeln Sie Einzelheiten im Vertrag mit dem Hosting-Anbieter.
- Machen Sie eine vollständige Risikoanalyse, sowohl aus juristischer wie auch aus technischer Sicht
- Erstellen sie ein lückenloses Vertragswerk mit dem Anbieter, insbesondere im Public-Cloud Umfeld
[1] Kanton Zürich «AGB bei der Auslagerung von Datenbearbeitungen» (2015)
[2] BSI «Sicherheitsempfehlungen» für Cloud Computing Anbieter» (2011)
Roland Füllemann, Chefredaktor von referenzportal.ch, hat 20 Jahre Erfahrung mit Informatikprojekten im ERP-Umfeld. Seine Arbeitsschwerpunkte sind Projektinitialisierung, Ausschreibungen für die öffentliche Verwaltung und Projektmanagement. Er ist Mitglied der Alumni Wirtschaftsinformatik Universität Zürich und nebenberuflich Dozent für Informatik an der HWZ Hochschule für Wirtschaft, Zürich. Vorstudien und Architekturplanung für HR-Systeme bietet er unter dem Dach der example consulting an.