Cloudscale Logo

News

Zurück
2023
September
29
2023

Einige ausgewählte Punkte zum neuen DSG

Datenschutz und -sicherheit sind zentral, wenn es darum geht, das Vertrauen und die Rechte derjenigen Personen zu schützen, über die Daten verarbeitet werden – die sogenannt "betroffenen Personen". Mit dem revidierten Datenschutzgesetz hat in der Schweiz das Bewusstsein für dieses Thema noch einmal zugenommen, und auch uns bei cloudscale.ch erreichen immer wieder Fragen dazu. An dieser Stelle möchten wir einige Eckpunkte aufgreifen und ausführen, wie wir diese handhaben – insbesondere auch in Bezug auf den AV-Vertrag, den wir unseren Kunden zur Verfügung stellen.

Das neue Schweizer DSG

Transparenz, Kontrollmöglichkeiten und Verantwortungsbewusstsein im Zusammenhang mit der Bearbeitung von Personendaten – dies sind drei der Ziele, die gemäss Botschaft des schweizerischen Bundesrats mit der Revision des Datenschutzgesetzes (DSG) verfolgt wurden. Zudem sollte das Schweizer DSG an die Datenschutz-Grundverordnung (DSGVO) der EU angenähert werden, damit die Europäische Kommission der Schweiz weiterhin ein angemessenes Datenschutzniveau attestiert.

Tatsächlich kannte man viele Datenschutzvorschriften in den letzten Jahren vor allem aus der DSGVO, obwohl bereits das alte DSG ebenfalls ähnliche Regelungen enthielt. Mit der DSG-Revision ist nun auch der Schweizer Datenschutz in aller Munde. Dies liegt wohl nicht zuletzt an den Bussgeldern in Höhe von bis zu CHF 250'000, die fehlbaren Entscheidungsträgern neu drohen. Nachfolgend sollen jedoch nicht die Bussen im Zentrum stehen, sondern die zwei wichtigsten Konstellationen bzgl. Datenschutz im Alltag und die Frage, wie cloudscale.ch dabei involviert ist.

Betroffene Personen und Verantwortliche

Das neue Schweizer DSG schützt natürliche Personen (d.h. Menschen, nicht juristische Personen wie Firmen oder Vereine), wenn Daten über sie verarbeitet werden. Diese betroffenen Personen müssen dabei nicht namentlich bekannt sein; es reicht aus, wenn die Personen anhand der Daten bestimmbar sind, damit die Daten "personenbezogene Daten" darstellen. Wer als Unternehmen solche personenbezogene Daten verarbeitet und dabei über die Zwecke und Mittel der Verarbeitung bestimmt, ist der "Verantwortliche". Im Rahmen eines Online-Shops beispielsweise ist der Shop-Betreiber der Verantwortliche, der u.a. die Kontaktinformationen und Bestellungen seiner Kunden (betroffene Personen) verarbeitet.

Zwischen der betroffenen Person und dem Verantwortlichen bestehen gewisse Rechte und Pflichten. So hat die betroffene Person ggf. einen Anspruch darauf, dass falsche Daten, die über sie verarbeitet werden, berichtigt werden, oder dass Daten allenfalls ganz gelöscht werden. Ausgangspunkt ist dabei, dass die betroffene Person über die Verarbeitung der Daten überhaupt Bescheid weiss – den Verantwortlichen trifft deshalb eine Informations- und Auskunftspflicht, die oft mit einer sog. Datenschutzerklärung auf der eigenen Website erfüllt wird.

Bei cloudscale.ch sind wir seit jeher sparsam unterwegs und erheben in der Rolle als Verantwortlicher nicht "auf Vorrat" unnötige Daten. Ein gewisses Minimum ist jedoch nötig, um Verträge abwickeln und unsere Services erbringen zu können, darunter z.B. Kontaktinformationen unserer Kunden oder Daten zur Zahlungsabwicklung. Über unsere Datenverarbeitungen als Verantwortlicher informieren auch wir in Form einer Datenschutzerklärung, die wir auf unserer Website publizieren.


Betroffene Person, Verantwortlicher, (Unter-)Auftragsverarbeiter: Ein Überblick.

Auftragsverarbeitung

Oft verarbeiten Verantwortliche die personenbezogenen Daten nicht nur selbst, sondern ziehen Dienstleister dazu bei. Beim beispielhaft genannten Online-Shop könnte etwa eine Bonitätsauskunft eingeholt werden, bevor der Kunde auf Rechnung beliefert wird. Der Shop-Betreiber ist auch für diesen Schritt der Verantwortliche und bleibt – wie die Bezeichnung schon sagt – verantwortlich für die ganze Datenverarbeitung; die Auskunftei ist ein "Auftragsverarbeiter", weil sie die Daten im Auftrag des Verantwortlichen verarbeitet. Eine solche Auftragsverarbeitung ist grundsätzlich zulässig, muss aber in einem Vertrag zwischen dem Verantwortlichen und dem Auftragsverarbeiter geregelt werden.

Als Cloud-Anbieter sind wir bei cloudscale.ch ein Auftragsverarbeiter, sobald unsere Kunden unsere Services nutzen, um personenbezogene Daten zu verarbeiten – zum Beispiel indem der besagte Online-Shop auf unserer Infrastruktur betrieben wird. Schon lange bieten wir deshalb auch den nötigen Vertrag zur Auftragsverarbeitung bzw. AV-Vertrag (AVV) an, der mit zwei Mausklicks direkt in unserem Cloud Control Panel abgeschlossen werden kann.

Anders als die DSGVO mit ihren detaillierten Regelungen macht das Schweizer DSG auch in seiner revidierten Fassung kaum Vorgaben zum Inhalt des AV-Vertrags. Wir haben dennoch die Gelegenheit genutzt und unseren AVV per 01.09.2023 überarbeitet. Während sich in der Sache kaum Änderungen aufgedrängt haben, haben wir die Struktur und viele Formulierungen überarbeitet, um die Klarheit und Verständlichkeit zu verbessern, z.B. an den folgenden Stellen:

  • Die Bezeichnung des Dokuments lautet neu "Vertrag zur Auftragsverarbeitung" bzw. AV-Vertrag oder AVV, einer der heute geläufigen Begriffe (zuvor: "Vereinbarung zur Auftragsdatenverarbeitung" bzw. ADV-Vereinbarung).
  • Wir erwähnen nicht mehr explizit die DSGVO, sondern "anwendbares Datenschutzrecht". Damit wird deutlicher, dass auch andere Regelungen anwendbar sein können, z.B. das schweizerische Datenschutzgesetz (DSG).
  • Wir verwenden weiterhin die Begriffe "verarbeiten" und "personenbezogene Daten" wie im Kontext der DSGVO üblich, während das Schweizer DSG von "bearbeiten" und "Personendaten" spricht. Die konsistente Wortwahl soll der Lesbarkeit dienen und steht einer Auslegung des AVV im Sinne des Schweizer Rechts natürlich nicht entgegen.
  • Neu präzisieren wir "dokumentierte Weisungen" (ein Begriff aus der DSGVO). Damit soll klarer werden, dass der Kunde oder ggf. Dritte selbst und direkt (und nicht etwa via Korrespondenz mit uns) über die Nutzung unserer IaaS-Services und damit über die Verarbeitung von Daten bestimmen.
  • Bisher hatten wir für die "technischen und organisatorischen Massnahmen" bzw. TOM auf andere Dokumente verwiesen; insbesondere auf unserer Website hatten wir immer wieder über Verbesserungen unserer Sicherheitsfeatures berichtet. Neu ist ein Set an TOM explizit im Anhang des AVV zusammengefasst. Wichtig: Die beschriebenen TOM stellen eine Momentaufnahme dar. Während das so beschriebene Schutzniveau verbindlich ist und nicht unterschritten werden darf, können wir die tatsächlich getroffenen Massnahmen auch in Zukunft ändern und weiterentwickeln. Ob dieses Niveau für eine konkret geplante Verarbeitung passt, muss dabei durch den Auftraggeber beurteilt werden – seitens cloudscale.ch stellen wir standardisierte Services zur Verfügung, ohne im Einzelfall involviert zu sein.
  • Zusätzlich zu den TOM, die wir auf unserer Seite treffen, haben wir eine Liste mit sicherheitsrelevanten Funktionen unserer Services angefügt, die unsere Kunden nutzen können, um ihrerseits die Sicherheit der Daten und deren Verarbeitung zu unterstützen.
  • Die Bestimmung bzgl. Löschung der Daten am Ende der Vertragsdauer wurde präzisiert, insbesondere um den Hinweis, dass der Auftraggeber seine Daten in Eigenregie an einen neuen Ort umziehen kann.

Datenschutz und -sicherheit waren für uns bei cloudscale.ch von Beginn weg zentral. Dazu pflegen wir nicht nur selbst einen verantwortungsbewussten Umgang mit personenbezogenen Daten, sondern unterstützen auch unsere Kunden bei der Einhaltung der relevanten Vorgaben – z.B. mithilfe des AV-Vertrags, den sie direkt in unserem Cloud Control Panel abschliessen können.

Engagiert für Datenschutz,
Ihr cloudscale.ch-Team

Zurück zur Übersicht