SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nutzer beachten...

Cloud Conf 2011, Frankfurt am Main den 21. November 2011

Cloud ComplianceWas Provider und Nutzer beachten müssenRA Jan SchneiderFachanwalt für Informationstechnologierecht

Sex‘TXL 2011, Frankfurt am Main den 22. November 2011

Cloud ComplianceWas Provider und Nutzer beachten müssen.

RA Jan SchneiderFachanwalt für Informationstechnologierecht

„Ist Cloud Computing nicht …

... unsicher?“

... ein Kontrollverlust?“

... rechtlich problematisch?“

... datenschutzwidrig?“...eine unerlaubte Datenübermittlung?“

4RA Jan Schneider SKW Schwarz Rechtsanwälte

Ist das Cloud Computing also

„compliant“?

5RA Jan Schneider SKW Schwarz Rechtsanwälte

Was bedeutet „Compliance“?

Einhaltung der rechtlichen – insbesondere der gesetzlichen – Bestimmungen

6RA Jan Schneider SKW Schwarz Rechtsanwälte

Compliance-Anforderungen im Cloud Computing

§ gesetzliche Dokumentations- und Archivierungspflichten

§ Steuer-, handels- u. bilanzrechtliche Anforderungen

§ Spezialgesetzliche Regelungen, z. B. aus Medizin- oderTransportrecht, KWG, MaRisk etc.?

7RA Jan Schneider SKW Schwarz Rechtsanwälte

Compliance-Anforderungen im Cloud Computing

§ IT-Risikomanagement nach KonTrag?à Risiko der Haftung der Unternehmensführung bzw. d. IT-

Verantwortlichen

§ und … Datenschutz, Datenschutz, Datenschutz!

8

Herausforderung:

Rechtskonforme Datenübermittlung

9RA Jan Schneider SKW Schwarz Rechtsanwälte

Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen.

10RA Jan Schneider SKW Schwarz Rechtsanwälte

Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen.

„Angaben, anhand derer natürlichePersonen bestimmbar sind“

11RA Jan Schneider SKW Schwarz Rechtsanwälte

Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen.

„Angaben, anhand derer natürlichePersonen bestimmbar sind“

z. B. Name, Anschrift - auch E-Mail-Anschrift -, Alter,Geschlecht, Beruf, Konfession, aber ggf. auch Fotos -

12RA Jan Schneider SKW Schwarz Rechtsanwälte

Herausforderung Datenübermittlung

§ (auch) personenbezogene Daten sollen in die Cloud?

§ Nein:à keine datenschutzrechtlichen Anforderungen! Z. B. bei

§ Anonymisierung der Daten§ Verschlüsselung der Daten

13RA Jan Schneider SKW Schwarz Rechtsanwälte

Herausforderung Datenübermittlung

§ (auch) personenbezogene Daten sollen in die Cloud?

§ Ja:àDatenschutzgesetze finden Anwendung (TMG, BDSG, LandesDSG)àGrundsatz: Datenübermittlung ist nur dann zulässig, wenn hierzu

ausdrückliche gesetzliche Ermächtigungsgrundlage auffindbar istà zentrale Herausforderung: Sicherstellung der

datenschutzrechtlichen Zulässigkeit der Datenübermittlung

14RA Jan Schneider SKW Schwarz Rechtsanwälte

Lösungsansatz: Auftragsdatenverarbeitung („ADV“)

§ ADV ist gesetzliches „Konstrukt“, beschrieben in § 11 BDSG§ vertragliche Gestaltung erforderlich – schriftlich und

ausführlich!§ Regelungskatalog des § 11 BDSG!§ Einrichtung technischer und organisatorischer Maßnahmen

durch den Cloud Service Provider („CSP“), § 9 BDSG§ Prüfung der Maßnahmen durch den Cloud Nutzer

15RA Jan Schneider SKW Schwarz Rechtsanwälte

Lösungsansatz: Auftragsdatenverarbeitung („ADV“)

§ Konsequenz einer rechtmäßigen ADV:

Nutzer bleibt per Gesetz „Herr seiner Daten“

16

Ein „sicherer Hafen“?

Serverfarmen in Übersee

17RA Jan Schneider SKW Schwarz Rechtsanwälte

Ein sicherer Hafen? Serverfarmen in Übersee

Herausforderung:

Datenübermittlung an Serveraußerhalb der EU zulässig?

18RA Jan Schneider SKW Schwarz Rechtsanwälte

Ein sicherer Hafen? Serverfarmen in Übersee

Diskussion der Datenschutzexperten:

Kann eine Datenübermittlung nach „Übersee“zulässige „Auftragsdatenverarbeitung“ (oderanderweit gesetzlich legitimiert) sein?

19RA Jan Schneider SKW Schwarz Rechtsanwälte

Ein sicherer Hafen? Serverfarmen in Übersee

Möglicher Lösungsansatz für die USA:

„Safe Harbor“ - Abkommen

20RA Jan Schneider SKW Schwarz Rechtsanwälte

Was ist „Safe Harbor“?

§ Abkommen zwischen EU-Kommission und US-Regierung ausdem Jahre 2000

§ Festlegung bestimmter datenschutzrechtlicher Maßnahmen§ Anerkennung der Maßnahmen durch die Unternehmen, die

sich verbindlich zu den Grundsätzen des Safe Harborbekennen („Selbstverpflichtung“)

§ „Safe Harbor“ führt zu angemessenem Datenschutzniveau

22RA Jan Schneider SKW Schwarz Rechtsanwälte

„Safe Harbor“ noch zeitgemäß?

§ Beschluss des „Düsseldorfer Kreises“ vom 28.04.2010;Festlegungen für Cloud Computing:§ Inhalt:

§ Prüfung des Nachweises über Beitritt zu „Safe Harbor“§ Nachweis über die Einhaltung der Informationspflichten nach

Safe Harbor durch den Cloud Service Provider§ Festlegungen entfalten keine unmittelbare Rechtswirkung,

gleichwohl beachtlich§ Festlegungen sind in der Diskussion

23RA Jan Schneider SKW Schwarz Rechtsanwälte

Checkliste

§ Ist der CSP beim Safe Harbor-Programm des US-Handelsministeriums registriert?

§ Gewährleistet der CSP ausdrücklich die Einhaltung der SafeHarbor-Prinzipien?

§ Erfolgt ein Nachweis über die Einhaltung von „Safe Harbor“(ggf. SSAE 16, ISAE 3402 o. ä.)?

24RA Jan Schneider SKW Schwarz Rechtsanwälte

Ausblick

§ „Safe Harbor“ hat nach Potential

§ Alternative zu EU-Standardvertragsklauseln (+ ergänzendeRegelungen)

25

Projekt

Datensicherheit!

26RA Jan Schneider SKW Schwarz Rechtsanwälte

Projekt Datensicherheit!

§ Herausforderungen:

§ Etablierung der technischen und organisatorischenMaßnahmen zum Datenschutz (§ 9 BDSG)

§ optimale IT-Sicherheit herstellen

27RA Jan Schneider SKW Schwarz Rechtsanwälte

Projekt Datensicherheit!

§ Lösung:

§ moderne Rechenzentren der großen CSP‘s

§ Dokumentation der Maßnahmen in“Datensicherheitskonzepten“

à Notwendiger Bestandteil der vertraglichen Vereinbarungen!

28RA Jan Schneider SKW Schwarz Rechtsanwälte

Projekt Datensicherheit!

§ „Checkliste“:

§ Modernes Hochsicherheits-Rechenzentrum?

§ Standort des Rechenzentrums?

§ Ausführliche, verbindliche und belastbare Beschreibungder vom CSP getroffenen technischen und organisatorischen Maßnahmen?

29

Odyssee in die Cloud?

Prüfung der Maßnahmen zum Datenschutz

30RA Jan Schneider SKW Schwarz Rechtsanwälte

Eine Odyssee in die Cloud? - Prüfung der Maßnahmen

Herausforderung:

Prüfung der Einhaltung der technischen undorganisatorischen Maßnahmen durch den Cloud Nutzer (§ 11 BDSG)

31

Eine Odyssee in die Cloud?

Schwierigkeit:

Prüfung vor Ort beim CSP durch den Cloud Nutzer häufignicht praktikabel

32RA Jan Schneider SKW Schwarz Rechtsanwälte

Eine Odyssee in die Cloud?

§ Lösungsansatz:

§ 11 BDSG schreibt keine Prüfung vor Ortdurch den Nutzer vor.

33RA Jan Schneider SKW Schwarz Rechtsanwälte

Checkliste

§ Testate bzw. Auditierung durch unabhängige Stellen - z. B.Wirtschaftsprüfer?

§ Nachweis des CSP? Z. B. nach ISO 27001, SSAE 16, ISAE3402

§ Sonstige Nachweise?

34

Fazit und Ausblick

§ Cloud Computing hat Potential!

§ Die Herausforderungen der „Cloud Compliance“ sind lösbar– mit einem konstruktiven und praxisnahen Ansatz.

§ Datenschutzrechtler und -behörden, anwaltliche Berater,Rechtsprechung und Gesetzgeber sind gemeinsam aufgerufen,praxisnahe Lösungen zu erarbeiten

35Abbild. S. 3, 5, 8, 16, 25, 29, 31, 34 © iStockphoto.com

Bei Fragen oder Anmerkungen:

Jan SchneiderRechtsanwaltFachanwalt für IT-RechtSKW Schwarz Rechtsanwälte40212 DüsseldorfSteinstraße 1 / KÖT +49 (0)211 82 89 59 – 0j.schneider@skwschwarz.dewww.skwschwarz.de

Herzlichen Dank für Ihre Aufmerksamkeit!