DGRI - Herbstsitzung des Fachausschusses Outsourcing

Transkript

1 DGRI - Herbstsitzung des Fachausschusses Outsourcing Rechtsfragen des Cloud Computing - unter Berücksichtigung ausländischer Rechtsordnungen, insbesondere US-Normen 3. November 2010 Dr. Detlev Gabel

2 Überblick Technische und wirtschaftliche Hintergründe Charakteristika und Marktentwicklung Arten von Cloud Services Vor- und Nachteile aus Anbieter- und Kundensicht Anwendbarkeit des Datenschutzrechts Auftragsdatenverarbeitung contra Funktionsübertragung Vertragliche Anforderungen Datenübermittlungen ins Ausland Legale Zugriffsmöglichkeiten Dritter am Beispiel der USA Fazit 2

3 Charakteristika und Marktentwicklung Bedarfsgerechte und flexible Nutzung von IT-Leistungen Schaffung eines Ressourcen-Pools Outsourcing 2.0 Vernetzung von Rechenzentren/Serverfarmen Virtualisierung: Entkoppelung von Hard- und Software, Einrichtung einer Vielzahl logisch getrennter Systemlandschaften Keine feste Zuordnung bestimmter Ressourcen, Ressourcennutzung wird durch zentrale Verwaltungsprozesse bedarfsabhängig gesteuert (z.b. Datenhaltung) Zugriff des Anwenders erfolgt im Wege des Fernzugriffs (z.b. Internet-Browser, Client/Server-Architektur) Flexible Abrechnungsmodelle Bündelung und Reorganisation bekannter Komponenten und Verfahren (Hardware, Software, Daten, Betrieb, Wartung ) Geschätztes Marktvolumen in Deutschland für 2010 von 388 Mio. Euro, für 2011 von 564 Mio. Euro (+45,5 %) (Quelle: BITKOM) 3

4 Arten von Cloud Services Infrastructure as a Service (IaaS) Bereitstellung von Rechen- und Speicherleistung Kunde stellt Systemumgebung/Anwendungen und administriert diese Platform as a Service (PaaS) Bereitstellung auch von Betriebssystem/Middleware Nutzung hauptsächlich als Entwicklungs- und Testumgebung Software as a Service (SaaS) Bereitstellung vollständig lauffähiger Anwendungen Business Software wie Desktop-, Kommunikations- und Kollaborationsanwendungen Private Clouds Aufbau einer Cloud mit unternehmenseigenen/dedizierten Systemen Zugriff ist auf Unternehmen (ggf. auch Geschäftspartner) beschränkt Public Clouds Aufbau einer Cloud durch externen Anbieter Nutzung steht einer Vielzahl von Kunden offen 4

5 Vor- und Nachteile aus Anbieter- und Kundensicht Anbieter Optimierung der Ressourcen-Auslastung Hohes Maß an Standardisierung des eigenen Angebots Reduzierung und Vereinfachung der Schnittstellen zum Kunden Realisierung von Standortvorteilen (z.b. Personal- oder Energiekosten) Kunde Geringe eigene Investitionskosten, verbrauchsabhängige Bezahlung Hohe Flexibilität durch Skalierbarkeit der Leistungen, Möglichkeit zum Ausgleich von Bedarfsschwankungen Zugang zu Know-how und Innovationen des Anbieters Abbau von Über-/Unterlizenzierung Mögliche Konfliktfelder Wenig Raum für kundenindividuelle Anpassungen Steuerungs- und Kontrollverlust seitens des Kunden, gesteigerte Abhängigkeit von nicht selbst kontrollierter Technik Globale Angebote treffen auf lokale Anforderungen 5

6 Anwendbarkeit des Datenschutzrechts Sachlicher Anwendungsbereich Verarbeitung personenbezogener Daten Ausschluss des Personenbezugs durch hinreichende Verschlüsselung? Frage der technischen Machbarkeit Objektiver contra relativer Personenbezug Räumlicher Anwendungsbereich EU- und EWR-Staaten: Sitzlandprinzip (Sitz der verantwortlichen Stelle) Drittländer: Territorialprinzip (Ort der Datenverarbeitung) Anknüpfungsgegenstand? Datenweitergabe Laufende Verarbeitung Prüfung ggf. anhand verschiedener Rechtsordnungen und Phasen Vorrang bereichsspezifischer Regelungen 203 StGB, 146 AO 6

7 Auftragsdatenverarbeitung contra Funktionsübertragung Datenweitergabe an Anbieter bedarf datenschutzrechtlicher Rechtfertigung Einordnung als Auftragsdatenverarbeitung, wohl ü.m. ( 11 BDSG) Pro: Beschränkung auf praktisch-technische Durchführung der Datenverarbeitung Contra: Freiheitsgrade des Anbieters sind mit klassischem Bild der Auftragsdatenverarbeitung nur schwer vereinbar (s. aber z.b. Stellungnahme der Artikel-29- Datenschutzgruppe, WP 169), bei Datenverarbeitung in Drittländern wird Anbieter vom Gesetz als Dritter behandelt ( 3 Abs. 8 Satz 3 BDSG) Einordnung als Funktionsübertragung ( 28 Abs. 1 S. 1 Nr. 2 BDSG) Abwägung zwischen den Interessen der verantwortlichen Stelle (auch wirtschaftliche Interessen) und der Betroffenen Gewährleistung der schutzwürdigen Interessen der Betroffenen durch entsprechende Anwendung der Anforderungen gem. 11 BDSG ULD: Aufgabe der rechtlichen Verantwortlichkeit durch Kunden erfordert zusätzliche Kompensation durch Vertragsstrafen sowie Weisungs- und Kontrollrechte 7

8 Vertragliche Anforderungen / I Schriftliche Fixierung des Auftrags unter Einhaltung der Mindestanforderungen gem. 11 BDSG (10-Punkte-Katalog) Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der Datenverarbeitung, Art der Daten und Kreis der Betroffenen Technische und organisatorische Schutzmaßnahmen Berichtigung, Löschung und Sperrung von Daten Pflichten des Auftragnehmers, insbesondere von ihm vorzunehmende Kontrollen Berechtigung zur Begründung von Unterauftragsverhältnissen Kontrollrechte des Auftraggebers und Mitwirkungspflichten des Auftragnehmers Mitteilung von Verstößen gegen Datenschutz oder Auftrag Weisungsrechte des Auftraggebers Rückgabe überlassener Datenträger und Löschung gespeicherter Daten beim Auftragnehmer nach Beendigung des Auftrags 8

9 Vertragliche Anforderungen / II Umfang, Art und Zweck der Datenverarbeitung Erforderlich ist genaue Beschreibung der vertragsgegenständlichen Leistungen Problematisch erscheinen Verweise auf URLs des Anbieters mit dynamischen Inhalten oder einseitige Leistungsänderungsrechte seitens des Anbieters [Beispielsregelung] Vorzugswürdig erscheinen konkrete vertragliche Festlegungen und ordentliche vertragliche und prozessuale Änderungsmechanismen mit echten Wahlmöglichkeiten seitens des Kunden Denkbar wäre eventuell auch eine Unterscheidung nach inhaltlichen bzw. technischorganisatorischen Fragen der Datenverarbeitung (vgl. Artikel-29-Datenschutzgruppe, WP 169) Inhaltliche Fragen müssen verantwortlicher Stelle vorbehalten bleiben Wahl der technischen und organisatorischen Mittel kann an Anbieter delegiert werden, der verantwortliche Stelle umfassend zu informieren hat 9

10 Vertragliche Anforderungen / III Technische und organisatorische Schutzmaßnahmen Erforderlich ist konkrete Festlegung der anwendbaren Sicherheitsmaßnahmen Problematisch erscheint die Bennennung rein abstrakter Methoden und Schutzziele (ULD: security by obscurity ) [Beispielsregelung] Vorzugswürdig erscheint Vereinbarung eines klaren, detaillierten und einheitlichen Sicherheitskonzepts (ULD: security by transparency ) Denkbar wären unter bestimmten Voraussetzungen auch Bezugnahmen im Vertrag auf anerkannte Sicherheitsaudits und -zertifizierungen 10

11 Vertragliche Anforderungen / IV Berechtigung zur Begründung von Unterauftragsverhältnissen Erforderlich sind Regelungen zu Möglichkeit und Modalitäten einer Unterauftragsvergabe, nicht erforderlich ist Benennung der Unterauftragnehmer im Vertrag Problematisch erscheint das Fehlen jeglicher bzw. angemessener Beschränkungen zur Einschaltung von Unterauftragnehmern [Beispielsregelung] Vorzugswürdig erscheinen Regelungen, wonach Anbieter Verträge mit Unterauftragnehmern in Einklang mit Hauptvertrag auszugestalten (betrifft insb. Sicherheitsstandards und Kontrollen) und Unterauftragnehmer auf Verlangen zu Überprüfungszwecken benennen hat, sowie Regelungen zum Umgang mit Datenschutzverstößen durch Unterauftragnehmer 11

12 Vertragliche Anforderungen / V Kontrollrechte des Auftraggebers Erforderlich sind Regelungen zu angemessenen Kontrollen der technischen und organisatorischen Maßnahmen, Prüfungen vor Ort sind nicht zwingend erforderlich Problematisch erscheinen nicht näher definierte Selbstaudits [Beispielsregelung] Vorzugswürdig erscheinen regelmäßige externe Prüfungen anhand anerkannter Standards und Vorlage der Prüfberichte, die Möglichkeit von Ergänzungs-/Sonderprüfungen bei entsprechendem Anlass sowie klare Handlungspflichten bei Mängeln 12

13 Vertragliche Anforderungen / VI Weisungsrechte des Auftraggebers Erforderlich sind Regelungen zu Weisungsbefugnissen des Auftraggebers im laufenden Vertragsverhältnis Problematisch erscheint das Fehlen jeglicher bzw. angemessener Regelungen zu den Weisungsrechten des Auftraggebers [Beispielsregelung] Vorzugswürdig sind Regelungen, die es Auftraggeber ermöglichen, datenschutzkonforme Verarbeitung zu gewährleisten ULD: Kompensation durch Optionsangebote (Auswahl bestimmter Ressourcen, Länder, Sicherheitsniveaus etc.), wenn standardisiertes Vorgehen das Erteilen von individuellen Weisungen unmöglich macht Denkbar wäre auch hier eventuell wieder eine Unterscheidung nach inhaltlichen bzw. technisch-organisatorischen Fragen der Datenverarbeitung (vgl. Artikel-29- Datenschutzgruppe, WP 169) 13

14 Datenübermittlungen ins Ausland / I Für die Übermittlung in EU- und EWR-Staaten gelten die allgemeinen Rechtsgrundlagen der Datenverarbeitung ( 4, 28 ff. BDSG) Für die Übermittlung in Drittländer muss zusätzlich ein angemessenes Datenschutzniveau im Empfängerland bestehen Zweistufige Prüfung 1. Stufe: Vorliegen der allgemeinen Übermittlungsvoraussetzungen ( 4, 28 ff. BDSG) 2. Stufe: Vorliegen eines angemessenen Datenschutzniveaus ( 4b, 4c BDSG) Alternative: EU-Cloud Bestehen eines angemessenen Datenschutzniveaus ( 4b Abs. 2 BDSG) Angemessenheit beurteilt sich nach allen Umständen des Einzelfalls, Maßstab ist grundsätzlich das Datenschutzniveau innerhalb der EU ( 4b Abs. 3 BDSG) Argentinien, Färöer, Guernsey, Isle of Man, Jersey, Schweiz sowie eingeschränkt Kanada weisen laut EU-Kommission ein angemessenes Datenschutzniveau auf Sonderfall USA: Safe-Harbor-Principles 14

15 Datenübermittlungen ins Ausland / II Eingreifen eines gesetzlichen Ausnahmetatbestandes (z.b. Einwilligung, Vertragsverhältnis, Rechtsverfolgung) ( 4c Abs. 1 BDSG) Schaffung ausreichender Garantien für die Rechte der Betroffenen und Genehmigung durch die Aufsichtsbehörde ( 4c Abs. 2 BDSG) Vertragsklauseln, insbesondere genehmigungsfreie EU-Standardverträge Abschluss allein zwischen Auftragnehmer und Unterauftragnehmer wird von dt. Aufsichtsbehörden nicht als ausreichend angesehen, Auftraggeber muss als verantwortliche Stelle Vertragspartei sein Denkbar wäre ein Vertretungs-/Beitrittsmodell, bei dem Auftraggeber bestehenden EU-Standardverträgen auf Anbieterseite als Co-Exporteur durch Vereinbarung mit (Haupt-)Auftragnehmer beitritt (vgl. 20. TB NÖB Hessen, Ziff. 9.4) Binding Corporate Rules (BCR) Gelten nicht für konzernexterne Dritte (vgl. Artikel-29-Datenschutzgruppe, WP 74 und 155) Ggf. interessant für Private Clouds 15

16 Legale Zugriffsmöglichkeiten Dritter am Beispiel der USA Verlagerung des Ortes der Datenverarbeitung in andere Staaten kann zu legalen Zugriffsmöglichkeiten Dritter führen Bestehen umfassender Zugriffsmöglichkeiten in den USA Staatliche Stellen (z.b. Sicherheits-, Strafverfolgungs-, Aufsichts-, Finanzbehörden) Private Dritte (z.b. Anspruchs-, Prozessgegner) Kriterien für Datenherausgabe Maßgeblich ist Vorhandensein von possession, custody or control Erfasst sind auch Daten Dritter, Vertraulichkeitsvereinbarungen sind irrelevant Datenschutz, Bankgeheimnis etc. werden meist als blocking statutes abgetan Begrenzte Gestaltungsmöglichkeiten Vermeidung von Bezügen zu den USA Pflicht zur Information des Kunden bei Herausgabeverlangen (falls zulässig) Pflicht zur Kooperation mit dem Kunden zur Abwehr des Herausgabeverlangens 16

17 Fazit Cloud Computing ist ernst zu nehmender Trend, der einige spannende, aber nicht schlechthin unlösbare datenschutzrechtliche Fragen aufwirft Ziel muss es sein, einen angemessenen Ausgleich zwischen datenschutzrecht-lichen Anforderungen und Geschäftsmodell zu finden ULD: Cloud Computing ist ein Beispiel dafür, dass im Markt zunächst das praktisch gemacht wird, was technisch und ökonomisch möglich ist und sinnvoll erscheint. Erst durch öffentliche Skandalisierung und durch staatliche Kontrollen ist eine zunehmende Orientierung an den rechtlichen Vorgaben zu erwarten. Hierfür sind auch bisherige juristische Publikationen ein Indiz, deren Ausgangspunkt die Macht des Faktischen ist und die eine Anpassung des Rechtes hieran fordern oder behaupten. Dem Standardisierungsgedanken folgend, sind in erster Linie überzeugende Konzepte von Anbieterseite gefragt [Beispielsregelung] Eckpunkte Ein modernes Datenschutzrecht für das 21. Jahrhundert 17

18 Worldwide. For Our Clients. Berlin Kurfürstendamm Berlin Tel.: Fax: berlin@whitecase.com Frankfurt Bockenheimer Landstraße Frankfurt am Main Tel.: Fax: frankfurt@whitecase.com Düsseldorf Graf-Adolf-Platz Düsseldorf Tel.: Fax: duesseldorf@whitecase.com Hamburg Jungfernstieg 51 (Prien-Haus) Hamburg Tel.: Fax: hamburg@whitecase.com München Maximilianstraße München Tel.: Fax: muenchen@whitecase.com ist eine internationale Anwaltskanzlei, die aus LLP, eine im US-Staat New York registrierte Limited Liability Partnership, LLP, eine nach englischem Recht eingetragene Limited Liability Partnership, und weiteren angeschlossenen Unternehmen besteht. Die Partner unserer deutschen Büros gehören der nach dem Recht des Staates New York gegründeten Limited Liability Partnership an. Demzufolge ist die persönliche Haftung der einzelnen Partner beschränkt.