Jusletter IT

Cloud Computing – eine datenschutzrechtliche Betrachtung

  • Author: Philippe Fuchs
  • Category: Scientific Articles
  • Region: Switzerland
  • Field of law: Data Protection
  • Citation: Philippe Fuchs, Cloud Computing – eine datenschutzrechtliche Betrachtung, in: Jusletter IT 6 June 2012
Cloud Computing erfreut sich immer grösserer Beliebtheit und ist zu einem regelrechten Trend in der IT-Welt geworden. Vielen Nutzern sind jedoch die damit verbundenen Risiken zu wenig bewusst. Der vorliegende Artikel setzt sich mit den datenschutzrechtlichen Aspekten des Cloud Computings auseinander und zeigt die diesbezüglichen Risiken auf. Anhand eines konkreten Beispiels werden des Weiteren die bei der Nutzung von Cloud-Services auftretenden Haftungsfragen analysiert.

Inhaltsverzeichnis

  • 1. Einführung
  • 2. Was ist Cloud Computing?
  • 2.1. Definition
  • 2.2. Arten und Services von Cloud Computing
  • 2.2.1. Private Cloud
  • 2.2.2. Public Cloud
  • 2.2.3. Hybrid Cloud
  • 2.2.4. Die verschiedenen Services
  • 3. Datenschutzrechtliche Einordnung
  • 3.1. Anwendbarkeit des Datenschutzgesetzes
  • 3.2. Das Verhältnis zwischen Cloud-Nutzer und Cloud-Anbieter
  • 3.2.1. Auftragsbearbeitung gemäss Art. 10a DSG
  • 3.2.2. Cloud-Services mit Auslandberührung
  • 3.2.3. Datensicherheit
  • 4. Risiken bei Inanspruchnahme von Cloud-Dienstleistungen
  • 4.1. Kontrollverlust
  • 4.2. Geteilte Infrastruktur
  • 4.3. Mangelnde Kompatibilität
  • 5. Haftung bei Datenschutzverletzungen in der Cloud
  • 5.1. Ansprüche der betroffenen Person
  • 5.2. Ausgangsfall
  • 5.3. Ansprüche von A gegenüber B
  • 5.3.1. Persönlichkeitsverletzung
  • 5.3.2. Verschuldensunabhängige Ansprüche
  • 5.3.3. Verschuldensabhängige Ansprüche
  • 5.4. Ansprüche von B gegenüber C
  • 5.5. Ansprüche von A gegenüber C
  • 6. Zusammenfassung

1.

Einführung ^

[1]

Vor einiger Zeit hat der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) seine «Erläuterungen zu Cloud Computing» herausgegeben1. Darin erläutert dieser die Risiken des Cloud Computing für die Privatsphäre und gibt Empfehlungen im Hinblick auf den Datenschutz ab. Der EDÖB zieht mit diesen Erläuterungen mit der Konferenz der deutschen Datenschutzbeauftragten des Bundes und der Länder gleich, welche bereits im September 2011 ihre ausführliche «Orientierungshilfe – Cloud Computing» veröffentlicht hat2. Cloud Computing scheint sich sowohl bei Unternehmen als auch bei Privaten immer grösserer Beliebtheit zu erfreuen. So bieten verschiedene Anbieter, wie z.B. IBM oder Amazon, Cloud-Services für Unternehmen an3. Cloud Computing ist jedoch nicht unproblematisch und wirft insbesondere aus datenschutzrechtlicher Sicht zahlreiche Fragen auf.

[2]

Der vorliegende Artikel möchte eine Einordnung des Cloud Computings in datenschutzrechtlicher Hinsicht sowie eine Übersicht über die Risiken und Haftungsfragen geben, welche bei der Nutzung von Cloud Services auftreten können. Der Artikel erhebt dabei keinen Anspruch auf Vollständigkeit. Für die nachfolgende Darstellung des Cloud Computings wird vom Sachverhalt ausgegangen, dass ein Unternehmen (Cloud-Nutzer) Personendaten von Dritten (z.B. Kunden, Arbeitnehmer, etc.) mittels Cloud-Services bearbeitet, die von einem Dritten (Cloud-Provider) bereitgestellt werden.

[3]
Dazu wird in einem ersten Teil auf die verschiedenen Formen des Cloud Computings eingegangen sowie der Versuch einer Definition vorgenommen. In einem zweiten Teil wird die Rechtsbeziehung zwischen Cloud-Nutzer und Cloud-Provider aus datenschutzrechtlicher Sicht analysiert. Im dritten Teil werden die bei der Nutzung von Cloud Services auftretenden Risiken identifiziert. Abschliessend wird auf die Frage der Haftung bei Datenschutzverletzungen im Zusammenhang mit Cloud Services eingegangen.

2.

Was ist Cloud Computing? ^

2.1.

Definition ^

[4]

Gemäss dem EDÖB bedeutet Cloud Computing, «vereinfacht gesagt, dass Software, Speicherkapazität oder Rechnerleistung über ein Netzwerk […] bedarfsorientiert bezogen, d.h. gemietet werden»4. Gemäss der Konferenz der deutschen Datenschutzbeauftragten des Bundes und der Länder steht Cloud Computing «für Datenverarbeitung in der Wolke und beschreibt eine über Netze angeschlossene Rechnerlandschaft, in welche die eigene Datenverarbeitung ausgelagert wird»5. Morscher versteht unter Cloud Computing den «bedarfsgerechte[n] Bezug von Hard- und Softwareleistungen über das Internet [...]»6. Für Niemann/Hennrich steht Cloud Computing «derzeit begrifflich für Dienste, die im Wesentlichen durch eine hohe Skalierbarkeit, geteilte Ressourcen, Elastizität sowie einer bedarfsbasierten Nutzung und Abrechnung (Service on demand) gekennzeichnet sind»7.

[5]

Für das Cloud Computing ist charakteristisch, dass IT-Infrastruktur (z.B. Speicherplatz, Rechenkapazität oder auch Software) in virtualisierter Form an den jeweiligen Bedarf des Cloud-Nutzers angepasst über ein Netzwerk (z.B. Internet oder auch firmeninternes Intranet) zur Verfügung gestellt wird. Der Cloud-Nutzer erbringt typischerweise gewisse IT-Dienstleistungen nicht mehr selber, sondern bezieht diese über ein Netzwerk von einem Dritten, dem Cloud-Provider8. Die Anwendungen bzw. die Daten befinden sich nicht mehr lokal beim Cloud-Nutzer sondern in der virtualisierten Hard- und Software des Anbieters, der sogenannten Cloud. Der Vorteil liegt dabei vor allem in der (örtlich unabhängigen) Verfügbarkeit der Ressourcen, der Flexibilität der Nutzung, dem einfachen Erwerb, der verbrauchsabhängigen Bezahlung sowie dem Einsparpotential in den Bereichen Anschaffung, Betrieb und Wartung der IT-Systeme. Cloud Computing hat jedoch nicht nur für den Cloud-Nutzer, sondern auch für den Cloud-Provider seine Vorteile. Durch das Cloud Computing wird im Bereich der Softwarenutzung die Gefahr von Schwarzkopien reduziert, da dem Kunden lediglich ein Onlinenutzungsrecht gewährt, jedoch keine Kopie ausgehändigt wird9.

