Probeexemplar. Aktuelles IT- und Internet-Recht AIR Schnellinformation für die Praxis. Januar Ausgabe 1/2011

Größe: px
Ab Seite anzeigen:

Download "Probeexemplar. Aktuelles IT- und Internet-Recht AIR Schnellinformation für die Praxis. Januar Ausgabe 1/2011"

Transkript

1 Probeexemplar Aktuelles IT- und Internet-Recht AIR Schnellinformation für die Praxis Januar Ausgabe 1/2011 Editorial IT- und Internet-Recht entwickeln sich mit zunehmender Geschwindigkeit. Sich über die jeweils aktuellen rechtlichen Anforderungen zu orientieren, erfordert zunehmenden Zeitaufwand. Der Informationsdienst AIR fasst deshalb für die Praxis monatlich aus den einschlägigen Fachzeitschriften die wichtigsten Urteile zusammen, enthält Originalbeiträge und gibt Hinweise auf Aufsätze und Rechtsentwicklungen. Im Vordergrund stehen in der IT-Praxis verwertbare Informationen. Compliance-Pflichten von CIOs werden besonders berücksichtigt. Die Form der Online-Publikation ermöglicht erhöhte Aktualität und damit einen Informationsvorsprung. Inhalt Urteile EuGH,Urt.v C-393/09 2 BGH, Urt.v VIII ZR 346/09 2 BGH, Urt.v I ZR 66/08, Holzhocker, mit Anmerkung 2 BGH, Urt.v I ZR 178/08 Half-Life 2, mit Anm. 2 BGH, Urt.v I ZR 39/08 Session-ID, mit Anm. 4 BAG, Beschl.v ABR 80/08 4 OLG Frankfurt/M., Urt.v U 13/10, mit Anm. 4 OLG Düsseldorf, Urt.v U 247/08 5 OLG Karlsruhe, Urt.v U 46/09 6 OLG Celle, Urt.v U 38/09 6 Themen Cloud Computing Verträge und Datenschutz 7 Die wichtigsten Compliance-Prüfpunkte für Unternehmer und deren CIOs 19 Erscheinungsweise AIR monatlich online als PDF Bezugspreis pro Exemplar Euro 9,90, Jahresabonnement Euro 98,00 jeweils inkl. Mwst Bestellung bei und Lieferung mit Rechnung durch: Rechtsanwalt Dr. Frank A. Koch, Maximilianstr. 54, München, Tel. 089/ , 089/ , Fax: 089/ Deutsche Bank Konto: BLZ: Website:

2 Urteile EuGH, Urt.v C-393/09 (BeckRS 2010, 91497) Eine grafische Benutzeroberflächen von Computerprogrammen ist aus Urheberrecht nur als eigenständige Schöpfung schutzfähig, nicht als Ausdrucksform von Computerprogrammen. 1 BGH, Urt.v VIII ZR 346/09 (Pressemitt. 3/2011) Das Gericht sieht auch in einer Fotografie von einem Fahrzeug, die in einer Internet-Tauschbörse präsentiert wird (und die eine Standheizung im Fahrzeug zeigt, die aber dann ausgebaut wurde), eine bindende Beschaffenheitsangabe, deren Nichteinhaltung einen Nacherfüllungsanspruch begünden kann. BGH, Urt.v I ZR 66/08, CR 2010, 804 Holzhocker Der Unternehmer muss dem Verbraucher die bei Fernabsatzverträgen zu erteilenden Informationen ( 312c, 355 BGB) in einer zur dauerhaften Wiedergabe geeigneten Weise abgeben und diese Informationen außerdem dem Verbraucher in einer zur dauerhaften Weise geeigneten Weise zugehen lassen. Die Widerrufsfrist des 355 Abs. 1 Satz 2 BGB von zwei Wochen läuft nicht bereits, wenn diese Informationen auf der Website des Unternehmers nur abrufbar sind, sondern erst ab Zugang. Anmerkung: Maßgeblich ist nach Auffassung des I. Senats damit nicht, ob die Informationen abrufbar sind, sondern, ob sie dem Verbraucher tatsächlich übermittelt wurden. BGH, Urt.v I ZR 178/08, MMR 2010, 771 = NJW 2010, 2661 Half- Life 2 Der Anbieter eines urheberrechtlich geschützten Werkstücks (hier: eines Computerspiels auf DVD) ist berechtigt, das Werk(stück) so zu gestalten, dass es nur in einer bestimmten Art und Weise genutzt werden kann, also etwa vorzusehen, dass die Nutzung erst nach Einrichten eines Benutzerkontos mit individueller Kennung über eine Online-Verbindung zum Hersteller möglich ist. Der Anbieter ist weiter berechtigt, nur die einmalige Einrichtung eines Benutzerkontos zu gestatten und im Lizenzvertrag die Veräußerung des Benutzerkontos oder die Überlassung gegen Vergütung zu untersagen. Diese technische Gestaltung und vertraglichen Regelungen sind zulässig, da sie sich nicht aus dem Verbreitungsrecht ergeben. Wesentlicher Erwägungsgrund des Gerichts ist, dass zwar eine Erschöpfung des Verbreitungsrechts an einem (auf Datenträger) verkörperten Werkexemplar mit dessen Veräußerung eintritt (Randziff. 21, 22 des Urteils) und der Anbieter die Weiterveräußerung deshalb nicht wirksam untersagen kann. Jedoch kann der 1 S. auch unten OLG Karlsruhe, Urt.v IT- und Internet-Recht aktuell 1/2011 2

3 Anbieter das Werkstück technisch so ausgestalten, dass seine Nutzung nur über die Online-Registrierung möglich ist. Nach Auffassung des Gerichts ist der Anbieter nämlich nur verpflichtet, die Weiterveräußerung eines verkehrsfähigen Werkexemplars nicht zu verbieten, damit es im freien Warenverkehr (weiter) gehandelt werden kann. Er ist aber nicht verpflichtet, es technisch so zu gestalten, dass es frei gehandelt werden kann. Er darf also die Weiterveräußerung nicht im Vertrag mit dem Käufer untersagen und ist auch gehindert, dem Folgeerwerber am Erwerb aus Urheberrecht zu hindern. Er darf aber eine Produktaktivierungsroutine vorsehen und vertraglich regeln, dass das durch die Aktivierung eingeräumte Nutzungsrecht nicht auf Dritte übertragen werden darf, denn er sei frei, ob und in welcher Form er das Werkstück zugänglich macht. Anmerkung: Diese BGH-Entscheidung hat für das Urheberrecht zentrale Bedeutung. Hierin wurde bereits ein Paradigmenwechsel der Softwarelizenzierung gesehen, der den Weg für eine dauerhaft personengebundene Softwarelizenzierung ebne. 2 Der BGH beschränkt seine Ausführungen nicht ausdrücklich auf einen besonderen Sachverhalt (Vertrieb des Computerspiels), sondern bezieht sie generell auf urheberrechtlich geschützte Werke, damit auch auf Computerprogramme. Im Einzelfall bleibt deshalb zu prüfen, ob der Käufer der Software in der Lage ist, die Software in bestimmungsgemäßer Weise zu benutzen ( 69 d Abs. 1 UrhG). Erhält er (im Rahmen des Kaufpreises) ein Benutzerkonto mit individueller Kennung eingerichtet, so ist für ihn die Benutzbarkeit nicht beeinträchtigt. Dritte können andererseits frei das Programmexemplar auf Datenträger vom Käufer erwerben, aber nicht nutzen, womit es im Ergebnis wirtschaftlich nicht verkehrsfähig ist. Mit diesem Ansatz wird freilich das Risiko begründet, dass Anbieter generell durch solche Personalisierungen mittelfristig jede freie Weiterverbreitung ihrer Software unterbinden und damit insoweit den Erschöpfungsgrundsatz und zugleich in diesem Marktsegment den freien Warenverkehr leerlaufen lassen. Zudem ist dieser Ansatz vom Sachverhalt her nicht zwingend erforderlich. Aus diesem ergibt sich nämlich, dass der Erwerber nicht nur einfach eine Nutzungskennung zugewiesen erhält, um dann das Spiel isoliert auf seinem Rechner zu nutzen. Vielmehr ist mit dem Computerspiel ein interaktives Spielen im Internet mit anderen Teilnehmern möglich. Jeder dieser Teinehmer muss hierfür ein Benutzerkonto zugewiesen erhalten, um mit anderen online (im Multiplayer- Modus ) spielen zu können. Das Benutzerkonto bezieht sich damit wesentlich auf eine internetgestützte Nutzung. Diese Nutzungsmöglichkeit des interaktiven Spiels besteht nur mit Online-Anbindung. Die Spielzüge der anderen Teilnehmer können nur über das Internet verfolgt und erwidert werden. Vor diesem Hintergrund stellt sich die Frage, ob die auf das Benutzerkonto bezogene Vertragsregelung nicht eigentlich eine Regelung des Rechts der öffentlichen Zugänglichmachung darstellt ( 19 a, 69 c Nr. 4 UrhG). Allerdings hilft dies insoweit nicht weiter, als nach wohl überwiegender Auffassung dieses Recht der öffentlichen Zugänglichmachung nur vom Anbieter gegenüber möglichen Urhebern der Spielesoftware benötigt wird. Er muss ihnen gegenüber berechtigt sein, das Spiel ins Netz zu stellen. Die 19 a, 69 c Nr. 4 UrhG erfassen aber nicht das Vertragsverhältnis des Anbieters zu seinen online nutzenden Kunden, in dem diesen Online-Zugangsrechte eingeräumt werden. Aus Urheberrecht besteht 2 Rössel, Urteilsanmerkung, IT-Rechtsberater 10/2010, 223. IT- und Internet-Recht aktuell 1/2011 3

