Gilt das Datenschutzgesetz auch für verschlüsselte Cloud-Daten?

Der Autor, Matthias Ebneter, ist Rechtsanwalt bei Rentsch Partner AG in Zürich und Spezialist für IT-Recht.

Um beurteilen zu können, ob mit der Verschlüsselung von Daten die Anwendbarkeit des Datenschutzgesetzes ausgeschlossen werden kann, ist vorerst ein Blick in das Gesetz erforderlich.

Grundlagen des Datenschutzes

Das Schweizerische Datenschutzgesetz (DSG) ist gemäss dem definierten Geltungsbereich für das Bearbeiten von Daten natürlicher und juristischer Personen ("Personendaten" oder "personenbezogene Daten") durch Private und Bundesbehörden zu beachten. (Für die Datenbearbeitung durch kantonale Behörden existieren kantonale Datenschutzgesetze.) Entsprechend werden als "Personendaten" alle Angaben definiert, die sich auf eine bestimmte oder bestimmbare Person beziehen. Als "Bearbeiten" gilt jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Umarbeiten, Bekanntgeben, Archivieren oder Vernichten von Daten. Das "Bekanntgeben" oder die "Bekanntgabe" umfasst jede Handlung, mit der Personendaten einem Dritten zugänglich gemacht werden (zum Beispiel durch Weitergabe oder Einräumung eines Zugriffs auf die Personendaten).

Die "Bekanntgabe" von Personendaten an einen Dritten umfasst grundsätzlich auch das Szenario der Auslagerung der Datenbearbeitung (und damit bereits der Datenspeicherung) an einen Dritten, beispielsweise einen Cloud-Service-Anbieter. Die "Bekanntgabe" von Personendaten an einen Dritten, damit dieser die Daten im Auftrag des Kunden (und damit im selben rechtlichen Rahmen) bearbeitet, ist gesetzlich jedoch "privilegiert" und wird als zulässig erklärt, sofern die gesetzlichen Mindestanforderungen erfüllt sind.

Wer Personendaten in die Cloud auslagert, muss sich insbesondere vergewissern und dafür einstehen, dass die Daten vom Cloud-Service-Anbieter nur so bearbeitet werden, wie der Auftraggeber die Daten (als Dateninhaber) selbst bearbeiten darf, und dass zudem die Datensicherheit gewährleistet ist. Ausserdem darf diese sogenannte "Auftragsdatenbearbeitung" nicht gegen andere gesetzliche oder vertragliche Geheimhaltungspflichten verstossen. Zu den sicherheitsrelevanten Kriterien, die in diesem Zusammenhang zu prüfen sind, gehören unter anderem der Schutz gegen Datendiebstahl, unbefugtes Zugreifen oder andere unbefugte Bearbeitungen. Die technischen Schutzmassnahmen müssen dem aktuellen Stand der Technik ("state-of-the-art") entsprechen. Zudem dürfen Personendaten nicht ins Ausland bekannt gegeben werden, wenn dadurch die Persönlichkeit der betroffenen Personen schwerwiegend gefährdet würde, namentlich weil eine Gesetzgebung fehlt, die einen angemessenen Schutz gewährleistet. (Der Eidgenössische Datenschutzbeauftragte führt eine Liste, in der das Datenschutzniveau sämtlicher Länder weltweit beurteilt wird.) Besonders heikel ist die Situation, wenn "besonders schützenswerte Personendaten" in die Cloud ausgelagert werden, also zum Beispiel personenbezogene Daten über die Gesundheit, religiöse oder politische Ansichten, aber auch Angaben über die Intimsphäre betroffener Personen.

Kann man diesen Personenbezug aufheben, indem man die Daten vor der Auslagerung in die Cloud verschlüsselt? Oder mit anderen Worten: Sind verschlüsselte Daten keine personenbezogene Daten mehr?

Was sind Personendaten?

Wie bereits erwähnt, sind Personendaten beziehungsweise "Daten" im Sinne des Datenschutzgesetzes alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Personenbezug). Eine Person gilt als bestimmbar, "wenn aufgrund zusätzlicher Informationen auf sie geschlossen werden kann. Für die Bestimmbarkeit genügt jedoch nicht jede theoretische Möglichkeit der Identifizierung. Ist der Aufwand derart gross, dass nach der allgemeinen Lebenserfahrung nicht damit gerechnet werden muss, dass ein Interessent diesen auf sich nehmen wird, liegt keine Bestimmbarkeit vor." Von Bedeutung ist nicht nur, "welcher Aufwand objektiv erforderlich ist, um eine bestimmte Information einer Person zuordnen zu können, sondern auch, welches Interesse der Datenbearbeiter oder ein Dritter an der Identifizierung hat" (so das Schweizerische Bundesgericht in BGE 136 II 508).

Das Element der "Bestimmtheit" oder "Bestimmbarkeit" ist wichtig für die Frage, in welchen Fällen Daten noch als Personendaten nach Datenschutzgesetz zu qualifizieren sind und wann kein Personenbezug mehr vorliegt. Klar ist jedenfalls, dass vollständig anonyme oder anonymisierte Daten, bei denen ein Personenbezug nicht mehr herstellbar ist, keine Personendaten (mehr) darstellen und damit nicht in den Anwendungsbereich des Datenschutzgesetzes fallen. Ein Graubereich besteht in der Frage der "Bestimmbarkeit" des Personenbezugs, und dieser Graubereich akzentuiert sich auch im Zusammenhang mit der Verschlüsselung von Daten.