2.2.

Arten und Services von Cloud Computing ^

[6]
Bei den verschiedenen Arten des Cloud Computing ist einerseits in Bezug auf die Organisationsform zwischen Private Cloud, Public Cloud und Hybrid Cloud zu unterscheiden. Andererseits ist in Bezug auf die angebotenen Services zwischen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) zu unterscheiden.

2.2.1.

Private Cloud ^

[7]
Unter einer Private Cloud versteht man allgemein eine unternehmenseigene und in der Regel auch von diesem Unternehmen selbst betriebene Cloud-Umgebung, deren Nutzung auf bestimmte Personen (in der Regel auf Mitarbeiter des Unternehmens) beschränkt ist. Dabei wird aus sicherheitstechnischen Gründen in der Regel über ein firmeneigenes Netzwerk auf die Cloud zugegriffen. Die Infrastruktur steht bei einer Private Cloud unter der Kontrolle des Unternehmens, was eine entsprechend individuelle Anpassung auf die Unternehmensbedürfnisse ermöglicht. Jedoch besteht auch bei einer Private Cloud die Möglichkeit, dass die Infrastruktur von einem Dritten betrieben wird.

2.2.2.

Public Cloud ^

[8]

Im Gegensatz zur Private Cloud wird die Cloud-Umgebung bei einer Public Cloud immer von einem Dritten betrieben. Die Nutzung ist nicht auf bestimmte Personen beschränkt, sondern steht einer Vielzahl von Personen bzw. Unternehmen offen, welche sich eine virtualisierte Infrastruktur teilen. Der Zugriff auf die Cloud-Services erfolgt dabei über das Internet. Die Nutzer einer Public Cloud haben auf die Form und den Ort der Datenspeicherung sowie auf die Compliance- und Sicherheitsaspekte keinen Einfluss. Für den einzelnen Cloud-Nutzer besteht in der Regel nicht die Möglichkeit einer seinen Bedürfnissen angepasste Ausgestaltung der Cloud. Er hat die Wahl, die Cloud-Services zu nutzen und sich den Allgemeinen Geschäftsbedingungen (AGB) des Cloud-Providers zu unterwerfen, oder auf die Nutzung der Cloud-Services zu verzichten. Die AGB der Cloud-Provider enthalten dabei grosszügige Gewährleistungsausschlüsse10.

2.2.3.

Hybrid Cloud ^

[9]
Von einer Hybrid Cloud wird gesprochen, wenn mehrere selbständige Cloud-Infrastrukturen über standardisierte Schnittstellen gemeinsam genutzt werden. Dabei wird das Rechenzentrum, das die Private Cloud bildet, mit den Cloud-Diensten einer Public Cloud kombiniert, was dem Cloud-Nutzer ermöglicht, bei Bedarf auf die Ressourcen einer Public Cloud zurückzugreifen.

2.2.4.

Die verschiedenen Services ^

[10]

Wie bereits erwähnt, ist in Bezug auf die durch einen Cloud-Provider angebotenen Services zwischen Infrastructure as a Service (IaaS), Platform as a Service (PaaS) und Software as a Service (SaaS) zu unterscheiden. Bei IaaS wird virtualisierte IT-Infrastruktur (z.B. Speicherkapazität) in der Cloud bereitgestellt, auf welche die Cloud-Nutzer zugreifen, um so z.B. ihre Daten abspeichern zu können11. Bei PaaS wird dem Cloud-Nutzer ermöglicht, auf einer vom Cloud-Anbieter zur Verfügung gestellten Infrastruktur eigene Programme zu entwickeln und auszuführen12. Bei SaaS greift der Cloud-Nutzer auf in der Cloud bereitgestellte Software zu13.

3.

Datenschutzrechtliche Einordnung ^

3.1.

Anwendbarkeit des Datenschutzgesetzes ^

[11]

Damit das Datenschutzgesetz (DSG) auf eine Datenverarbeitung in einer Cloud anwendbar ist, muss eine private Person innerhalb der Cloud Daten von natürlichen oder juristischen Personen bearbeiten (Art. 2 Abs. 1 lit. a DSG)14. Als Bearbeiten gilt dabei jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten (Art. 3 lit. e DSG). Somit stellen z.B. die Speicherung von Arbeitnehmerdaten durch eine Personalabteilung in einer Cloud oder die Aktualisierung und Erfassung von Kundendaten durch einen Aussendienstmitarbeiter in einer Software, die in einer Cloud bereitgestellt wird, Bearbeitungen im Sinne von Art. 3 lit. e DSG dar.

[12]

Bei den bearbeiteten Daten muss es sich stets um Personendaten im Sinne von Art. 3 lit. a DSG handeln, d.h. es müssen Daten in der Cloud bearbeitet werden, die sich auf eine bestimmte oder bestimmbare Person beziehen. Bestimmt ist eine Person dann, wenn sich aus den Daten selbst ergibt, dass es sich um eine ganz bestimmte Person handelt15. Hingegen ist eine Person bestimmbar, wenn eine Identifikation nicht aus den Daten selber, jedoch durch die Kombination verschiedener Informationen ohne einen unverhältnismässigen Aufwand möglich ist16. Dies ist anhand objektiver Kriterien im konkreten Fall zu beurteilen, wobei der unverhältnismässige Aufwand insbesondere auch durch die zur Verfügung stehenden Suchwerkzeuge bestimmt wird17. Bei Daten, die anonymisiert, pseudonymisiert oder verschlüsselt sind, handelt es sich in der Regel nicht um Personendaten im Sinne von Art. 3 lit. a DSG. Ist es einer Person hingegen möglich, die anonymisierten, pseudonymisierten oder verschlüsselten Daten zu entziffern, und die dahinter stehenden Personen zu erkennen, so handelt es sich gegenüber dieser Person ebenfalls um Personendaten im Sinne von Art. 3 lit. a DSG.

 

3.2.

Das Verhältnis zwischen Cloud-Nutzer und Cloud-Anbieter ^

3.2.1.

