Schweizer Gemeinden sollten nicht Dropbox verwenden

Alexander Weisser  14 May 2016 17:43:50
Schweizer Behörden, Gerichte, Gemeinden, Ämter, etc. sind an das Schweizer Datenschutzgesetz (Bundesgesetz über den Datenschutz (DSG) vom 19. Juni 1992; https://www.admin.ch/opc/de/classified-compilation/19920153/index.html) gebunden, genau so wie auch Schweizer Unternehmen. Zusätzlich sind bei Schweizer Behörden noch kantonale Datenschutzgesetze und Vorschriften und das strafrechtliche Amtsgeheimnis zu beachten. Damit ist gemeint, dass Gemeinden besonders vorsichtig mit ihren Daten umgehen müssen.

Allen diesen Vorschriften zum Trotz gibt es aber dennoch Gemeinden, die z.B. Dropbox für ihre Archive und offenen Dossiers verwenden. Dropbox ist ein praktisches Tool für Documentsharing. Es ist gratis und richtet sich vor allem an private User. Dropbox verwendet allerdings Server in den USA ("Storage servers are located in data centers across the United States.", Quelle: https://www.dropbox.com/en/help/7).

Warum sollte es denn ein Problem sein, dass Dropbox die Daten ihrer User in den USA hostet?

Die USA hat mit der Schweiz ein Safe Harbour Agreement (http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/index.html?lang=de&download=NHzLpZeg7t,lnp6I0NTU042l2Z6ln1acy4Zn4Z2qZpnO2Yuq2Z6gpJCDdX98hGym162epYbg2c_JjKbNoKSn6A--), das es Schweizer Unternehmern und Behörden erlaubte, in den USA bei gewissen, zertifizierten Unternehmen Daten zu hosten. Es ist formell immer noch gültig, bringt aber nicht mehr viel. Am 6. Oktober 2015 hat der Europäische Gerichtshof (EuGH) nämlich das gleichlautende Abkommen zwischen den USA und der EU für ungültig erklärt, da die USA den Datenschutzanforderungen der EU nicht genügen (http://curia.europa.eu/juris/document/document.jsf?text=&docid=169195&pageIndex=0&doclangÞ&mode=lst&dir=&occ=first&part=1&cid=316922).

Der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB) hat in einer offiziellen Stellungnahme natürlich den notwendigen Schluss daraus gezogen: Das Safe Harbour Agreement zwischen der Schweiz und den USA ist demnach auch nicht mehr genügend für das Schweizer Datenschutzrecht, denn letzteres wird stetig an das europäische Datenschutzniveau angepasst. Der EDÖB ermahnt alle Schweizer Unternehmen und Behörden, dass "im Umgang mit modernen Kommunikationsmitteln die Verwendung bestimmter Tools und die Preisgabe persönlicher Daten stets wohl überlegt sein soll. Ist eine Auslagerung von Daten notwendig, sollten diese, wenn immer möglich, von europäischen Anbietern auf Servern im europäischen Raum gespeichert werden. Schweizer Unternehmen und Behörden, die Produkte und Dienstleistungen von US-Unternehmen in Anspruch nehmen, sollten Zusatzvereinbarungen zum besseren Schutz der betroffenen Personen und ihrer Daten treffen." (Quelle: http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/01323/index.html?lang=de).

Solche "Zusatzvereinbarungen" sind allerdings ziemlich belastend. Folgende Zugeständnisse müssen dabei an die Personen gemacht werden, deren Daten in den USA gehostet würden:
"1. Personen, deren Daten in die USA übermittelt werden, müssen klar und umfassend über die möglichen Behördenzugriffe informiert werden, damit sie ihre Rechte wahrnehmen können. Der Vertrag zum Austausch von Personendaten sollte die beteiligten Parteien dahingehend verpflichten.
2. Die Parteien müssen sich verpflichten, betroffenen Personen die für einen wirksamen Rechtsschutz notwendigen Behelfe zur Verfügung zu stellen, entsprechende Verfahren tatsächlich durchzuführen und darauf ergehende Urteile zu akzeptieren. "
(Quelle: http://www.edoeb.admin.ch/datenschutz/00626/00753/00970/01320/index.html?lang=de)

Hinzu kommt, dass die meisten Gemeinden ja über gar keine vertraglichen Beziehungen zu ihren Bürgern verfügen, deren Daten sie mit Dropbox in die USA schicken. Das bedeutet, dass gar keine solchen Zusatzvereinbarungen abgemacht werden könnten, und dies selbst wenn die Gemeinde genügend rechtliches Verantwortungsgefühl zeigte.

Wenn eine Gemeinde daher ihre Daten in Dropbox bearbeitet, wird das über kurz oder lang datenschutzrechtliche Konsequenzen haben. Ausführlichere Erklärungen zum Thema Cloud Computing und Datenschutz gibt es in den Erläuterungen zu Cloud Computing des EDÖB (http://www.edoeb.admin.ch/datenschutz/00626/00876/01203/index.html?lang=de).

ATEGRA bietet die elektronische Geschäftskontrolle (eGeKo; www.egeko.ch) an, die Gemeinden eine Lösung bietet, die mit dem Problem von Dopbox konfrontiert sind. Einheitliche Softwarelösungen bieten Gemeinden Sicherheit davor, dass jeder einzelne Mitarbeiter nicht irgendwelche datenschutzwidrige gratis-Software verwendet. Für weitere Informationen stehen die Informatik-Ingenieure von ATEGRA gerne jederzeit zur Verfügung.
Comments Disabled