cloud-computing - rechtliche stolperfallen in der cloud
Post on 05-Dec-2014
317 Views
Preview:
DESCRIPTION
TRANSCRIPT
Cloud-Computing
Rechtliche Stolperfallen in der Cloud
2iusec Datenschutz, 2012 2
Person
• Martin Kuhr, LL.M.
• Rechtsanwalt
• Fachanwalt für Informationstechnologierecht
• Dozent für Telemedienrecht u. Urheberrecht
• Externer Datenschutzbeauftragter
3iusec Datenschutz, 2012 3
Agenda
• „Wolke“ oder „Cloud-Computing“
• Verträge
• Urheberrecht
• Datenschutz
• IT-Compliance
4iusec Datenschutz, 2012 4
„Wolke“ oder „Cloud Computing“
• Idee:
- Computernutzer kauft künftig IT
wie Strom aus Steckdose
- ohne eigenen PC mit Software
- nur mit einfachem Computer mit Browser
- IT-Dienste über Netzwerke zur Verfügung
- Daten auf Rechnern im Internet speichern
5iusec Datenschutz, 2012 5
„Wolke“ oder „Cloud Computing“
• verstreuter Kreis von Kunden
• internetbasierte IT- Leistungen unterschiedlichster Art
– z.B.:
- Bereitstellung von Speicherplatz
oder
- Betrieb von Standardanwendung
6iusec Datenschutz, 2012 6
„Wolke“ oder „Cloud Computing“
• Übermittlung z. B. von:
- Namen, Adressen, Bankverbindungen
- Geschäftsinterna
7iusec Datenschutz, 2012 7
„Wolke“ oder „Cloud Computing“
• Mitteilung Nr. 15/10 vom 12.03.2010
wissenschaftlicher Dienst des Deutschen Bundestages
„Auslagern von Software- oder sogar Hardwarefunktionen der Anwender““““
8iusec Datenschutz, 2012 8
„Wolke“ oder „Cloud Computing“
• NIST (National Institute of Standards and Technology), auch ENISA (European Network and Information Security Agency)
- On-demand Self Service
- Broad Network Access
- Resource Pooling
- Rapid Elasticity
- Measured Services
9iusec Datenschutz, 2012 9
„Wolke“ oder „Cloud Computing“
• Arten von Cloud Computing
- private Cloud: (geschlossene Nutzergruppe)
- public Cloud: (große Anzahl verschiedener
Nutzer)
- hybrid Clouds
10iusec Datenschutz, 2012 10
„Wolke“ oder „Cloud Computing“
• „3-Stufen-Modell““““
- SaaS
- PaaS
- IaaS
11iusec Datenschutz, 2012 11
Verträge
• Verträge
1. Kunde/ Cloud-Provider
2. Cloud-Provider/ Subunternehmen (Back-To-Back-Verträge)
12iusec Datenschutz, 2012 12
Verträge
• Verträge
Anwendbares Vertragsrecht
- Rechtswahlklausel (AGB)? Art. 3 I Rom I-VO
- ansonsten: Ort des gewöhnlichen Aufenthaltes des Anbieters
13iusec Datenschutz, 2012 13
Verträge
• Verträge
Anwendbares Deliktsrecht
- z. B. Zerstörung/Manipulation der Datenbestände
- Rechte des Lageortes des Zielrechners?
- besser: entsprechend Vertragsrecht
14iusec Datenschutz, 2012 14
Urheberrecht
• Urheberrecht
- aus Nutzersicht zu regeln:
Skalierbarkeit, Rechteeinräumung, Nutzungsentgelt
- aus Anbietersicht zu regeln:
wenn Leistung von Dritten: Back-To-Back (§§§§§§§§ 69c I, 19a UrhG, 69c Nr. 2 UrhG)
15iusec Datenschutz, 2012 15
Datenschutz
• Datenschutz
Übermittlung personenbezogener Daten
Personenbezogene Daten §§§§ 3 I BDSG:
„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“
16iusec Datenschutz, 2012 16
Datenschutz
• Datenschutz
Weitergabe von personenbezogenen Daten erfordert Rechtfertigung (Gesetz/Einwilligung) gemäß §§§§ 4 BDSG
oder
Auftragsdatenverarbeitung §§§§ 11 BDSG (hier wird keine Weitergabe angenommen)
17iusec Datenschutz, 2012 17
Datenschutz
• Datenschutz
- Auftragsdatenverarbeitung nur, wenn:
- Verarbeiter der Daten streng weisungsgebunden
- keinen eigenen Bewertungs- u. Entscheidungs-spielraum
18iusec Datenschutz, 2012 18
Datenschutz
• Datenschutz
- Auftragsdatenverarbeitung
- Auftraggeber bleibt verantwortliche Stelle
- P: Auftraggeber hat oft keine genaue Kenntnis, wo sich seine Daten befinden
19iusec Datenschutz, 2012 19
Datenschutz
• Datenschutz: §§§§ 11 BDSG schriftlicher Auftrag
- Gegenstand und Dauer des Auftrags
- Umfang, Art und Zweck der geplanten DV
- erforderliche techn. u. organisatorische Maßnahmen
- Kontrollrechte/Weisungsrechte des AG
- Mitwirkungspflichten des AN
20iusec Datenschutz, 2012 20
Datenschutz
• Datenschutz: §§§§ 11 BDSG schriftlicher Auftrag
- Pflichten nicht abschließend geregelt
- unbestimmt formuliert
„die von ihm vorzunehmenden Kontrollen“
- ordnungswidrig handelt, wer:
„einen Auftrag nicht vollständig erteilt“
21iusec Datenschutz, 2012 21
Datenschutz
• Datenschutz: §§§§ 11 BDSG schriftlicher Auftrag
- Wenn keine Auftragsdatenverarbeitung:
- Rechtfertigung gem. §§§§ 28 I 1 Nr. 2 BDSG möglich:
wie Outsourcing: Interessenabwägung
22iusec Datenschutz, 2012 22
Datenschutz
• EU-Cloud Anbieter: Datenschutz gem. Sitzland des Anbieters (Niederlassung)
• Anbieter von außerhalb EU/EWR:
- wenn Daten in D erhoben/verarbeitet/genutzt: Territorialitätsprinzip: BDSG anwendbar
23iusec Datenschutz, 2012 23
Datenschutz
• Cloud-Anbieter außerhalb der EU/EWR
- P: Geringeres Datenschutzniveau im Drittland
- Ausnahmegenehmigung der Aufsichtsbehörde
- EU-Kommission kann Klauseln zur Gewährung des Datenschutzes anerkennen, Art. 26 IV RL 95/46/EG.