Auftragsbearbeitung gemäss Art. 10a DSG ^

[13]

Der Cloud-Nutzer, welcher Personendaten18 nicht auf seinem eigenen Server speichert, sondern dazu z.B. die Amazon Simpel Storage Services verwendet, lässt Personendaten durch einen Dritten, im genannten Fall durch Amazon, im Sinne von Art. 3 lit. e DSG bearbeiten. Aus datenschutzrechtlicher Sicht liegt somit eine Datenbearbeitung durch Dritte vor19. Eine solche ist jedoch nur dann zulässig, wenn die Voraussetzungen von Art. 10a Abs. 1 DSG erfüllt sind: Der Cloud-Provider darf die Daten nur so bearbeiten, wie der Cloud-Nutzer es selbst tun dürfte (lit. a) und es darf keine gesetzliche oder vertragliche Geheimhaltungspflicht die Bearbeitung durch einen Dritten verbieten (lit. b). Darüber hinaus muss sich der Cloud-Nutzer als Auftraggeber darüber vergewissern, dass der Cloud-Provider die Datensicherheit gewährleistet (Art. 10a Abs. 2 DSG). Die Folge einer solchen Auftragsbearbeitung ist ein Bekanntgabeprivileg, d.h. die Bekanntgabe von Personendaten vom Cloud-Nutzer an den Cloud-Anbieter zieht nicht die Rechtsfolgen einer Datenbekanntgabe an Dritte nach sich20. Der Cloud-Anbieter wird mit anderen Worten im Verhältnis zum Cloud-Nutzer aus datenschutzrechtlicher Sicht nicht mehr als Dritter angesehen.

[14]

Der Cloud-Nutzer hat den Cloud-Provider sorgfältig auszuwählen21 und sicherzustellen, dass er die notwendigen Voraussetzungen für eine datenschutzkonforme Datenbearbeitung erfüllt und insbesondere die Datensicherheit gewährleisten kann22. Er hat den Cloud-Provider entsprechend zu instruieren, insbesondere über den erlaubten Zweck und den Umfang der Datenbearbeitung sowie die einzuhaltenden Sicherheitsstandards23. Aus vertraglicher Sicht muss sich der Cloud-Nutzer daher ein entsprechendes Weisungsrecht in Bezug auf die Datenbearbeitung ausbedingen24. Darüber hinaus wird auch eine entsprechende Überwachung des Cloud-Providers unerlässlich sein25. Will der Cloud-Provider Dritte als Sub-Provider beiziehen, z.B. weil seine eigene Infrastruktur für die Befriedigung der Nutzerbedürfnisse nicht ausreicht, so bedarf dies der Zustimmung des Cloud-Nutzers26. Diese kann bereits im Voraus erteilt werden, weshalb sich der Cloud-Provider vertraglich den Beizug von Sub-Providern vorbehalten kann27. Es ist jedoch im Interesse des Cloud-Nutzers, dass ihm der Cloud-Provider die möglichen Sub-Provider offenlegt, damit er seiner Sorgfaltspflicht in Bezug auf Auswahl nachkommen kann. So würde es die Sorgfaltspflicht verbieten, dass ein Cloud-Nutzer Dienstleistungen von einem Cloud-Provider bezieht, welcher Sub-Anbieter beizieht, die für Verfehlungen im datenschutzrechtlichen Bereich bekannt sind.

[15]

Stellt der Cloud-Nutzer datenschutzrelevante Verfehlungen des Cloud-Providers (oder eines Sub-Providers) fest28, so erfordert es seine Sorgfaltspflicht, dass er entsprechende Konsequenzen zieht29. Unter Umständen, insbesondere wenn der Cloud-Provider keine Gewähr mehr für eine angemessene Datensicherheit bieten kann, kann die Sorgfaltspflicht des Cloud-Nutzers dazu führen, dass keine weiteren Datenbearbeitungen in der Cloud stattfinden dürfen bzw. dass die Zusammenarbeit mit dem Cloud-Provider beendet werden muss.

3.2.2.

Cloud-Services mit Auslandberührung ^

[16]

Im Falle der Datenspeicherung, um beim oben erwähnten Beispiel zu bleiben, wird dem Cloud-Nutzer durch den Cloud-Provider ein Server für die Speicherung von Daten zur Verfügung gestellt. Ist dieser Server ausgelastet, so wird dem Cloud-Nutzer automatisch und ohne dass dieser es merkt, ein weiterer Server zur Verfügung gestellt30. Reicht die eigene Infrastruktur des Cloud-Providers nicht aus um den Bedarf an Speicherplatz zu decken, so kann dieser weitere Ressourcen bei Dritten (sog. Sub-Providern) einkaufen. Wo sich der Server, auf dem die Daten gespeichert sind, befindet und wem dieser gehört, ist für den Cloud-Nutzer grundsätzlich nicht erkennbar31.

[17]

Für Cloud-Services mit Auslandberührung ist insbesondere Art. 6 DSG von Bedeutung. Obwohl wie oben dargelegt eine Auftragsbearbeitung nach Art. 10a DSG vorliegt, entbindet dies nicht von der Einhaltung von Art. 6 DSG, sofern die Daten im Rahmen dieser Auftragsbearbeitung ins Ausland gelangen32. Gemäss Art. 6 Abs. 1 DSG dürfen Personendaten nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Ob ein Land aus Schweizer Sicht einen angemessenen Datenschutz gewährleistet, kann anhand einer vom EDÖB publizierten Liste33 in Erfahrung gebracht werden. Fehlt eine Gesetzgebung, die einen angemessenen Datenschutz gewährleistet, so können Personendaten unter den Voraussetzungen von Art. 6 Abs. 2 DSG dennoch ins Ausland bekannt gegeben werden. Insbesondere dürfen Personendaten ins Ausland bekannt gegeben werden, wenn hinreichende Garantien, insbesondere durch Vertrag, einen angemessenen Schutz im Ausland gewährleisten (Art. 6 Abs. 2 lit. a DSG).

[18]

Für die Beurteilung, ob die Datenbearbeitung im Ausland erfolgt, ist nicht auf den Sitz des Cloud-Providers abzustellen, sondern vielmehr auf den tatsächlichen Ort der Datenbearbeitung; in der Regel ist dies der Standort des jeweiligen Servers34. Da wie oben ausgeführt bei Bedarf weitere Server (und dies in der Regel ohne Kenntnis des Cloud-Nutzers) hinzugezogen werden, deren Standort auch im Ausland liegen kann, kann dies zu einer Datenbekanntgabe ins Ausland führen, obwohl dies der Cloud-Nutzer eigentlich nicht wollte und ohne dass ihm dies überhaupt bekannt ist. Ein weiteres Problem liegt darin, dass die Daten nicht lokalisiert werden können bzw. dass nicht gesagt werden kann, welche Daten auf welchen Servern liegen. Somit kann es für den Cloud-Nutzer unmöglich sein zu erkennen, ob im konkreten Fall nur Server mit Standorten in Ländern, die den Datenschutzanforderungen genügen, verwendet werden.

[19]

Im Verhältnis Cloud-Provider und Cloud-Nutzer kann dem mit einer entsprechenden Klausel im Vertrag begegnet werden, die den Cloud-Provider entweder verpflichtet, für einen angemessenen Schutz zu sorgen oder nur Server zu verwenden, die sich in Ländern befinden, welche aus Schweizer Sicht einen angemessenen Datenschutz garantieren35.