Hebt die Verschlüsselung den Personenbezug auf?

Einige Experten vertreten die Auffassung, durch die Verschlüsselung von Personendaten werde der Personenbezug aufgehoben, denn durch die Verschlüsselung sei die Person, auf die sich die Daten beziehen, nicht mehr bestimmbar. Die Auslagerung verschlüsselter Personendaten in die Cloud stellt nach dieser Auffassung infolge der Verschlüsselung auch keine "Bekanntgabe" dar, weil der Cloud-Service-Anbieter nicht (oder jedenfalls nicht ohne weiteres) auf die Daten zugreifen kann. Für einen solchen Zugriff müsste er über einen Entschlüsselungscode verfügen, der ihm – jedenfalls bei vorheriger eigenständiger Verschlüsselung durch den Dateninhaber – grundsätzlich nicht zugänglich ist. Nach dieser Auffassung genügt es für die Aufhebung des Personenbezugs (und damit für den Ausschluss der Anwendbarkeit des Datenschutzgesetzes), wenn sichergestellt ist, dass nur befugte Personen Zugang zum Entschlüsselungscode haben und die Verschlüsselung stark und gut genug ist, dass sie sich ohne Entschlüsselungscode nicht knacken lässt.

Nach anderer Auffassung ist jedoch die Verschlüsselung eine rein sicherheitstechnische Massnahme, um die Personendaten insbesondere vor unbefugter Einsichtnahme oder Offenlegung zu schützen. Die verschlüsselten Daten sind gemäss dieser Position nach wie vor personenbezogen, nur ist der Zugriff auf diese Personendaten infolge der Verschlüsselung grundsätzlich nur noch dem Inhaber des Entschlüsselungscodes möglich. Man kann sich die Verschlüsselung bildlich als einen Tresor vorstellen, in den die Personendaten gesteckt werden, bevor sie dem Cloud-Service-Anbieter übergeben werden. An den Personendaten selbst ändert sich durch die Verschlüsselung nichts. Sie werden durch die Verschlüsselung insbesondere auch nicht anonym. Mit der Verschlüsselung werden die Daten insgesamt lediglich nicht mehr (ohne Entschlüsselungscode) lesbar. Die Verschlüsselung bewirkt also nach dieser anderen Auffassung nicht die Aufhebung des Personenbezugs, sondern schränkt die Lesbarkeit der Daten (unabhängig vom Personenbezug) ein.

Die Argumentation nach der ersten ("liberalen") Auffassung überzeugt deshalb nicht wirklich, weil es vermutlich nie einen Tresor beziehungsweise eine Verschlüsselung geben wird, die so stark und gut ist, dass sie sich ohne Entschlüsselungscode nicht knacken lässt. Überzeugender wäre in diesem Zusammenhang dann noch das Zusatzargument, dass ein Dritter (insbesondere ein Cloud-Service-Anbieter) sich die Mühe vermutlich nicht machen würde, einen aktuell als sicher beurteilten Verschlüsselungscode zu knacken, und dass daher ("nach der allgemeinen Lebenserfahrung") nicht mit einer Entschlüsselung gerechnet werden muss.

Datenschutz gilt wohl in jedem Fall

Diese Überlegungen führen letztlich zur Erkenntnis, dass mit der Verschlüsselung der Daten vor deren Auslagerung in die Cloud der Personenbezug und damit die Anwendbarkeit des Datenschutzgesetzes nicht einfach aufgehoben werden. Somit trifft auch das "Gerücht" nicht zu, dass mit der Verschlüsselung von Personendaten vor der Auslagerung das Datenschutzgesetz nicht mehr beachtet werden muss. Die Verschlüsselung ist nur (aber immerhin) eine Massnahme im Rahmen der Verpflichtung des Dateninhabers, die Daten vor unbefugtem Zugriff oder unbefugter Offenlegung zu schützen (Datensicherheit). Gerade bei besonders schützenswerten Daten und Persönlichkeitsprofilen kann die Verschlüsselung vor der Auslagerung in die Cloud sogar geboten sein, weil es sich um sehr sensible personenbezogene Informationen handelt. Dies gilt insbesondere dann, wenn Personendaten in eine "Public Cloud" ausgelagert werden, denn eine "Public Cloud" kann (als Datenspeicher) grundsätzlich von beliebigen Personen und Unternehmen genutzt werden, was zu erhöhten Sicherheitsrisiken und damit auch Sicherheitsanforderungen führt. Die Gefahr von unbefugten Zugriffen ist hier besonders gross.

Zusammengefasst lässt sich also festhalten, dass die Verschlüsselung von Personendaten vor deren Auslagerung in die Cloud vermutlich nicht von der Beachtung des Datenschutzgesetzes entbindet und insbesondere nicht von der Beachtung der Vorschriften bezüglich der Bekanntgabe von Personendaten und der Auftragsdatenbearbeitung. Die Verschlüsselung dient jedoch der Datensicherheit und dürfte gerade bei einer Auslagerung in die Public Cloud und bei sensiblen Personendaten im Sinne des Datenschutzes sogar geboten sein. Einen wirklichen Schutz bietet die Verschlüsselung in der Cloud sodann nur, wenn der Schlüssel dem Cloud-Service-Anbieter selbst nicht zur Verfügung steht. Insbesondere Cloud-Lösungen, bei denen der Cloud-Service-Anbieter den Verschlüsselungscode selbst zur Verfügung stellt, sind unter diesem Gesichtspunkt wenig geeignet.