Cloud-Computing - Rechtliche Stolperfallen in der Cloud

Cloud-Computing

Rechtliche Stolperfallen in der Cloud

2iusec Datenschutz, 2012 2

Person

• Martin Kuhr, LL.M.

• Rechtsanwalt

• Fachanwalt für Informationstechnologierecht

• Dozent für Telemedienrecht u. Urheberrecht

• Externer Datenschutzbeauftragter


Agenda

• „Wolke“ oder „Cloud-Computing“

• Verträge

• Urheberrecht

• Datenschutz

• IT-Compliance


„Wolke“ oder „Cloud Computing“

• Idee:

- Computernutzer kauft künftig IT

wie Strom aus Steckdose

- ohne eigenen PC mit Software

- nur mit einfachem Computer mit Browser

- IT-Dienste über Netzwerke zur Verfügung

- Daten auf Rechnern im Internet speichern



• verstreuter Kreis von Kunden

• internetbasierte IT- Leistungen unterschiedlichster Art

– z.B.:

- Bereitstellung von Speicherplatz

oder

- Betrieb von Standardanwendung



• Übermittlung z. B. von:

- Namen, Adressen, Bankverbindungen

- Geschäftsinterna



• Mitteilung Nr. 15/10 vom 12.03.2010

wissenschaftlicher Dienst des Deutschen Bundestages

„Auslagern von Software- oder sogar Hardwarefunktionen der Anwender““““



• NIST (National Institute of Standards and Technology), auch ENISA (European Network and Information Security Agency)

- On-demand Self Service

- Broad Network Access

- Resource Pooling

- Rapid Elasticity

- Measured Services



• Arten von Cloud Computing

- private Cloud: (geschlossene Nutzergruppe)

- public Cloud: (große Anzahl verschiedener

Nutzer)

- hybrid Clouds



• „3-Stufen-Modell““““

- SaaS

- PaaS

- IaaS


Verträge

• Verträge

1. Kunde/ Cloud-Provider

2. Cloud-Provider/ Subunternehmen (Back-To-Back-Verträge)


Verträge

• Verträge

Anwendbares Vertragsrecht

- Rechtswahlklausel (AGB)? Art. 3 I Rom I-VO

- ansonsten: Ort des gewöhnlichen Aufenthaltes des Anbieters


Verträge

• Verträge

Anwendbares Deliktsrecht

- z. B. Zerstörung/Manipulation der Datenbestände

- Rechte des Lageortes des Zielrechners?

- besser: entsprechend Vertragsrecht


Urheberrecht

• Urheberrecht

- aus Nutzersicht zu regeln:

Skalierbarkeit, Rechteeinräumung, Nutzungsentgelt

- aus Anbietersicht zu regeln:

wenn Leistung von Dritten: Back-To-Back (§§§§§§§§ 69c I, 19a UrhG, 69c Nr. 2 UrhG)


Datenschutz

• Datenschutz

Übermittlung personenbezogener Daten

Personenbezogene Daten §§§§ 3 I BDSG:

„Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“


Datenschutz

• Datenschutz

Weitergabe von personenbezogenen Daten erfordert Rechtfertigung (Gesetz/Einwilligung) gemäß §§§§ 4 BDSG

oder

Auftragsdatenverarbeitung §§§§ 11 BDSG (hier wird keine Weitergabe angenommen)


Datenschutz

• Datenschutz

- Auftragsdatenverarbeitung nur, wenn:

- Verarbeiter der Daten streng weisungsgebunden

- keinen eigenen Bewertungs- u. Entscheidungs-spielraum


Datenschutz

• Datenschutz

- Auftragsdatenverarbeitung

- Auftraggeber bleibt verantwortliche Stelle

- P: Auftraggeber hat oft keine genaue Kenntnis, wo sich seine Daten befinden


Datenschutz

• Datenschutz: §§§§ 11 BDSG schriftlicher Auftrag

- Gegenstand und Dauer des Auftrags

- Umfang, Art und Zweck der geplanten DV

- erforderliche techn. u. organisatorische Maßnahmen

- Kontrollrechte/Weisungsrechte des AG

- Mitwirkungspflichten des AN


Datenschutz


- Pflichten nicht abschließend geregelt

- unbestimmt formuliert

„die von ihm vorzunehmenden Kontrollen“

- ordnungswidrig handelt, wer:

„einen Auftrag nicht vollständig erteilt“


Datenschutz


- Wenn keine Auftragsdatenverarbeitung:

- Rechtfertigung gem. §§§§ 28 I 1 Nr. 2 BDSG möglich:

wie Outsourcing: Interessenabwägung


Datenschutz

• EU-Cloud Anbieter: Datenschutz gem. Sitzland des Anbieters (Niederlassung)

• Anbieter von außerhalb EU/EWR:

- wenn Daten in D erhoben/verarbeitet/genutzt: Territorialitätsprinzip: BDSG anwendbar


Datenschutz

• Cloud-Anbieter außerhalb der EU/EWR

- P: Geringeres Datenschutzniveau im Drittland

- Ausnahmegenehmigung der Aufsichtsbehörde

- EU-Kommission kann Klauseln zur Gewährung des Datenschutzes anerkennen, Art. 26 IV RL 95/46/EG.

- Standardvertragsklauseln, erlauben auch Unterauftrags-Datenverarbeitung


Datenschutz


- alternativ zu den Vertragsklauseln:

verbindliche Unternehmensregelungen § 4c II BDSG, Codes of Conduct, Binding Corporate Rules (i.d.R. multinationale Konzerne, Genehmigung durch Aufsichtsbehörde erst, wenn Richtlinie verbindlich)


Datenschutz


- alternativ zu den Vertragsklauseln:

- USA: Safe-Harbor-Programm (Information, Wahlmöglichkeit, Weitergabe, Datensicherheit, Datenintegrität, Auskunft, Durchsetzung)

-§§§§ 4b V BDSG: Absender bleibt verantwortlich für Zulässigkeit der Übermittlung


IT-Compliance

• Haftung gem. §§§§ 91 Abs. 2 AktG

„Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“


IT-Compliance

• Haftung gem. §§§§ 9 BDSG

„die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“


IT-Compliance

• §§§§ 146 Abs. 2 AO

„Bücher und die sonst erforderlichen Aufzeichnungen sind im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren.“

• §§§§ 146 Abs. 2 S. 1 AO Buchführung im Inland

• §§§§ 146 Abs. 2a AO Buchführung und Aufbewahrung mit Bewilligung in EU-Ausland

• §§§§ 148 AO Erleichterungen können bewilligt werden, nur EU-Cloud


IT-Compliance

• §§§§§§§§ 239, 257 HGB

- Grundsätze ordnungsgem. Buchführung (GoB)

und Grundsätze ordnungsgemäßer DV-gestützter

Buchführungssysteme (GoBS)

- Ziffer 5.3 Satz 2 GoBS: „Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen“


IT-Compliance

• Ziffer II. 1 GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen:

- zur Sicherstellung der Prüfbarkeit digitaler Unterlagen sind beim Einsatz von Kryptographietechniken

- die verschlüsselte und entschlüsselte Abrechnung sowie der

- Schlüssel zur Entschlüsselung aufzubewahren.


Zusammenfassung

• Risiken (1)

- fehlende Transparenz

- fehlende Kontrolle über Daten und Prozesse

- Schwierigkeiten bei Migration

- zentraler Angriffspunkt

- Multi Vendor Modelle: Rechtswahl?


Zusammenfassung

• Risiken (2)

- SLAs

- Insolvenz des Providers

- sichere Datenlöschung nach Beendigung

-§§§§ 203 StGB

- Lizenzverträge Cloud-Anbieter und App-Anbieter


Zusammenfassung

• Checkliste für den Kunden:

- Vertragspartner (in D/EU/EWR)

- Anzahl Vertragspartner

- Nutzungsbedingungen der Cloud-Angebote

- Support

- Zugriff auf eigene Daten (Format)

- Auditierungsrechte


Schlussinfos:

• EU-Kommission: Cloud-Strategie (bis 2020 ca. 3,8 Millionen neue Arbeitsplätze in Europa; Steigerung BIP der EU jährlich um 160 Milliarden Euro)

- Muster-Vertragsbedingungen

- Zertifizierungsprogramme unterstützen

- „Normen-Dschungel“ lichten, um Interoperabilität, Datenübertragbarkeit und -umkehrbarkeit zu nutzen

- Koordinierung durch ETSI (Europäische Institut für Telekommunikationsnormen), für Datenschutz ENISA


Schlussinfos:

• BSI: Eckpunktepapier Cloud-Computing (Sicherheitsempfehlungen für Anbieter)

• Verband Eurocloud

• Düsseldorfer Kreis 29.4.2010: Safe-Harbor Zertifikate allein genügen nicht für USA

• BMWi: Aktionsprogramm Trusted Cloud

• Bitkom


Vielen Dank für Ihre Aufmerksamkeit!


Kontakt

Martin Kuhr, LL.M.

iusec Datenschutz

Batschkastr. 18

67117 Limburgerhof

Tel.: 06236/46082

www.iusec.de

twitter.com/iusec