[20]

Ist die eigene Infrastruktur des Cloud-Providers ausgelastet, so kann bzw. muss dieser auf Dritt-Anbieter ausweichen. Der Beizug dieser Sub-Provider ist aus Sicht des Cloud-Nutzers jedoch ebenfalls nicht erkennbar. Auch im Verhältnis Cloud-Provider und Sub-Provider sollten – zum Schutz des Cloud-Nutzers – entsprechende Vertragsklauseln in Kraft sein, die dem Sub-Provider die gleichen Pflichten auferlegen wie dem Cloud-Provider36.

3.2.3.

Datensicherheit ^

[21]
Personendaten müssen durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden (Art. 7 Abs. 1 DSG). Dabei muss für die Vertraulichkeit, die Verfügbarkeit und die Integrität der Daten gesorgt sein (Art. 8 Abs. 1 VDSG), wobei insbesondere die folgenden Risiken abgesichert werden müssen: a) unbefugte oder zufällige Vernichtung, b) zufälliger Verlust, c) technische Fehler, d) Fälschung, Diebstahl oder widerrechtliche Verwendung sowie e) unbefugtes Ändern, Kopieren, Zugreifen oder andere unbefugte Bearbeitungen.
[22]

Will ein Unternehmen Cloud-Dienstleistungen nutzen, so hat es bei der Auswahl des Cloud-Providers darauf zu achten, dass dieser die Voraussetzungen von Art. 7 Abs. 1 DSG und Art. 8 VDSG einhält. Dies ergibt sich aus der Sorgfaltspflicht des Cloud-Nutzers im Rahmen von Art. 10a DSG. Welche technischen und organisatorischen Massnahmen dabei ergriffen werden müssen, hängt unter anderem von den in der Cloud zu bearbeitenden Daten ab37. Die Sensitivität der Daten hat daher einen Einfluss auf die Auswahl der Organisationsform der Cloud: Je sensitiver bzw. heikler die Daten sind, desto eher sollte – aufgrund der getrennten und daher sichereren Infrastruktur – eine Private Cloud gewählt werden, die eine individuelle Ausgestaltung ermöglicht38.

[23]

Der EDÖB verlangt in seiner Empfehlung, dass die technischen und organisatorischen Massnahmen periodisch vor Ort zu überprüfen sind39. Es stellt sich die Frage, was eine solche Vor-Ort-Prüfung alles umfassen soll. Denkbar ist, dass eine solche Vor-Ort-Kontrolle die Prüfung der Infrastruktur bzw. der diesbezüglichen Schutzvorkehrungen40 des Cloud-Providers umfasst. Da der Cloud-Provider für seine Cloud-Dienstleistungen unter Umständen Server nutzt, die über die ganze Welt verstreut sind, ist eine Vor-Ort-Kontrolle jedoch nur schwer umsetzbar. Darüber hinaus ist zu beachten, dass der Provider einer Public Cloud – aus naheliegenden Gründen – seinen Kunden in aller Regel kein Inspektionsrecht gewährt. Möglich ist hingegen, dass sich der Nutzer einer Private Cloud, deren Infrastruktur durch einen Dritten bereitgestellt wird, ein entsprechendes Inspektionsrecht vorbehält.

[24]
Was die softwaremässigen Sicherheitsvorkehrungen betrifft, so kann der Cloud-Nutzer selbstverständlich das Sicherheitskonzept des Cloud-Providers überprüfen, aber ob dieses auch tatsächlich so umgesetzt wird bzw. ob es für die konkrete Datenbearbeitung einen angemessenen Schutz bietet, dürfte für den Laien kaum überprüfbar sein. Hier ist dem Cloud-Nutzer zu empfehlen, nur auf zertifizierte Provider zurückzugreifen.

4.

Risiken bei Inanspruchnahme von Cloud-Dienstleistungen ^

[25]
Nachdem das Verhältnis zwischen Cloud-Nutzer und Cloud-Provider aus datenschutzrechtlicher Sicht dargestellt wurde, soll im folgenden Abschnitt auf die konkreten datenschutzrechtlichen Risiken bei der Nutzung von Cloud-Services eingegangen werden. Dabei soll lediglich ein Überblick über spezifische Risiken, die durch die Nutzung von Cloud-Services entstehen können, gegeben werden, wobei kein Anspruch auf Vollständigkeit erhoben wird.

4.1.

Kontrollverlust ^

[26]
Ein Vorteil von Cloud-Services, nämlich die Flexibilität beim Bezug dieser Services, ist aus datenschutzrechtlicher Sicht gleichzeitig auch deren Nachteil. Die Daten werden nicht mehr auf der unternehmenseigenen sondern einer fremden IT-Infrastruktur bearbeitet, auf welche der Cloud-Nutzer jedoch nur beschränkt Zugriff hat. Er hat nicht mehr die volle Kontrolle über seine Daten, sondern diese sind auf IT-Infrastrukturen auf der ganzen Welt verteilt, welche durch Cloud-Provider bzw. Sub-Provider betrieben werden, die dem Cloud-Nutzer unter Umständen überhaupt nicht bekannt sind. Wie bereits erwähnt, ist für den Cloud-Nutzer in der Regel nicht ohne weiteres erkennbar, wo seine Daten tatsächlich physisch gespeichert sind und schwer einzuschätzen, ob seine Daten wirklich angemessen geschützt sind. Eine Zertifizierung des Cloud-Providers nach anerkannten Standards kann hier eine gewisse Abhilfe schaffen.
[27]

Diese Gefahr ist bei einer Public Cloud am grössten, muss der Cloud-Nutzer in der Regel die AGB des Providers ohne die Möglichkeit einer Änderung annehmen, wenn er die Dienstleistungen nutzen möchte. Eine vertragliche Vereinbarung von spezifischen Klauseln über die Einhaltung der Datenschutzbestimmungen sowie die anzuwendenden technischen und organisatorischen Massnahmen fallen damit grundsätzlich ausser Betracht41. Auch hat der Cloud-Nutzer in der Regel weder Gewissheit noch die Möglichkeit zur Überprüfung, ob die Daten tatsächlich gelöscht sind, wenn er dies entsprechend angeordnet hat42.

[28]

Der Cloud-Nutzer läuft daher Gefahr, seinen datenschutzrechtlichen Pflichten in Bezug auf Datensicherheit (Art. 7 DSG), Gewährung des Auskunftsrechts (Art. 8 Abs. 4 DSG) oder Berichtigung und Vernichtung der Daten (Art. 15 Abs. 1 DSG) nicht nachkommen zu können43.

4.2.

