Upload
viktoria-dethlefsen
View
340
Download
0
Embed Size (px)
Citation preview
Wissensarbeiter heute
• ... checken ihre Smartphones bis zu 150 Mal proTag
• ... verbringen 28% ihrer Zeit mit der Bearbeitung von E-Mails
• ... brauchen 67 Sekunden, um sich nach einer Email wieder auf etwas anderes zu konzentrieren
• ... praktizieren zu 75% Multi-Tasking während ihrer Meetings
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201620
Gelten für die Provider auch Anforderungen aus Übersee?
„Objektive Anknüpfung“: Sitz der Vertragsparteien bzw. des Providers, Ort der Vertragsunterzeichnung, Ort / Schwerpunkt der Leistungserbringung (wo ist dieser bei virtueller Infrastruktur?)
Freie (?) Rechtswahl in den Grenzen des IPR vs. „Standard Terms and Conditions“
Nur für Vertragsrecht (Servicepflichten, Zahlungsbedingungen etc.) möglich, Datenschutzniveau nicht frei wählbar
Rechtsnatur von Cloud-Verträgen
Kein Vertragstypus „IT“, sondern typengemischte Verträge Qualifikation abhängig von Schwerpunkt IaaS = Dienst-/Werkvertragsrecht? PaaS = Dienst-/Werkvertragsrecht? SaaS = Mietvertrag (wie ASP)? -> verschuldensunabhängige
Haftung SLA
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201621
§ 1 Abs. 5 BDSG: Deutsches Recht anwendbar,
Territorialitätsprinzip
Aber: der lange Arm des CIA („Patriot Act“) erreicht auch
„europäische Clouds“ US amerikanischer Anbieter
Übermittlung von Daten außerhalb EU (§ 4b BDSG)
„angemessenes Datenschutzniveau“?
Binding Corporate Rules, EU Vertragsklauseln oder Safe Harbor
§ 11 BDSG, ADV: Sorgfältige Auswahl und Überwachung des
Anbieters
Überwachung des ordnungsgemäßen Cloud-Betriebes wegen
Virtualisierungstechniken / Grids schwierig
Mindestinhalte des ADV Vertrages nach BDSG?
Kenntnis über alle Speicherorte und Subunternehmer
zwingend?
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201622
IT-Sicherheit, als Aspekt des Datenschutzes
Verfügbarkeit, Prozessstabilität und (physische) Sicherheit der
Prozesse
Anforderungen Datenaufbewahrung und -archivierung
Schutzmaßnahmen nach § 9 BDSG – auch bei Virtualisierung?
Zertifizierung des Providers als Ruhekissen des Kunden
§§ 4d, 4e, 4g BDSG: Aufgaben des Datenschutzbeauftragten,
Integration der Cloud ins Verfahrensverzeichnis?
Benachrichtigungspflichten bei Feststellung eines Datenlecks,
soweit besonders sensible Daten betroffen sind (§ 42a BDSG)
Sachliche (Fach) Hinweise: „Orientierungshilfe – Cloud
Computing“ der Datenschutzbehörden
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201623
Zusätzlich: Datenschutzempfehlung der EU-Datenschutzbehörden (Stellungnahme
der Art. 29 Datenschutzgruppe – WP 196):
Strenge zusätzliche Vorgaben für Auftragsdatenverarbeitungs-verträge (z.B.
Angaben über sämtliche Verarbeitungsorte, Versicherung der Einhaltung
rechtlicher Standards)
EU Kommission schlägt Mustervertrag vor
Weitere detaillierte Empfehlungen und Vorgaben
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201624
Bei Cloud Computing wird die Verbindung von Software und Hardware gelöst, damit ist auch das Modell der Softwareüberlassung neu:
Installation vom Datenträger vs. Online Zugriff ohne Installation Der Software-/Datenbankanbieter als Service Provider Installationsort der Software liegt beim Cloud-Anbieter
(Unbestimmbarkeit in virtualisierter Cloud-Umgebung problematisch z.B. für Archivierungspflichten)
Was bedeutet das rechtlich?
Nicht die Qualität und Lauffähigkeit der Installationsdatei entscheidet über Mangel oder Mangelfrei, sondern die ununterbrochene Verfügbarkeit der Software (via Netzanbindung) für den Kunden
Statt Kauf-/Werkvertragsgewährleistung sind Mietrecht (ununterbrochene Gebrauchsüberlassung) und Dienstvertragsrecht (Service „mittlerer Art und Güte“) anwendbar
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201625
SLA als Instrument der Qualitätssicherung:
Für Dienstverträge gilt: „Leistungen mittlerer Art und Güte“
Fehlt eine individuelle vertragliche Regelung, hat der Anbieter
grundsätzlich für eine 100%ige Verfügbarkeit einzustehen
Im Mietrecht ist die ununterbrochene gebrauchsfertige
Überlassung die gesetzliche Zielvorgabe
Netzanbindung über Internet kann nicht zu 100% sichergestellt
werden, liegt auch in der Mitverantwortung des Kunden
SLA regeln daher individuelle Verfügbarkeitsvorgaben
Verfügbarkeitsanforderungen variieren je nach Art der
Applikation
Bei Mietmodell ist kein gesonderter Pflegevertrag mehr nötig
(fortlaufende „on demand“ Lizenzgebühren vs. Pflegegebühren)
Support, Upgrade und Update müssen aber weiterhin geregelt
werden
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201626
Gesetzlich vorgesehene Mängelgewährleistung ist oft
nicht praxistauglich:
Was ist die vertraglich geschuldete „Soll-Leistung“?
Welche gesetzliche Gewährleistung gilt dafür?
Gewährleistungsrechte sind oft nicht umsetzbar
(Selbstabhilfe …) oder nicht zielführend (Minderung …).
Wie werden finanzielle Ansprüche berechnet?
Lösung: Regelung unzureichender Leistungen in SLA
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201627
Service Level Agreement (SLA)
genaue Leistungsbeschreibung anhand KPI (Key Performance Indicator)
„Soll-Größen“ für KPI mit Messintervallen
Folgen von Unterschreitungen der Soll-Größen
(Malus, Gutschrift, Minderung, pauschaler Schadensersatz, etc.)
ggf. Folgen für Vertrag bei dauerhaften schwerwiegenden
Unterschreitungen bestimmter KPI (gesonderte „Schwellwerte“)
Verhältnis zu „Gewährleistung“ (abschließende Regelung: SLA, ggf. daneben noch
gesetzliche Mängelgewährleistungsrechte)
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201628
Rechtliche Einordnung des Vertragstypus hat auch Konsequenzen
für Vergütungspflicht und deren grundsätzliche Fälligkeit
Gesetzliche Leitbilder:
Kaufvertrag: direkt mit Übergabe bzw. Download
Werkvertrag: nach erfolgter Abnahme
Dienstvertrag: im Nachhinein, „kein Geld ohne Arbeit“
Mietvertrag: fortlaufend im Voraus abhängig vom bestellten
Mietzeitraum
In der Praxis:
bei SaaS ist verbrauchsabhängige (z.B. pro genutzter
Rechnerstunde) Abrechnung im Nachhinein üblich
Bei vorbestellten Hostingkapazitäten ist fortlaufende
Mietzahlung im Vorhinein üblich (auch wenn gemietete
Serverkapazität physisch nicht bestimmbar, sondern nur
virtualisiert vorhanden)
03 Die Wolke bezahlen – Vergütungsmodelle rechtlich betrachtet
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201629
Wer Daten bei einem Dritten platziert, bleibt weiterhin für deren
Schutz und Sicherheit verantwortlich (datenschutzrechtlicher
Grundsatz)
Lediglich die Ausführung kann delegiert werden, nicht die
Verantwortung
Aber: Wie findet man den richtigen Service Provider, der einem das
garantiert?
Checklisten der wichtigsten Anforderungen können helfen, z.B.
BSI Richtlinie für Mindestsicherheitsanforderungen an Cloud
Computing-Anbieter
BITKOM Leitfaden „Cloud Computing“
„Orientierungshilfe – Cloud Computing“ der
Datenschutzbehörden
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201630
Wirksames IT Sicherheitskonzept, idealerweise mit Zertifizierung belegt (z.B. ISO
27001)
Mandantenfähige Systemarchitektur, die wirksame Datentrennung garantiert
Wirksame physische Sicherung der Rechenzentren und virtuelle Sicherung der
Netzwerke
Gesetzeskonforme und reproduzierbare Datenarchivierung
Wirksame Verschlüsselung beim Provider und in der Kommunikation mit Kunden
Funktionierendes ID- und Rechtemanagement
Der Berechtigte bekommt nur die Daten zu sehen, die er sehen darf
Umfassendes Monitoring und zeitnahe, aussagekräftige Reports
24/7 erreichbares Incident Management und Troubleshooting
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden
www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg MünchenRechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 201631
Nachweis der Implementierung eines Standard Notfallkonzepts
einschließlich regelmäßiger Überprüfung und Tests
Regelmäßige Prüfung des IT Sicherheitszustands mit Nachweis
Vertrauenswürdiges, geschultes und verpflichtetes Personal
Transparenz schafft Vertrauen
Offenlegung der Speicherorte, staatlicher Einsichtsrechte, eingesetzte
Subunternehmer, gesellschaftsrechtliche Mehrheitsverhältnisse
Definierte Sicherheitsleistungen
Absicherung und Rückgabe der Daten bei Insolvenz
Gewährung von Auditrechten
Portabilität und Rückforderungsrecht bzgl. der Daten
Interoperabilität mit anderen Providern und Kundensystemen
Datenschutz und allgemeine Compliance
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden