Cloud-Computing - Rechtliche Stolperfallen in der Cloud

Cloud-Computing

Rechtliche Stolperfallen in der Cloud

2iusec Datenschutz, 2012 2

Person

• Martin Kuhr, LL.M.

• Rechtsanwalt

• Fachanwalt für Informationstechnologierecht

• Dozent für Telemedienrecht u. Urheberrecht

• Externer Datenschutzbeauftragter

3iusec Datenschutz, 2012 3

Agenda

• „Wolke“ oder „Cloud-Computing“

• Verträge

• Urheberrecht

• Datenschutz

• IT-Compliance

4iusec Datenschutz, 2012 4

„Wolke“ oder „Cloud Computing“

• Idee:

- Computernutzer kauft künftig IT

wie Strom aus Steckdose

- ohne eigenen PC mit Software

- nur mit einfachem Computer mit Browser

- IT-Dienste über Netzwerke zur Verfügung

- Daten auf Rechnern im Internet speichern

5iusec Datenschutz, 2012 5

„Wolke“ oder „Cloud Computing“

• verstreuter Kreis von Kunden

• internetbasierte IT- Leistungen unterschiedlichster Art

– z.B.:

- Bereitstellung von Speicherplatz

oder

- Betrieb von Standardanwendung

6iusec Datenschutz, 2012 6

„Wolke“ oder „Cloud Computing“

• Übermittlung z. B. von:

- Namen, Adressen, Bankverbindungen

- Geschäftsinterna

7iusec Datenschutz, 2012 7

„Wolke“ oder „Cloud Computing“

• Mitteilung Nr. 15/10 vom 12.03.2010

wissenschaftlicher Dienst des Deutschen Bundestages

„Auslagern von Software- oder sogar Hardwarefunktionen der Anwender““““

8iusec Datenschutz, 2012 8

„Wolke“ oder „Cloud Computing“

• NIST (National Institute of Standards and Technology), auch ENISA (European Network and Information Security Agency)

- On-demand Self Service

- Broad Network Access

- Resource Pooling

- Rapid Elasticity

- Measured Services

9iusec Datenschutz, 2012 9

„Wolke“ oder „Cloud Computing“

• Arten von Cloud Computing

- private Cloud: (geschlossene Nutzergruppe)

- public Cloud: (große Anzahl verschiedener

Nutzer)

- hybrid Clouds

10iusec Datenschutz, 2012 10

„Wolke“ oder „Cloud Computing“

• „3-Stufen-Modell““““

- SaaS

- PaaS

- IaaS

11iusec Datenschutz, 2012 11

Verträge

• Verträge

1. Kunde/ Cloud-Provider

2. Cloud-Provider/ Subunternehmen (Back-To-Back-Verträge)

12iusec Datenschutz, 2012 12

Verträge

• Verträge

Anwendbares Vertragsrecht

- Rechtswahlklausel (AGB)? Art. 3 I Rom I-VO

- ansonsten: Ort des gewöhnlichen Aufenthaltes des Anbieters

13iusec Datenschutz, 2012 13

Verträge

• Verträge

Anwendbares Deliktsrecht

- z. B. Zerstörung/Manipulation der Datenbestände

- Rechte des Lageortes des Zielrechners?

- besser: entsprechend Vertragsrecht

14iusec Datenschutz, 2012 14

Urheberrecht

• Urheberrecht

- aus Nutzersicht zu regeln:

Skalierbarkeit, Rechteeinräumung, Nutzungsentgelt

- aus Anbietersicht zu regeln:

wenn Leistung von Dritten: Back-To-Back (§§§§§§§§ 69c I, 19a UrhG, 69c Nr. 2 UrhG)

15iusec Datenschutz, 2012 15

Datenschutz

• Datenschutz

Übermittlung personenbezogener Daten

Personenbezogene Daten §§§§ 3 I BDSG:

„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“

16iusec Datenschutz, 2012 16

Datenschutz

• Datenschutz

Weitergabe von personenbezogenen Daten erfordert Rechtfertigung (Gesetz/Einwilligung) gemäß §§§§ 4 BDSG

oder

Auftragsdatenverarbeitung §§§§ 11 BDSG (hier wird keine Weitergabe angenommen)

17iusec Datenschutz, 2012 17

Datenschutz

• Datenschutz

- Auftragsdatenverarbeitung nur, wenn:

- Verarbeiter der Daten streng weisungsgebunden

- keinen eigenen Bewertungs- u. Entscheidungs-spielraum

18iusec Datenschutz, 2012 18

Datenschutz

• Datenschutz

- Auftragsdatenverarbeitung

- Auftraggeber bleibt verantwortliche Stelle

- P: Auftraggeber hat oft keine genaue Kenntnis, wo sich seine Daten befinden

19iusec Datenschutz, 2012 19

Datenschutz

• Datenschutz: §§§§ 11 BDSG schriftlicher Auftrag

- Gegenstand und Dauer des Auftrags

- Umfang, Art und Zweck der geplanten DV

- erforderliche techn. u. organisatorische Maßnahmen

- Kontrollrechte/Weisungsrechte des AG

- Mitwirkungspflichten des AN

20iusec Datenschutz, 2012 20

Datenschutz

• Datenschutz: §§§§ 11 BDSG schriftlicher Auftrag

- Pflichten nicht abschließend geregelt

- unbestimmt formuliert

„die von ihm vorzunehmenden Kontrollen“

- ordnungswidrig handelt, wer:

„einen Auftrag nicht vollständig erteilt“

21iusec Datenschutz, 2012 21

Datenschutz

• Datenschutz: §§§§ 11 BDSG schriftlicher Auftrag

- Wenn keine Auftragsdatenverarbeitung:

- Rechtfertigung gem. §§§§ 28 I 1 Nr. 2 BDSG möglich:

wie Outsourcing: Interessenabwägung

22iusec Datenschutz, 2012 22

Datenschutz

• EU-Cloud Anbieter: Datenschutz gem. Sitzland des Anbieters (Niederlassung)

• Anbieter von außerhalb EU/EWR:

- wenn Daten in D erhoben/verarbeitet/genutzt: Territorialitätsprinzip: BDSG anwendbar

23iusec Datenschutz, 2012 23

Datenschutz

• Cloud-Anbieter außerhalb der EU/EWR

- P: Geringeres Datenschutzniveau im Drittland

- Ausnahmegenehmigung der Aufsichtsbehörde

- EU-Kommission kann Klauseln zur Gewährung des Datenschutzes anerkennen, Art. 26 IV RL 95/46/EG.

- Standardvertragsklauseln, erlauben auch Unterauftrags-Datenverarbeitung

24iusec Datenschutz, 2012 24

Datenschutz

• Cloud-Anbieter außerhalb der EU/EWR

- alternativ zu den Vertragsklauseln:

verbindliche Unternehmensregelungen § 4c II BDSG, Codes of Conduct, Binding Corporate Rules (i.d.R. multinationale Konzerne, Genehmigung durch Aufsichtsbehörde erst, wenn Richtlinie verbindlich)

25iusec Datenschutz, 2012 25

Datenschutz

• Cloud-Anbieter außerhalb der EU/EWR

- alternativ zu den Vertragsklauseln:

- USA: Safe-Harbor-Programm (Information, Wahlmöglichkeit, Weitergabe, Datensicherheit, Datenintegrität, Auskunft, Durchsetzung)

-§§§§ 4b V BDSG: Absender bleibt verantwortlich für Zulässigkeit der Übermittlung

26iusec Datenschutz, 2012 26

IT-Compliance

• Haftung gem. §§§§ 91 Abs. 2 AktG

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“

27iusec Datenschutz, 2012 27

IT-Compliance

• Haftung gem. §§§§ 9 BDSG

„die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“

28iusec Datenschutz, 2012 28

IT-Compliance

• §§§§ 146 Abs. 2 AO

„Bücher und die sonst erforderlichen Aufzeichnungen sind im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren.“

• §§§§ 146 Abs. 2 S. 1 AO Buchführung im Inland

• §§§§ 146 Abs. 2a AO Buchführung und Aufbewahrung mit Bewilligung in EU-Ausland

• §§§§ 148 AO Erleichterungen können bewilligt werden, nur EU-Cloud

29iusec Datenschutz, 2012 29

IT-Compliance

• §§§§§§§§ 239, 257 HGB

- Grundsätze ordnungsgem. Buchführung (GoB)

und Grundsätze ordnungsgemäßer DV-gestützter

Buchführungssysteme (GoBS)

- Ziffer 5.3 Satz 2 GoBS: „Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen“

30iusec Datenschutz, 2012 30

IT-Compliance

• Ziffer II. 1 GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen:

- zur Sicherstellung der Prüfbarkeit digitaler Unterlagen sind beim Einsatz von Kryptographietechniken

- die verschlüsselte und entschlüsselte Abrechnung sowie der

- Schlüssel zur Entschlüsselung aufzubewahren.

31iusec Datenschutz, 2012 31

Zusammenfassung

• Risiken (1)

- fehlende Transparenz

- fehlende Kontrolle über Daten und Prozesse

- Schwierigkeiten bei Migration

- zentraler Angriffspunkt

- Multi Vendor Modelle: Rechtswahl?

32iusec Datenschutz, 2012 32

Zusammenfassung

• Risiken (2)

- SLAs

- Insolvenz des Providers

- sichere Datenlöschung nach Beendigung

-§§§§ 203 StGB

- Lizenzverträge Cloud-Anbieter und App-Anbieter

33iusec Datenschutz, 2012 33

Zusammenfassung

• Checkliste für den Kunden:

- Vertragspartner (in D/EU/EWR)

- Anzahl Vertragspartner

- Nutzungsbedingungen der Cloud-Angebote

- Support

- Zugriff auf eigene Daten (Format)

- Auditierungsrechte

34iusec Datenschutz, 2012 34

Schlussinfos:

• EU-Kommission: Cloud-Strategie (bis 2020 ca. 3,8 Millionen neue Arbeitsplätze in Europa; Steigerung BIP der EU jährlich um 160 Milliarden Euro)

- Muster-Vertragsbedingungen

- Zertifizierungsprogramme unterstützen

- „Normen-Dschungel“ lichten, um Interoperabilität, Datenübertragbarkeit und -umkehrbarkeit zu nutzen

- Koordinierung durch ETSI (Europäische Institut für Telekommunikationsnormen), für Datenschutz ENISA

35iusec Datenschutz, 2012 35

Schlussinfos:

• BSI: Eckpunktepapier Cloud-Computing (Sicherheitsempfehlungen für Anbieter)

• Verband Eurocloud

• Düsseldorfer Kreis 29.4.2010: Safe-Harbor Zertifikate allein genügen nicht für USA

• BMWi: Aktionsprogramm Trusted Cloud

• Bitkom

36iusec Datenschutz, 2012 36

Vielen Dank für Ihre Aufmerksamkeit!

37iusec Datenschutz, 2012 37

Kontakt

Martin Kuhr, LL.M.

iusec Datenschutz

Batschkastr. 18

67117 Limburgerhof

Tel.: 06236/46082

www.iusec.de

twitter.com/iusec