Geteilte Infrastruktur ^

[29]

Ein weiteres Problem bei Cloud-Services – insbesondere bei Public Clouds – besteht darin, dass mehrere Nutzer, welche keinen Bezug zueinander haben müssen, die gleiche Infrastruktur nutzen. Dadurch besteht das Risiko, dass unsorgfältige Programmierung, Pannen beim Cloud-Provider oder Hackerangriffe dazu führen, dass Unbefugte auf Daten von Cloud-Nutzern zugreifen können44. Werden in der Cloud unverschlüsselte Daten bearbeitet, kann dies – je nach Sensitivität der Daten – nachteilige Auswirkungen für den Cloud-Nutzer haben. Es besteht ein beträchtliches Reputationsrisiko. Auch hier läuft der Cloud-Nutzer Gefahr, seinen datenschutzrechtlichen Pflichten in Bezug auf die Datensicherheit (Art. 7 DSG) nicht nachkommen zu können. Um dieses Risiko zu minimieren, empfiehlt es sich daher – zumindest bei sensitiven Daten – nur Private Cloud-Services zu nutzen.

4.3.

Mangelnde Kompatibilität ^

[30]

Die meisten Cloud-Provider arbeiten mit ihrer eigenen Technologie und den eigenen Systemen. Eine Kompatibilität zwischen den Systemen der einzelnen Cloud-Provider ist daher grundsätzlich nicht gewährleistet. Durch die fehlende Kompatibilität der Systeme zwischen den einzelnen Cloud-Providern begibt sich der Cloud-Nutzer in ein Abhängigkeitsverhältnis zum von ihm gewählten Cloud-Anbieter. Soll die Zusammenarbeit zwischen Cloud-Nutzer und Cloud-Provider in der Folge beendet werden – aus welchen Gründen auch immer – so besteht das Risiko, dass die Daten nicht oder nur mit entsprechendem Aufwand auf einen anderen Cloud-Provider oder ins eigene IT-System migriert werden können, was zu einem Datenverlust oder zu einer Datenbeschädigung führen kann45. Auch in diesem Fall kann der Cloud-Nutzer seinen datenschutzrechtlichen Pflichten nicht vollumfänglich nachkommen46. Es empfiehlt sich deshalb, mit dem Cloud-Provider eine vertragliche Vereinbarung in Bezug auf die Datenmigration zu treffen oder nur solche Cloud-Provider auszuwählen, die ein kompatibles System verwenden.

5.

Haftung bei Datenschutzverletzungen in der Cloud ^

[31]
Wenn die Bearbeitung von Personendaten in der Cloud zu einer Persönlichkeitsverletzung führt, so stellt sich die Frage, wer in einem solchen Fall haftet. Dabei sind drei Konstellationen auseinander zu halten: i) das Verhältnis zwischen betroffener Person47 und Cloud-Nutzer, ii) das Verhältnis zwischen Cloud-Nutzer und Cloud-Provider und iii) das Verhältnis zwischen der betroffenen Person und Cloud-Provider.

5.1.

Ansprüche der betroffenen Person ^

[32]
Gemäss Art. 12 Abs. 1 DSG darf derjenige, der Personendaten bearbeitet, die Persönlichkeit der betroffenen Person nicht verletzen. Dabei darf er insbesondere nicht a) Personendaten entgegen den Grundsätzen von Art. 4, Art. 5 Abs. 1 und Art. 7 Abs. 1 DSG bearbeiten, b) ohne Rechtfertigungsgrund Daten einer Person gegen deren ausdrücklichen Willen bearbeiten und c) ohne Rechtfertigungsgrund besonders schützenswerte Personendaten oder Persönlichkeitsprofile Dritten bekannt geben. Liegt eine Datenbearbeitung vor, die gegen Art. 12 DSG verstösst und liegt kein Rechtfertigungsgrund gemäss Art. 13 DSG vor, so kann die betroffene Person die Ansprüche gemäss Art. 15 DSG geltend machen. Ihr stehen dabei insbesondere ein Beseitigungs- (Art. 15 Abs. 1 DSG i.V.m. Art. 28a Abs. 1 Ziff. 1 ZGB), ein Unterlassung- (Art. 15 Abs. 1 DSG i.V.m. Art. 28a Abs. 1 Ziff. 2 ZGB) sowie ein Feststellungsanspruch (Art. 15 Abs. 1 DSG i.V.m. Art. 28a Abs. 1 Ziff. 3 ZGB) zu. Darüber hinaus kann die betroffene Person bei Verschulden des Datenbearbeiters auch Schadenersatzansprüche geltend machen (Art. 15 Abs. 1 DSG i.V.m. Art. 28a Abs. 3 ZGB und Art. 41 OR).

5.2.

Ausgangsfall ^

[33]

Um die konkreten Ansprüche der betroffenen Person bei Datenschutzverletzungen im Zusammenhang mit Cloud-Services zu verdeutlichen, soll vom folgenden Beispiel ausgegangen werden: Ein Patient A48 ist in Behandlung beim Arzt B49. Dieser verwendet für die Speicherung der Patientendaten die Cloud-Dienstleistungen des Unternehmens C50. Durch eine Panne infolge einer Softwareaktualisierung bei C sind die Patientendaten von A auch für Dritte zugänglich.

5.3.

Ansprüche von A gegenüber B ^

5.3.1.

Persönlichkeitsverletzung ^

[34]

Damit A gegenüber B Ansprüche51 geltend machen kann, muss eine Persönlichkeitsverletzung im Sinne von Art. 12 DSG vorliegen. Aufgrund des unbefugten Zugriffs von Dritten auf die Patientendaten von A, ist keine angemessene Datensicherheit mehr gewährleistet, was eine Verletzung von Art. 7 Abs. 1 DSG darstellt. Ausserdem werden besonders schützenswerte Personendaten – die Patientendaten von A – Dritten bekanntgegeben, wobei kein Rechtfertigungsgrund vorliegt52. Demnach ist eine Persönlichkeitsverletzung im Sinne von Art. 12 Abs. 1 lit a und c DSG gegeben.

5.3.2.

Verschuldensunabhängige Ansprüche ^

[35]

A hat sämtliche Ansprüche gemäss Art. 15 DSG gegenüber B. Dabei ist zwischen den verschuldensunabhängigen (wie z.B. dem Beseitigungsanspruch oder dem Anspruch auf Sperrung der Datenbearbeitung) und den verschuldensabhängigen (wie z.B. dem Schadenersatzanspruch) Ansprüchen zu unterscheiden.

[36]

Als verschuldensunabhängige Ansprüche stehen A insbesondere ein Beseitigungs-, Unterlassungs- sowie Feststellungsanspruch zu Verfügung. Mit dem Beseitigungsanspruch kann A die Beseitigung einer bestehenden, d.h. bereits eingetreten aber noch fortdauerenden rechtswidrigen Persönlichkeitsverletzung verlangen (Art. 28a Abs. 1 Ziff. 2 ZGB), wobei kein Verschulden seitens B vorausgesetzt wird53. Vorliegend hat A grundsätzlich einen Beseitigungsanspruch gegenüber B, da eine rechtswidrige Persönlichkeitsverletzung eingetreten ist und diese fortdauert, solange die Sicherheitslücke nicht behoben ist. Nichtsdestotrotz wird der Beseitigungsanspruch in der Praxis regelmässig daran scheitern, dass Sicherheitslücken in Cloud-Anwendungen zügig behoben werden und es daher an der Voraussetzung der Fortdauer der Persönlichkeitsverletzung mangelt54.

