Close
Wonach suchen Sie?
Site search
14. August 2024 Mit Berufsgeheimnissen in die Cloud: Musterklausel

Wer verpflichtet ist, das Berufs- oder Amtsgeheimnis zu wahren, muss bei der Beauftragung eines Cloud-Anbieters oder sonst eines IT-Providers in seinem Vertrag zusätzliche Vorkehrungen treffen, insbesondere dann, wenn der Anbieter einen Auslandsbezug aufweist.

Wir haben für KMU und kleinere Projekte eine Zusatzklausel entwickelt, mit welcher die wichtigsten Punkte abgedeckt werden, die im Vertrag hierfür vorgesehen sein sollten. Bei kritischeren und grösseren Projekten können weitergehende Regelungen nötig und angezeigt sein.

Die Klausel geht davon aus, dass bereits eine Auftragsverarbeitungsvereinbarung (sog. AVV oder ADV) besteht bzw. vorgesehen ist. Sie geht auch davon aus, dass angemessene technische und organisatorische Massnahmen zur Informationssicherheit vereinbart werden und bestehen. Wer diese selbst nicht beurteilen kann, sollte hier eine Fachperson beiziehen, die das tut. Das ist ohnehin angezeigt, da die beste Klausel nichts nutzt, wenn die Informationssicherheit nicht stimmt.

Die Klausel lautet:

"Der Dienstleister nimmt zur Kenntnis, dass die Bearbeitung von Kundendaten dem schweizerischen Amts-, Berufs- und sonstigen gesetzlichen Geheimhaltungspflichten (z.B. Art. 320 ff. Schweizerisches Strafgesetzbuch) unterliegen kann. Der Dienstleister wird Kundendaten so lange vertraulich behandeln, wie es das anwendbare Recht vorschreibt (auch nach Beendigung des Vertrages) und sie nur so verwenden, wie es für die Aufrechterhaltung oder Erbringung der Dienstleistung erforderlich ist. Kundendaten dürfen nicht an Dritte weitergeben werden, ausser dies ist erforderlich, um den Anweisungen des Kunden, den Pflichten gemäss Vertrag oder einer gültigen und verbindlichen Anordnung einer zuständigen staatlichen Behörde (wie einer gerichtlichen Verfügung) nachzukommen. Der Dienstleister wird im Falle einer Anordnung auf Zugang zu, oder Herausgabe von, Kundendaten zusätzlich zu seinen anderen Verpflichtungen, und bevor er einer solchen Anordnung nachkommt, (a) sofern rechtlich zulässig den Kunden informieren (und, wenn dies nicht der Fall ist, versuchen, die Erlaubnis zur Information des Kunden einzuholen) und dem Kunden es ermöglichen eine solche Anordnung anzufechten und einzuschränken, sowie (b) selbst alle rechtlichen Möglichkeiten ausschöpfen, um eine solche Anordnung auf der Grundlage von Mängeln nach dem Recht der anfordernden Behörde, dem sonst anwendbaren Recht und dem Prinzip der 'International Comity' sowie etwaiger Konflikte mit dem schweizerischen Recht anzufechten und einzuschränken, und in jedem Fall nur das Minimum an Kundendaten herausgeben, das zur Erfüllung der Anordnung erforderlich ist. Der Dienstleister wird seinen Mitarbeitenden und Unterakkordanten mindestens gleichwertige Pflichten wie in dieser Klausel auferlegen, soweit sie Zugang zu Kundendaten im Klartext haben können, und Mitarbeitenden (auch der Unterakkordanten) Zugang zu Kundendaten im Klartext nur auf einer Need-to-know-Basis gewähren und nur (i) mit vorheriger Genehmigung des Kunden [oder soweit zur Vertragserfüllung zwingend nötig (und nur den Mitarbeitenden des Dienstleisters, nicht der Unterakkordanten)], (ii) soweit nötig zur Behebung eines BCM-Notfalls, der keine Verzögerung zulässt, oder (iii) soweit dies erforderlich ist, um einer gültigen und verbindlichen Anordnung einer zuständigen staatlichen Behörde (wie etwa einer gerichtlichen Verfügung) nachzukommen. Wenn der Dienstleister Leistungen Dritter nutzt, wird er angemessene Massnahmen ergreifen, damit diese Anbieter keinen Klartext-Zugang zu den Kundendaten erhalten. Alle Bestimmungen des zwischen dem Kunden und dem Dienstleister geschlossenen Auftragsverarbeitungsvertrags, insbesondere die technischen und organisatorischen Massnahmen des Dienstleisters zum Schutz von Personendaten, die Genehmigung neuer Unterauftragsbearbeiter und die Benachrichtigung über Datensicherheitsverletzungen, gelten sinngemäss auch für Kundendaten. Der Anbieter weist ein angemessenes Mass an Informationssicherheit nach, indem er dem Kunden jährlich und ohne zusätzliche Kosten einen SOC 2 Typ 2 oder gleichwertigen Prüfbericht vorlegt, der die gesamte Verarbeitung von Kundendaten abdeckt. Er behebt etwaige Mängel ohne schuldhaften Verzug."

