US-Cloud-Dienste für Schweizer KMUs: Sechs Faustregeln

Weil immer mehr Softwarelösungen nur noch in der Cloud verfügbar sind, kommen auch Schweizer KMUs nicht um sie herum. Viele Anbieter befinden sich in den USA, oder ihre Lösungen basieren auf einer Cloud-Plattform eines der US-Hyperscaler. Gleichzeitig warnen Datenschützer vor Cloud-Lösungen mit US-Bezug. Ist ihre Nutzung also rechtswidrig? Nein. Hauptsorge der Datenschützer ist derzeit, dass sich US-Nachrichtendienste uferlos und ohne rechtsstaatliche Verfahren Zugang zu Daten verschaffen. In der Schweiz kommt die Furcht vor dem «US Cloud Act» hinzu, weil viele meinten, er gestatte US-Behörden freien Zugriff auch auf Schweizer Cloud-Daten. Das stimmt so aber nicht – eine Erkenntnis, die sich langsam durchsetzt.

Die Hauptsorge soll nun mit Zusicherungen der US-Regierung gelöst werden. Die EU prüft, ob sie für Datentransfers an US-Provider dieses Jahr wieder – wie früher – grünes Licht geben kann, und die Schweiz dürfte ihr folgen. Bis dahin muss bei Übermittlungen eingeschätzt werden, wie hoch das Risiko eines US-Zugriffs ist. In der Praxis hat sich dafür der sogenannte «risikobasierte» Ansatz durchgesetzt: Das Risiko wird mit Schutzmassnahmen auf ein tragbares Mass reduziert. Hierzu drei Faustregeln:  

1. Wähle einen Provider mit Sitz im EWR oder der Schweiz und mit Speicherung der Daten im EWR oder der Schweiz, wenn möglich. Der Sitz ist rechtlich wichtiger als der Speicherort, und manche US-Provider bieten inzwischen Verträge mit ihren europäischen Tochterfirmen an. Geht es um sensible Daten, wähle möglichst eine Speicherung in der Schweiz. 
2. Sorge dafür, dass mit dem Provider ein «Auftragsdatenbearbeitungsvertrag», «ADV» oder «Data Processing Agreement» besteht, das am besten auch das Datenschutzgesetz abdeckt, nicht nur das EU-Datenschutzrecht (EU-DSGVO, GDPR). Es schreibt neu einen ADV unter Strafandrohung vor. Häufiger Fehler: Es wird eine für private Nutzer gedachte Version eines Cloud-Dienstes genutzt, die weniger Schutz vor Zugriffen durch Provider und Behörden bietet.
3. Bei besonders sensiblen Daten: Aktiviere wenn möglich die Option, dass der Provider jeweils fragen muss, bevor er auf Daten zugreifen kann. Wo eine Verschlüsselung nicht standardmässig aktiviert ist, aktiviere sie (aber: der Provider kann oft trotzdem zugreifen).

Natürlich gibt es bei Cloud-Diensten weitere Punkte zu beachten. Auf einige haben KMUs kaum Einfluss, wie die Datensicherheit beim Provider (sie ist meist gut), andere können sie steuern. Darum drei weitere Faustregeln:

1. Verstehe, wie ein Cloud-Dienst sicher zu konfigurieren ist. Cloud ist nicht «Plug-and-play». Viel Verantwortung liegt in den kundenseitigen Einstellungen. Sie steuern beispielsweise Zugriffsrechte oder verhindern die unerlaubte Überwachung von Mitarbeitenden.
2. Sichere die Daten. Cloud-Dienste machen in der Regel keine Backups. Das muss der Kunde tun – und zwar ausserhalb des Cloud-Dienstes.
3. Habe einen Plan für den Fall, dass die Cloud ausfällt, das Geschäft aber weitergehen muss, oder dass die bezogenen Services von einem Cloud-Dienst innerhalb von Wochen oder Monaten wegmigriert werden müssen.

KMUs dürfen Cloud-Dienste also durchaus einsetzen, auch solche von US-Anbietern. Die Herausforderung liegt nicht im Ob, sondern im Wie. 

Weitere Fragen und Antworten zum Einsatz von Clouds finden sich in FAQ des Vereins Unternehmens-Datenschutz VUD (PDF).