Embed Size (px)
DESCRIPTION
Cloud Computing und Datenschutz: Ein Überblick zur Rechtslage
Citation preview
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
Cloud Computing & Datenschutz Ein Überblick zur Rechtslage
Kurzvortrag von
Dr. Hans M. Wulf Rechtsanwalt
Fachanwalt für IT-Recht
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
2
Inhalt dieses Kurzvortrages
A. Welche Rechtsvorschriften sind anwendbar?
B. Welche Grundpflichten treffen den Unternehmer?
C. Wann ist der Datentransfer innerhalb der EU zulässig?
D. Wann ist der Datentransfer außerhalb der EU zulässig?
E. Welche Anforderungen enthält § 11 BDSG?
F. Welche weiteren Inhalte muss ein § 11-Vertrag aufweisen?
G. Wie gehe ich nun als Unternehmen vor?
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
3
A. Welche Rechtsvorschriften sind anwendbar? EU-Datenschutzrichtlinie 95/46/EG Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr Anweisung für Mitgliedsstaaten zur Umsetzung in nationales Recht Unterschiedliche Auslegung in den Mitgliedsstaaten möglich
Bundesdatenschutzgesetz (BDSG) Umsetzung von EU-Richtlinie 95/46/EG nur anwendbar auf personenbezogene Daten
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
4
B. Welche Grundpflichten treffen jeden Empfänger? I. Technische und organisat. Sicherheitsmaßnahmen § 9 BDSG
Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle, Verfügbarkeitskontrolle, Trennungskontrolle
II. Datenvermeidung, Datensparsamkeit, Anonymisierung § 3 BDSG
III. Zulässigkeit der Datenverarbeitung §§ 11, 28 ff. BDSG, z.B. Verarbeitung für Vertragsverhältnis mit Betroffenen erforderlich Verarbeitung unter Interessensabwägung erforderlich (berechtigtes Interesse) Daten ohnehin bereits öffentlich zugänglich
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
5
C. Wann ist der Datentransfer innerh. der EU zulässig? I. Keine erweiterten Anforderungen zum Datentransfer § 4b I BDSG
II. Erlaubnisnorm für Übermittlung erforderlich § 28 BDSG nicht anwendbar, da Auslagerung nicht erforderlich § 11 BDSG Auftragsdatenverarbeitung
III. Zwischenergebnis Datentransfer an Dienstleister innerhalb von EU nur zulässig, wenn Voraussetzungen des § 11 BDSG erfüllt sind
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
6
D. Wann ist der Datentransfer außerh. der EU zulässig? I. Transfer an sich zulässig Transfer an Empfänger außerhalb von EU nur erlaubt, wenn in
betreffendem Land ein angemessenes Datenschutzniveau herrscht, § 4b II BDSG; festgestellt von EU-Kommission für Guernsey, Isle of Man, Argentinien, Kanada, Schweiz
Transfer in die USA: Safe Habour Abkommen Transfer innerhalb von Konzern: Binding Corporate Rules (Zulassung Behörde) Transfer in übrigen Fällen: EU-Standardvertragsklauseln
II. Zusätzlich: Erlaubnisnorm für Übermittlung erforderlich -> § 11 BDSG analog?
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
7
E. Welche Anforderungen enthält § 11 BDSG? I. Sorgfältige Auswahl des Dienstleisters, insbes. Überprüfung der technischen und organisatorischen Maßnahmen § 9 BDSG (s.o.)
II. Schriftlicher Vertrag mit mindestens folgenden Inhalten Gegenstand/Dauer von Auftrag, Umfang/Art/Zweck der Datenverarbeitung, Einzelmaßnahmen nach § 9 BDSG, Berichtigung/Löschung/Sperrung, Sicherstellung von Kontrolle nach §§ 4f, 38 BDSG, Subunternehmer, Kontrollrechte des Kunden (Duldung/Mitwirkung des Anbieters), Mitteilungspflichten, Umfang Weisungsbefugnisse, Rückgabe von Datenträgern und Datenlöschung nach Vertragsende
III. Dokumentierte, regelmäßige Überprüfung durch Kunden auf Einhaltung obiger Maßnahmen (zumindest durch Sachverständigen mit Prüfbericht)
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
8
F. Welche weiteren Inhalte muss § 11-Vertrag aufweisen? Unverzügliche Meldepflicht gegenüber Aufsichtsbehörde und
Betroffenen bei unrechtmäßiger Übermittlung (§ 42a BDSG) Optionsangebote als Ausgleich für das eingeschränkte Weisungsrecht
(z.B. Auswahl bestimmter Ressourcen, Orte/Länder, Sicherheitsniveaus sowie sonstiger Anbieter- und Nutzungsmerkmale)
Schadensersatzregelung (§ 7 BDSG) Rechtsfolgen der Insolvenz oder des Verkaufs des Cloud-Anbieters Umsetzung von Rechter der Betroffenen (§§ 33 ff. BDSG) Bestehen von dokumentiertem Datenschutzmanagement
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
9
G. Wie gehe ich nun als Unternehmen vor?
Cloud Computing & Datenschutz - Ein Überblick zur Rechtslage -
10
Vielen Dank für die Aufmerksamkeit.
RA Dr. Hans M. Wulf IT-Recht Kanzlei Praetoria
Kleine Reichenstraße 6, 20457 Hamburg Telefon 040 / 73 444 21 70 [email protected]
