Das Thema Cloud Computing ist brandaktuell. Neben technischen Herausforderungen stellt sich auch die Frage der Kontrolle der Daten, weil die Hardware (Speicher, Rechner, Netzwerk, …) und die Software nicht im Eigentum des Unternehmens stehen und auch nicht von diesem betrieben wird. In diesem Blogbeitrag gehen wir auf einzelne Problemstellungen rund um die externe Datenhaltung ein und zeigen Ihnen auf, welche Lösungen Run my Accounts dafür bereit hält.
Ausgangslage: Der Auftraggeber ist verantwortlich
Der Eidgenössische Datenschutzbeauftragte macht in seinen Erläuterungen zu Cloud Computing klar, dass der Auftraggeber sich selber vergewissern muss, dass der Anbieter der Cloud Lösung die Datensicherheit gewährleistet. Der Cloud Nutzer bleibt letztlich gegenüber den betroffenen Personen (deren Daten er in der Cloud nutzt) selber verantwortlich für die Einhaltung der schweizerischen Datenschutz-Vorschriften und haftet sogar bei allfälligen Verletzungen.
Der Auftraggeber muss folgende Punkte sicherstellen:
- Der Datenschutz und die Datensicherheit müssen gewährleistet bleiben.
- Es darf nicht zu einem Kontrollverlust der Daten kommen.
- Ausländische Behörden sollen keinen Zugriff auf die Daten haben.
- Die Daten müssen im Falle eines Wechsels des Anbieters migriert werden können.
Datenschutzrechtliche Vorgaben bei der Auslagerung
Art. 10 des Datenschutzgesetzes (DSG) bestimmt, dass das Bearbeiten von Personendaten an Dritte (z.B. Cloud-Anbieter) übertragen werden darf, so lange die Daten nur so bearbeitet werden, wie der Auftraggeber (z.B. Cloud-Nutzer) selbst es tun dürfte. Der Auftraggeber muss sich vergewissern, dass der Cloud Anbieter die Datensicherheit gewährleistet.
Der Cloud-Anbieter muss damit verpflichtet werden, sich vollumfänglich an die in der Schweiz geltenden Datenschutzbestimmungen zu halten. Dies gilt genauso für allfällige Subunternehmer (Hardware- und Softwarelieferanten, Berater, Reinigungs-Personal, Software-Wartung, Support, …), die vom Anbieter beigezogen werden.
Art. 7 des Datenschutzgesetztes bestimmt, dass Personendaten durch angemessene technische und organisatorische Massnahmen gegen unbefugtes Bearbeiten geschützt werden. Dabei muss sich der Cloud-Nutzer gegen folgende Risiken absichern:
- unbefugte oder zufällige Datenvernichtung
- Datenverlust
- technische Fehler
- Fälschung, Diebstahl oder widerrechtliche Verwendung
- unbefugtes Ändern, Kopieren, Zugreifen
Der Cloud-Nutzer ist dafür verantwortlich, dass der Cloud-Anbieter die Daten gegen die aufgeführten Risiken schützt. Der Datenschutzbeauftragte verlangt sogar, dass die Massnahmen gegen diese Risiken regelmässig vor Ort durch den Nutzer zu überprüfen sind – eine Forderung, die nicht einfach eingehalten werden kann und meist schon an den Zugangsbestimmungen von Rechenzentren scheitern wird.
Die Run my Accounts AG mit Sitz in Stäfa hält als schweizerisches Unternehmen alle in der Schweiz geltenden Datenschutzbestimmungen ein. Die Risiken im Umfeld von Datenverlust und Datensicherheit minimieren wir, indem wir in 2 Rechenzentren in Bern eine voll-redundante Infrastruktur betreiben und die Daten permanent gespiegelt sind. Sollte ein Rechenzentrum ausfallen, können wir den Betrieb zeitnah in unserem zweiten Rechenzentrum weiterführen. Für das Worst-Case Szenario haben wir die Daten in einem dritten Rechenzentrum in Zürich gespeichert. Die Datensicherheit ist für uns von fundamentaler Bedeutung: deshalb haben wir ein spezialisiertes Unternehmen damit beauftragt, unsere auf Linux basierten Rechner ständig aktuell zu halten.
Kein Kontrollverlust über die Daten
Das Auskunftsrecht nach Art. 8 DSG und das Recht auf Löschung und Berichtigung der Daten nach Art. 5 DSG müssen jederzeit gewährleistet sein. Der Cloud-Nutzer als verantwortlicher Dateninhaber muss also wissen, wo genau seine Daten in der Cloud gespeichert und verarbeitet werden. Er muss dem Cloud-Anbieter entsprechende Verpflichtungen auferlegen, damit der Datenschutz jederzeit eingehalten werden kann.
Die Daten unserer Kunden werden in Rechenzentren in Bern und Zürich auf Hardware im Eigentum der Run my Accounts AG gehalten. In dem Sinne ist Run my Accounts eigentlich keine Cloud-Lösung: Die Daten werden nicht irgendwo auf der Welt gehalten, sondern der Kunde weiss exakt, wo unsere Applikationen betrieben und wo seine Daten gespeichert werden.
Daten in der Cloud im Ausland
Die ganz grossen Anbieter von Cloud Lösungen wie Amazon AWS betreiben riesige Rechenfarmen an unterschiedlichen Standorten auf der Welt. Keines dieser grossen Rechenzentren steht in der Schweiz. Werden die Daten im Ausland gespeichert, ist der Cloud-Anbieter auch gegenüber den jeweiligen ausländischen Behörden und Gerichten verpflichtet, gegebenenfalls Zugriff auf die Daten zu gewähren. Wenn die Daten in Ländern verarbeitet werden, in denen es keinen oder keinen nach schweizerischen Massstäben ausreichenden Datenschutz gibt, kann dies sehr problematisch sein. Und: kaum ein Datenschutzgesetz ist so streng wie das Schweizerische.
So verbietet Art. 6 Abs. 1 des Datenschutzgesetzes, die Bekanntgabe von Personendaten ins Ausland, sofern eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. Ob in einem Land ein angemessener Schutz vorhanden ist, ist auf der «Staatenliste» des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) ersichtlich. Bemerkenswert ist dabei, dass die Datenhaltung in den USA nur unter bestimmten Voraussetzungen erlaubt ist: der Cloud Anbieter muss dem Safe Harbor Framework beigetreten und auf der Liste des U.S. Department of Commerce verzeichnet sein.
Die Datenhaltung im Ausland ist nur erlaubt, wenn eine der in Art. 6 Abs. 2 DSG aufgeführten Bedingungen erfüllt ist. Ein Cloud-Nutzer muss mit dem Cloud-Anbieter demzufolge einen Vertrag abschliessen, der vertragliche Datenschutz-Garantien nach schweizerischer Vorlage enthält, wobei auch seine Subunternehmer miteinbezogen werden müssen. Je nach Angebot und Anbieter dürfte es sehr schwierig sein, entsprechende Verträge abzuschliessen.
Run my Accounts betreibt die Web-Buchhaltungs-Applikation auf eigenen Servern in Bern und in Zürich. Die Daten auf unseren Rechnern verlassen die Schweiz nicht.
Datenrückgabe: Migration muss möglich sein
Bei der Buchhaltung in der Cloud ist die Archivierungspflicht ein ganz relevantes Thema: die Geschäftsbücher und Buchungsbelege müssen während 10 Jahren aufbewahrt werden. Die Gefahr eines Lock-in Effektes ist gross: die Daten müssen lange aufbewahrt werden, eine Migration aus einer Cloud-Buchhaltung ist nicht einfach zu bewerkstelligen. Die Daten werden meistens auf proprietären Systemen gehalten. Eine Migration ist teuer und anspruchsvoll und die Abhängigkeit von einem Cloud-Anbieter kann ansteigen.
Die Lock-in Problematik bei der Buchhaltung stellt sich nicht nur in der Cloud: Da im Bereich der Buchhaltungs-Software Standard-Formate und Schnittstellen fehlen, ist es nie einfach, Daten vom System eines Anbieters in das System eines anderen Anbieters zu migrieren. Mehr dazu lesen Sie in unserem Blogbeitrag «Wie kann ich meine Buchhaltung wechseln?».
Wenn Daten schon nicht migriert werden können, gibt es die Alternative, das alte System parallel weiter zu betreiben. Es gilt zu beachten, dass dies im Bereich von Cloud Lösungen mit Kosten verbunden ist: die Rechner müssen weiterhin extern betrieben werden.
Run my Accounts setzt voll auf Open-Source Applikationen wie zum Beispiel das Dokumenten Management System Alfresco oder die ERP Lösung SQL-Ledger. Unsere Kunden können auf das PDF Archiv zugreifen und dieses per WebDAV Schnittstelle in einer Ordner-Struktur auf einem lokalen Rechner speichern. Auf Wunsch exportieren wir die gesamte Buchhaltungs-Datenbank, welche der Kunde auf einer lokalen SQL-Ledger Instanz wieder installieren kann. SQL-Ledger und Alfresco können gratis aus dem Internet herunter geladen werden. Sehen Sie zum Thema Migration auch unseren Artikel «Wie kann ich meine Buchhaltung wechseln?«. Eine paralleler Betrieb von alter und neuer Lösung ist bei Run my Accounts für CHF 29 pro Monat sehr erschwinglich.
Spezialthema: Anwalts- und Arztgeheimnis
Auch wenn in der Buchhaltung keine Patienten- oder Klientendaten im engeren Sinne gespeichert werden, ist es unumgänglich, dass ein Buchhalter gewisse Daten von Klienten eines Anwaltes oder Patienten eines Arztes einsehen kann: Alleine ein Blick auf die Bankkonto-Daten offenbart dem Buchhalter, wer Zahlungen überwiesen hat und damit als Klient oder Patient identifiziert werden kann.
Auslagerung von Klientendaten eines Anwaltes
Gemäss Art. 321 StGB unterstehen Rechtsanwälte dem Anwaltsgeheimnis. Der Cloud-Anbieter in der Schweiz ist im Sinne des Gesetzes eine Hilfsperson und eine Auslagerung der Daten an diese Hilfsperson ist möglich. Anders hingegen verhält sich dies bei einem Cloud-Anbieter im Ausland: Dieser Cloud Anbieter untersteht nicht dem Schweizerischen Strafgesetzbuch und kann damit nicht Hilfsperson gemäss Art. 321 StGB sein. Ein Anwalt kann Klientendaten nur dann in einer Cloud im Ausland halten, wenn der Klient explizit seine Einwilligung zur Datenhaltung im Ausland erteilet.
Auslagerung von Patientendaten eines Arztes
Patientendaten gehören gemäss Art. 3 lit. c DSG zu den besonders schützenswerten Personendaten – damit ist spezielle Achtsamkeit im Umgang mit den Daten geboten. Auch für Ärzte gilt das Berufsgeheimnis, welches Art. 321 StGB festlegt. Damit ist die Situation für Ärzte analog zu derjenigen von Rechtsanwälte: Eine Auslagerung der Daten ins Ausland ist kaum realistisch.
Diverse Anwälte und Ärzte vertrauen uns ihre Buchhaltung an. Da die Buchhaltungs-Daten ausschliesslich auf Rechnern in der Schweiz gehalten werden, ist dies unproblematisch. Run my Accounts ist Hilfsperson gemäss Art. 321 StGB und verpflichtet sich darüber hinaus mit einem umfassenden Non Disclosure Agreement in den AGB zur Verschwiegenheit.
Sehr geehrter Herr Szalatnay
Eine Überwachung des Cloud-Anbieters ist organisatorisch wie auch technisch nicht einfach. Wahrscheinlich ist das ähnlich schwierig, wie wenn Sie Aktivitäten von eigenen Mitarbeitern überwachen wollen (vgl. Fall UBS – Meili und jüngstens CD-Daten-Diebstahl bei Banken).
Die Auslagerung einer Buchhaltung setzt auf jeden Fall ein Vertrauensverhältnis voraus. Eine 100-prozentige Sicherheit gibt es nie, auch nicht, wenn Sie die Daten inhouse speichern (technische, organisatorische und personelle Risiken).
Sie können jedoch Vorkehrungen treffen, um einen Missbrauch zu verhindern. Diese sind insbesondere vertraglicher Natur, was Run my Accounts standardmässig macht. Kunden sind nicht nur durch den Vertrag vor Verletzungen des Datenschutzes geschützt (Sicherstellung der 4 aufgezählten Punkte), sondern auch durchs Gesetz in der Schweiz, weil ja auch wir und unsere Mitarbeiter haftbar sind, wenn wir das Datenschutz-Gesetz verletzen.
Freundliche Grüsse
Thomas Brändle
Danke bestens für die Antwort, Herr Brändle.
Ich meinte weniger den gesetzlichen Hintergrund sondern inwiefern kann ich als Auftraggeber sie als Anbieter konkret überwachten/kontrollieren? Ich habe ja gar keine Wahl, als Ihnen zu vertrauen. Sie schreiben, schlussendlich hafte ich gegenüber dem «Dateneigentümer». Doch gross Einfluss nehmen kann ich nicht mehr, wenn die Daten erstmal in Ihrem Datacenter liegen.
Deswegen kam ich beim Lesen der Aussage «Der Auftraggeber muss folgende Punkte sicherstellen:», auf die Frage, die ich im ersten Kommentar formuliert hatte.
Also «Sicherstellen» im Sinne von: selber abklären, sich informieren dass der Cloud Anbieter die Gesetze und Regeln einhält und vorzugsweise sein Datacenter in der Schweiz beheimatet hat…
Sehr geehrter Herr Szalatnay
Herzlichen Dank für Ihre Frage. Run my Accounts ist eine schweizerische Firma mit Sitz in der Schweiz. Unsere Server werden in der Schweiz auf unseren eigenen Rechnern betrieben.
Wenn ein eine ausländische Behörde zu uns kommt und von uns Daten verlangt, dann sind wir betreffend einer Herausgabe von Daten ausschliesslich dem schweizerischen Recht unterstellt. D.h. diese ausländische Behörde müsste den Rechtsweg durchschreiten und vor Gericht bewirken, dass wir diese geschützten Kundendaten ausliefern würden. Da ein schweizerisches Gericht solche Fragen ausschliesslich nach schweizerischem Recht beurteilt (welches allerhöchste Anforderungen an den Daten-Schutz stellt), hat die ausländische Behörde praktisch keine Möglichkeit, an die Daten heranzukommen. Würde sich Run my Accounts dennoch entscheiden, die Daten der ausländischen Behörde auzuliefern, würden wir uns nach dem Schweizerischen Recht strafbar machen und müssten die Konsequenzen tragen.
Ganz anders wäre es, wenn wir unsere Rechner im Ausland betreiben würden. Dann könnte die ausländische Behörde ev. im eigenen Land den Betreiber der Rechner auf dem rechtlichen Weg zur Datenherausgabe zwingen: wenn das Recht dieses Staates es zulässt (und allenfalls auch noch die Interessenlage des Staates an diesen Daten gross ist), dann wird das Gericht den Betreiber der Rechner zur Datenherausgabe verpflichten.
Grüezi Herr Brändle
Wie kann ich als Auftraggeber sicherstellen, dass keine ausländischen Behörden auf meine Daten bei RMA zugreifen? Das ist für den Kunden schwierig zu überprüfen, er hat ja nur die Wahl, Ihren Dienst zu verwenden oder nicht…
Grüsse
Fabian Szalatnay