[37]

Auch der Unterlassungsanspruch (Art. 28a Abs. 1 Ziff. 1 ZGB) dürfte ausser Betracht fallen, da diesbezüglich ein hinreichendes Rechtsschutzinteresse nur dann bejaht wird, wenn eine Verletzung unmittelbar droht, d.h. wenn das Verhalten des Beklagten die künftige Verletzung ernsthaft befürchten lässt55. Sofern in der Vergangenheit nicht bereits ähnliche Sicherheitslücken aufgetreten sind, ist ein entsprechendes Rechtsschutzinteresse in der Regel zu verneinen.

[38]

Für den Feststellungsanspruch (Art. 28a Abs. 1 Ziff. 3 ZGB) ist erforderlich, dass die Persönlichkeitsverletzung abgeschlossen ist, sich diese jedoch weiterhin störend auswirkt56. Auch hier dürfte es bei zügiger Behebung der Sicherheitslücken – sofern die Personendaten von A nicht weiterhin auf dem Internet verfügbar sind – am Rechtsschutzinteresse fehlen.

 

5.3.3.

Verschuldensabhängige Ansprüche ^

[39]

Sofern A durch die Persönlichkeitsverletzung einen Schaden erleidet, kann er gegenüber B einen Schadenersatzanspruch geltend machen (Art. 15 Abs. 1 DSG i.V.m. Art. 28a Abs. 3 ZGB und Art. 41 ff. OR). Die Problematik dürfte vorliegend beim Schaden liegen. A muss einen Schaden im Sinne der Differenztheorie erlitten haben, um überhaupt Schadenersatzansprüche geltend machen zu können. Findet A z.B. aufgrund der öffentlich zugänglichen Patientendaten keine Stelle, so stellt dies einen Schaden in Form von entgangenem Gewinn dar57. Erleidet A jedoch keinen Schaden im Rechtssinne, so fallen Ansprüche nach Art. 41 ff. OR von vornherein ausser Betracht.

[40]

Eine Haftung setzt ein entsprechendes Verschulden von B voraus, wobei von einem objektivierten Sorgfaltsmassstab auszugehen ist58. Welche Sorgfalt im konkreten Einzelfall geschuldet ist, hängt insbesondere von der Art der bearbeiteten Personendaten ab. Da im vorliegenden Beispiel besonders schützenswerte Personendaten (Patientendaten) bearbeitet werden, ist entsprechend ein höherer Sorgfaltsmassstab anzulegen.

 

[41]

Vorliegend kann A sich auf Art. 55 Abs. 1 OR stützen, da nicht B, sondern dessen Hilfsperson C (der Cloud-Anbieter) den Schaden verursacht hat59. B kann sich von seiner Haftung befreien, wenn er beweist, dass er alle nach den Umständen gebotene Sorgfalt angewendet hat60. Dabei hat er insbesondere nachzuweisen, dass er die gebotene Sorgfalt in Bezug auf die Auswahl, Instruktion und Überwachung von C eingehalten hat61. Sofern B die entsprechende Sorgfalt bei der Auswahl des Cloud-Anbieters hat walten lassen (z.B. Prüfung, ob C zertifiziert ist, Prüfung des Sicherheitskonzepts von C, etc.), er C vertraglich zur Einhaltung der relevanten Sicherheitsstandards verpflichtet hat und dies der erste Verstoss von C gegen das Datenschutzgesetz ist und B ihn abgemahnt hat, dann ist davon auszugehen, dass B seiner Sorgfaltspflicht nachgekommen ist, was eine Haftung nach Art. 55 Abs. 1 OR ausschliesst. Ist hingegen bekannt, dass die Cloud-Dienstleistungen von C regelmässig Sicherheitslücken aufweisen oder sind im Verhältnis zwischen B und C bereits Datenschutzverstösse vorgefallen, so ist B seiner Sorgfaltspflicht nicht vollumfänglich nachgekommen, was – sofern die weiteren Voraussetzungen gegeben sind – zu einer Haftung von B aufgrund von Art. 55 Abs. 1 OR führt62.

5.4.

Ansprüche von B gegenüber C ^

[42]

Zwischen B und C wird in aller Regel ein entsprechendes Outsourcing-Agreement (oder AGB) bestehen, welches die Dienstleistungserbringung durch C regelt63. Gemäss Art. 10a Abs. 1 lit. a DSG darf die Datenbearbeitung nur dann an Dritte ausgelagert werden, wenn dieser die Daten nur so bearbeitet, wie der Auftraggeber selbst es tun dürfte64. In der Praxis wird dabei dem Dritten in der Regel vertraglich die Pflicht überbunden, die Daten nur zum Zwecke der Vertragserfüllung zu bearbeiten und sich stets an die anwendbaren Datenschutzbestimmungen zu halten65.

[43]

Verstösst C als Auftragsbearbeiter im Sinne von Art. 10a DSG gegen das Datenschutzgesetz, so liegt im Verhältnis zwischen B und C gleichzeitig eine Vertragsverletzung vor. Sollte B durch die Vertragsverletzung von C ein Schaden entstanden sein (z.B. Schadenersatzansprüche von A), so kann B gestützt auf Art. 97 Abs. 1 OR den Ersatz dieses Schadens von C verlangen66. Hingegen stehen B – da er nicht betroffene Person im Sinne des DSG ist – keine Ansprüche aus dem Datenschutzgesetz gegenüber C zu.

5.5.

Ansprüche von A gegenüber C ^

[44]

Die Ansprüche nach Art. 15 DSG können gegen jede Person, die an der Verletzung mitwirkt, geltend gemacht werden67. Das Schweizerische Datenschutzrecht kennt keine haftungsrechtliche Privilegierung des Auftragsbearbeiters. A kann somit auch gegen C vorgehen, der für die Panne die Hauptverantwortung trägt. Demnach stehen A auch gegenüber C – bei gegebenen Voraussetzungen – Unterlassungs-, Beseitigungs-, Feststellungs- sowie Schadenersatzansprüche zu. Es gelten in Bezug auf die Unterlassungs-, Beseitigungs- und Feststellungsansprüche die gleichen Überlegungen wie gegenüber B68. Hingegen muss A seinen Schadenersatzanspruch gegenüber C auf Art. 41 Abs. 1 OR und nicht auf Art. 55 Abs. 1 OR stützen. A muss folglich einen Schaden, die Widerrechtlichkeit des Verhaltens von C, den Kausalzusammenhang zwischen Schaden und Verhalten von C sowie ein Verschulden desselben nachweisen. In Bezug auf das Verschulden gilt auch hier ein objektivierter Sorgfaltsmassstab, d.h. C hat diejenige Sorgfalt anzuwenden, die nach den Umständen erwartet werden kann69. Auch hier ist aufgrund der Sensitivität der bearbeiteten Personendaten von einer erhöhten Sorgfaltspflicht auszugehen70. Zur (Sorgfalts-)Pflicht von C gehört dabei, eine angemessene Datensicherheit zu gewährleisten, wobei die Angemessenheit anhand der Sensitivität der bearbeiteten Personendaten zu bestimmen ist. Da im vorliegenden Fall besonders schützenswerte Personendaten bearbeitet werden, sind die an C gestellten Anforderungen entsprechend höher. Hat C bei der Softwareaktualisierung, welche zur Panne geführt hat, nicht diejenige Sorgfalt angewendet, die aufgrund der Sensitivität der bearbeiteten Personendaten sowie der übrigen Umstände erwartet werden durfte, ist ein Verschulden von C zu bejahen. Kann A überdies das Vorhandensein der übrigen Haftungsvoraussetzungen nachweisen, so hat er gegenüber C einen entsprechenden Ersatzanspruch aus Art. 41 Abs. 1 OR.

