Folgende drei Szenarien dürfte man so oder ähnlich heute in den meisten Schweizer KMU antreffen: Das Verkaufsteam verschickt den Link zu einer Kundenpräsentation über einen nicht vom Unternehmen genehmigten Filesharing-Dienst, weil der Unternehmensserver zu langsam ist. Die Personalabteilung speichert Bewerbungsunterlagen in einem externen Cloud-Ordner, der nicht auf der Whitelist ist, um auch zu Hause einfachen Zugriff darauf zu haben. Und die Geschäftsleitung nutzt für Videokonferenzen eine praktische Gratis-App, die die Daten standardmässig auf US-Servern bearbeitet, aber es besteht kein Auftragsbearbeitungsvertrag mit dem App-Dienstleister.
Hinter diesem Verhalten steckt schlicht der Wunsch, die Arbeit möglichst unkompliziert und pragmatisch zu erledigen. Und trotzdem: Diese Vorgehensweise genügt, um eine Verletzung interner Vorgaben bezüglich Datenschutz und -sicherheit auszulösen, die das Unternehmen teuer zu stehen kommen kann.
Die Cloud ist Alltag – die Governance oft nicht
Cloud-Dienste wie Microsoft 365 (Sharepoint, Azure), Amazon Web Services (AWS), Zoom, Slack, Dropbox, Google Workspace (Drive, Cloud) oder Salesforce Cloud sind aus dem Arbeitsalltag nicht mehr wegzudenken. Für Schweizer KMU bieten sie enorme Vorteile: Flexibilität, Kostenersparnis, globale Zusammenarbeit. Doch ohne klare Regeln und Verantwortlichkeiten wird die Cloud zum rechtlichen Minenfeld. Daher ist es umso wichtiger, dass Unternehmen nachweisen können, wie und wo Personendaten bearbeitet werden und dass sie die Kontrolle darüber haben.
Cloud Governance ist der Rahmen, der all das ordnet: Wer darf welche Dienste nutzen? Welche Daten dürfen wo gespeichert werden? Und wer übernimmt die Verantwortung, wenn etwas schiefläuft? Nachfolgend soll aufgezeigt werden, wie ein solcher Rahmen für KMU in der Praxis aussieht – mit konkreten Handlungsvorgaben.
(Quelle: Cloud Governance & Datenschutz/DSG/EU-DSGVO; Balthasar Legal)
Rechtsrahmen: Was das Datenschutzgesetz verlangt
Wer Cloud-Anbieter mit der Bearbeitung von Personendaten beauftragt, gilt rechtlich als Auftraggeber und bleibt damit für die Einhaltung der Datenschutzregeln verantwortlich, auch wenn die Daten physisch beim Anbieter liegen. Der Anbieter ist nicht stellvertretend verantwortlich, er ist lediglich Auftragnehmer.
Im Schweizer Datenschutzgesetz gibt es diverse Regelungen, die direkten Einfluss auf die Cloud-Nutzung haben. Unternehmen müssen bei der Bearbeitung von Personendaten das Prinzip «Privacy by Design & by Default» einhalten – Datenschutz muss bereits bei der Entwicklung und Einführung berücksichtigt werden. Unternehmen sind verpflichtet, eine Datenschutz-Folgenabschätzung durchzuführen, wenn neue Technologien (z.B. KI) eingesetzt werden oder die Bearbeitungen besondere Risiken für die betroffenen Personen generiert. Tritt eine Datensicherheitsverletzung auf, so muss das KMU diese unter bestimmten Voraussetzungen der Aufsichtsbehörde melden und allenfalls auch die betroffenen Personen informieren.
Für Schweizer Unternehmen, die auch EU-Kunden bewerben und Produkte oder Dienstleistungen in die EU verkaufen, gelten zusätzlich die Anforderungen der europäischen Datenschutz-Grundverordnung (DSGVO). Diese ist inhaltlich ähnlich wie das Schweizer Datenschutzgesetz, aber nicht identisch – wer beide einhält, ist auf der sicheren Seite, insbesondere da die Bussen in der EU eminent höher sind als die in der Schweiz.
Tipp
Prüfen Sie, ob Ihr Unternehmen Produkte oder Dienstleistungen aktiv an EU-Kunden anbietet und EU-Kundendaten bearbeitet. Falls ja, empfehlen wir, sowohl das DSG als auch die DSGVO im Blick behalten und einen Spezialisten beizuziehen.
Drei Richtlinien, die jedes KMU braucht
Was das Gesetz verlangt, klingt abstrakt – im Alltag übersetzt es sich in drei Dokumente, die jedes KMU haben sollte.
Der erste Baustein jeder Cloud Governance ist das interne Regelwerk. Die Cloud-Nutzungsrichtlinie legt verbindliche Vorgaben fest, die alle Mitarbeitenden einhalten müssen. Sie regelt unter anderem die Grundsätze der Cloud-Nutzung, welche Cloud-Dienste im Unternehmen erlaubt sind (Whitelist/Blacklist), welche Daten in der Cloud gespeichert werden dürfen, den Beschaffungs-/Genehmigungsprozess (Shadow IT), das Erfordernis an einen Auftragsbearbeitungsvertrag (ABV) mit dem Cloud-Anbieter, die Mindestsicherheitsanforderungen, Kontrollmechanismen, Prozesse bei Verdacht auf einen Datensicherheitsvorfall sowie die Verantwortlichkeiten.
Die Cloud-Nutzungsweisung übersetzt diese Vorgaben in den Arbeitsalltag und beantwortet konkrete Fragen der Mitarbeitenden: Darf ich Kundendaten und/oder vertrauliche Unternehmensdaten in einen Cloud-Dienst wie ein KI-Tool einspeisen? Welche Dateien darf ich mit externen Partnern teilen und über welchen Cloud-Dienst ist dies möglich? An wen wende ich mich bei Verdacht eines Datensicherheitsvorfalls. Schriftliche Antworten auf solche Fragen schützen das Unternehmen und schaffen Orientierung für Mitarbeitende.
Die Klassifizierungsrichtlinie teilt alle Unternehmensdaten in Klassen nach ihrem Schutzbedarf ein – zum Beispiel «öffentlich», «intern», «vertraulich» und «geheim» (oft C1-C4). Ergänzend legt die Richtlinie fest, wie das KMU IT-Systeme/Applikationen beziehungsweise Cloud-Dienste nach ihrer Schutzfähigkeit einstuft (oft I1-I4). So weiss jede und jeder im KMU, welche Daten in welchem Cloud-Dienst gespeichert werden dürfen.
Tipp
Die Geschäftsleitung sollte alle drei Dokumente offiziell genehmigen und die Mitarbeitenden sollten ihre Kenntnisnahme aktiv bestätigen – idealerweise schriftlich.
Rollen und Verantwortlichkeiten
Ohne klare Rollenverteilung fühlt sich im Ernstfall niemand verantwortlich. Drei Funktionen sind im Cloud-Kontext besonders wichtig:
Der Data oder Business Owner – die fachlich verantwortliche Person für die Datenbearbeitung beziehungsweise den Cloud-Dienst – entscheidet, wer auf bestimmte Daten zugreifen darf und wie lange diese aufbewahrt werden. Das ist typischerweise eine Führungsperson aus dem jeweiligen Fachbereich, nicht aus der IT.
Der Data Custodian oder IT-Owner – die technisch betreuende beziehungsweise verwaltende Person – sorgt für die sichere Speicherung, Pflege und Verfügbarkeit der Daten in einem Cloud-Dienst. In KMU ist das oft jemand aus der IT-Abteilung oder ein externer IT-Dienstleister.
Der Datenschutzberater (DSB) überwacht die rechtliche Konformität, berät intern, unterstützt bei der Umsetzung, bildet die Angestellten aus und ist Ansprechperson für Behörden und betroffene Personen. In kleineren Unternehmen übernimmt diese Funktion häufig ein externer Spezialist. Vom DSB zu unterscheiden ist der (Cloud) Security Officer, der sich auf technische Sicherheitsaspekte konzentriert: Zugangskontrollen, Verschlüsselung, Monitoring. Diese Funktion liegt in der Regel bei einem internen Security-Spezialisten in der IT-Abteilung oder beim externen IT-Dienstleister. Aber beide Rollen müssen eng zusammenarbeiten, um die Datensicherheit als wichtigen Teil des Datenschutzes und der Informationssicherheit sicherzustellen.
Ebenso wichtig ist ein klarer Eskalationsprozess für Datensicherheitsvorfälle/-verletzungen: Wer wird zuerst informiert? Wer sammelt welche Informationen? Wer entscheidet über Massnahmen wie eine Meldung an Aufsichtsbehörden oder die Information der betroffene Personen? Im Ernstfall ist es von Vorteil, die notwendigen Abläufe, Dokumentationen und richtigen Ansprechpersonen vordefiniert zu haben, sonst verliert man wertvolle Zeit.
Tipp
Dokumentieren Sie den Eskalationsprozess in einem einfachen Flussdiagramm – eine Seite reicht. Üben Sie den Ernstfall einmal jährlich in einer kurzen Tischübung.
Provider-Auswahl und laufende Kontrollen
Bevor das KMU einen neuen Cloud-Dienst einführt, braucht es eine systematische Prüfung im Sinne eines Lieferantenrisikomanagements – einer Bewertung der Datenschutz-Compliance des Lieferanten: Wie ist seine Reputation bezüglich der Einhaltung der Datensicherheit (Stand der Technik und technische/organisatorische Massnahmen)? Die laufende Kontrolle der Anbieter ist ebenso wichtig wie die erstmalige Prüfung. Zertifikate laufen ab, Unterlieferanten wechseln und Anbieter werden übernommen.
Ausserdem muss das KMU jeden Cloud-Dienst gezielt darauf prüfen, ob dieser Datenschutz durch Technik (z.B. keine Datenweitergabe von Nutzerdaten) und datenschutzfreundliche Voreinstellungen (z.B. keine unnötige Datenerhebung) einhält – sogenannt «Privacy by Design and Default». Für KMU bietet sich eine fokussierte Checkliste mit Fragestellungen an wie: Wo ist der Sitz des Anbieters und wo werden die Daten gespeichert? Welche Daten erhebt dieser und für welche Zwecke? Wie stellt er den Stand der Datensicherheit sicher – liegen Sicherheitszertifikate vor (z.B. ISO 27001)? Wie geht er mit Datensicherheitsverletzungen um? Wer sind seine Unterauftragnehmer? Wie sieht das Löschkonzept aus?
Für Unternehmen, die eine strukturiertere Herangehensweise wünschen, bieten internationale Normen und Rahmenwerke eine gute Orientierung. ISO 27001 ist der weltweit anerkannte Standard für Informationssicherheits-Managementsysteme und bildet die technische Grundlage für viele Cloud-Governance-Anforderungen. Unternehmen setzen oft ISO/IEC 27017 in Verbindung mit ISO/IEC 27001 ein, um ihr Cloud-Sicherheitsmanagement umfassend abzudecken. Für KMU ist eine vollständige Implementierung dieser Normen oft unverhältnismässig. Sinnvoller ist ein pragmatisches Mapping: Welche der DSG-Anforderungen entsprechen welchen Kontrollen in ISO 27001 beziehungsweise 27017? Auf dieser Basis lässt sich ein schlankes, aber robustes internes Kontrollset aufbauen.
Bei Cloud-Diensten, die eine umfangreiche Bearbeitung besonders schützenswerter Personendaten wie etwa Gesundheitsdaten vornehmen oder neue Technologien wie Künstliche Intelligenz verwenden, kann allenfalls auch eine Datenschutz-Folgenabschätzung notwendig sein. Das ist eine strukturierte Risikoanalyse, die bewertet, welche Risiken die geplante Datenbearbeitung für betroffenen Personen mit sich bringt und wie sie gemindert werden können, falls die Risiken zu hoch sind. Die Kontrolle endet nicht mit der Einführung des Cloud-Dienstes. Es empfiehlt sich, die Anbieter mindestens einmal jährlich zu überprüfen und das Ergebnis zu dokumentieren.
Tipp
Führen Sie eine einfache Lieferantenliste mit Bewertungsdatum und nächstem Review-Termin. Das ist kein Bürokratieakt, sondern aktives Risikomanagement.
Der ABV als Pflichtdokument
Wer Personendaten – also Informationen, die Personen identifizierbar machen – an einen externen Cloud-Anbieter auslagert, muss mit diesem einen schriftlichen Auftragsbearbeitungsvertrag (ABV) abschliessen. Dieser regelt, was der Anbieter mit diesen Daten tun darf, wo sie gespeichert werden, welche Unterauftragnehmer eingesetzt werden dürfen, wie er das KMU im Fall einer Datensicherheitsverletzung informieren muss und welche Schritte er dann einzuleiten hat.
Viele grosse Anbieter stellen ihre Standardverträge bereit – doch diese sind oft auf die eigenen Interessen zugeschnitten. Achten Sie insbesondere auf vier Punkte: Erstens, ob der Kunde ein Weisungsrecht gegenüber dem Anbieter hat und verbindlich vorgeben kann, wie dieser mit den Daten umgehen darf. Zweitens, ob alle Unterauftragnehmer des Anbieters – also Unternehmen, die der Anbieter seinerseits mit der Datenbearbeitung beauftragt – transparent aufgelistet sind. Drittens, wie die Datenrückgabe und Datenlöschung nach Vertragsende geregelt sind. Und viertens, welche Auditrechte Sie als Kunde haben – also ob und wie Sie überprüfen können, dass der Anbieter seine vertraglichen Pflichten einhält.
Tipp
Datenbearbeitungen ausserhalb der Schweiz oder der EU – etwa in den USA – erfordern zusätzliche Schutzmassnahmen, die auch im ABV geregelt sein müssen.
Operative Pflichten
Neben dem strategischen Rahmen gibt es operative Dauerpflichten, die viele KMU unterschätzen. Das Verzeichnis der Bearbeitungstätigkeiten (VBT), eine Art internes Personendatenregister pro Datenbearbeitung (für interne Abläufe, Produkte/Dienstleistungen), muss alle Cloud-Dienste und die damit verbundenen Bearbeitungstätigkeiten enthalten, wenn Personendaten bearbeitet werden. Pro Dienst dokumentiert das KMU den Anbieter, den Bearbeitungszweck, die Datenkategorien, die Kategorien betroffener Personen und Empfänger, die Massnahmen zur Gewährleistung der Datensicherheit und Aufbewahrungsfristen. Diese Pflicht besteht nur für Unternehmen mit mehr als 250 Mitarbeitenden, ist aber für alle KMU empfehlenswert, da das Verzeichnis Überblick über alle Personendatenbearbeitungen im Unternehmen gibt und vor allem bei Auskunftsgesuche und Datensicherheitsverletzungen wertvolle Informationen liefert.
Die Datenschutzerklärung auf der Unternehmenswebsite muss über alle Datenbearbeitungen informieren, auch diejenigen von Cloud-Diensten (z.B. Analysetools, oder Video-/Chat-Systeme). Das KMU hat darin insbesondere auszuweisen: Datenkategorien, Nutzungszwecke, Einsatz von Dienstleistern beziehungsweise Auftragsbearbeitern und Datenübermittlung ins Ausland sowie verwendete Cookies beziehungsweise Tracking-Technologien von Drittparteien. Wer das vergisst, verstösst gegen die Informationspflichten, die der Datenschutz vorgibt.
Kunden, Mitarbeitende und andere betroffene Personen haben zudem das Recht, zu wissen, welche Daten über sie bearbeitet werden, diese korrigieren oder löschen zu lassen und sogar die Bearbeitung zu verbieten. Im Cloud-Kontext stellt sich die praktische Frage: Wie führe ich eine Löschung spezifischer Daten durch, wenn die Daten beim Cloud-Anbieter liegen? Klären Sie das mit diesem vor Vertragsabschluss beziehungsweise im ABV, nicht erst beim ersten Löschgesuch, und richten Sie einen einfachen Prozess ein.
Löschkonzepte legen fest, wann und wie Daten gelöscht werden. Das KMU muss die Datenlöschung auch gegenüber dem Cloud-Anbieter verbindlich regeln, am besten im ABV. Viele Unternehmen versäumen es, Daten nach Ablauf der Aufbewahrungsfrist tatsächlich zu löschen beziehungsweise löschen zu lassen – das ist ein häufiger Befund bei Datenschutzprüfungen.
Tipp
Definieren Sie im Löschkonzept pro Datenkategorie eine maximale Aufbewahrungsfrist und richten Sie – wo technisch möglich – automatische Löschroutinen im Cloud-Dienst ein oder stellen die Löschung vom Cloud-Anbieter per Löschbestätigung sicher.
Wer strukturiert handelt, spart viel Aufwand
Cloud Governance ist kein einmaliges Projekt, das nach einem Workshop abgehakt ist. Sie ist ein kontinuierlicher Prozess – mit Vorabprüfungen, regelmässigen Reviews, aktuellen Richtlinien und einer gelebten Datenschutz- und sicherheitskultur im ganzen Unternehmen.
Die gute Nachricht: Für KMU braucht es keine aufwändige Bürokratie. Wer mit einfachen Richtlinien, klaren Verantwortlichkeiten, geprüften ABV und einem gepflegten Verzeichnis der Bearbeitungstätigkeiten startet, erfüllt bereits den Kern der gesetzlichen Anforderungen. Und wer laufend überprüft, ob das noch stimmt, ist langfristig auf der sicheren Seite. Datenschutz ist kein Hindernis für den Einsatz von Cloud-Diensten - er ist die Voraussetzung dafür, dass diese nachhaltig und verantwortungsvoll genutzt werden können.
Die Autorin
Silvia Mathys, ICT-Juristin und Mitarbeiterin bei
Balthasar Legal, berät KMU (und international tätige Unternehmen) in den Bereichen Datenschutz – Data Governance, Cloud und KI Governance sowie ICT-Recht (inkl. IT-Verträge). Mit ihrer langjährigen Erfahrung in verschiedenen Branchen (ICT, Energie, Finanzwesen, Versicherung) berät sie KMU fundiert sowie praxis- und bedürfnisbezogen.
