Schweizer Gemeinden sollten nicht Dropbox verwenden
Alexander Weisser 8 March 2022 18:53:32
Schweizer Behörden, Gerichte, Gemeinden, Ämter, etc. sind an das Schweizer Datenschutzrecht gebunden, genauso wie auch Schweizer Unternehmen. Schweizer Behörden müssen ausserdem kantonale Datenschutzgesetze und Vorschriften und das strafrechtliche Amtsgeheimnis beachten. Hinzu kommt, dass auf sie auch die EU-Datenschutz-Grundverordnung (EU-DSGVO/GDPR) Anwendung finden kann. Das bedeutet, dass Gemeinden besonders vorsichtig mit ihren Daten umgehen müssen.Allen diesen Vorschriften zum Trotz gibt es aber dennoch Gemeinden, die z.B. Dropbox für ihre Archive und offenen Dossiers verwenden. Dropbox ist ein praktisches Tool für Documentsharing. Es ist gratis und richtet sich vor allem an private User. Dropbox verwendet allerdings Server in den USA ("Storage servers are located in data centers across the United States.", https://www.dropbox.com/en/help/7).
Warum sollte es denn ein Problem sein, dass Dropbox die Daten ihrer User in den USA hostet?
Die USA hatte mit der Schweiz ein Safe Harbour Agreement, das es Schweizer Unternehmern und Behörden erlaubte, in den USA bei gewissen, zertifizierten Unternehmen Daten zu hosten. Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) nämlich das gleichlautende Abkommen zwischen den USA und der EU für ungültig erklärt, da die USA den Datenschutzanforderungen der EU nicht genügen (http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclangÞ&mode=lst&dir=&occ=first&part=1&cid=316922). Das gleiche geschah mit dem darauf folgenden Abkommen, dem sog. Swiss-US Privacy Shield. Dieses wurde am 16. Juli 2020 für unwirksam erklärt (https://curia.europa.eu/juris/document/document.jsf?docid=228677&text=&doclangÞ).
Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in offiziellen Stellungnahmen natürlich den notwendigen Schluss daraus gezogen: Das Safe Harbour Agreement und das Privacy Shield zwischen der Schweiz und den USA sind beide demnach auch nicht mehr genügend für das Schweizer Datenschutzrecht, denn letzteres wird stetig an das europäische Datenschutzniveau angepasst.
Ausführlichere Erklärungen zum Thema Cloud Computing und Datenschutz gibt es in den Erläuterungen zu Cloud Computing des EDÖB (https://www.edoeb.admin.ch/edoeb/de/home/datenschutz/Internet_und_Computer/cloud-computing/erlaeuterungen-zu-cloud-computing.html).
Auch der Zürcher Datenschutzbeauftragte erklärt am 9.2.2021: „Das Swiss-US Privacy Shield bietet ungenügenden Schutz bei einem Transfer von Personendaten in die USA. Zu dieser Beurteilung kam der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) nach dem sogenannten Schrems-II-Urteil des EuGH. Auch die Standardvertragsklauseln sind allein nicht ausreichend für einen Transfer von Personendaten in Länder ohne angemessenen Datenschutz. Verschiedene Stellen erarbeiten derzeit Lösungsansätze. Nutzen öffentliche Organe des Kantons Zürich CloudDienste, die einen Transfer von Personendaten in die USA beinhalten, müssen sie mit einer Kombination von rechtlichen und organisatorisch-technischen Massnahmen einen angemessenen Schutz sicherstellen.“ . Er empfiehlt insbesondere: „die Speicherung aller Daten im europäischen Raum, also kein Transfer in Länder mit nicht angemessenem Datenschutzniveau. Kann diese Anforderung nicht erfüllt werden, muss vollständige Transparenz über die übermittelten Daten bestehen“ (https://docs.datenschutz.ch/u/d/publikationen/webartikel/datentransfer_in_die_usa.pdf).
Wenn eine Gemeinde daher ihre Daten in Dropbox bearbeitet, wird das über kurz oder lang datenschutzrechtliche Konsequenzen haben.
ATEGRA bietet die elektronische Geschäftskontrolle (eGeKo; www.egeko.ch, zuletzt aufgerufen am 2.3.2022) an, die Gemeinden eine Lösung bietet, die mit dem Problem von Dropbox konfrontiert sind. Einheitliche Softwarelösungen bieten Gemeinden Sicherheit davor, dass jeder einzelne Mitarbeiter nicht irgendwelche datenschutzwidrige gratis-Software verwendet. Für weitere Informationen stehen die Informatik-Ingenieure von ATEGRA gerne jederzeit zur Verfügung.
Comments Disabled