ClickCease
Publiziert am 
18.9.2017
, von 
Gregor Favre

Datenschutzprobleme mit Cloudspeichern

Bei vielen bekannten Cloud-Diensten werden die Daten im Ausland gespeichert. Handelt es sich um personenbezogene Informationen, ist dies jedoch heikel. Das gilt es bei der Speicherung persönlicher Daten zu beachten.
Inhaltsverzeichnis

Cloud-Dienste wie Dropbox, Skydrive und Google Drive sind zwar kostengünstig, speichern aber die Daten in ausländischen Staaten. Doch gemäss dem Schweizerischen Datenschutzgesetz ist das problematisch. Denn wenn personenbezogene Daten von Mitarbeitern oder Kunden in einem Land mit tieferem Datenschutz gespeichert werden, können die Persönlichkeitsrechte schwerwiegend gefährdet werden.

Dennoch können Organisationen, die vorallem grenzüberschreitend arbeiten, nicht auf die Speicherung im Ausland verzichten. Auch ist die Kappung der Datenverbindungen in die USA kaum denkbar. Dieses Problems ist sich der Gesetzgeber bewusst. So können Daten unter Einhaltung gewisser Bedingungen doch im Ausland gespeichert werden.

Wann kann im Ausland gespeichert werden?

Das Gesetz schreibt im Wesentlichen folgende Randbedingungen vor:

  1. Zwischen Cloud Anbieter und der Organisation besteht ein schriftlicher Vertrag, welcher den Schutz der Daten gewährleistet.
  2. Jede Person muss einzeln einwilligen, dass ihre personenbezogenen Daten im Ausland gespeichert werden.

Weiter muss der Cloud-Anbieter zwingend folgende Dienstleistungen anbieten:

  1. Er unterstützt den Kunden, wenn betroffene Personen ihre Rechte auf Auskunft, Berichtigung, Löschung und Sperrung geltend machen.
  2. Er trifft organisatorische und technische Massnahmen zur Wahrung der Datensicherheit.
  3. Der Kunde hat das Recht, die Datenspeicherung entweder selbst oder durch externe Audits zu überprüfen.

Ist dies überhaupt umsetzbar?

Doch die meisten Cloud-Dienstanbieter stellen keine schriftlichen Verträge aus. Dazu gehören auch die folgenden Anbieter: DropBox, Google Drive, OneDrive, iCloud. Auch wird kaum ein ausländischer Cloud-Anbieter Daten von Kunden sperren, löschen oder berichtigen. Zudem lassen sich die genannten Cloud-Anbieter in der Regel nicht in die eigenen Karten schauen - so kann der Kunde die Datenspeicherung nicht überprüfen.

Was geschieht bei Nicht-Beachtung des DSG?

Werden die obengenannten Massnahmen nicht eingehalten, verstösst wer personenbezogene Daten im Ausland speichert deutlich gegen das Schweizerische Datenschutzgesetz.

Verantwortlich für das Thema Datenschutz und Datensicherheit ist in der Regel der Vorstand oder der Verwaltungsrat einer Organisation (siehe Strafgesetzbuch Artikel 102). Bei einem Verfahren wird dieser zur Rechenschaft gezogen. Nur in Einzelfällen und bei mutwilligem Handeln, kann ein entsprechender Mitarbeiter direkt verantwortlich gemacht werden.

Das aktuelle Datenschutzgesetz dient allerdings weniger der Definition des Strafmasses, hierfür greift das Strafgesetzbuch bereits weit genug wenn es um die Verletzung von Persönlichkeitsrechten geht. Entsprechend ist das Strafmass bei direkten Verstössen gegen das DSG auch nicht sehr hoch. Ändern wird sich dies jedoch mit der DSG Revision im Jahr 2017, welche Geldbussen bis zu CHF 500'000 bei Verstössen vorsieht.

Auch in anderer Hinsicht ist ein Verfahren schlecht fürs Image einer Organisation: zumal der Eidgenössische Datenschutzbeauftragte solche Verfahren auf der Website des EDÖB publik machen muss. Schon manch namhaftes Unternehmen wie die CSS Versicherung oder die Zürcher Kantonalbank hat es auf diese Liste geschafft.

7 Tipps für die Auswahl eines Cloud-Anbieters

Wenn Sie die einen Cloud-Anbieter gefunden haben, welcher das DSG lückenlos befolgt, dann haben wir noch einige praktische Tipps für die Evaluation des richtigen Anbieters.

1. Daten überall zur Verfügung

Der Kunde soll auf die abgespeicherten Daten jederzeit und von überall aus Zugriff haben. Dies kann sich zum Beispiel durch ein Netz-Laufwerk zeigen, welches stets verfügbar ist und worauf die Benutzer ihre Daten ablegen und abrufen können. Dabei sollte der Zugriff über eine verschlüsselte Übertragung erfolgen. Auch ist ein Zugriff über ein einfach bedienbares Webinterface möglich.

2. Sichere Zugangskontrolle

Verlässt ein Mitarbeiter das Team, muss der Zugriff für diesen Mitarbeiter sofort gesperrt werden können. Damit kann der Mitarbeiter nicht mehr auf die Daten zugreifen. Abzuraten ist von reinen Synchronisationsanwendungen: bei diesen herkömmlichen Lösungen werden die Daten nämlich auf jedem Gerät der Mitarbeiter abgespeichert. Somit hat ein ehemaliger Mitarbeiter auch nach Austritt weiterhin Zugriff auf die Daten.

3. Sperrung bei Geräte Verlust

Verliert ein Mitarbeiter sein Laptop während eines Arbeitseinsatzes, so muss er seinen Zugang über eine ständig erreichbare Hotline sofort sperren lassen können. Somit hat ein unbefugter Nutzer keine Möglichkeit, auf die vertraulichen Daten zuzugreifen.

4. Virenschutz

Die Daten auf dem Cloudspeicher sollten in Echtzeit vor Bedrohungen durch Viren geschützt werden. Bei jedem Zugriff auf eine Datei, wird diese cloudseitig gescannt. Findet sich eine Infektion, so wird dem Benutzer der Zugang verwehrt. Auch darf es Benutzern nicht möglich sein, infizierte Dateien auf dem Server zu speichern - auch wenn dies unwissentlich geschehen würde.

5. Professionelle Datensicherung

Die Daten werden idealerweise mehrfach gesichert: zum Beispiel über ein mehrere Tage zurückgehendes Backup, aber auch durch eine gespiegelte Umgebung beim Cloud-Anbieter. In der Praxis haben sich die sogenannten Offsite Backups bewährt, welche den Datenstand gleichzeitig in zwei verschiedenen Rechenzentren führen.

6. Transparenz

Bei Bedarf soll der Kunde jederzeit eine physikalische Archiv-Kopie auf Festplatte oder USB-Disk anfordern können. Der Kunde sollte auch aus dem Vertrag jederzeit aussteigen können und an keine langjährigen Verträge gebunden sein.

7. Sicherung der Systeme

Der Cloudspeicher muss angemessen vor unberechtigten Zugriffen geschützt sein. Dies einerseits über den technischen Schutz mittels verschlüsselter Übertragung, andererseits organisatorisch über zentral verwalt- und sperrbare Benutzerzugänge.

Weiterführende Informationen

Autor dieses Posts

Gregor Favre
Managing Director
gregor.favre@insor.ch+41 44 500 58 41Termin online buchen
Seit meiner Jugend bin ich tief in der IT- und Web-Welt verwurzelt – schon damals war für mich klar, dass dieses spannende Universum mein Zuhause ist. Vor 20 Jahren habe ich den Schritt gewagt und INSOR gegründet, die inzwischen auf acht kreative Köpfe angewachsen ist. Gemeinsam realisieren wir digitale Projekte, die unsere Kunden begeistern. Wenn ich mich mal nicht in Codezeilen verliere, findest du mich wahrscheinlich auf einem Wanderweg in den Schweizer Bergen oder unterwegs in den schönsten Ecken unseres Landes.

Auf Social Media teilen

LinkedIn
Whatsapp

Abonniere unser Blog

Tipps und Neuigkeiten aus den Bereichen Web und Marketing.

PS: dein Datenschutz ist uns wichtig. Deshalb fragen wir nur nach deiner E-Mail-Adresse, und keinen weiteren Daten. Die Adresse verwenden wir nur, um dir neue Blog-Beiträge zu senden. Du kannst das Abonnement jederzeit wieder löschen - in jedem Mail steht dir hierfür ein Link zum definitiven Austragen zur Verfügung. Auch steht dir unser freundlicher Support zur Verfügung. Hier ist noch unsere Datenschutzerklärung.

Fragen und Antworten zu diesem Post

Stelle deine Frage zu diesem Blogpost

Hier kannst du uns deine Frage senden. Wenn diese für andere Leser interessant ist, wird sie (anonymisiert) an dieser Stelle veröffentlicht.

Danke! Wir haben deine Frage erhalten und senden dir die Antwort per E-Mail und auf dieser Seite.
Ups, da hat etwas nicht geklappt. Versuche es doch nochmals, oder melde dich bei uns.

Weitere Artikel:

Mehr als nur ein Kundenportal: Wie wir my.insor.ch für unsere Kunden entwickelt haben
Google Ads für Anfänger 2/4: Wie finde ich heraus, ob sich Ads für mich lohnen?
So testest du, ob deine E-Mails im Spam landen – und wie du es verhindern kannst
Bye, Bye, kleiner Vogel: Sind deine Social Media Icons aktuell?
Google Ads für Anfänger 1/4: Die Basics – Wie Google Ads wirklich funktionieren
Consent Mode V2 in der Schweiz nötig?
Google Analytics 4: die wichtigsten Änderungen und Begriffe
Wie du mit Taboola Native Advertising deine Online-Reichweite maximierst
Risiken beim Betrieb mehrerer Websites im gleichen Hosting Account
Cookie Banner in der Schweiz nicht notwendig
DKIM und DMARC: einfach erklärt
Webdesign-Zukunft 2024: 4 Trends, die du nicht verpassen darfst!
Webseitenvorlage oder eigenes Design?
Mailchimp oder Mautic für Newsletter: 9 Antworten
Wieviel kostet die Wartung einer Webseite?
Webflow, Wordpress oder TYPO3?
Wie senkt man die Kosten von Google Ads?
Was ist eine Konversionsrate?
Ist deine Webseite mobiltauglich?
Mit Featured Snippets den Traffic um 500 Prozent steigern
Klein aber oho: das Favicon
So wird Ihre Webseite mit SEO sichtbarer
Fake Web-Shops
3 Tipps für barrierefreie Webseiten
Die übelsten Fehler im Design: aufgedeckt
Mit drei Klicks zum Ziel?
Datenschutz in der Kita
Häufigster Website-Fehler: Versteckte Inhalte
Wer hat an der Uhr gedreht?
Wenn der Notfall-Sanitär die Kunden abzockt
Katastrophenalarm legt Webseite lahm
5 Schritte zur schnelleren Webseite
10 Tipps für Webformulare
Titel und Teaser
Datenschutzprobleme mit Cloudspeichern
Personenfotos im Web: was ist erlaubt?
Remarketing mit Google Ads und Analytics
INSOR AG

Schwarzackerstrasse 11
8304 Wallisellen
Schweiz

Öffnungszeiten

Montag - Freitag 08:30 - 12:00
und 13:30 - 17:00 Uhr

Verkauf (kein Support):
T: 044 500 58 40 oder info@insor.ch

Helpdesk & Support:
T: 044 585 27 00 oder helpdesk@insor.ch

Weitere Infos

Impressum & Datenschutz
Allgemeine Geschäftsbedingungen AGB
Auftragsdatenbearbeitung ABV

INSOR® ist eine registrierte Marke.

Partner & Zertifizierungen
INSOR ist Google Partner
INSOR ist Microsoft Partner
INSOR setzt TYPO3 ein
INSOR setzt TYPO3 ein
INSOR setzt TYPO3 ein
INSOR setzt Mautic ein
INSOR ist eine Mailchimp Agentur
INSOR setzt Plesk ein
INSOR ist ein Lehrbetrieb in Wallisellen
INSOR gehört dem KMU und Gewerbeverband Zürich an
INSOR ist ein Rafisa Ausbildungsbetrieb
INSOR ist ein Rafisa Ausbildungsbetrieb