- Standardvertragsklauseln, erlauben auch Unterauftrags-Datenverarbeitung
24iusec Datenschutz, 2012 24
Datenschutz
• Cloud-Anbieter außerhalb der EU/EWR
- alternativ zu den Vertragsklauseln:
verbindliche Unternehmensregelungen § 4c II BDSG, Codes of Conduct, Binding Corporate Rules (i.d.R. multinationale Konzerne, Genehmigung durch Aufsichtsbehörde erst, wenn Richtlinie verbindlich)
25iusec Datenschutz, 2012 25
Datenschutz
• Cloud-Anbieter außerhalb der EU/EWR
- alternativ zu den Vertragsklauseln:
- USA: Safe-Harbor-Programm (Information, Wahlmöglichkeit, Weitergabe, Datensicherheit, Datenintegrität, Auskunft, Durchsetzung)
-§§§§ 4b V BDSG: Absender bleibt verantwortlich für Zulässigkeit der Übermittlung
26iusec Datenschutz, 2012 26
IT-Compliance
• Haftung gem. §§§§ 91 Abs. 2 AktG
„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“
27iusec Datenschutz, 2012 27
IT-Compliance
• Haftung gem. §§§§ 9 BDSG
„die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“
28iusec Datenschutz, 2012 28
IT-Compliance
• §§§§ 146 Abs. 2 AO
„Bücher und die sonst erforderlichen Aufzeichnungen sind im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren.“
• §§§§ 146 Abs. 2 S. 1 AO Buchführung im Inland
• §§§§ 146 Abs. 2a AO Buchführung und Aufbewahrung mit Bewilligung in EU-Ausland
• §§§§ 148 AO Erleichterungen können bewilligt werden, nur EU-Cloud
29iusec Datenschutz, 2012 29
IT-Compliance
• §§§§§§§§ 239, 257 HGB
- Grundsätze ordnungsgem. Buchführung (GoB)
und Grundsätze ordnungsgemäßer DV-gestützter
Buchführungssysteme (GoBS)
- Ziffer 5.3 Satz 2 GoBS: „Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen“
30iusec Datenschutz, 2012 30
IT-Compliance
• Ziffer II. 1 GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen:
- zur Sicherstellung der Prüfbarkeit digitaler Unterlagen sind beim Einsatz von Kryptographietechniken
- die verschlüsselte und entschlüsselte Abrechnung sowie der
- Schlüssel zur Entschlüsselung aufzubewahren.
31iusec Datenschutz, 2012 31
Zusammenfassung
• Risiken (1)
- fehlende Transparenz
- fehlende Kontrolle über Daten und Prozesse
- Schwierigkeiten bei Migration
- zentraler Angriffspunkt
- Multi Vendor Modelle: Rechtswahl?
32iusec Datenschutz, 2012 32
Zusammenfassung
• Risiken (2)
- SLAs
- Insolvenz des Providers
- sichere Datenlöschung nach Beendigung
-§§§§ 203 StGB
- Lizenzverträge Cloud-Anbieter und App-Anbieter
33iusec Datenschutz, 2012 33
Zusammenfassung
• Checkliste für den Kunden:
- Vertragspartner (in D/EU/EWR)
- Anzahl Vertragspartner
- Nutzungsbedingungen der Cloud-Angebote
- Support
- Zugriff auf eigene Daten (Format)
- Auditierungsrechte
34iusec Datenschutz, 2012 34
Schlussinfos:
• EU-Kommission: Cloud-Strategie (bis 2020 ca. 3,8 Millionen neue Arbeitsplätze in Europa; Steigerung BIP der EU jährlich um 160 Milliarden Euro)
- Muster-Vertragsbedingungen
- Zertifizierungsprogramme unterstützen
- „Normen-Dschungel“ lichten, um Interoperabilität, Datenübertragbarkeit und -umkehrbarkeit zu nutzen
- Koordinierung durch ETSI (Europäische Institut für Telekommunikationsnormen), für Datenschutz ENISA
35iusec Datenschutz, 2012 35
Schlussinfos:
• BSI: Eckpunktepapier Cloud-Computing (Sicherheitsempfehlungen für Anbieter)
• Verband Eurocloud
• Düsseldorfer Kreis 29.4.2010: Safe-Harbor Zertifikate allein genügen nicht für USA
• BMWi: Aktionsprogramm Trusted Cloud
• Bitkom
36iusec Datenschutz, 2012 36
Vielen Dank für Ihre Aufmerksamkeit!
37iusec Datenschutz, 2012 37
Kontakt
Martin Kuhr, LL.M.
iusec Datenschutz
Batschkastr. 18
67117 Limburgerhof
Tel.: 06236/46082
www.iusec.de
twitter.com/iusec
top related