Kanzlei für IT-Recht. Cloud Computing. Rechtliche Herausforderung für den Datenschutz im Unternehmen

Transkript

1 Kanzlei für IT-Recht Cloud Computing Rechtliche Herausforderung für den Datenschutz im Unternehmen

2 Inhalt Editorial... Was ist Cloud Computing?... Vor- und Nachteile von Cloud Computing?... Cloud Computing und Datenschutz... Die Auftragsdatenverarbeitung... Kontrollpflichten des Cloud-Anwenders... Grenzüberschreitende Datenverarbeitung... Cloud Anbieter in den USA... Checkliste für rechtssicheres Cloud Computing... Was wir für Sie tun können

3 Editorial Cloud Anwendungen gehören heute zum Alltag. Bei der täglichen Arbeit und im privaten Gebrauch sind Dropbox, icloud & Co. nicht mehr weg zu denken. Nicht zuletzt durch seine vielfältigen Einsatzformen stellt das sogenannte Cloud Computing die IT- Landschaften auf den Kopf. Gerade bei einem Datentransfer außerhalb des Europäischen Wirtschaftsraums (EWR) stellt sich die Frage, ob die behördlichen und gesetzlichen Vorgaben in der Praxis umsetzbar sind. Cloud-Anwender stehen in der rechtlichen Verantwortung und müssen vor jeder Auftragserteilung prüfen, ob die gesetzlichen Anforderungen eingehalten werden. 3

4 Darüber, was Cloud-Anwender im Unternehmen aus rechtlicher Sicht zu beachten haben, informiert das vorliegende Booklet. Wir freuen uns über Ihr Feedback - oder auch über Themenvorschläge für weitere Booklets. Schreiben Sie uns an die Mailadresse mainz@res-media.net. Ihr Team von RESMEDIA 4

5 Was ist Cloud Computing? Cloud Computing ist keine neue Technik. Der Begriff steht synonym für den flexibel abrechenbaren Einsatz bestehender Technikoptionen aus einer Hand. Dies können etwa Ressourcen in Form von Anwenderprogrammen, die Zurverfügungstellung von IT-Infrastruktur oder Entwicklungsplattformen sein. Die nachfolgenden Ausführungen beziehen sich dabei ausschließlich auf den Bereich des Cloud Computings, bei dem ein Anbieter Software zur Nutzung bereitstellt (Software as a Service (SaaS). Unter Cloud Computing (deutsch etwa Rechnen in der Wolke) versteht man das Speichern von Daten in einem entfernten Rechenzentrum, aber auch die Ausführung von Programmen, die nicht auf dem lokalen Arbeitsplatzcomputer oder Server installiert sind, sondern eben entfernt in der (metaphorischen) Wolke (englisch cloud). Quelle: Wikipedia 5

6 Vor- und Nachteile von Cloud Computing Besonders für Unternehmer liegen die Vorteile von Cloud Computing auf der Hand: Datenaktualität Datenverfügbarkeit verringertet Komplexität finanzielles Einsparungspotential Nachteilig können sich vor allem die zum Teil komplexen, rechtlichen Aspekte bei dem Einsatz von Cloud- Lösungen auswirken: komplizierte Fragen der Vertragsgestaltung komplizierte urheberrechtliche Fragen Gesetzliche Anforderungen an den Datenschutz Fragen bei grenzüberschreitender Rechtsanwendung 6

7 Cloud Computing und Datenschutz Grundsatz: Sind personenbezogene Daten im Spiel, gilt Datenschutzrecht! Für den Cloudanwender stellen sich Probleme immer dann, wenn der Diensteanbieter, also der Cloud-Anbieter, Zugang zu personenbezogenen Daten erhält. Dann sind speziell die Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu beachten. 7

8 Personenbezogene Daten = Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person Ein relevanter Bezug kann dabei schon in der Speicherung einer IP-Adresse durch den Anbieter liegen, aber auch Zugangsdaten oder sonstige Daten, die in der Cloud abgespeichert werden, können einen Personenbezug herstellen. Dafür reicht es schon aus, dass den Daten eine natürliche Person direkt oder indirekt zugeordnet werden kann. Ausnahmsweise liegt aber dann keine Nutzung von personenbezogenen Daten vor, wenn die Bestimmbarkeit einer natürlichen Person verhindert wird. Das ist z.b. bei der Anonymisierung der Daten der Fall. Dann wäre Datenschutzrecht nicht anwendbar. 8

