Ist die Cloud eine Frage der Sicherheit? Vom Produkt zum Service: rechtliche Betrachtungen. Aktuelle juristische Treiber in der Software-Lizenzierung

Transkript

1 Ist die Cloud eine Frage der Sicherheit? Vom Produkt zum Service: rechtliche Betrachtungen. Aktuelle juristische Treiber in der Software-Lizenzierung Wilfried Reiners IT-Fachanwalt / PRW

2 2 LICEN A 2015 Ist die Cloud eine Frage der Sicherheit? Vom Produkt zum Service : Rechtliche Betrachtungen Referent: RA Wilfried Reiners, MBA

3 Anwaltskanzlei für das Recht in der IT Consulting Unternehmen für IT-Compliance Umsetzung

4 4 Agenda Entwicklungsstand des Rechts in der IT Politik Hersteller Rechtsprechung Unterscheidung Miete und Kauflizenz Datenschutz in der Cloud mit ISO 27018

5 5 Entwicklung des Computer-/EDV-/IT-Rechts Sechziger Jahre: Phänomen Computer, Datenverarbeitungsanlagen Siebziger Jahre: EDV-Systeme (1970 Hess. Datenschutz; 1977 BDSG) Achtziger Jahre: PC und Software Neunziger Jahre: Standard Software (EU Datenschutzrichtlinie 1995) 2000er Jahre: Internet (EU Datenschutzumsetzung in Deutschland 2005) 2007 Consumerization (iphone / smart Phone) 2012 Services / Cloud / App (= Outsourcing, XaaS) 2015 /2017 Big Data / Personal Data Economy (Datenschutz Grund VO)

6 6 Aktuelle Entwicklung des IT-Rechts IT- Sicherheit; Ursache: StuxNet; Headbleed; NSA Konsequenz: IT-Sicherheitsgesetz Treiber: Politik Schutz von Software; Ursache: Rechtsprechung schwächt den bisherigen Schutz Konsequenz: Aus Kauf wird Miete? Treiber: Softwareindustrie Cloud Computing; Ursache: Skalen Effekte, Mietmodell Konsequenz: Kostensenkung, Umdenken beim Datenschutz Treiber: IT-Branche

7 IT-Sicherheitsgesetz Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme 7

8 8 Hintergrund Sorge vor Cyberattacken. (Stuxnet: Zugriff auf Atomkraftwerke) 40 Prozent der Wertschöpfung weltweit basiert schon heute auf der Informations- und Kommunikationstechnologie. Die Maßnahmen der Bundesregierung verfolgen das Ziel, Deutschland als einen der sichersten digitalen Standorte weltweit zu etablieren. Für kritische Infrastrukturen ist als Teil der Daseinsfürsorge ein Mindestniveau an IT- Sicherheit gesetzlich zu verankern.

9 9 Initiativen USA: Executive Order Improving Critical Infrastructure Cybersecurity ( ) Cybersecurity Strategy of the European Union ( ). Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme IT-Sicherheitsgesetz ( ) Ziel: Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden (Entwurf S.2). Dazu müssen einige Gesetze geändert werden, z.b. BSI-Gesetz, TMG, BKA-Gesetz.

10 10 Zuständige Behörde = BSI Die Aufgaben des BSI, neben der Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes, haben an Bedeutung gewonnen. Das BSI dient zunehmend Bürgern, Unternehmen, Verwaltungen und der Politik als Ansprechpartner in Fragen der IT-Sicherheit. Auch auf EU-Ebene und international ist das BSI verstärkt der nationale Ansprechpartner in Fragen der IT- und Cybersicherheit in Deutschland. Die Entwicklung des BSI hin zur nationalen Informationssicherheitsbehörde wird mit der Änderung des 1 nachvollzogen.