Unsere Musterklausel ist hier auf Deutsch und hier auf Englisch abrufbar, zusammen mit entsprechenden Erläuterungen. Diese können auch dem jeweiligen Anbieter gegeben werden, damit er versteht, warum die Regelungen getroffen werden sollten.

Die Musterklausel ist so formuliert, dass sie ein Anbieter auch dann eingehen kann, wenn er seinerseits zur Erbringung seiner Leistung einen der Hyperscaler (Microsoft, AWS, Google) einsetzt. Diese haben ihre eigenen Verträge und werden sich nicht auf eine solche Musterklausel einlassen. Sie ist aber kompatibel damit, d.h. ein Anbieter, der solche Hyperscaler benutzt, kann mit den nötigen Vertragszusätzen der Hyperscaler die Pflichten an diese weitergeben bzw. die nötigen technischen Vorkehrungen treffen, damit er die Musterklausel einhalten kann.

Zu beachten ist, dass im Falle eines Auslandsbezugs geprüft werden muss, ob Grund zur Annahme besteht, dass es zu ausländischen Behördenzugriffen kommt. Hierfür ist ein sog. Foreign Lawful Risk Assessment (FLARA) vorzunehmen. Ein typischer Anwendungsfall ist der Einsatz der Hyperscaler. Hierbei wird das FLARA in der Regel auf die USA beschränkt (CLOUD Act). Die von uns hierfür entwickelte "Methode Rosenthal" hat sich inzwischen durchgesetzt. Das Excel ist hier kostenlos als Open Source abrufbar (eine FAQ gibt es hier). Soll eine grössere Anzahl an FLARAs durchgeführt werden und hat eine Organisation bereits ein reguläres FLARA gemacht, so kann für die weiteren Prüfungen bei uns ein "FLARA Light" bezogen werden, bei welchem durch Abfrage einiger Schlüsselparameter eine Beurteilung in wenigen Minuten möglich ist.

Wir helfen bei Fragen gerne weiter.

In diesem Zusammenhang verweisen wir auf unsere diversen weiteren Arbeitshilfen in diesem Bereich:

  • CCRA-FI: Unser Werkzeug, mit welchem Banken und andere Finanzinstitute ihre kritischeren Cloud-Projekte auf Compliance und Risiken überprüfen und dokumentieren können (Perpetual-Lizenz)
  • CCRA-FI Light: Unser Werkzeug für Banken und andere Finanzinstitute für kleinere und weniger kritische Cloud-Projekte (Pay-as-you-go oder Subscription-Lizenz), Demovideo
  • CCRA-PS: Unser Werkzeug, mit welchem öffentliche Institutionen inkl. Spitäler ihre kritischen Cloud-Projekte auf Compliance und Risiken überprüfen und dokumentieren können (kostenlose Open Source-Lizenz)
  • Checkliste zu KI für Verträge mit Lieferanten und Partnern
  • Checkliste für Cloud-Verträge von Banken (älter, ohne Anforderungen "OpRisk")
  • Der Beitrag "M365 in der Anwaltskanzlei: So geht es" aus der Anwaltsrevue 6/7/2023, in welcher David Rosenthal beschreibt, welche Schritte nötig sind, damit eine Anwaltskanzlei M365 nutzen kann (eignet sich für alle Berufsgeheimnisträger)

David Rosenthal

Autor