4 deshalb kein Anspruch von Folgeerwerbern, diesen Zugang zum Online-Spiel eingeräumt zu erhalten. Das betrifft aber eben den Zugang zum Online-Spiel, nicht notwendig generell jede Benutzung von Software. Zu weitgehend erscheint deshalb die Formulierung eines redaktionellen Leitsatzes Nr. 3 in der Fundstelle MMR, wonach generell kein Anspruch eines Software- Erwerbers darauf bestehe, mit dem Erwerb des urheberrechtlich geschützten Computerprogramms auch eine Nutzungsmöglichkeit eingeräumt zu erhalten. Der BGH hatte sich nur mit der netzbasierten interaktiven Nutzung zu befassen, nicht mit jeder beliebigen Benutzung auf einzelnen Rechnern. Im Gegenteil wird zumindest der Ersterwerber durchaus beanspruchen können, auch die beschriebene Nutzungsmöglichkeit und sogar die Einräumung eines Benutzerkontos eingeräumt zu erhalten. BGH, Urt.v I ZR 39/08, GRUR 2011, 56 Session-ID Macht ein Berechtigter durch eine technische Schutzmaßnahme i.s.v. 95 a UrhG (Zuweisung einer Session-ID) erkennbar, dass der öffentliche Zugang zu seiner Website nur über deren Startseite erfolgen soll, verletzt das Setzen eines Links direkt auf eine nachgeordnete Seite ( Deep Link ) das Recht des Berechtigten zur öffentlichen Zugänglichmachung ( 19 a UrhG). Das gilt auch, wenn die Schutzmaßnahme nicht wirksam, aber erkennbar ist. Der Beklagte hatte sich mittels eines von ihm geschriebenen Skripts den direkten Zugang eröffnet. Anmerkung: In seiner Entscheidung BGHZ 156, 1 = GRUR 2003, 958 Paperboy hatte der BGH festgehalten, dass das Setzen eines Deep Link auf eine frei zugreifbare Seite keine unzulässige urheberrechtliche Nutzungshandlung darstellt. Der Linksetzer verweist nur auf die Seite, hält sie aber nicht selbst zum Abruf bereit und übermittelt sie auch nicht. Er haftet auch nicht als Störer. Das gilt nicht, wenn der Zugang durch eine technische Schutzmaßnahme über die Startseite ( Homepage ) leitet. Das Setzen eines Deep Link stellt dann ein unzulässiges Umgehen dieser Schutzmaßnahme dar. Allerdings muss es sich um eine technische Schutzmaßnahme handeln. Nicht ausreichend dürfte sein, auf einer der Startseite vorgeschalteten Seite einfach nur einen Hinweis zu geben, dass der Zugang nur über die Startseite zulässig sein soll. BAG, Beschl.v ABR 80/08 EBE/BAG 15,12, 2010 Der Betriebsrat kann, sofern berechtigte Belange des Arbeitgebers nicht entgegenstehen, von diesem die Eröffnung eines Internetzugangs und die Einrichtung eigener -Adressen auch für einzelne Betriebsratsmitglieder verlangen. OLG Frankfurt/M., Urt.v U 13/10, MMR 2010, 681 Der Anbieter einer Software kann im Volumenlizenzvertrag die Übertragbarkeit der eingeräumten Nutzungsrechte wirksam ausschließen und den Ersterwerber außerdem verpflichten, einen Zweiterwerber auf die Bedingungen des Volumenlizenzvertrags zu verpflichten. Wirksam kann weiter vereinbart werden, IT- und Internet-Recht aktuell 1/2011 4

5 dass die Software nur an Endbenutzer weitergegeben und nur zu diesem Zweck vervielfältigt werden darf. An unter Verletzung des Vertrags erstellten Programmkopien auf Datenträger kann anderen kein Nutzungsrecht eingeräumt werden. Das gilt auch, wenn notarielle Bestätigungen zum Lizenzerwerb beigebracht werden. Anmerkung: Das Urteil schränkt das Weiterverbreitungsrecht der Ersterwerbers einer Software auf den ersten Blick deutlich ein. Er soll nämlich Folgeerwerber verpflichten, die vertraglichen Nutzungsbedingungen des Anbieters einhalten zu müssen. Außerdem soll der Ersterwerber nur mit Endbenutzern einen Vertrag zur Weiterveräußerung schließen dürfen. Wenn der Ersterwerber aber ein Programmexemplar auf Datenträger erworben hat, erschöpft sich an diesem Exemplar das Verbreitungsrecht des Anbieters. Der Eintritt der Erschöpfungswirkung des Verbreitungsrechts aus Urheberrecht kann nicht davon abhängen, dass der Ersterwerber später bestimmte Verträge mit Folgeerwerbern schließt. Die Erschöpfungswirkung tritt nämlich sofort mit Veräußerung an den Ersterwerber ein. Eine andere Frage ist, ob der Ersterwerber schuldrechtlich gegenüber dem Anbieter zur Einhaltung bestimmter Pflichten verpflichtet ist. Auch bei Verletzung dieser Pflichten durch den Ersterwerber kann aber der Folgeerwerber dinglich wirksam das Vervielfältigungsstück erwerben, wiederum weiterveräußern und bestimmungsgemäß benutzen. Von diesem Erwerb eines Programmexemplars zu unterscheiden ist freilich das einzelne Recht zur Nutzung der Software. Unternehmen erwerben oft für eine bestimmte Anzahl gleichzeitig nutzender Mitarbeiter Nutzungsrechte. Diese Rechte sind als solche nicht isoliert übertragbar. Der Ersterwerber kann nur das erworbene Software-Exemplar als solches mit allen zugehörigen Nutzungsrechten weiterübertragen. Keinesfalls darf er Programmkopien auf Datenträger brennen und nur mit einem Teil der Nutzungsrechte weiterveräußern und die restlichen, von ihm nicht benötigten Nutzungsrechte weiter ausüben. An solchen selbstgebrannten Kopien tritt keine Erschöpfung des Verbreitungsrechts des Anbieters ein. Das muss erst recht gelten, wenn ein Mitarbeiter des Ersterwerbers ohne dessen Wissen Kopien brennt. Hier erwirbt der Folgeerwerber kein Nutzungsrecht. Nicht entscheidend ist, ob er einer vorgelegten (unzutreffenden) notariellen Bestätigung Glauben schenkte, dass das Programm beim Ersterwerber gelöscht wurde, denn auf guten Glauben kommt es im Urheberrecht nicht an. OLG Düsseldorf, Urt.v U 247/08, GRUR-RR 2010, 4 Wird ein auf einem Computer vorinstalliertes Computerprogramm veräußert, tritt die Erschöpfung des Verbreitungsrecht auch an diesem Programmexemplar ein, aber nur in dieser besonderen Verkörperungsform des Programms auf der Hardware. Der Erwerber darf hier das Programmexemplar nur zusammen mit dem Rechner weiterveräußern. Unzulässig ist es, eine Sicherungskopie zu erstellen und diese getrennt zu veräußern. Dies gilt auch dann, wenn der Anbieter dem Sicherungskopieren zugestimmt hat und sogar, wenn der Erwerber die Software auf dem Rechner gelöscht hat. Anmerkung: Das Programmexemplar ist hier nicht auf separatem Datenträger IT- und Internet-Recht aktuell 1/2011 5

6 verkörpert, sondern im Rechner selbst. Der Erwerber darf das Programm mit dem Datenträger veräußern, aber nicht auf Datenträger kopieren und diese Kopie getrennt weiterveräußern. Diese Kopie ist nämlich nicht die vom Anbieter verbreitete Kopie. Das Erstellen der Sicherungskopie ist zwar nach 69 d Abs. 2 UrhG zustimmungsunabgängig zulässig, sofern es für die Sicherung zukünftige Benutzung erforderlich ist. Die Weiterveräußerung ist aber keine solche Benutzung, sondern das Ausüben eines (dem Erwerber nicht eingeräumten) Verwertungsrecht. Das Löschen des Programms beim Ersterwerber muss erfolgen, wenn er einen Originaldatenträger weiterveräußert, damit weitere Nutzung durch den Ersterwerber ausgeschlossen ist. Das Löschen hilft hingegen nicht, wenn nicht die auf dem Rechner vorinstallierte Programmkopie mit diesem weiterveräußert, sondern eine selbsterstellte Kopie. Das Problem stellt sich nur in den Fällen, in denen jeweils eine Sicherungskopie vom vollständigen Programm erstellt wird. Eigenständig weiter veräußerbar sind hingegen nicht bloße funktional eingeschränkte Recovery-Versionen. OLG Karlsruhe, Urt.v U 46/09, GRUR-RR 2010, 234 Das Gericht gibt die bisherige Rechtsprechung auf und verneint die urheberrechtliche Schutzfähigkeit von Bildschirmmasken als Computerprogramm, bejaht aber die Möglichkeit eines Schutzes als Darstellung wissenschaftlicher oder technischer Art bei Vorliegen der erforderlichen Schöpfungshöhe ( 2 Abs. 1 Nr. 7 UrhG). Die Bildschirmoberfläche werde durch das Computerprogramm erzeugt, sei aber kein Teil von diesem. Sie könne durch unterschiedliche Programme erzeugt werden. Anmerkung: Die Entscheidung entspricht wesentlich den Erwägungen des EuGH,Urt.v OLG Celle, Urt.v U 38/09, GRUR-RR 2010, 282 Das rechtwidrige Herunterladen von Hacker software durch den Geschäftsführer einer GmbH berechtigt das Unternehmen zur fristlosen Kündigung, da es das Unternehmen einer Gefahr strafrechtlicher Ermittlungen und einer Rufschädigung aussetzt. IT- und Internet-Recht aktuell 1/2011 6

7 Themen Cloud Computing Verträge und Datenschutz Der Begriff Cloud Computing ist im IT-Bereich in aller Munde. Genaue Definitionen fehlen. Die ENISA 3 hat eine offizielle Definition des Begriffs Cloud Computing erarbeitet: Cloud Computing is an on-demand service model for IT-provision, often based on virtualization and distributed computing technologies. Cloud computing architectures have: - highly abstracted resources, - near instant scalability and flexibility, - near instantaneous provisioning, - shared resources (hardware, database, memory, etc). - service on demand, usually with a pay as you go billing system, - programmable management. Der Anwender kann nicht einfach mit Anbietern einen Vertrag über die Leistung Cloud Computing schließen. Vielmehr muss die vom Anbieter geschuldete Leistung in jedem Einzelfall beschrieben und vereinbart werden. Einfach scheint dies zunächst bei standardisierten Angeboten großer Provider, die etwa Mail- oder Textverarbeitungsservices anbieten. Aber bereits hier müssen eine Reihe von Punkten vertraglich so konkret geregelt werden, dass ihre Einhaltung überprüfbar ist. Das gilt z.b. für Leistungsmerkmale wie Systemverfügbarkeit, Zwischenspeicherung zu verarbeitender und verarbeiteter Daten des Kunden und Datenschutz. Die wichtigsten Regelungselement werden nachfolgend zusammengefasst. I. Cloud Computing-Verträge 1. Vertragsinhalt 1. 1 Kontrollfähige Beschreibung der geschuldeten Leistung. Die Leistungsbeschreibung muss so konkret gefasst sein, dass der Auftraggeber feststellen kann, welche Leistungen er erwarten kann und ob sie termingerecht vollständig erbracht sind, und der beauftragte Dienstleister beweisen kann, dass er die vereinbarte Leistung tatsächlich erbracht hat und die vereinbarte Vergütung fällig geworden ist. Regelungspunkte sind insbesondere: Bezeichnung der Applikation oder Applikationen, die der Kunde nutzen können soll (s.unten Cloud-Typen ). Anzahl der gleichzeitigen Zugriffsberechtigungen des Kunden (für dessen Mitarbeiter). Festlegung, zu welchen Zeiten der Online-Zugang möglich ist (wichtig, wenn 3 European Network and Information Security Agency, IT- und Internet-Recht aktuell 1/2011 7

8 der Auftraggeber schnell Daten seiner Kunden beauskunften oder korrigieren soll). Zulässige Dateiformate. Verwendung nur von Standardschnittstellen (bei Web Services XML). Einsatz ausreichender Verschlüsselungsverfahren und sonstiger erforderlicher Sicherheitsmaßnahmen wie Anonymisierung (die aber ausscheiden muss, wenn der Dienstleister Daten mit Personenbezug verarbeiten muss). Festlegung, welche maximalen Datenvolumina übertragen werden dürfen. Systemverfügbarkeit mit zulässigen Wartungsfenstern, Performanz, jeweils nach Service Levels gestaffelt. Verfügbare Speicherkapazität für Daten des Kunden, Datensicherung beim Anbieter. Ausfallsichere Datenverbindungen. Absicherung gegen netzbasierte Angriffe. Besonders die cloud-typische Virtualisierungsschicht und der zugehörige Virtual Machine 4 Motor stellen eine Schwachstelle der Angriffssicherheit dar. 5 Zusicherung des Anbieters, die Anforderungen nach ISO und des BSI-Grundschutzes zu erfüllen. Wenn möglich ISO-Zertifizierung des Anbieters. 6 Recht des Kunden (als Auftraggeber), die Einhaltung dieser Anforderungen beim Dienstleister zu kontrollieren. Wirksames Monitoring- und Security-Incident-Management (z.b. mit 24/7- Überwachung der Cloud und -Reaktionsmöglichkeiten, Einbindung in CERT- Strukturen, Logfatenerfassung und Auswertung). Notfall-Management (nach BSI-Standard 100-4) und hierbei möglichst direkter Zugriff auf Subunternehmer, regelmäßige Sicherheitsüberprüfung mit Nachweis. Portabilität der Daten, damit der Auftraggeber jederzeit wieder aus der Cloud exportieren und den Dienstleister wechseln kann (kein vendor lock-in 7 ) Vergütung pro Zeiteinheit oder pauschal. Möglichst sollte nur die tatsächliche Nutzung bezahlt werden müssen. Rechte des Kunden bei Leistungsstörungen, z.b. Wiederherstellung von unvollständig oder falsch bearbeiteten Daten, Eskalationsverfahren, Schlichtungsverfahren. Sieht der Anbieter Gewährleistung vor? Sind Mängelbeseitigungen technisch möglich? In welcher Zeit? Vertragslaufzeit. Exit Support bei der Rückführung von Datenbeständen bei Vertragsende. Zugriff auf Datenbestände des Kunden bei Einstellung der Anbieterleistung etwa wegen Insolvenz oder aus anderen Gründen. Escrow des Software as a Service -Image, um den Kunden bei Anbieterinsolvenz abzusichern. Haftung des Anbieter bei Ausfall seiner IT-Systeme. (Ausschluss der) Zulässigkeit der Unterbeauftragung von Subdienstleistern. Diese Subbeauftragung ist gerade im Cloud Computing problematisch, da der Kunde diese Subunternehmen oft nicht kennt, aber für deren Fehler etwa 4 Wikipedia, Stichwort Virtual Machine, 5 Heidrich/Wegener, MMR 12/2010, Müller, Risiken beim Cloud Computing, mueller_cloud.pdf., 2 7 Gesellschaft für Informatik: Zehn Thesen zu Sicherheit und Datenschutz im Cloud Computing, These 8. IT- und Internet-Recht aktuell 1/2011 8

9 beim Datenschutz gegenüber den Betroffenen haften muss. Beim (meist) grenzüberschreitenden Computing Festlegung, das Recht welchen Staates anwendbar sein soll. Einhalten des Datenschutzes nach den Anforderungen des Bundesdatenschutzgesetzes (BDSG). Das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) hat außerdem als Stand der Technik Mindestanforderungen an Cloud- Computing-Anbieter definiert 8 Zu prüfen sind: - Rechenzentrumssicherheit, - Netzsicherheit, - Host- und Servervirtualisierung, - Anwendungs- und Plattformsicherheit, - Ressourcen- und Patch-Management, - Datenspeicherung, Speichervirtialisierung und Datensicherheit, - Verschlüsselung und Schlüsselmanagement, - ID- und Rechtemanagement, - Monitoring und Security-Incident-Management, - Notfallmanagement, - Sicherheitsprüfung und nachweis, - Transparenz der Standorte der Verarbeitung, der Subunternehmer, regelmäßige Unterrichtung über Änderungen, welche Software der Anbieter auf Kundenrechnern installiert, Rechts- und Besitzverhältnisse des Cloud-Anbieters, - Portabilität von Daten und Anwendungen, - Interoperabilität, - Cloud-Zertifizierung Cloud Computing 9 weist einige technische Besonderheiten auf, die auch rechtliche Bedeutung haben. Durch Cloud Computing (die Datenverarbeitung in der Wolke ) wird das Internet zum Rechner. Die Rechner stehen nicht mehr beim Anwender, sondern bei den Providern. Der Anwender kann auf immer mehr Anwendungen einfach über die bei ihm ohnehin vorhandene Browser-Software zugreifen. Er erhält auch keine Anwendungssoftware auf Datenträger oder durch Download, sondern nutzt die bei den Providern bereitgehaltene und verbleibende Software jeweils nach Bedarf. Nur Speicherkapazität zum Heraufladen zu verarbeitender und für das Herunterladen bereitzuhaltender Daten muss er bei einem Provider anmieten. Ermöglicht wird dies durch Virtualisierungstechniken 10, die mehreren Nutzern gleichzeitige Nutzung von Anwendungen auf fremder Hardware (unter Trennung von Applikation und Betriebssystem) ermöglichen. Zunächst ist zu unterscheiden, welche Art von Cloud Computing geschuldet sein 8 BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter (Stand ) Mindestsicherheitsanforderungen.pdf 9 Zum Begriff s. Wikipedia Stichwort Cloud Computing, 10 Wikipedia Stichwort Virtualization, Erläuterungen bei Braun/Kunze/Ludwig. Servervirtualisierung, Informatik_Spektrum_32_3_2009, 197. IT- und Internet-Recht aktuell 1/2011 9

10 soll Die Public Cloud ist ein Service auf pay per use -Basis für jedermann. - Die Private Cloud ist ein nichtöffentlicher Service (wie Intranets), der nur für vorab definierte Nutzer zugänglich ist, vom Kunden (Auftraggeber) selbst betrieben und hauptsächlich für unternehmensspezifische Anwendungen eingesetzt wird 12. Hier erhält jeder Auftraggeber jeweils erforderliche Ressourcen meist individuell fest zugewiesen. In Hybrid Clouds werden Public und Private Cloud kombiniert und durch interne und/oder externe Provider betrieben. Community Clouds können von verschiedenen Einrichtungen betrieben werden. Die Leistungen sind je nach Typ des Cloud Computing sehr unterschiedlich. 13 Soweit personenbezogene Daten des Kunden vom Dienstleister verarbeitet werden, sind auch die datenschutzrechtlichen Verantwortlichkeiten zu beachten. (a) Unter Software as a Service (SaaS, Application Cloud) fallen alle Anwendungen (z.b. Salesforce, Wikis, Blogs), die auf Rechnern des Dienstleisters (oder von ihm unterbeauftragter Dienstleister) als laufende Leistung gefahren werden (etwa Lohnbuchhaltung für Unternehmen). Wenn der Anbieter die personenbezogenen Daten des Kunden verarbeitet, muss der Vertrag Kunde - Anbieter alle Regelungspunkte enthalten, die 11 BDSG (2009) im Zehn-Punkte-Katalog vorschreibt (s. unten), so etwa die Vorab- Kontrolle ( 11 II 4 BDSG) und Dokumentationspflicht ( 11 II 5 BDSG). Der Dienstleister muss außerdem ein Verfahren zur Bearbeitung von auftraggeberseitigen Abfragen implementiert haben. 11 BDSG ist auch bei Private Clouds einzuhalten. (b) Bei Platform as a Service (PaaS, Platform Cloud) bietet der Dienstleister dem Auftraggeber Laufzeit seines IT-Systems und ggf. die Nutzung einer Entwicklungsumgebung an (z.b. Google Apps), damit der Auftraggeber selbst Applikationen entwickeln, kompilieren und ausführen kann (z.b. Datenbanken und deren Integration, Security). Der Dienstleister schuldet hier i.d.r. keine Personendatenverarbeitung im Auftrag. Jedoch können angebotene Anwendungen auch Personendaten umfassen, etwa beim Customer-Relationship-Management (CRM) oder bei der Replikation ganzer Datenbestände. Geschäftsprozesse können als einheitlich auf unterschiedlicher Hardware abgebildete angeboten werden ( Service oriented architecture, SOA) Die Ausführung der Applikation wird vom Auftraggeber selbst administriert. Der Dienstleister kann aber mit seinem System selbst bestimmte Funktionalitäten unterstützen, etwa Mandantenfähigkeit, Skalierbarkeit, Zugriffskontrolle, Datenbankzugriffe etc. Hier muss jeweils geprüft werden, ob insoweit doch 11 Zur Abgrenzung s. etwa Nägele/ Jacobs, ZUM 2010, 281ff; Birk/Wegener, DuD 9/2010, 641; Eymann, Cloud Computing, Enzyklopädie der Wirtschaftsinformatik, Geschaeftsmodell/Cloud-Computing 12 Stichwort Cloud Computing, 13 Zur Abgrenzung s. etwa BSI Mindestsicherheitsanforderungen (Stand ) IT- und Internet-Recht aktuell 1/

11 Personendatenverarbeitung im Auftrag vorliegt. ( c) Bei Infrastructure as a Service (IaaS) erhält der Auftraggeber die eigensteuerte, skalierbare Nutzung von Ressourcen des Dienstleisters angeboten, etwa Speicherplatz, CPUs, Netze. Der Auftraggeber nimmt hier Personendatenverarbeitung ausschließlich selbst vor. 1.2 Anwendbares Vertragsrecht Auch wenn von Web Services oder Software as a Service die Rede ist, darf dies nicht generell mit Dienstverträgen gleichgesetzt werden. Vielmehr können bestimmte Teile der geschuldeten Leistung werkvertraglichen Charakter haben, etwa bezüglich der Verfügbarkeit, des möglichen Datendurchsatzes oder der Durchführung von Plausibilitätsprüfungen. Das gilt erst recht, wenn der Anbieter nicht nur seine Ressourcen zur Online-Nutzung zur Verfügung stellt, sondern bestimmte Aufgaben als solche (z.b. Durchführen einer betrieblichen Lohnbuchhaltung) erfüllen soll (Funktionsübertragung). Die Leistungsmerkmale (z.b. verfügbare Speicherkapazität) können in Service Level Agreements preislich unterschiedlich festgelegt sein. Auch der Ausdruck Service Level führt keineswegs notwendig zur Anwendung von Dienstvertragsrecht. Soll etwa eine Mindestverfügbarkeit geschuldet sein, so ist der Anbieter verpflichtet, diese herbeizuführen und aufrechtzuerhalten. Dieser Leistungserfolg kann nach Werkvertragsrecht zu beurteilen sein. Allgemeine Regeln für die Anwendbarkeit des jeweiligen Vertragsrechts lassen sich hier nicht geben; vielmehr müssen (insbesondere bei Typenkombinationsverträgen) alle Umstände des Einzelfalls berücksichtigt und gewichtet werden. Keine tragfähige Lösung wäre es, wenn der Anbieter in seine AGB die pauschale Regelung aufnimmt, dass für den Vertrag Dienstvertragsrecht gelten solle. Diese Regelung wäre sogar zwischen Kaufleuten unwirksam, wenn hierdurch wesentliche werkvertragliche Kundenrechte eingeschränkt werden. 14 Wirksam sind aber grundsätzlich Vereinbarungen, das Recht welches Staates anwendbar sein soll (Art. 27 Abs. 1 Satz 1 EGBGB). Ist eine solche Rechtswahl nicht getroffen, muss grundsätzlich auf das Recht des Staates abgestellt werden, zu dem der Vertrag die engsten Verbindungen aufweist, hier also meist der Sitz oder die Zweigniederlassung des Cloud-Anbieters, 15 bei Verbraucherverträgen hingegen der Aufenthaltsstaat des Verbrauchers (Art. 29 Abs. 2 EGBGB). II. Datenschutzrechtliche Probleme der Auftragsdatenverarbeitung in der Cloud Vertragsrecht und Datenschutzrecht sind (auch) im Cloud Computing eng verknüpft, das selbst klassische Auftragsdatenverarbeitung darstellt. 16 Immer Ulmer/Brandner/Hensen, ABG-Recht, 307 BGB Randnr. 208, 259. Niemann/Paul, Cloud Computing, K&R 2009, 444, Weichert, Cloud Computing und Datenschutz, DuD 10/2010, 679 mit Nachweisen. IT- und Internet-Recht aktuell 1/

12 dann, wenn in der Cloud personenbezogene Daten verarbeitet werden, müssen nämlich Kunden und Dienstleister zu zehn Regelungsbereichen Vereinbarungen treffen und dokumentieren. Diese in 11 BDSG obligatorisch vorgeschriebenen Vertragsregelungen werden in diesem Abschnitt knapp erläutert. 11 BDSG setzt Art. 17 Abs. 2 EU-Datenschutzrichtlinie um, der Auftraggeber einer personenbezogenen Auftragsdatenverarbeitung verpflichtet, einen Dienstleister auszuwählen, der für die zu treffenden technischen Sicherheitsmaßnahmen und organisatorischen Vorkehrungen ausreichende Gewähr bietet. Diese Pflicht des Auftraggebers wird nicht deshalb reduziert oder gar aufgehoben, weil die Auftragsdatenverarbeitung mittels Cloud Computing stattfindet. Der Auftraggeber muss vielmehr vollständig über die Art und Weise der Datenverarbeitung bestimmen. Dieses Bestimmungsrecht kommt nicht zum Tragen, wenn der Cloud- Anbieter über Art und Ort der Verarbeitung und dort jeweils getroffene Sicherheitsmaßnahmen keine Auskunft geben kann. 17 Das ist insbesondere dann der Fall, wenn die Datenverarbeitung weltweit verteilt erfolgt. So kann es kostengünstig sein, die Daten nicht bei uns am Tage zu verarbeiten, sondern in den USA, solange dort Nacht und die Rechnernutzung entsprechend reduziert ist. Für den Auftraggeber ist es hier meist schon rein technisch bedingt nicht möglich festzustellen, welche seiner Daten wann und wo verarbeitet werden. Vorab ist allgemein festzuhalten, dass diese Regelungspflicht nicht nur dann eingreift, wenn der Anbieter von Web Services ihm von Kunden übertragenen Daten von sich aus mit definierten Applikationen verarbeitet und die verarbeiteten Daten zum Abruf bereithält (wie dies schon bisher beim Rechenzentrumsbetrieb erfolgte). Sie besteht auch schon dann, wenn der Anbieter Daten (etwa in seinem Storage Area Network, SAN) nur speichert, ohne sie in irgendeiner Weise zu verändern. Schon dieses Speichern stellt nämlich einen Verarbeitungsvorgang i.s.v. 4 IV Nr. 1 BDSG dar, der im Auftrag des Kunden erfolgt ( 11 BDSG) Anwendbar ist das deutsche BDSG und EU/EWR-weit das Recht der Europäischen Datenschutzrichtlinie. Drittstaaten außerhalb von EU/EWR weisen nur dann einen ausreichenden Datenschutz auf, wenn dies von der EU festgestellt wurde, so etwa für die Schweiz, Kanada, Argentinien, Guernsey, Isle of Man. 18 Verarbeitet ein Dienstleister die Personendaten in einem Drittstaat bei Cloud Computing wohl eher die Regel als Ausnahme schützt deutsches Datenschutzrecht die Betroffenen nicht. Dies müssen etwa Arbeitgeber beachten, die Personaldatenverarbeitung in die Cloud verlegen wollen. Dies ist jedenfalls immer dann unzulässig, wenn hierdurch Mitarbeiterdaten in Drittstaaten übermittelt werden, in denen die Betroffenenrechte nicht durchsetzbar sind. Der Auftraggeber ist nämlich allein gegenüber seinen Kunden oder gegenüber Dritten zu allfälligen Korrekturmaßnahmen oder zu Schadensersatzleistungen verpflichtet ist. Lücken in Verträgen mit Dienstleistern oder im zwischenstaatlichen Datenschutzrecht können ihn nicht entlasten. Bei personenbezogener Datenverarbeitung sollte deshalb möglichst vermieden werden, Rechner an Standorten außerhalb der EU für beauftragtes Cloud Computing einzusetzen. Auch Subunternehmern in Nicht-EU-Staaten sind 17 Weichert, a.a.o., Müller, a.a.o.,3. IT- und Internet-Recht aktuell 1/

13 entsprechend den Anforderungen der 4 b, 4c, 28 BDSG zu verpflichten und so 11 BDSG (s. Kasten) auf die volle Verarbeitungskette zu verlängern. Vorgeschlagen wird, dass dann, wenn ein cloud-basierter Web Service verschiedene Unternehmen verbinden soll, zwischen den Unternehmen eine Vereinbarung über verbindliche Unternehmensregeln (Binding Corporate Rules) im Sinne der Art. 25 Abs. 1 und 2, 26 Abs. 2 EU-DSRL geschlossen wird (Empfehlung der Art. 29-Datenschutzgruppe der EU). 19 Der Auftraggeber sollte möglichst keine sensitiven Daten (z.b. von Arbeitnehmern und erst recht nicht von Patienten) in der Cloud übermitteln, da das Internet zu unsicher ist und nur äußerst aufwendig angesichert werden kann. 20 Ein Multi-Tenancy-Konzept, 21 nach dem mehrere Abteilungen eines Unternehmens getrennt und voneinander isoliert den Service des Dienstleiste nutzen, kann den Datenschutz unterstützen, da es die Möglichkeiten beliebiger Datenverknüpfungen einschränkt. Mehrere dieser Regelungspunkte des 11 BDSG 2009 (die schon bestehende Pflichten des Auftraggebers nur konkretisieren) können sich in der Praxis als Stolpersteine erweisen, da Vereinbarungen inhaltlich nicht möglich oder kontrollfähig oder gegenüber Dienstleistern nicht durchsetzbar sind. Diese Regelungspunkte werden nachfolgend aufgelistet und es wird (ohne Vollständigkeitsanspruch) für einige Punkte erläutert, weshalb die Vereinbarung einer kontrollfähigen, detaillierte für Cloud Computing-Anwendungen Vereinbarung schwer ist oder gar unmöglich erscheint. Allgemein ist zu beachten, dass die Beauftragung schriftlich erfolgen muss ( 11 Abs. 2 Satz 2 BDSG). Erforderlich ist damit, dass ein Vertrag schriftlich erstellt und eigenhändig unterzeichnet werden muss ( 126 Abs. 1 BGB). Die bloß elektronisch erfolgende Beauftragung (etwa durch ) reicht nicht aus, da die eigenhändige Unterschrift fehlt. Das Schriftformerfordernis greift auch für Subunternehmen ein. Der Auftragnehmer muss also Verträge über Subbeauftragungen eigenhändig unterzeichnen, gleich, ob sich die Subbeauftragten innerhalb oder außerhalb von EU/EWR befinden. Das schnelle Wechseln der Verarbeitung zu Rechnerbetreibern in Übersee ist ohne schriftlichen Vertrag damit generell unzulässig. Dies schränkt die Möglichkeit von Personendatenverarbeitung in der Cloud erheblich ein. 1. Gegenstand und Dauer des Auftrags. Die IT-Ressourcen in der Cloud können (wenn von unternehmensinternen und damit voll kontrollierbaren Private Clouds abgesehen wird) weltweit verteilt sein und binnen Sekunden umverteilt werden, wo immer gerade Rechenkapazität frei wird. Mit einem beauftragten Dienstleister (etwa einem SaaS-Anbieter) können also zwar Vereinbarungen über Inhalt und Dauer des Auftrags getroffen werden. Jedenfalls für dessen subbeauftragte Anbieter (etwa von IaaS-Diensten) können solche Vereinbarungen selten oder gar nicht getroffen werden, wenn ständig 19 Weichert, a.a.o., 683, Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, Weichert, Cloud Computing und Datenschutz, S So ausdrücklich These 5 der Gesellschaft für Informatik (GI). 21 Coffee, Information Management und Consulting 24 (2009) 2, 24. IT- und Internet-Recht aktuell 1/

14 zwischen verschiedenen und zudem weltweit verteilten Services gewechselt wird, also der Ort der Verarbeitung nicht dauerhaft bestimmbar ist.. 2. Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen. 3. Die (nach 9 BDSG) zu treffenden technischen und organisatorischen Maßnahmen. Die Anlage zu 9 BDSG enthält wiederum in acht Punkten Vorgaben für zu treffende Regelungen, die wesentlich die Sicherheit, Integrität und Vertraulichkeit der Datenverarbeitung betreffen. Hier ist etwa die Verpflichtung problematisch zu gewährleisten, dass nachträglich überprüft und festgestellt werden können muss, ob und von wem personenbezogene Daten in das System des Dienstleisters eingegeben, verändert oder entfernt worden sind (Anlage zu 9, Nr. 5 Eingabekontrolle). Dies würde erfordern, dass der Dienstleister sämtliche DV-Aktivitäten personenbezogen registriert, kontrolliert und dokumentiert sowie dem Auftraggeber auf Anforderungen zur Prüfung offenlegt. Das dürfte bei Systemen großer Dienstleister schon rein technisch kaum möglich sein und von US-Dienstleistern meist verweigert werden. Die Anwendungen und insbesondere Datenbestände auf dem Dienstleister- System müssen wirksam isoliert, d.h. gegen den Zugriff anderer Kunden oder Dritter gesichert sein (z.b. durch Speichervirtualisierung). Die für Netzwerke typische technische Absicherung durch Firewall-Systeme ist in der Cloud nicht möglich; die Absicherung muss am beim Dienstleister angemieteten Service- Container durch einen Paketfilter und ein Intrusion Detection System erfolgen. 22 Da sich das Risikoprofil ändert, sollte die Verlagerung der DV auch mit der Versicherung abgeklärt werden. 4. Die Berichtigung, Löschung und Sperrung von Daten. Die Daten müssen auf jedem IT-System korrigierbar sein. Der Anbieter ist deshalb nicht frei, beliebige Subunternehmer an beliebigen Orten unterzubeauftragen. 5. Die (nach 11 Abs. 4 BDSG) bestehenden Pflichten insbesondere Kontrollpflichten des Auftragnehmers. Für nicht öffentliche Stellen müssen etwa die 4 f und 4 g BDSG (Bestellung und Aufgaben eines Beauftragten für den Datenschutz) beachtet werden. Diese Bestellung müsste auch bei allen subbeauftragten Dienstleistern erfolgen, in der Praxis des Cloud Computing kaum durchsetzbar. 6. Die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen. Diese Regelung findet sich an fast keinem Vertrag mit Cloud-Anbietern, weshalb jede solche Auftragsverarbeitung in der Cloud ohne eine derartige Regelung rechtswidrig ist. Der Dienstleister sollte bei Unterbeauftragung von US-Anbietern ausdrücklich die EU-Standardvertragsklauseln akzeptieren. Der Bezug auf die EU- 22 Birk/Wegener, DuD 9/2010, 641, 643. IT- und Internet-Recht aktuell 1/

15 Safe-Harbor-Regelungen 23 und eine Selbstzertifizierung der US-Unternehmen wird als nicht den EU-Standards entsprechend angesehen, bei sog. SAS-70-Typ- II Zertifizierung nur teilweise, da die materiellen und prozeduralen Betroffeneninteressen nicht berücksichtigt werden Die Kontrollrechte des Auftraggebers und die entsprechende Duldungs- und Mitwirkungspflichten des Auftragnehmers. Der Auftraggeber muss seine Kontroll-/Auditrechte vertraglich definieren. Bei Leistungsketten sollte sichergestellt sein, dass die Kontrollen nicht nur beim SaaS-Betreiber möglich sind, sondern auch bei unterbeauftragten Dienstleistern, etwa IaaS-Betreibern. Auftraggeber haben schon rein technisch und personell nicht die Möglichkeit, die weltweit verteilten Rechner zu kontrollieren, auf denen zudem ständig wechselnd ihre Personendaten verarbeitet werden. Meist wissen sie nicht einmal, wo ihre Daten gerade verarbeitet werden. Kaum ein Dienstleister wird außerdem bereit sein, Betretungs- und Prüfrechte (Audit) vertraglich einzuräumen, allein schon, weil dies der erforderlichen Absicherung der Rechenzentren zuwiderlaufen würde. Nicht abschließend geklärt scheint, ob der Auftraggeber die erforderlichen Prüfungen persönlich durchführen muss bei Cloud Computing regelmäßig in der Praxis ausgeschlossen. Es wird ersatzweise eine Überprüfung durch Sachverständige vorgeschlagen, 25 in der Cloud ebenfalls kaum praktikabel. Die bloße schriftliche Auskunftserteilung durch den Auftragnehmer wird aber als nicht ausreichend angesehen. 26 Bereits dies wäre in der Cloud eher unüblich. Ein praktikabler Weg kann sein, den Datenschutzbeauftragten des Auftraggebers mit der Prüfung der DV des Auftragnehmers zu beauftragen und bei Verarbeitung in der Cloud zumindest die Möglichkeit einer Überprüfung aller Subbeauftragten zu vereinbaren. Zumindest die erstmalige Kontrolle muss vor Beginn der Datenverarbeitung besonders umfassend erfolgen und geeignet sein, noch Unzulänglichkeiten aufzudecken und abzustellen. 27 Bei längerfristigen Aufträgen soll eine einmalige Kontrolle nicht ausreichend sein, sondern muss die Kontrolle regelmäßig wiederholt werden, ohne dass aber starre Fristen vorgeschrieben sind. 28 Das Ergebnis der Prüfungen ist zu dokumentieren Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen das Datenschutzrecht oder gegen die Vertragsregelungen ( Lederer, Den sicheren Hafen gibt es nicht, Legal Tribune Online, , 24 Weichert, a.a.o., 686 und Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, Weichert, Cloud Computing und Datenschutz, S. 11f. ausdrücklich auch für Cloud Computing-Verträge Vander, K&R 2010, 292, 295. Vander, a.a.o, 295. BT-Drs. 16/13675, 22. BT-Drs. 16/13675, 18. BT-Drs. 16/13675, 18. IT- und Internet-Recht aktuell 1/

16 a BDSG). 30 Soweit ersichtlich, ist bisher kaum ein Dienstleister vertraglich zu einer Mitteilung von Datenpannen verpflichtet. Die Einhaltung dieser Verpflichtung wäre auch kaum weltweit kontrollierbar. Folge ist freilich, dass Verstöße durch auslänfische Subunternehmer sanktionslos und sogar unentdeckt bleiben können. 9. Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält. Soweit überhaupt Verträge über Beauftragungen geschlossen werden, handelt es sich meist um allgemeine Nutzungsbedingungen, die keine besonderen Weisungsrechte der Auftraggeber vorsehen. Diese Weisungsrechte müssen deshalb i.d.r. gesondert geregelt werden. Das gilt erst recht für Weisungen gegenüber subbeauftragten Dienstleistern. Die Weisungen können insbesondere die Berichtigung, Löschung und Sperrung von personenbezogenen Daten betreffen (s. Nr. 4). Der Auftragnehmer muss jederzeit verpflichtet werden können, bestimmte einzelne Personandaten oder bestimmte Sammlungen von Personendaten zu berichtigen, löschen oder sperren. 10.Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Auch die Löschung von Daten ist in der Praxis des Cloud Computing i.d.r nicht geregelt. Allenfalls findet man interne Regelungen von Dienstleistern zur Löschung, um Speicherkapazität zu behalten. Diese Regelungen begründen aber keine Ansprüche des Auftraggebers Ergänzend ist festzuhalten, dass der Regelungskatalog des 11 BDSG nicht abschließend ist. Der Auftraggeber sollte ergänzend prüfen, ob zusätzlich Vereinbarungen bezüglich der Kündigung bei Datenschutzverstößen, der Haftung und Vertragsstrafen sowie einer Beweislastumkehr erforderlich sind. 31 Man kann die Ergebnisse kurz zusammenfassen: Personendatenverarbeitung und Cloud Computing sind in Public Clouds in vielen Fällen inkompatibel. Vermerkt wurde deshalb, dass die Erfüllung aller Anforderungen des 11 BDSG in der Praxis nicht durchsetzbar sei. 32 Das Sanktionsrisiko (aus Unzulässigkeit der Auftragsdatenverarbeitung) trägt der Auftraggeber, der gegenüber den Betroffenen für die Rechtmäßigkeit der Verarbeitung ihrer Daten einstehen muss. Sollte sich der Befund zu 11 in der Praxis bestätigen, blockiert die Regelung des 11 BDSG jede cloud computing-gestützte Personendatenverarbeitung, allein schon, weil gar regelmäßige Audits und Inspektionen nicht gegenüber größeren Cloud- Dienstleistern durchsetzbar sein werden. Und selbst dann bleiben kaum lösbare Probleme, da der Auftraggeber jederzeit Art und Umfang sowie Ort und Zeit der Personendatenverarbeitung kennen und sogar beherrschen können muss, was nach dem Stand der Technik gegenwärtig als unmöglich angesehen wird, allein schon, weil sich die Orte jederzeit in Sekunden ändern können S. näher Eckhardt/Schmitz, DuD 6/2010, 390. Vander, Auftragsdatenverarbeitung 2.0?, K&R 2010, 292, 294. Heidrich/Wegener, MMR 12/2010, 806. Heidrich/Wegener, MMR 12/2010, 806. IT- und Internet-Recht aktuell 1/

17 Datenschutzrechtlich gilt der Auftragnehmer als Teil der (auftraggebenden) verantwortlichen Stelle. Das gilt auch für subbeauftragte Dienstleister. Der Auftraggeber selbst muss für diese gegenüber Betroffenen mit einstehen. Er bleibt verpflichtet, Ansprüchen auf Auskunft, Berichtigung, Sperrung und Löschung von der Betroffenen nachzukommen. Auch die Mitteilungspflicht bezüglich eingetretener Datenschutzverletzungen trifft den Auftraggeber. Im Auftragsverhältnis muss er deshalb sicherstellen, dass er vom Auftragnehmer über alle datenschutzrechtlichen Datenpannen unverzüglich und in vollem Umfang informiert wird. Die Einschätzungsentscheidung, ob schwerwiegende Beeinträchtigungen drohen könnten, darf nicht vom Auftragnehmer getroffen werden, sondern nur vom Auftraggeber. Erhält dieser keine oder nur unzureichende Kenntnis von Datenpannen im Auftragsbereich, ist dies sein Haftungsrisiko. Ist keine Beauftragung i.s.d. 11 BDSG erfolgt oder möglich, muss der Dienstleister als Dritter ( 3 VIII Satz 2 BDSG) eingestuft werden. Für jede Datenübermittlung müssen dann die gesetzlichen Voraussetzungen des 28 BDSG erfüllt sein. Das gilt für alle (großen) Anbieter von Web Services wie Amazon, Google, Microsoft oder HP, die keine auftragsindividuell ausgehandelten Verträge anbieten (können). Jeder Betroffene (etwa Kunde oder Mitarbeiter des Auftraggebers) muss in diese Übermittlung eingewilligt haben. Ist keine Einwilligung erfolgt, muss die Übermittlung in die Cloud erforderlich sein ( 28 Abs. 1 Satz 1 Nr. 2 BDSG). Jedenfalls für Verarbeitung außerhalb der EU-/EWR- Grenzen wird diese Erforderlichkeit verneint, da es auch adäquate Cloud-Angebote innerhalb dieser Grenzen gebe BDSG greift auch dann ein, wenn die Datenverarbeitung zwar zu persönlichen oder familiären Zwecken, aber in der Cloud erfolgt. Zwar nimmt das BDSG diesen Bereich von seiner Geltung aus, doch nur, wenn sämtliche diesbezüglichen DV-Vorgänge, also der Datenumgang, allein von derselben Privatperson als verantwortliche Stelle durchgeführt werden 35, die Daten also in diesem Privatbereich verbleiben. Das Auslagern von Daten etwa durch das Schreiben von Dokumenten oder s bei Google stellt eine Beauftragung eines Dritten außerhalb des Privatbereichs dar, auf die das BDSG und insbesondere 11 BDSG in vollem Umfange anwendbar ist. Konkrete Folge: Die Nutzung solcher Web-Services ist auch im Privatbereich nur zulässig, wenn alle auch nur im Familienkreis Betroffenen eingewilligt haben, dass ihre Daten über etwa Google Mail (mit)verwaltet und hierbei mitgelesen werden, und wenn die privat verarbeitende Person etwa Google einen schriftlichen Auftrag gemäß 11 BDSG erteilt hat (in der Praxis meist kaum durchsetzbar). wäre nicht ausreichend. Wird diese Vereinbarung aber nicht oder auch nur unvollständig getroffen, droht ein Bußgeld bis zu Euro ( 11, 43 I, III BDSG). Im Falle von Rechtsstreitigkeiten sollte die Anwendung von deutschem Recht (auch von deutschem oder jedenfalls EU-Datenschutzrecht!) und der Sitz des Auftraggebers als Gerichtsstand vereinbart werden. Zwar besteht keine Freiheit der Wahl des anwendbaren Rechts, aber es ist möglich und erforderlich, die Regelungsanforderungen des 11 BDSG ( Zehn-Punkte-Programm ) auch mit Subunternehmern und/oder ausländischen Dienstleistern zu vereinbaren. Diese 34 Weichert, a.a.o., Simitis/Dammann, Komm. zum BDSG, 1 Rdn. 148, 149. IT- und Internet-Recht aktuell 1/

18 Einhaltung muss nach einem Beschluss des Düsseldorfer Kreises v regelmäßig kontrolliert werden. Die einfachere Regelung des 11 BDSG ist auf Nicht-EU/EWR-Dienstleister nicht anwendbar, sondern es müssen in jedem Einzelfall die Voraussetzungen des 28 BDSG erfüllt sein. Das BSI erfasst auch die Datenschutz/Compliance (S. 15): - Gewährleistung des Datenschutzes nach deutschem Recht. - Datenschutzrichtlinien und gesetze, denen der Cloud-Anbieter unterliegt, müssen eingehalten werden. - Speicherung und Verarbeitung der personenbezogenen Daten nur innerhalb der Mitgliedsstaaten der EU oder eines Vetragsstaat des EWR. - Keine Einbindung von Unterauftragnehmern, die eine Verarbeitung der personenbezogenen Daten nur innerhalb der oben genannten Staaten nicht gewährleisten können. - Kontrollrechte des Cloud-Nutzers zur datenschutzkonformen Verarbeitung der personenbezogenen Daten. - Gesetzliche Bestimmungen des Cloud-Nutzers müssen durch den Anbieter eingehalten werden, Die relevante Bestimmungen teilt der Cloud-Nutzer dem Anbieter mit. Telemediendienst Das Hin- und Rückübermitteln der Personendaten durch den ausländischen Cloud- Dienstleister kann als Telemediendienst zu beurteilen sein ( 12 TMG). Dann das ist wohl streitig kann die Übermittlung nicht durch 28 Abs. 1 Satz 2 Nr. 2 BDSG abgestützt sein, da 12 TMG eine Sonderregelung (lex specialis) darstellt. Wenn sich diese Auffassung durchsetzt, bleibt dem Auftraggeber nichts anderes, als von allen durch diese Datenverarbeitung Betroffenen vor deren Beginn die Einwilligung einzuholen ( 12 II TMG). Cloud-Dienstleister im Inland müssen im Internet Namen und Sitz bekanntgeben ( 5 I TMG), ebenso eine Datenschutzerklärung ( 13 II Nr. 1 TMG). Telekommunikationsrecht soll nicht anwendbar sein. 36 Weitere wichtige Links zum Thema: BITKOM Leitfaden: Cloud Computing Was Entscheider wissen müssen (2010) Cloud Computing Evolution in der Technik, Revolution im Business (2009) auch über GI Gesellschaft für Informatik: Zehn Thesen zu Sicherheit und Datenschutz im Cloud Computing mit einer hilfreichen ausführlichen Linkliste. Unabhängiges Landeszentrum für Datenschutz (ULD) Schleswig-Holstein, Weichert, Cloud Computing und Datenschutz cloud-computing 36 Heidrich/Wegener, MMR 12/2010, 805. IT- und Internet-Recht aktuell 1/

19 Die wichtigsten Compliance-Prüfpunkte für Unternehmer und deren CIOs I. Prüfpunkte im Überblick Auch wenn in vielen Bereichen der Wirtschaft die Krise überwunden scheint, bleiben die Anforderungen an die Unternehmen aus den Compliance-Pflichten zur Risikoabwendung bestehen, allein schon im Hinblick auf die technische Absicherung der IT des Unternehmens gegen (immer gezieltere) Angriffe aus dem Internet. In diesem einführenden Beitrag werden zunächst in einer Übersicht die wichtigsten Prüfpunkte aufgelistet. Alle Geschäftsleitungen sind verpflichtet, rechtzeitig sich abzeichnende Risiken zu analysieren, die den Bestand des Unternehmens bedrohen können, und mögliche Vorkehrungen zur Risikoabwendung zu treffen (sog. Bestandssicherungsverantwortung ), insbesondere, wenn kleinere und mittlere Software-Anbieter oder Systemhäuser beauftragt wurden. Anwendende Unternehmen müssen einerseits insbesondere Produktionsunterbrechungen durch Ausfall von IT-Systemen vorbeugen, andererseits aber auch klären, welche Risiken bei Ausfall eines IT-Anbieters (bei Insolvenz oder auch nur Einstellung einer Produktlinie) für das anwendende Unternehmen drohen. Die Geschäftsleitung darf nicht abwarten, bis der Anbieter Insolvenzantrag gestellt hat. Sie muss rechtzeitg vorher Gefährdungslagen analysieren und mögliche Vorkehrungen prüfen, etwa Vorverträge mit anderen Anbietern zur Sicherung eines raschen Wechsels. Prüfliste: Ganz konkret sollten Konfliktfälle und die Compliance-Pflichten der Geschäftsleitung durchgespielt und etwa folgende Fragen gestellt werden: Was ist veranlasst, wenn sich die Insolvenz des beauftragten Anbieters von Enterprise Resource Planning- oder Datenbank-Software abzeichnet, etwa Updates nicht mehr ausgeliefert werden oder die Geschäftstätigkeit ganz eingestellt wird oder vom Anbieter Gewinnwarnungen in den Medien oder im Internet gegeben werden? Dürfen wir in bei Anbieterinsolvenz unsere Anwendung weiter nutzen? Wer könnte sie dann unterstützen (Wartung, Pflege, Hotline-Support)? Kann auf andere Produkte ausgewichen werden? Wie lange würde ein Plattformwechsel dauern? Sind Source Codes verfügbar, mit denen einspringende Drittfirmen die Maintenance weiterführen können? Bestehen Erfüllungsbürgschaften? Sollten wir unsererseits bevorstehende Zahlungen an den Anbieter (z.b. Systemmiete, Wartungs-/Pflegevergütung) besser zurückbehalten, um bevorstehende Leistungen zu sichern? Kann der Anbieter seinerseits laufende Verträge fristgemäß kündigen? Müssen wir bei unklarer Perspektive der weiteren Entwicklung unsererseits eine Gewinnwarnung an unsere Kapitaleigner herausgeben? Sind die möglichen Schäden aus Produktionsunterbrechungen durch das Unternehmen und/oder den Anbieter versichert? Ist auch das Risiko erfasst, dass diese Unterbrechungen durch Nichtleistung des (insolvent gewordenen) IT- Anbieters verursacht wurden? IT- und Internet-Recht aktuell 1/

20 Diese Risikoanalysen sollten zeitnah durchgeführt und regelmäßig aktualisiert werden. Die Ergebnisse sollten dokumentiert werden, um den Beweis der Anwendung der erforderlichen Sorgfalt führen zu können. II. Wichtige Compliance-Grundsätze 1. Begriff der (Corporate) Compliance Der Begriff der (Corporate) Compliance bezeichnet das Einhalten, Befolgen von Gesetzen, Richtlinien und anderen Verhaltensmaßregeln und die Übereinstimmung mit diesen (Hauschka, 1 Rdn. 2.). 37 Durch Mitarbeiter begangene Regelverstöße werden im Compliance-Konzept grundsätzlich als wirtschaftliches Risiko für das Unternehmen und das Management verstanden (Hauschka, 1 Rdn. 3). Hieraus begründete Risiken sollen durch angemessenes Risikomanagement und controlling angewendet werden (so ausdrücklich der Deutschen Corporate Governance Kodex, Nr ). Compliance wird in einer Vielzahl von Rechtsbereichen erfordert, so etwa und insbesondere im Kartell- und Umweltrecht, Steuer- und Sozialversicherungsrecht, Kapitalmarkt- und Datenschutzrecht, im Recht der Arbeitssicherheit, Außenwirtschafts- und Geldwäscherecht, etc. (Schneider, ZIP 2003, 645, 646). Der übergreifende Begriff der Corporate Governance bezeichnet hingegen einen Ordnungsrahmen für die Leistung und Überwachung eines Unternehmens. Für diesen Ordnungsrahmen wurde der Deutschen Corporate Governance Kodex entwickelt jedoch wurde in 161 AktG für börsennotierte Aktiengesellschaften die Verpflichtung von Vorstand und Aufsichtsrat börsennotierter Aktiengesellschaften sind nach 161 AktG verpflichtet, für jedes Geschäftsjahr eine Entsprechenserklärung dahingehend abzugeben, ob den Empfehlungen im Kodex entsprochen wurde und wird oder welche Empfehlungen nicht angewendet wurden oder werden (Hauschka, 1 Rdn. 1). Der Begriff Corporate Compliance bezeichnet freilich nicht nur allgemein die Pflicht, bestehende Gesetze auch tatsächlich einzuhalten. Vielmehr müssen und das ist ein zentrales Merkmal des Compliance -Konzepts bestimmte Vorkehrungen getroffen und Kontrollen der Pflichtenbefolgung durchgeführt werden, um der Gefahr von Rechtsverletzungen und hieraus begründeten operationellen Risiken vorzubeugen. An dieser Stelle wird die Schnittstelle zu den Mitarbeitern deutlich, die an der Pflichtenbefolgung mitwirken müssen. 2. Compliance-Pflichten der Geschäftsleitung Compliance ist Teil eines umfassenderen Pflichtenkatalogs und zentrale Aufgabe für Geschäftsleitungen. So haben Vorstände von Aktiengesellschaften bzw. GmbH- Geschäftsführer bei ihrer Geschäftsführung jederzeit die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters ( 93 Abs. 1 S. 1 AktG) 37 Nachweise s. am Ende. IT- und Internet-Recht aktuell 1/

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Anforderungen an Cloud Computing-Modelle

Anforderungen an Cloud Computing-Modelle Anforderungen an Cloud Computing-Modelle Rechtsanwalt Martin Kuhr, LL.M. 26.11.2010 6. Darmstädter Informationsrechtstag oder: zwischen Wolkenhimmel und Haftungshölle F.A.Z. Wer steht vor Ihnen? - Rechtsanwalt

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Cloud Computing. Dr. Marcus Dittmann

Cloud Computing. Dr. Marcus Dittmann Rechtsanwalt, Fachanwalt für gewerblichen Rechtschutz Cloud Computing Wolkige Versprechen und harte Paragraphen Rechtliche Aspekte des Cloud Computing GEOkomm e.v., Hasso-Plattner-Institut, Potsdam, 28.06.2011

Mehr

Cloud Computing Datenschutz und richtig gute Cloud-Verträge

Cloud Computing Datenschutz und richtig gute Cloud-Verträge Cloud Computing Datenschutz und richtig gute Cloud-Verträge Dr. Jörg Alshut iico 2013 Berlin, 13.05.2013 Rechtsberatung. Steuerberatung. Luther. Überblick. Cloud Computing Definition. Datenschutz Thesen.

Mehr

CLOUD COMPUTING DATENSCHUTZRECHTLICHE ASPEKTE & MEHR

CLOUD COMPUTING DATENSCHUTZRECHTLICHE ASPEKTE & MEHR CLOUD COMPUTING DATENSCHUTZRECHTLICHE ASPEKTE & MEHR Führungskräfte Forum 14. Oktober 2010 Mathias Zimmer-Goertz Seite 2 AGENDA Cloud Computing: Ein Begriff viele Bedeutungen Im Fokus: Datenschutz Vertragsgestaltung

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter

BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter BSI-Mindestsicherheitsanforderungen an Cloud-Computing-Anbieter Alex Didier Essoh und Dr. Clemens Doubrava EuroCloud Deutschland_eco e.v. Köln 02.02.2011 Ziel Ziel des BSI ist es, gemeinsam mit den Marktteilnehmern

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring

> Typische Fallstricke beim Cloud Computing. Ulf Leichsenring > Typische Fallstricke beim Cloud Computing Ulf Leichsenring > Agenda > Sicherheitsaspekte beim Cloud Computing > Checkliste der Hauptsicherheitsaspekte > Rechtliche Sicherheitsaspekte > Datenschutzaspekte

Mehr

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein Contra Cloud Thilo Weichert, Leiter des ULD Landesbeauftragter für Datenschutz Schleswig-Holstein DAV-Symposium: In den Wolken Schutz der anwaltlichen Verschwiegenheitspflicht auch bei grenzüberschreitendem

Mehr

Vertragsgestaltung für IT-Projekte zentrale Regelungspunkte im Überblick

Vertragsgestaltung für IT-Projekte zentrale Regelungspunkte im Überblick Vertragsgestaltung für IT-Projekte zentrale Regelungspunkte im Überblick Die vorliegende Darstellung orientiert sich am Ablauf typischer IT-Projekte. Diese weisen meist folgende Stufen auf: Projektvorschlag

Mehr

Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung

Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung Cloud Computing und seine Konsequenzen für den Datenschutz und die betriebliche Mitbestimmung Vortrag im Rahmen der Tagung Green IT und Industrialisierung der IT IGBCE; HBS; Borderstep; Stiftung Arbeit

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Cloud Computing aus Sicht von Datensicherheit und Datenschutz Cloud Computing aus Sicht von Datensicherheit und Datenschutz Peter Batt Bundesministerium des Innern Ständiger Vertreter des IT-Direktors Berlin, den 19. April 2012 Grundlagen: Sicherheitsempfehlungen

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business

Governance- und Compliance-Aspekte im Cloud-Umfeld. Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Governance- und Compliance-Aspekte im Cloud-Umfeld Rechtsanwalt Martin Schweinoch Practice Group IT, Internet & E-Business Der Referent Martin Schweinoch Rechtsanwalt und Partner bei SKW Schwarz, München

Mehr

Rechtsanwälte Steuerberater Wirtschaftsprüfer

Rechtsanwälte Steuerberater Wirtschaftsprüfer Workshop Cloud-Computing Die Herausforderung für die Daten- und Rechtssicherheit GI-Fachgruppe Management 20. November 2009 Dr. Christiane Bierekoven, Rödl & Partner Rechtsanwälte Steuerberater Wirtschaftsprüfer

Mehr

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer

Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer Auftrag gemäß 11BDSG Vereinbarung zwischen als Auftraggeber und der Firma Direct-Mail & Marketing GmbH als Auftragnehmer 1. Gegenstand und Dauer des Auftrages Der Auftragnehmer übernimmt vom Auftraggeber

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Anlage zum Vertrag vom. Auftragsdatenverarbeitung Anlage zum Vertrag vom Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Dienstvertrag/Werkvertrag (Hauptvertrag)

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Rechtliche Rahmenbedingungen des Cloud Computing

Rechtliche Rahmenbedingungen des Cloud Computing Nomos Universitätsschriften - Recht 842 Rechtliche Rahmenbedingungen des Cloud Computing Eine Untersuchung zur internationalen Zuständigkeit, zum anwendbaren Recht und zum Datenschutzrecht von RA Dr. Benno

Mehr

Vertrag über die Nutzung einer Online-Unternehmenssoftware

Vertrag über die Nutzung einer Online-Unternehmenssoftware Vertrag über die Nutzung einer Online-Unternehmenssoftware zwischen der Collmex GmbH, Lilienstr. 37, 66119 Saarbrücken, eingetragen im Handelsregister des Amtsgerichts Saarbrücken unter Nr. HRB 17054,

Mehr

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main (Auftragnehmer) stellt 1. Präambel Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt _ (Vollständige Firma und Adresse des Kunden) ("Auftraggeber") gemäß den "Allgemeine Geschäftsbedingungen

Mehr

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 -

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli 2010 - INNENMINISTERIUM AUFSICHTSBEHÖRDE FÜR DEN DATENSCHUTZ IM NICHTÖFFENTLICHEN BEREICH Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1 - Stand: 1. Juli 2010 -

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Die Nutzung der Zeiterfassungssoftware askdante im Nutzungsmodell Cloud-Service und während kostenloser

Die Nutzung der Zeiterfassungssoftware askdante im Nutzungsmodell Cloud-Service und während kostenloser Allgemeine Geschäftsbedingungen für den askdante Cloud- Service und für die Nutzung von askdante innerhalb kostenloser Testzeiträume Die Nutzung der Zeiterfassungssoftware askdante im Nutzungsmodell Cloud-Service

Mehr

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011 Heymann & Partners Übersicht Erscheinungsformen des Cloud Computing Vertragsgestaltung beim Cloud Computing

Mehr

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren

Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Allgemeine Geschäftsbedingungen (AGB) der GDV Dienstleistungs-GmbH & Co. KG für den Zugang ungebundener Vermittler zum evb-verfahren Stand: 20.12.2007 Inhaltsverzeichnis Vorbemerkung Ziff. 1 Ziff. 2 Ziff.

Mehr

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH

Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH Allgemeine Nutzungsbedingungen (ANB) der Enterprise Technologies Systemhaus GmbH 1 Allgemeines Diese allgemeinen Nutzungsbedingungen ( ANB ) gelten für die Nutzung aller Webseiten von Enterprise Technologies

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz 01. Februar 2011 Jörg-Alexander Paul & Dr. Fabian Niemann Bird & Bird LLP, Frankfurt a.m. Herzlich willkommen! Jörg-Alexander Paul Dr. Fabian Niemann Webinar 1. Teil Vertragsgestaltung

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

Cloud Computing aus juristischer Perspektive

Cloud Computing aus juristischer Perspektive Cloud Computing aus juristischer Perspektive Grundlagen Dipl.-Jur. Jörn Wittmann Lehrstuhl Prof. Dr. Gerald Spindler Seite 1 Begriff Der Begriff des Cloud Computing ist juristisch nicht exakt definiert

Mehr

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Cloud Computing Praxistipps für den rechtssicheren Einsatz in Unternehmen Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Dr. Müller & Kollegen Rechtsanwälte, Fachanwälte & Notare

Mehr

Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010

Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010 Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010 Prof. Dr. Rainer Erd Rechtsanwalt Schmalz Rechtsanwälte Hansaallee 30-32, 60322 Frankfurt am

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

Handel mit gebrauchter Software. Dr. Truiken Heydn

Handel mit gebrauchter Software. Dr. Truiken Heydn Handel mit gebrauchter Software Dr. Truiken Heydn Herbstakademie 2006 Handel mit gebrauchter Software I. Fallgestaltungen II. Sachverhalt III. Urteil des Landgerichts München I Herbstakademie 2006 Handel

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG und der IT-Sicherheit Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung"

Mehr

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster)

Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Anlage 5: Mitarbeiter-Merkblatt zum Datenschutz Mitarbeiter-Merkblatt zum Datenschutz (Unverbindliches Muster) Bei Ihrer Tätigkeit in unserem Unternehmen werden Sie zwangsläufig mit personenbezogenen Daten

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

CeSeC Certified Secure Cloud

CeSeC Certified Secure Cloud CeSeC Certified Secure Cloud 1 Bayerischer IT-Sicherheitscluster e.v. 28.02.2014 Was ist CeSeC Certified Secure Cloud? Die Certified Secure Cloud, oder kurz CeSeC genannt, ist ein technischer und organisatorischer

Mehr

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K.

Grenzen und Möglichkeiten. Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. Grenzen und Möglichkeiten Senatsverwaltung für Inneres und Sport Verfassungsschutz Bereich: Wirtschaftsschutz René K. 1 Agenda Definition Architektur Durchgängigkeit der Technologien Risiken Pro Contra

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Leih mir mal dein ebook Der Handel mit Gebrauchtsoftware und anderen Immaterialgütern

Leih mir mal dein ebook Der Handel mit Gebrauchtsoftware und anderen Immaterialgütern Leih mir mal dein ebook Der Handel mit Gebrauchtsotware und anderen Immaterialgütern A L L T A G S P R O B L E M E I M I N T E R N E T Gliederung I. Einührung II. Der Handel mit Gebrauchtsotware III. Der

Mehr

Cloud-Rechtssicherheit

Cloud-Rechtssicherheit Cloud-Rechtssicherheit TechDay Kramer & Crew 30 Minuten Stefan Fischerkeller Diplomverwaltungswirt (FH) Geprüfter, fachkundiger Datenschutzbeauftragter 1 Profil DDK Standorte: München, Bodensee, Stuttgart,

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

Herzlich willkommen!

Herzlich willkommen! Herzlich willkommen! RA Marc Brauer 23.06.2010 Folie 1 Software as a Service und Cloud Services Grenzenlose 23.06.2010 Folie 2 Übersicht 1. Juristische Definitionen 2. SaaS und Cloud Computing = Miete

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz 2. April 2011 Dr. Fabian Niemann Bird & Bird LLP, Frankfurt a.m. Datenschutzbehörden und die Wolke Werden Stellen außerhalb der Europäischen Union mit einbezogen, so sind

Mehr

Datenschutzerklärung von SL-Software

Datenschutzerklärung von SL-Software Datenschutzerklärung von SL-Software Software und Büroservice Christine Schremmer, Inhaberin Christine Schremmer, Odenwaldring 13, 63500 Seligenstadt (nachfolgend SL-Software bzw. Wir genannt) ist als

Mehr

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

26.04.2012. Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK 1 CLOUD COMPUTING - RECHTLICHE RAHMENBEDINGUNGEN Dr. Martin Schirmbacher Berlin, 24. April 2012 Gliederung 2 ÜBERBLICK Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Nutzungsrechte Folgen

Mehr

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Cloud Computing Praxistipps für den rechtssicheren Einsatz in Unternehmen Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Dr. Müller & Kollegen Rechtsanwälte, Fachanwälte & Notare

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Datenschutzrechtliche Aspekte des Cloud Computing Gustav-Stresemann-Ring 1 65189 Wiesbaden Telefon 0611 / 1408-0 http://www.datenschutz.hessen.de E-Mail: poststelle@datenschutz.hessen.de Definitionen Cloud-Anwender

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING

AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING B M T AUSWIRKUNGEN DES CLOUD COMPUTING AUF DIE VERTRAGSGESTALTUNG IM OUTSOURCING 4. Fachtagung Dynamisierung des Mittelstands durch IT Schloss Vollrads 7. September 2010 Büsing Müffelmann & Theye Rechtsanwalt

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim

Impressum. Angaben gemäß 5 TMG: Vertreten durch: Kontakt: Registereintrag: Umsatzsteuer-ID: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Impressum Angaben gemäß 5 TMG: Farbenmühle mcdrent GmbH & CO. KG Hagdorn 13 45468 Mülheim Vertreten durch: Jens Müller Kontakt: Telefon: 004915168497847 E-Mail: info@mcdrent.de Registereintrag: Eintragung

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung:

Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Briefbogen des verwenden Unternehmens Hinweis für Arbeitgeber zur Verwendung dieser Musterverpflichtung: Die Verpflichtung hat in der Regel vor oder bei erstmaliger Aufnahme der Arbeit bei der verantwortlichen

Mehr

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Fabian Laucken Rechtsanwalt und Fachanwalt für gewerblichen Rechtsschutz und Fachanwalt für Informationstechnologierecht Vertragsrecht I Einordnung von Clouddiensten

Mehr

Rechtsprechungsübersicht

Rechtsprechungsübersicht Rechtsprechungsübersicht Aktuelle Rechtsprechung zu hochschulrelevanten Themen Ass. iur. Stefan Bröckers 1 Überblick Urteilsbesprechung I. Handel mit gebrauchten Softwarelizenzen II. III. (LG München I)

Mehr

Risiken für den Servicenehmer. Fabian Laucken Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Fachanwalt für gewerblichen Rechtsschutz

Risiken für den Servicenehmer. Fabian Laucken Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Fachanwalt für gewerblichen Rechtsschutz Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Fachanwalt für gewerblichen Rechtsschutz 1. novedia business day 9. September 2010 Inhaltsübersicht Begriffsbestimmung SaaS Vertragsrecht Urheberrecht

Mehr

Softwarelizenzen im rechtlichen Blickfeld

Softwarelizenzen im rechtlichen Blickfeld Lizenzcontrolling im SAP Umfeld Softwarelizenzen im rechtlichen Blickfeld Loccumer Hof Hannover, 26. April 2007 Rechtsanwalt Christopher P. Beindorff 1 Kurzprofil zwei Berufsträger Beratung und Vertretung

Mehr