11 11 BSI-Gesetz (2) (11) Betreiber Kritischer Infrastrukturen im Sinne dieses Gesetzes sind alle Unternehmen, die Kritische Infrastrukturen betreiben, mit Ausnahme solcher Unternehmen, die Kleinstunternehmen im Sinne der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (ABl. L 124 vom , S. 36) sind. Ein Unternehmen, das sich darauf beruft, Kleinstunternehmen im Sinne der vorgenannten Empfehlung der Kommission zu sein, hat dem Bundesamt auf dessen Verlangen das Vorliegen der dafür erforderlichen Voraussetzungen auf geeignete Weise nachzuweisen.

12 Empfehlung 2003/361/EG der Kommission Artikel 2 DEFINITION DER KLEINSTUNTERNEHMEN SOWIE DER KLEINEN UND MITTLEREN UNTERNEHMEN Mitarbeiterzahlen und finanzielle Schwellenwerte zur Definition der Unternehmensklassen (1) Die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) setzt sich aus Unternehmen zusammen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. EUR erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. EUR beläuft. (2) Innerhalb der Kategorie der KMU wird ein kleines Unternehmen als ein Unternehmen definiert, das weniger als 50 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 10 Mio. EUR nicht übersteigt. 12 (3) Innerhalb der Kategorie der KMU wird ein Kleinstunternehmen als ein Unternehmen definiert, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet.

13 13 Unklarheiten / Kritik Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen (Nicht Staat, nicht Rundfunk..) Es ist nicht geregelt welche Einrichtungen konkret unter den Begriff der kritischen Infrastrukturen fallen. Dies soll das BMI durch Rechtsverordnung festlegen. Der Anwendungsbereich des Gesetzes ist nicht klar, weil es keine RVO gibt. Kritische Dienstleistungen sind beispielhaft aufgezählt.

14 14 Kritische Dienstleistungen können sein: 1. SEKTOR ENERGIE - Stromversorgung (Branche: Elektrizität) - Versorgung mit Erdgas (Branche: Gas) - Versorgung mit Kraftstoff (Branche: Mineralöl) - Versorgung mit Heizöl (Branche: Mineralöl) 2. SEKTOR INFORMATIONSTECHNIK UND TELEKOMMUNIKATION - Sprach- und Datenkommunikation (Branchen: Telekommunikation, Informationstechnik) - Verarbeitung und Speicherung von Daten (Branche: Informationstechnik)

15 15 Kritische Dienstleistungen (2) 3. SEKTOR TRANSPORT UND VERKEHR - Transport von Gütern (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik) - Transport von Personen im Nahbereich (Branchen: Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik) - Transport von Personen im Fernbereich (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)

16 16 Kritische Dienstleistungen (3) 4. SEKTOR GESUNDHEIT - Medizinische Versorgung (Branchen: Medizinische Versorgung, Labore) - Versorgung mit Arzneimitteln und Medizinprodukten (Branchen: Medizinische Versorgung, Labore, Arzneimittel und Impfstoffe) 5. SEKTOR WASSER - Trinkwasserversorgung (Branche: Öffentliche Wasserversorgung) - Abwasserbeseitigung (Branche: Öffentliche Abwasserbeseitigung)

17 17 Kritische Dienstleistungen (4) 6. SEKTOR ERNÄHRUNG - Versorgung mit Lebensmitteln (Branchen: Ernährungswirtschaft, Lebensmittel) 7. SEKTOR FINANZ- UND VERSICHERUNGSWESEN - Zahlungsverkehr und Kartenzahlung (Branchen: Banken, Finanzdienstleister) - Bargeldversorgung (Branche: Banken) - Kreditvergabe (Branche: Banken, Finanzdienstleister) - Geld- und Devisenhandel (Branche: Börsen) - Wertpapier- und Derivatshandel (Branche: Börsen) - Versicherungsleistungen (Branche: Versicherungen)

18 18 Technisch organisatorische Maßnahmen Für die Wirtschaft entsteht bei Betreibern Kritischer Infrastrukturen Aufwand für die Einhaltung eines Mindestniveaus an IT-Sicherheit und die Einrichtung und Aufrechterhaltung entsprechender Meldewege. Dies wird faktisch aber nur dort zu Mehrkosten führen, wo bislang noch kein hinreichendes Niveau an IT-Sicherheit bzw. keine entsprechenden Meldewege etabliert sind. Die konkrete Berechnung und Darstellung des Erfüllungsaufwands kann erst mit Erlass der Rechtsverordnung nach 10 BSI-Gesetz erfolgen, da erst durch die Rechtsverordnung der Adressatenkreis der entsprechenden Verpflichtungen hinreichend konkret eingegrenzt wird. Es fehlt ein 9 BDSG mit Anlagen.