9 9 Folge: Die Datenverarbeitung erfordert eine gesetzliche Erlaubnis oder eine Einwilligung! Werden personenbezogene Daten erhoben, verarbeitet oder genutzt, ist dazu entweder ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung des jeweils Betroffenen erforderlich. Der Cloud-Anwender - und nicht der Dienste-Anbieter - haftet dafür, dass eine dieser Voraussetzungen erfüllt ist, wenn Daten mit Personenbezug in der Cloud verarbeitet werden. Ein gesetzlicher Erlaubnistatbestand greift in der Praxis meist nicht: So regelt 28 Abs. 1 Nr. 1 BDSG etwa, dass das Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäftszwecke zulässig ist, wenn dies für die Durchführung eins rechts-

10 geschäftlichen oder rechtsgeschäftsähnlichen Schuldverhältnisses mit dem Betroffenen erforderlich ist. Diese Erforderlichkeit ist jedoch in den meisten Fällen nicht gegeben. Nach 28 Abs. 1 Nr. BDSG ist das Übermitteln personenbezogener Daten oder ihre Nutzung zulässig, wenn dies zur Wahrung berechtigter Interessen der verantwortlichen Stelle, also hier des Cloud-Nutzers, erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt. Das Merkmal der Erforderlichkeit ist auch hier im Einzelfall eher streng auszulegen und liegt zumeist nicht vor. 10

11 Cloud-Nutzer benötigen für die Nutzung der Dienste daher in den überwiegenden Fällen die Einwilligung des Betroffenen, also der Kunden, Lieferanten, Partner usw. (vgl. 4 a BDSG). Die Einwilligung muss freiwillig und schriftlich erteilt werden. Der Betroffene ist dabei darüber aufzuklären, dass seine Daten in der Cloud gespeichert, verarbeitet und genutzt werden sollen. In der Praxis stellt sich dieser Part als schwer bis gar nicht umsetzbar dar. 11

12 Die Auftragsdatenverarbeitung (ADV) Da der Cloud-Anbieter für den Anwender, also in dessen Auftrag und auf dessen Weisung personenbezogene Daten verarbeitet, müssen außerdem die gesetzlichen Vorgaben einer Auftragsdatenverarbeitung ( 11 BDSG) erfüllt werden. Schriftlicher Vertrag Der Cloud-Anwender hat mit seinem Dienstanbieter dazu einen schriftlichen Vertrag abzuschließen. Er muss als verantwortliche Stelle dafür sorgen, dass die Mindestanforderungen gemäß 11 Abs. 2 BDSG erfüllt werden. Gleichzeitig muss er damit einhergehende Kontrollpflichten gegenüber dem Cloud- Anbieter hinsichtlich der Datenverarbeitung wahrnehmen. In einem Vertrag zur ADV sind dabei mindestens die folgenden Punkte zu regeln: 12

13 Mindestinhalte im ADV: Gegenstand und Dauer des Auftrags, Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung der Daten, Art der Daten und Kreis der Betroffenen, die nach 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen ( TOMs ), Berichtigung, Löschung und Sperrung von Daten, Pflichten des Auftragnehmers nach 11 Absatz 4 BDSG, insbesondere die vorzunehmenden Kontrollen, etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Datenschutzvorschriften oder gegen vertragliche Vereinbarungen, Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer, Rückgabe überlassener Datenträger und Datenlöschung nach Beendigung des Auftrags. 13

14 Was drohen für Konsequenzen, wenn der Vertrag fehlt oder nicht vollständig ist? Wenn ein schriftlicher ADV fehlt oder auch nur unvollständig ist, stellt das eine Ordnungswidrigkeit dar. Es drohen dann Bußgelder bis bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils ( 43 Absatz 1 Nr. 2 BDSG). 14

15 Kontrollpflichten des Cloud-Anwenders Der Cloud-Anwender hat neben dem Abschluss eines schriftlichen Vertrages mit dem Cloud-Anbieter dafür zu sorgen, dass dieser die vertraglichen Vorgaben auch umsetzt. In diesem Zusammenhang hat er zu gewährleisten, dass die technischen organisatorischen Maßnahmen des Anbieters zur Datenverarbeitung zumindest die folgenden Vorgaben erfüllen: Datenverfügbarkeit Datenvertraulichkeit Datenintegrität Revisionssicherheit Transparenz 15 Der Cloud-Anwender hat sich von der Einhaltung der Vorgaben regelmäßig vor Ort zu überzeugen. Ist eine Kontrolle vor Ort beim Cloud- Anbieter nicht möglich, muss der Anwender

16 zumindest darauf achten, dass der Cloud-Anbieter sich bestimmten Zertifizierungs- und Gütesiegelverfahren zu Fragen des Datenschutzes unterworfen hat. Hierbei darf er sich nicht allein auf die Angaben des Cloud-Anbieters verlassen, sondern muss die entsprechenden Zertifikate auch überprüfen. Auch hier gilt: Wer seine Kontrollpflichte verletzt oder nicht wahrnimmt, kann mit Bußgeldern bis bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils belegt werden ( 43 Absatz 1 Nr. 2 b in Verbindung mit 43 Abs. 3 BDSG). 16

17 Grenzüberschreitende Datenverarbeitung Die grenzüberschreitende Datenverarbeitung ist bei Cloud Computing eher die Regel, als die Ausnahme. Auch hier bleibt der Cloud-Anwender verantwortliche Stelle im Sinne des BDSG und hat für die Einhaltung des Datenschutzrechts zu sorgen. In jedem Fall muss sich der Cloud- Anwender über sämtliche möglichen Verbreitungsorte informieren, d.h. er muss wissen, wo die Server stehen und im ADV ggf. eine Vereinbarung über den Ort der technischen Datenverarbeitung treffen. Findet die Datenverarbeitung innerhalb des Europäischen Wirtschaftsraums (EWR) statt, muss der Anwender über den ADV dafür sorgen, dass die technische Verarbeitung tatsächlich physisch auf dem Gebiet des EWR stattfindet. 17

18 Außerhalb des EWR gelten für den Datentransfer strenge Anforderungen. Der Cloud-Anwender muss dafür sorgen, dass ein angemessenes Datenschutzniveau im Drittland, wo die Datenverarbeitung stattfindet, sichergestellt ist. Für manche Länder wird seitens der Europäischen Union ein angemessenes Datenschutzniveau anerkannt. Zu diesen Ländern gehören derzeit Andorra, Argentinien, die Farör Inseln, Guersey, Israel, Isle of Man, Jersey, Kanda, Neuseeland und die Schweiz. Die USA gehören ausdrücklich nicht dazu. Liste der seitens der Europäischen Union anerkannten Drittländer international-transfersadequacyindex_en.htm 18

19 19 Besteht kein anerkanntes Datenschutzniveau im Drittstaat, ist der Cloud-Anwender als verantwortliche Stelle verpflichtet, sich ausreichende Garantien, beispielsweise aus Standardvertragsklauseln (gemäß Kommissionsbeschluss EU für Auftragsverarbeitung vom ), zum Schutz des allgemeinen Persönlichkeitsrechts und der Ausübung damit verbundener Rechte einräumen zu lassen.

20 Cloud Anbieter in den USA 20 Die Nutzung von Cloud-Diensten in den USA ist nicht unzulässig, aber datenschutzrechtlich schwierig. Die Anforderungen sind unklar: Cloud-Anbieter mit Sitz in den USA können sich auf freiwilliger Basis gegenüber dem US-Handelsministerium selbst unter die sog. Safeharbour-Principles zertifizieren. Dazu ist eine Beitrittserklärung zu unterzeichnen und eine datenschutzerklärung zu veröffentlichen. Die hiesigen Aufsichtsbehörden verlangen jedoch zusätzlich, dass deutsche Unternehmen sich verpflichten, bevor sie personenbezogene Daten an einen auf der Safe Harbor -Liste geführten US-Cloud-Anbieter übermitteln, sich von der Gültigkeit des Zertifikats des Anbieters zu überzeugen. Das Zertifikat muss sich dabei auf die betroffenen Daten beziehen. Außerdem ist ein schriftlicher ADV nach 11 BDSG zu schließen und der Cloud-

21 Anwender muss seinen entsprechenden Kontrollpflichten nachkommen. Die Artikel-29-Datenschutzgruppe, das Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, geht ebenfalls davon aus, dass es nicht ausreicht, sich auf die Safe Habour Principles und deren Einhaltung zu verlassen. Vielmehr müsse der Cloud-Anwender zusätzliche Garantien einsetzen, um die Datensicherheit zu gewährleisten. Dies umfasse den Einsatz von Prüfungs-, Standardisierungs- und Zertifizierungssystemen. Model Contracts for the transfer of personal data to third countries international-transferstransferindex_en.htm 21

22 Die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie die Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises halten es bei einem Datentransfer in die USA datensicherheitsrechtlichen für erforderlich, dass der Cloud-Anbieter dem Cloud- Anwender zu Prüfzwecken einen Zugriff auf die Protokolldaten ermöglicht; dem Cloud-Anwender eine auswertbare Protokollierung zur Verfügung gestellt wird; die Aufbewahrungszeit der Protokolldaten durch den Cloud- Anwender konfigurierbar ist Orientierungshilfe Cloud Computing Version 2.0 der AK Technik und Medien und der AG Internationaler Datenverkehr des Düsseldorfer Kreises Stand

23 23 Inwiefern sich Cloud-Anwender, die nach deutschem Recht die verantwortliche Stelle sind, auf das zuvor genannte Procedere verlassen können, erscheint angesichts der aktuellen, bestehenden Praxis US-Amerikanischer Geheimdienste fraglich. Geheimdienste wie das Federal Bureau of Investigation (FBI), die National Security Agency (NSA) oder die Central Intelligence Agency (CIA) sind nach US-amerikanischem Recht ermächtigt, auf personenbezogene Daten aller Cloud-Anbieter zuzugreifen. Dies bezieht sich ebenfalls auf eine Datenverarbeitung in Europa, wenn ein Cloud- Anbieter zumindest auch in den USA geschäftlich tätig ist. Es ist daher unklar, ob ein Datentransfer in die die USA überhaupt den Anforderungen der europäischen Aufsichtsbehörden entsprechen kann.

24 Insgesamt ist nicht davon auszugehen, dass US-Amerikanische Cloud-Anbieter kooperieren und die für den Anwender von Gesetzes wegen geforderten Kontrollen und Sicherheitsmaßnahmen ermöglichen. Im Zweifel muss der Anwender von einer solchen Beauftragung Abstand nehmen, will er nicht das bußgeldbewährte Risiko gegenüber den eigenen Aufsichtsbehörden tragen. 24

25 Checkliste für rechtssicheres Cloud-Computing Abschluss eines schriftlicher Auftragsdatenverarbeitungsvertrag nach 11 BDSG mit dem Cloud-Anbieter Bei ausländischen Cloud-Anbietern: Welche Rechtsordnung gilt und welcher Gerichtsstand ist vereinbart? Hat der Cloud-Anbieter seine Serverstandorte innerhalb des EWR? Anforderung und Überprüfung der Zertifikate des Cloud-Anbieters Will der Cloud-Anbieter Subunternehmer einsetzen? 25

26 Was wir für Sie tun können Beratung im Datenschutz Erstellung von - SEO-SEA-Verträgen - IT-Projektverträgen - LOIs (Letter of intent) - NDAs, Geheimhaltungsvereinbarungen - Softwarelizenz- und Softwareerstellungsverträgen Begleitende Beratung bei der Konzeption Ihrer E-Commerce-Plattform, Shopprüfungen, AGB-Erstellung, Beratung bei Abmahnungen Beratung im Markenrecht - Markenanmeldungen, Markenrecherchen - Durchsetzung Ihrer Markenrechte gegenüber Dritten 26

27 RESMEDIA Wir beraten Unternehmen im IT-Recht. Unsere Kanzlei verfügt über fünf spezialisierte Rechtsanwälte, darunter drei Fachanwälte für IT-Recht und eine Fachanwältin für gewerblichen Rechtsschutz. Wir beraten Sie persönlich zu allen Fragen des E-Commerce Rechts, des IT-Rechts und des gewerblichen Rechtsschutzes. 27 Bildnachweise: Titel: Anna - Fotolia.com Seite 3: Vladislav Kochelaevs - Fotolia.com Seite 7: Thorsten Schuh - Fotolia.com Seite 9: reeel - Fotolia.com Seiite 11: Denys Rudyi - Fotolia Seite 14: Ingo Bartussek - Fotolia.com Seite 23: Alex White - Fotolia.com Seite 25: Soulsisz - Fotolia.com Seite 29: vector_master - Fotolia.com

28 RESMEDIA Infothek-App Entdecken Sie unsere Infothek-App und lesen Sie unsere Booklets bequem auf Ihrem Handy oder Tablet! 28

29 RESMEDIA You Tube - Channel Abonnieren Sie uns auf You Tube! Aktuelle Videos zu Themen des IT-Rechts unter 29

30 Kanzlei RESMEDIA Mainz RESMEDIA - Kanzlei für IT-Recht, E-Commerce und gewerblichen Rechtsschutz Am Winterhafen Mainz Telefon: Telefax: mainz@res-media.net Web: