Cloud Computing ist für viele Unternehmen, Gemeinwesen und Private längst Alltag. Für juristische Verhältnisse ist es jedoch ein brandneues Phänomen weshalb eine einheitliche Legaldefinition fehlt. Der EDÖB hat sich in seinem Merkblatt „Erläuterungen zum Cloud Computing“ vom 20. Februar 2012 an einer Umschreibung versucht, die jedoch sehr breit gefasst ist. Zielführender ist m.E. die von Fuchs verwendete Definition: "Für das Cloud Computing ist charakteristisch, dass IT-Infrastruktur (z.B. Speicherplatz, Rechenkapazität oder auch Software) in virtualisierter Form an den jeweiligen Bedarf des Cloud- Nutzers angepasst über ein Netzwerk (z.B. Internet oder auch firmeninternes Intranet) zur Verfügung gestellt wird. Die Anwendungen bzw. die Daten befinden sich nicht mehr lokal beim Cloud-Nutzer sondern in der virtualisierten Hard- und Software des Anbieters, der sogenannten Cloud" (vgl. Philippe Fuchs, Cloud Computing – eine datenschutzrechtliche Betrachtung, in: Jusletter IT 6. Juni 2012, Rz. 5).
Dessen ungeachtet, hängt die Anwendung des Datenschutzgesetzes DSG auf das Cloud Computing von relativ klaren Voraussetzungen ab: Sobald (i) private Personen (ii) Personendaten (iii) bearbeiten, müssen datenschutzrechtliche Bestimmungen beachtet werden.
Ad (i): Der Begriff der privaten Personen gemäss Art. 2 Abs. 1 lit. a DSG umfasst alle natürlichen Personen und alle juristischen Personen im weiteren Sinne, die Personendaten aufgrund eines Sachverhalts bearbeiten, der seinerseits durch das Privatrecht geregelt wird (vgl. Jöhri/Rosenthal, Handkommentar zum Datenschutzgesetz, N 15 zur Art. 2).
Ad (ii): Personendaten im Sinne von Art. 3 lit. a DSG umfassen sämtliche Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Bestimmt ist eine Person dann, wenn sich aus den Personendaten selbst ergibt, dass es sich um eine konkrete Person handelt. Bestimmbar ist eine Person dann, wenn eine Identifikation nicht unmittelbar aus den Personendaten selber, sondern durch die Kombination verschiedener Informationen ohne einen unverhältnismässigen Aufwand möglich ist. Dies ist anhand objektiver Kriterien im konkreten Fall zu beurteilen, wobei der unverhältnismässige Aufwand auch durch die zur Verfügung stehenden Suchmöglichkeiten bestimmt wird. Anonymisierte, pseudonymisierte oder verschlüsselte Personendaten werden in der Regel nicht als Personendaten im Sinne von Art. 3 lit. a DSG qualifiziert. Ausnahme: dem Inhaber der Datensammlung ist es möglich, die anonymisierten, pseudonymisierten oder verschlüsselten Personendaten zu entziffern, und die dahinter stehenden Personen zu erkennen.
Ad (iii): Bearbeiten i.S.v. Art. 3 lit. e DSG umfasst ganz allgemein jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Personendaten. Konkret gelten die Speicherung mehrerer Bewerberdossiers durch die HR-Abeilung, die Aktualisierung und/oder Erfassung von besonderen Interessen wichtiger Kunden durch einen Relationship Manager oder die simple Auflistung offener Kreditorenrechnungen als Bearbeiten im Sinne des DSG.
Im Ergebnis kann festgehalten werden, dass Cloud Computing in den meisten Fällen unter den Anwendungsbereich des DSG fallen wird. Infolgedessen müssen die allgemeinen Datenschutzbestimmungen gemäss Art. 4 ff. DSG (bspw. Richtigkeit der Daten oder das Auskunftsrecht, die Meldepflicht etc.) beachtet werden; ansonsten können Bussen gemäss Art. 34 ff. DSG drohen.
Michal Cichocki
Dessen ungeachtet, hängt die Anwendung des Datenschutzgesetzes DSG auf das Cloud Computing von relativ klaren Voraussetzungen ab: Sobald (i) private Personen (ii) Personendaten (iii) bearbeiten, müssen datenschutzrechtliche Bestimmungen beachtet werden.
Ad (i): Der Begriff der privaten Personen gemäss Art. 2 Abs. 1 lit. a DSG umfasst alle natürlichen Personen und alle juristischen Personen im weiteren Sinne, die Personendaten aufgrund eines Sachverhalts bearbeiten, der seinerseits durch das Privatrecht geregelt wird (vgl. Jöhri/Rosenthal, Handkommentar zum Datenschutzgesetz, N 15 zur Art. 2).
Ad (ii): Personendaten im Sinne von Art. 3 lit. a DSG umfassen sämtliche Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Bestimmt ist eine Person dann, wenn sich aus den Personendaten selbst ergibt, dass es sich um eine konkrete Person handelt. Bestimmbar ist eine Person dann, wenn eine Identifikation nicht unmittelbar aus den Personendaten selber, sondern durch die Kombination verschiedener Informationen ohne einen unverhältnismässigen Aufwand möglich ist. Dies ist anhand objektiver Kriterien im konkreten Fall zu beurteilen, wobei der unverhältnismässige Aufwand auch durch die zur Verfügung stehenden Suchmöglichkeiten bestimmt wird. Anonymisierte, pseudonymisierte oder verschlüsselte Personendaten werden in der Regel nicht als Personendaten im Sinne von Art. 3 lit. a DSG qualifiziert. Ausnahme: dem Inhaber der Datensammlung ist es möglich, die anonymisierten, pseudonymisierten oder verschlüsselten Personendaten zu entziffern, und die dahinter stehenden Personen zu erkennen.
Ad (iii): Bearbeiten i.S.v. Art. 3 lit. e DSG umfasst ganz allgemein jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Personendaten. Konkret gelten die Speicherung mehrerer Bewerberdossiers durch die HR-Abeilung, die Aktualisierung und/oder Erfassung von besonderen Interessen wichtiger Kunden durch einen Relationship Manager oder die simple Auflistung offener Kreditorenrechnungen als Bearbeiten im Sinne des DSG.
Im Ergebnis kann festgehalten werden, dass Cloud Computing in den meisten Fällen unter den Anwendungsbereich des DSG fallen wird. Infolgedessen müssen die allgemeinen Datenschutzbestimmungen gemäss Art. 4 ff. DSG (bspw. Richtigkeit der Daten oder das Auskunftsrecht, die Meldepflicht etc.) beachtet werden; ansonsten können Bussen gemäss Art. 34 ff. DSG drohen.
Michal Cichocki