19 19 Meldepflichten mit und ohne Namensnennung Die Betreiber Kritischer Infrastrukturen haben Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die Auswirkungen auf ihre eigene Funktionsfähigkeit haben können, unter Angabe der technischen Rahmenbedingungen unverzüglich an das BSI zu melden, wobei eine Nennung des Betreibers selbst nicht erforderlich ist. Führen Beeinträchtigungen der informationstechnischen Systeme, Komponenten oder Prozesse zu einem Ausfall oder einer Beeinträchtigung der Kritischen Infrastruktur, ist dies dem BSI unverzüglich unter Nennung des Betreibers zu melden.

20 IT-Sicherheit aber Datenschutz Die Regelung ermächtigt die Diensteanbieter, Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen zu erheben und zu verwenden. Diensteanbieter müssen die Möglichkeit haben, eine Infektion der von ihnen angebotenen Telemedien mit Schadprogrammen zu erkennen, um entsprechende Schutzmaßnahmen ergreifen zu können. 20 Zur Erkennung und Abwehr bestimmter Angriffe gegen Webseiten und andere Telemedien ist die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten erforderlich. Diese soll durch den neuen 15 Absatz 9 TMG, der sich an 100 Absatz 1 TKG anlehnt, geschaffen werden.

21 21 BKA-Gesetz Durch die Vorschrift wird die Zuständigkeit des Bundeskriminalamts für die polizeilichen Aufgaben auf dem Gebiet der Strafverfolgung über die bereits bestehende Zuständigkeit für Straftaten nach 303b StGB (Computersabotage) hinaus auf Straftaten nach 202a, 202b, 202c, 263a und 303a StGB ausgedehnt. Zusätzlich zu den Fällen, in denen sich die genannten Straftaten gegen die innere oder äußere Sicherheit der Bundesrepublik Deutschland oder sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richten, wird geregelt, dass die Zuständigkeit des BKA auch bei derartigen Straftaten gegen Bundeseinrichtungen gegeben ist.

22 22 Fazit zum IT-Sicherheitsgesetz Das IT-Sicherheitsgesetz wird kommen. Die Datenschützer werden sich erfolglos wehren (Grund 1 Abs. 3 BDSG). Es ist auf die EU-Richtlinie für Netz- und Informationssicherheit abgestimmt. Die Rolle des BSI wird deutlich aufgewertet. Nach Verabschiedung des Gesetzes wird es eine 2-jährige Umsetzungsfrist geben.

23 Schutz von Software vom Kauf zur Miete? 23

24 24 Vom Kauf zur Miete I 903 BGB Befugnisse des Eigentümers Der Eigentümer einer Sache kann, soweit nicht das Gesetz oder Rechte Dritter entgegenstehen, mit der Sache nach Belieben verfahren und andere von jeder Einwirkung ausschließen. Der Mieter hat diese Rechte nicht. Dies kann zu einer Schwächung der Rechte des Nutzers führen, da ihn kein Leitbild des Eigentums vor den Nutzungsbeschränkungen in den AGB schützt.

25 25 Vom Kauf zur Miete II Software ist eine Sache. Daran kann Eigentum erworben werden. Das Ergebnis der Entscheidungen von EuGH und BGH zu UsedSoft ist, dass Weitergabeverbote u.u. beim Kauf nicht wirksam sind. M.a.W., gebrauchte Software kann vom Grundsatz her verkauft werden. Aber bestimmte Voraussetzungen sind zu beachten: Z.B. Der Ersteigentümer muss seine Software vorher unbrauchbar machen. Ist der Weiterverkauf von Einzellizenzen aus einer Volumenlizenz urheberrechtlich nicht zu beanstanden, wenn damit keine Veränderung der mit Zustimmung des Rechteinhabers in den Verkehr gebrachten Anzahl an Lizenzen einhergeht?

26 26 Vom Kauf zur Miete III OLG Frankfurt, Urteil v , Az. 11 U 68/11 Adobe vs. UsedSoft: Gemäß 69 c Nr. 3 S. 2 UrhG erschöpft sich das Verbreitungsrecht an einem mit Zustimmung des Rechtsinhabers im Gebiet der Europäischen Union oder eines anderen Vertragsstaates des Abkommens über den Europäischen Wirtschaftsraum in den Verkehr gebrachten Vervielfältigungsstücks. Auf diese Erschöpfungswirkung könne sich der zweite und jeder weitere Erwerber einer Nutzungslizenz berufen;..

27 Vom Kauf zur Miete IV Sofern wie vorliegend besondere Vertragskonditionen und Rabatte eingeräumt werden (hier Edu-Lizenz), kann demnach offenbleiben, ob diese zu einem Verwertungserlös führen, der unterhalb der Gewinnzone liegt. Es ist nicht Sache der Gerichte, die Wirtschaftlichkeit der Preispolitik der Klägerin oder die Angemessenheit des Verhältnisses zwischen Leistung und Gegenleistung zu überprüfen. Es sind noch nicht alle juristischen Fragen geklärt, aber 27 was würden Sie jetzt als Software-Anbieter machen?

28 28 Offene Fragen Gilt das Aufspaltungsverbot für alle Arten von Volumenlizenzen? Wie wirken sich Nutzungsbeschränkungen im ursprünglichen Lizenzvertrag auf die weiteren Erwerber aus? Academic-Lizenzen Haftungsklauseln Audit-Rechte Werden Wartungsverträge automatisch mit übertragen? Wie wird das Unbrauchbarmachen der Programmkopie nachgewiesen? Zu welchem Zeitpunkt muss das Unbrauchbarmachen erfolgen?

29 29 Vom Kauf zur Miete? Frage: Es sind noch nicht alle juristischen Fragen geklärt, aber was würden Sie jetzt als Software-Anbieter machen, wenn es Ihre Aufgabe ist, das Unternehmen und die Mitarbeiter(innen) vor Schaden zu bewahren?

30 30 Grundlagen zum Cloud-Computing - Generelle Informationen -

31 31 Es gibt (noch) kein Cloud-Computing, das für jede Anwendung und immer passt. Es gibt zu viele negative Aussagen zu den Cloud Modellen. Es gibt mehr als schwarz und weiß. Wer prüft ist im Vorteil.

32 32 Cloud Computing braucht vier Komponenten zum Erfolg Rechtliche Zulässigkeit (Datenschutz und andere Gesetze) Geprüfte Datensicherheit (ISO 27001, etc.) Zugesicherte Verfügbarkeit (Hochverfügbarkeit von 99,9x %) Finanzielle Attraktivität (Gesamtkostenbetrachtung, Migration und Betrieb)

33 Datenschutzgesetze (Übersicht / Auswahl) I Bundesdatenschutzgesetz Das Bundesdatenschutzgesetz (BDSG) regelt die Zulässigkeit der Verarbeitung von Bürgerdaten einerseits durch Behörden des Bundes und andererseits durch private Unternehmen in der gesamten Bundesrepublik Deutschland. Landesdatenschutzgesetze Die Landesdatenschutzgesetze regeln die Voraussetzungen, unter denen Landesbehörden personenbezogene Daten verarbeiten dürfen. Kirchlicher Datenschutz Die Anordnung über den kirchlichen Datenschutz (KDO) ist die für den Bereich der römisch-katholischen Kirche in Deutschland geltende Datenschutz-Regelung. Das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) ist die für den Bereich der Evangelischen Kirche in 33 Deutschland geltende Datenschutz-Regelung.