6.

Zusammenfassung ^

[45]
Obwohl sich das Cloud Computing immer grösserer Beliebtheit erfreut, ist die Nutzung von Cloud-Dienstleistungen aus datenschutzrechtlicher Sicht nicht unbedenklich. Die datenschutzrechtlichen Risiken variieren dabei je nach Art der verwendeten Cloud. Insbesondere Public Clouds, bei welchen eine Vielzahl von Nutzern die gleiche Infrastruktur teilen, sind aus datenschutzrechtlicher Sicht mit Vorsicht zu geniessen.
[46]
Unternehmen, welche für die Bearbeitung von Kunden-, Arbeitnehmer- oder anderer Personendaten Cloud-Dienstleistungen in Anspruch nehmen, sollten sich dieser Risiken bewusst sein. Personen oder Unternehmen, die besonders sensitive Personendaten bearbeiten, sollten sich gut überlegen, ob sie für die Bearbeitung dieser Personendaten auf Cloud-Services zurückgreifen wollen. Insbesondere eine detaillierte vertragliche Regelung zum Schutz der Daten ist unerlässlich. Darüber hinaus ist zu empfehlen, auf Private Cloud-Lösungen zurückzugreifen, welche eine auf die Bedürfnisse des Nutzers zugeschnittene Lösung ermöglichen und damit auch einen angemessenen Schutz gewährleisten können.

Lic.iur. Philippe Fuchs ist Rechtsanwalt in Zürich.

 

Der Autor bedankt sich bei Georges D. Frick, MLaw, für die wertvollen Hinweise in Bezug auf die technischen Aspekte des Cloud Computings.

 

  1. 1 Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter, Erläuterungen zu Cloud Computing, 27. Oktober 2011, abrufbar unter: http://www.edoeb.admin.ch/themen/00794/01124/01768/index.html?lang=de (nachfolgend Erläuterungen).
  2. 2 Orientierungshilfe – Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (Stand 26. September 2011), abrufbar unter www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf (nachfolgend Orientierungshilfe).
  3. 3 Z.B. IBM SmartCloud, Amazon Elastic Compute Cloud (EC2) oder Amazon Simple Storage Service (S3).
  4. 4 Erläuterungen, FN 1, S. 1.
  5. 5 Orientierungshilfe, FN 2, S. 4.
  6. 6 Lukas Morscher, Aktuelle Entwicklungen im Technologie- und Kommunikationsrecht, ZBJV 147/2011, S. 216.
  7. 7 Fabian Niemann/Thorsten Hennrich, Kontrollen in den Wolken? Auftragsdatenverarbeitung in Zeiten des Cloud Computings, CR 10/2010, S. 686.
  8. 8 Thomas Söbbing, Cloud Computing, die Zukunftsvisionen von Amazon, Google und Microsoft rechtlich betrachtet, in: Jusletter, 10. August 2009, S. 2; Adrian Rufener, Cloud Computing, Anwaltsrevue 4/2012, 198.
  9. 9 Morscher, FN 6, S. 216; Jan Schlüter/Stephanie Teufel, Cloud Computing-Anwendungen im Netz, in: digma 1/2009, S. 8.
  10. 10 Vgl. statt vieler Amazon Web Services Customer Agreement, Art. 10 Disclaimers: […] We and our affiliates and licensors make no representations or warranties of any kind […] regarding the service offerings […]including any warranty that the service offerings […] will be uninterrupted, error free or free of harmful components, or that any content […] will be secure or not otherwise lost and damaged.
  11. 11 Annett Laube-Rosenpflanzer/Henrik Plate, Security Management für IT-Dienstanbieter, digma 4/2010, S. 164; Erläuterungen, FN 1, S. 1; Orientierungshilfe, FN 2, S. 7; Morscher, FN 6, Fn 95.
  12. 12 Laube-Rosenpflanzer/Plate, FN 11, S. 164; Erläuterungen, FN 1, S. 1; Orientierungshilfe, FN 2, S. 7; Morscher, FN 6, FN 94.
  13. 13 Erläuterungen, FN 1, S. 1; Orientierungshilfe, FN 2, S. 7; Morscher, FN 6, FN 93.
  14. 14 Der vorliegende Artikel setzt sich nur mit der Datenbearbeitung durch private Personen gem. Art. 2 Abs. 1 lit. a DSG auseinander und nicht mit der Datenbearbeitung durch Bundesorgane gem. Art. 2 Abs. 1 lit. b DSG.
  15. 15 Urs Belser, BSK-DSG, Art. 3 N 6; David Rosenthal, Handkommentar zum DSG, Art. 3 N 19.
  16. 16 Belser, FN 15, Art. 3 N 6; Rosenthal, FN 15, Art. 3 N 20.
  17. 17 Belser, FN 15, Art. 3 N 6.
  18. 18 Z.B. Daten von Arbeitnehmern, Patienten oder Kunden.
  19. 19 Erläuterungen, FN 1, S. 3; Morscher, FN 6, S. 218; für das deutsche Recht: Niemann/Hennrich, FN 7, S. 687.
  20. 20 Corrado Rampini, BSK-DSG, Art. 14 N 18; Rosenthal, FN 15, Art. 10a N 24 ff.; so entfällt z.B. die Pflicht des Inhabers der Datensammlung zur Information über Datenempfänger im Rahmen von Art. 14 Abs. 1 DSG; auch ist der Erkennbarkeitsgrundsatz gemäss Art. 4 Abs. 4 DSG im Innenverhältnis zwischen Auftraggeber und Auftragsbearbeiter nicht zu beachten.
  21. 21 So hat der Cloud-Nutzer z.B. darauf zu achten, ob der Cloud-Provider zertifiziert ist, ob er sich in der Vergangenheit bereits Verfehlungen hat zu Schulden kommen lassen und welche Sicherheitsstandards er verwendet.
  22. 22 Rampini, FN 20, Art. 14 N 11; Rosenthal, FN 15, Art. 10a N 48 f.; Morscher, FN 6, S. 218; das Mass der Sorgfalt steigt dabei je vertraulicher und schützenswerter die zu bearbeitenden Daten sind.
  23. 23 Rampini, FN 20, Art. 14 N 11.
  24. 24 Rampini, FN 20, Art. 14 N 11; Rosenthal, FN 15, Art. 10a N 52 ff.
  25. 25 Rampini, FN 20, Art. 14 N 11; Rosenthal, FN 15, Art. 10a N 63.
  26. 26 Rosenthal, FN 15, Art. 10a N 77.
  27. 27 Rosenthal, FN 15, Art. 10a N 77.
  28. 28 D.h. Verfehlungen, welche nicht nur eine weisungswidrige Datenbearbeitung darstellen, sondern welche datenschutzrechtlich nicht mehr zulässig sind, weil die Bearbeitung gegen das DSG verstösst. Dies ist z.B. dann der Fall, wenn der Cloud-Provider die Daten zu Marketingzwecken an einen Dritten verkauft. Vgl. auch Rosenthal, FN 15, Art. 10a N 67 f.
  29. 29 Rosenthal, FN 15, Art. 10a N 67.
  30. 30 Söbbing, FN 8, S. 3; Schlüter/Teufel, FN 9, S. 7.
  31. 31 Niemann/Hennrich, FN 7, S. 687; selbstverständlich steht es den Parteien frei, vertraglich zu vereinbaren, dass nur Server in bestimmten Ländern benutzt werden dürfen. Dies kann jedoch einen Vorteil des Cloud Computings, nämlich die Flexibilität, erheblich einschränken. Gewisse Provider bieten auch länderspezifische Clouds an, so z.B. IBM für Deutschland.
  32. 32 Rosenthal, FN 15, Art. 10a N 28; Morscher, FN 6, S. 218.
  33. 33 Liste abrufbar unter: http://www.edoeb.admin.ch/themen/00794/00827/index.html?lang=de.
  34. 34 So auch für das Deutsche Recht Niemann/Hennrich, FN 7, S. 687.
  35. 35 Es wird diesbezüglich auf FN 33 verwiesen.
  36. 36 Erläuterungen, FN 1, S. 4.
  37. 37 Erläuterungen, FN 1, S. 3. Darüber hinaus ist gemäss Art. 8 Abs. 2 VDSG auch folgenden Kriterien Rechnung zu tragen: a) Zweck der Datenbearbeitung, b) Art und Umfang der Datenbearbeitung, c) Einschätzung der möglichen Risiken für die betroffenen Personen sowie d) gegenwärtiger Stand der Technik.
  38. 38 Erläuterungen, FN 1, S. 3.
  39. 39 Erläuterungen, FN 1, S. 3.
  40. 40 Z.B. Überwachung der Zugänge, Alarmsysteme, Videoüberwachung, Brandschutzvorkehrungen, etc.
  41. 41 Gewisse Cloud-Provider bieten ihren Nutzern die Möglichkeit, zusätzliche Sicherheitspakete zu erwerben, um so den Schutz der in der Cloud bearbeiteten Daten zu erhöhen.
  42. 42 Orientierungshilfe, FN 2, S. 14.
  43. 43 Erläuterungen, FN 1, S. 2; Orientierungshilfe, FN 2, S. 14.
  44. 44 So geschehen bei Dropbox, vgl. http://www.20min.ch/digital/webpage/story/GAU-beim-Online-Speicherdienst-Dropbox-26286778.
  45. 45 Erläuterungen, FN 1, S. 2.
  46. 46 Darüber hinaus kann der Datenverlust auch zu einer vertraglichen Haftung des Cloud-Nutzers gegenüber seinen Kunden führen.
  47. 47 Darunter ist diejenige Person zu verstehen, deren Daten in der Cloud bearbeitet werden.
  48. 48 Die betroffene Person.
  49. 49 Der Cloud-Nutzer.
  50. 50 Der Cloud-Provider.
  51. 51 Es wird dabei nur auf die Ansprüche aus dem DSG eingegangen. Allfällige vertragliche Ansprüche werden vorliegend nicht in die Betrachtung mit einbezogen.
  52. 52 Bekanntgeben ist gemäss Art. 3 lit. f DSG das Zugänglichmachen von Personendaten wie das Einsichtgewähren, Weitergeben oder Veröffentlichen. Dabei fällt nicht nur die aktive Weitergabe unter Art. 3 lit. f DSG, sondern ebenso das passive Zugänglichmachen; vgl. Rosenthal, FN 15, Art. 3 N 75.
  53. 53 Rampini, FN 20, Art. 15 N 7; Rosenthal, FN 15, Art. 15 N 32; Andreas Meili, BSK-ZGB I, Art. 28a N 4.
  54. 54 Anders ist dann zu entscheiden, wenn die Daten weiterhin – also trotz Behebung der Panne – im Internet verfügbar sind.
  55. 55 BGE 124 III 74; Rampini, FN 20, Art. 15 N 11; Rosenthal, FN 15, Art. 15 N 27; Meili, FN 53, Art. 28a N 2.
  56. 56 Meili, FN 53, Art. 28a N 8.
  57. 57 Anton K. Schnyder, BSK-OR I, Art. 41 N 6; vgl. auch Rosenthal, FN 15, Art. 15 N 39.
  58. 58 Rampini, FN 20, Art. 15 N 21; Rosenthal, FN 15, Art. 15 N 38.
  59. 59 Voraussetzung dafür ist jedoch, dass C in einem Subordinationsverhältnis zu B steht. Dazu genügt jedoch ein beschränktes Weisungsrecht von B gegenüber C, wie dies üblicherweise im Rahmen von Art. 10a DSG vertraglich vereinbart wird. Vgl. auch Rosenthal, FN 15, Art. 10a N 88.
  60. 60 Schnyder, FN 57, Art. 55 N 16.
  61. 61 Schnyder, FN 57, Art. 55 N 18 ff.
  62. 62 Darüber hinaus ist bei einer entsprechend schweren Persönlichkeitsverletzung auch eine Genugtuung denkbar (Art. 15 Abs. 1 DSG i.V.m. Art. 28a Abs. 3 ZGB und Art. 49 OR).
  63. 63 Vgl. vorne Kapitel 3.2.1.
  64. 64 Vgl. vorne Kapitel 3.2.1.
  65. 65 Rosenthal, FN 15, Art. 10a N 93.
  66. 66 Selbstverständlich sind allfällige vertragliche Haftungsbeschränkungen im Rahmen von Art. 100 Abs. 1 OR zu beachten. Denkbar ist auch, dass B seinen Anspruch auf Art. 55 Abs. 2 OR stützt.
  67. 67 Art. 28 Abs. 1 ZGB; Rampini, FN 20, Art. 15 N 6; Rosenthal, FN 15, Art. 15 N 17.
  68. 68 Vgl. vorne Kapitel 5.3.3.
  69. 69 Schnyder, FN 57, Art. 41 N 48.
  70. 70 Vgl. vorne Kapitel 5.3.3 für die von B geschuldete Sorgfalt.