Embed Size (px)
Citation preview
Microsoft Cloud Deutschland: Der datenschutzrechtliche Rahmen einer „nationalen“ Cloud
www.pwc.de
Microsoft Cloud Event
PwC Legal
Agenda
1 Anwendungsbereich Datenschutzrecht
2 Zulässigkeitsprüfung bei MS Cloud Services
3 Prüfungsvorgehen MS Cloud Services
2
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Anwendungsbereich Datenschutzrecht
3
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
• Auch außerhalb der EU: Übermitt-lung in andere Staaten nur bei angemessenem Datenschutzniveau
Datenlokalisierungs-vorschriften: Bestimmte Daten müssen in Land verbleiben („Volksgesundheit“, Daten eigener Staatsangehöriger, Steuerdaten …)
Verschlüsselungsgebot vs. Verschlüsselungsbeschränkungen:• Verschlüsselung zum Schutz
personenbezogener Daten vs Verbot des Einsatzes von Verschlüsselungstechnologie und Beschränkung der Schlüssel
Einwilligungserfordernis bei besonders schützenswerten Daten
Internationaler Kontext Variierende Ansätze & kollidierende Regelungsziele
Ständiger Wandel der Rechtsordnungen: insbesondere DSGVO 2018 berücksichtigen
4
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Internationaler Kontext Architekturentscheidung je nach Prozessen und betroffenen Jurisdiktionen
Wieviele Clouds?
Hybrid-Lösungen; Prozessdesign Verschlüsselung
• Lokale Infrastruktur (zB Sharepoint) Organisatorische Maßnahmen
• Ausschluss spezifisch schutzwürdiger Verschlüsselungs-Hub‘s …Daten aus der Cloud
• …
One-Cloud-Solution Several-Clouds-Solution Federated-Clouds-Solution
5
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Voraussetzung: Erhebung, Verarbeitung & Nutzung „personenbezogener Daten“
Art der Daten & „Schutzbedarf“ könnenvariieren.
Dokumente mit Inhalten des Erstellers und Dritter, Kommunikation, Logfiles
CRM Online Nutzerdaten, Kundendaten, Logfiles
IaaS & PaaS: weniger Inhaltsdaten als Endgerät- & Logfile-Daten
SaaS: Mobile Device Management weniger Inhaltsdaten als Endgerät- & Logfile-Daten
Sachlicher Anwendungsbereich Datenschutzrecht In der Regel eröffnet
Applikations-daten
Infrastruktur-nahe Daten/Daten auf Plattform
6
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Sachlicher Anwendungsbereich DatenschutzrechtVermeidungs- & Risikoreduktionsstrategien
Verschlüsselung
Voraussetzung: Endkunde kann verschlüsseln – MSFT kann nicht zugreifen.
→ Herausforderung: „Data in Use“
→ Bestimmte Funktionalitäten, wie z. B. Durchsuchen, können eingeschränkt sein.
→ Log-Dateien lassen sich nicht verschlüsseln.
Anonymisierung, am ehesten bei Microsoft Azure
Anwendungsfälle müssen geeignet sein.
1
2
7
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei der deutschen Cloud
8
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei der deutschen CloudGrundsätze des Datenschutzes
Zulässigkeit (Erlaubnis)
Schutz bei Drittlandtransfers
ZweckbindungVerwendungsbeschränkung; Sperren, Löschen, wenn nicht mehr erforderlich
TransparenzInformation der Betroffenen, Meldung …
DatensicherheitVertraulichkeit, Integrität, …
Rechte der BetroffenenAuskunft, Berichtigung …
A
B
C
D
E
F
Kern der Cloud-Diskussion siehe folgende Folien
Typische Cloud Themen
Löschung von Daten in nicht migrierten Mailboxen
Dienstanweisungen, Meldung Aufsicht
Berechtigungskonzept
Identifikation des anwendbaren Rechts
9
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei der deutschen CloudBlick auf die Datenverarbeitung
Kunde in München
T-Systems
Nur im Fall dass TSY den Zugriff zulässt (vor allem im Supportfall).
10
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei MS Cloud Services Übersicht
Erste Stufe
• Ist die Weitergabe von Daten an einen (Cloud-)Dienstleister zulässig?
• Voraussetzung: Erlaubnistatbestände
Zweite Stufe
• Ist es zulässig, dass die Daten in der Cloudaußerhalb der EU verarbeitet werden?
• Voraussetzung: angemessenes Datenschutzniveau(§§ 4b, 4c BDSG)
*entsprechende Regelungen in LDSGs
11
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei MS Cloud ServicesErste Stufe: Erlaubnistatbestand
Grundsatz Verbot, es sei denn, ...
… derBetroffene
hat eingewilligt
… das Gesetzerlaubt es
in der Regel bei Cloud sog. Auftragsdaten-verarbeitung
Vgl. aber Diskussionum künftigePriviligierung nachArt. 28 DSGVO
nur soweit Mitbestimmung reicht(künftig auch nach Art. 88 Abs. 1 DSGVO
Herausforderungen
• Hinreichende Information
• alle Betroffenen
• Freiwilligkeit (auch in Beschäftigungs-verhältnissen, vgl. BAG vom 11.12.2014 )
• Prozess bei Verweigerung oder Widerruf
… eine andereRechtsvorschrift
erlaubt es(→ Betriebs-
vereinbarung)
12
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei MS Cloud ServicesZweite Stufe: Grenzüberschreitender Datenverkehr
Weitergabe oder Zugriff nur bei angemessenem Datenschutz-niveau
Liste der EU-Kommission
• EU-Standard-vertragsklauseln
• sonstige Vertragslösungen
• Binding Corporate Rules
EU US Privacy Shield
USA
sichere Drittländer
unsichere Drittländer
(allgem.)
13
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei MS Cloud ServicesCloud als internationale Auftragsdatenverarbeitung
Kunde Microsoft
verantwortliche Stelle mit Weisungsrecht
streng weisungs-gebundene Tätigkeit
Daten
rechtliche Einheitkeine Übermittlung* erste Stufe
Vertrag zur Auftrags-datenver-arbeitung
Non-EU-Verarbeitung (EU-Standard-vertragsklauseln oder Privacy Shield)
zweite Stufe Angemessenes Schutzniveau
* Vgl. Anwendbarkeit von § 11 BDSG bei Drittlandtransfer Vortrag Prof. Schmidl
14
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei der deutschen CloudStruktur der Microsoft Cloud Verträge
ADV-Vertrag
Kunde in München
Microsoft Ireland Operations Ltd.
Volumen-lizenzvertrag
Bestimmungen für Onlinedienste
Vertragswerk MS - Kunde
Treuhand Vereinbarung
• ADV zwischen Kunde und TSY
• Zugangs-/Zugriffskontrolle
Vertrag T-Systems -Kunde
Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht
Bestimmungen für Onlinedienste
15
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei der deutschen CloudStruktur der Microsoft Cloud Verträge
Vertrag mit Unter-auftragsverarbeiterentsprechend Klausel 11 der EU-Standardvertragsklauseln vom 05.02.2010
ADV-Vertrag
Microsoft Ireland Operations Ltd.
Subunternehmer der Microsoft Corp.
Microsoft Corp.
EU-Standardvertragsklauselnfür Auftragsverarbeiter vom 05.02.2010
Volumen-lizenzvertrag
Bestimmungen für Onlinedienste
Vertragswerk MS - Kunde
Nur für Transfers soweit TSY den Zugriff im Supportfall
zulässt. Treuhand Vereinbarung
• ADV zwischen Kunde und TSY
• Zugangs-/Zugriffskontrolle
Vertrag T-Systems -Kunde
Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht
Kunde in München
Hierzu Schreiben Art. 29-Datenschutzgruppe vom2. April 2014 → siehe Vortrag Microsoft
Bestimmungen für Onlinedienste
16
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Zulässigkeitsprüfung bei der deutschen CloudMicrosoft Cloud Verträge im Konzern
ADV-Vertrag
Microsoft Ireland Operations Ltd.
Subunternehmer der Microsoft Corp.
Microsoft Corp. EU-Standardvertragsklauselnfür Auftragsverarbeiter vom 05.02.2010
Volumen-lizenzvertrag
Bestimmungen für Onlinedienste
Vertragswerk MS - Kunde
Treuhand Vereinbarung
Vertrag T-Systems -Kunde
Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht
Kunde in München
17
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
Töchter des Kunden
PwC Legal
Prüfungsvorgehen deutsche Cloud
18
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
PrüfungsvorgehenVorgehensweise bei einer Beauftragung
sorgsame Auswahl(~ Artikel 28 Abs. 1 DSGVO)
Schriftlicher Vertragsschluss
(Artikel 28 Abs. 9 DSGVO - auch elektronisch)
Prüfung Daten-sicherheit(ggf. auch nach Artikel 28 Abs. 1 DSGVO)
Schritt 1
Schritt 2
Schritt 3
10-Punkte Katalog(plus EU-Standard-
vertragsklauseln)(in Art 28 Abs. 3 DSGVO ähnlich)
19
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
PrüfungsvorgehenVertragsschluss: ADV-Vertrag (Schritt 2): Mapping
Aufgabe:
Gegenüberstellung der gesetzlichen Anforderungen mit den vertraglichen Regelungen
20
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Prüfungsvorgehen Vertragsschluss: ADV-Vertrag (Schritt 2)
Gesetzliche Anforderungen (Auswahl)(§ 11 Absatz 2 Satz 2 BDSG)
• Festlegung technischer und organisatorischer Maßnahmen Abhängigkeit vom Einsatzzweck
Spannungsverhältnis bzgl. der Detaillierung der Beschreibung: Flexibilität Provider & Datensicherheit vs. Transparenz
21
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
Prüfungsvorgehen Vertragsschluss: ADV-Vertrag (Schritt 2)
Gesetzliche Anforderungen (Auswahl)(§ 11 Absatz 2 Satz 2 BDSG)
• Weisungsbefugnis Spannungsverhältnis Konzept der Weisungsgebundenheit
standardisiertem Service
MS Online Service Terms: Vertragswerk = "vollständigen und endgültigen Weisungen des Kunden“
Kunde hat über Admin-Rechte und Portal unmittelbare Kontrolle über die Daten
22
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
PwC Legal
• soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen(§ 11 Abs. 2 Sätze 4 und 5 BDSG)
• mögliche Optionen
Eigenaudit,
Fremdaudit (= Zertifizierungen) oder
Eigenerklärung
• Das Ergebnis ist zu dokumentieren.
PrüfungsvorgehenPrüfung Datensicherheit (Schritt 3)
• „Zusammenfassungsbericht“ nach ISO 27001, 27018
• Abänderung gemäß Standardvertragsklauseln in Eigenaudit
• Abgleich der Berichtsinhalte mit vertraglich vereinbarten Maßnahmen
23
Februar 2017Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud
Ihre Fragen
© 2016 PricewaterhouseCoopers Legal AG Rechtsanwaltsgesellschaft. Alle Rechte
vorbehalten. In diesem Dokument bezieht sich „PwC“ auf die PricewaterhouseCoopers Legal
AG Rechtsanwaltsgesellschaft, Frankfurt am Main, die eine Mitgliedsgesellschaft der
PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften
der PwCIL ist eine rechtlich und wirtschaftlich selbständige Gesellschaft.
Dr. Jan-Peter OhrtmannRechtsanwalt
Partner, IP/IT-RechtPwC Legal
Tel. +49 211 981-2572