34 Datenschutzgesetze (Übersicht / Auswahl) II Telemediengesetz 11 bis 15a TMG regeln den Datenschutz in den Telemedien. Sozialdatenschutz 67 bis 85a SGB X regeln den Schutz der Sozialdaten. Europäische Datenschutzrichtlinie 95/46/EG Die Richtlinie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen. Datenschutz Grundverordnung Die DS-GrVO soll die Richtlinie 95/46/EG ersetzen. Im Gegensatz zur Richtlinie 95/46/EG, wird die 34 Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten gelten.

35 Kein deutsches MS Rechenzentrum Rechenzentren in anderen EU-Ländern sind Rechenzentren in Deutschland datenschutzrechtlich gleichgestellt. Datenschutzrechtlich ist es also unerheblich, wo sich ein Rechenzentrum in der EU befindet. Dies folgt aus der Waren- und Dienstleistungsfreiheit in der Europäischen Union. Die Dienstleistungsfreiheit ist eine der vier Grundfreiheiten des Europäischen Binnenmarktes. Sie ermöglicht Anbietern den freien Zugang zu den Dienstleistungsmärkten aller Mitgliedsstaaten der Europäischen Union. Ein Rechenzentrum in Deutschland ist datenschutzrechtlich nicht anders zu behandeln 35 als ein Rechenzentrum in einem anderen Mitgliedsstaat der EU.

36 Beispiel Microsoft: Auszug des Schreibens der Art 29 Gruppe an Microsoft EMEA 36

37 37 ISO Datenschutz in der Cloud -

38 38 ISO Seit August 2014 gibt es einen neuen internationalen Standard für den Datenschutz in der Cloud, die ISO/IEC Inhaltlich baut die Norm auf bereits existierenden Sicherheitsstandards insbesondere ISO/IEC auf. Die ISO/IEC befasst sich speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in einer Cloud. In der Praxis ist der Einsatz anerkannter Sicherheitsverfahren oder aber die Zertifizierung durch unabhängige Dritte ein entscheidendes Kriterium für die Auswahl des Cloud-Anbieters. Dies gilt umso mehr für die Kontrollrechte des Auftraggebers im Rahmen einer Auftragsdatenverarbeitung nach 11 Abs. 2 Nr. 7 BDSG.

39 39 ISO Die ISO/IEC legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud- Diensten fest und formuliert Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen. Das heißt u.a. Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben des Auftraggebers verarbeitet werden. Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss von der rechtlichen Verpflichtung in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.

40 ISO Die Cloud-Provider müssen ihren Kunden die Möglichkeiten geben, ihre Daten zu ändern, zu löschen und zu korrigieren. Personenbezogene Daten dürfen nicht für eigene Zwecke genutzt werden. Cloud-Provider haben die Länder offen zu legen, in denen eine Verarbeitung personenbezogener Daten stattfindet. Cloud-Anbieter müssen dem Kunden jede Art von Verletzung der Datensicherheit anzeigen und ihm diejenigen Informationen bereitstellen, die er seinerseits benötigt, um seinen Anzeigepflichten nachzukommen. Etc 40

41 41 ISO Seit August 2014 gibt es einen neuen internationalen Standard für den Datenschutz in der Cloud, die ISO/IEC Inhaltlich baut die Norm auf bereits existierenden Sicherheitsstandards insbesondere ISO/IEC auf. Allerdings befasst sich ISO/IEC speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in einer Cloud. In der Praxis ist der Einsatz anerkannter Sicherheitsverfahren oder aber die Zertifizierung durch unabhängige Dritte ein entscheidendes Kriterium für die Auswahl des Cloud-Anbieters. Dies gilt umso mehr für die Kontrollrechte des Auftraggebers im Rahmen einer Auftragsdatenverarbeitung nach 11 Abs. 2 Nr. 7 BDSG. Die ISO/IEC legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud-Diensten fest und formuliert Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen.

42 42 Bsp. Microosft

43 Kontakt PRW Rechtsanwälte Wilfried Reiners, MBA Leonrodstr München Tel: +49 (89)