Europäische Vorgaben für die Cloud? Die Auswirkungen der Datenschutz-Grundverordnung auf IT- Sicherheit, Geschäftsmodelle und den Datenschutz

Größe: px

Ab Seite anzeigen:

Download "Europäische Vorgaben für die Cloud? Die Auswirkungen der Datenschutz-Grundverordnung auf IT- Sicherheit, Geschäftsmodelle und den Datenschutz"

Theodor Damian Ursler
vor 7 Jahren
Abrufe

1 Europäische Vorgaben für die Cloud? Die Auswirkungen der Datenschutz-Grundverordnung auf IT-, Geschäftsmodelle und den Datenschutz Prof. Dr. Gerrit Hornung, LL.M. Lehrstuhl für Öffentliches Recht, IT-Recht und Rechtsinformatik, Universität Passau 7 th Future Security, Bonn, 5. September 2012

2 Übersicht Die Wolke rechtliche Herausforderungen? : der DS-GVO-E und die Cloud Auswirkungen auf : Technischer Datenschutz & Zertifizierung Data Breach Notification Organisation im Unternehmen Neue Folie 2/13

3 Die Wolke rechtliche Herausforderungen? Quelle: Michael Jastremski/Wikipedia Folie 3/13

4 Europäische Datenschutzreform Regelungsvorschlag, : Verordnung ( DS-GVO-E ) als Nachfolge der RL 95/46/EG Richtlinie für Polizei und Justiz Geleakte Entwürfe November 2011 (Grundfragen: Wechsel zur Verordnung Räumlicher Anwendungsbereich und Drittstaaten Rechte der Betroffenen: Vergessenwerden + Datenportabilität Moderne Datenschutzinstrumente Institutionelle Aspekte: v.a. Rolle der Kommission) (Ein) Ziel: Anpassung an technische Innovationen seit 1995 Bewährung des Entwurfs (u.a.) in der Cloud Folie 4/13

5 Grundüberlegung: Harmonisierung Grenzüberschreitende Geschäftsmodelle im Netz nicht nur in der Cloud Einheitliche Standards durch Verordnung dienen den Betroffenen: identischer Schutz der Kontrolle: EU/EWR-weit einheitlich den Unternehmen: 1 Standard, nicht 30 Folgen für die Cloud: Zwar keine weltweite Harmonisierung Aber immerhin in Europa + Anreize für weltweite Standards Technikneutraler Ansatz (?) keine spezifischen Vorgaben für die Cloud Folie 5/13

6 Datenschutz durch Datensicherheit Allgemein Art. 30 DS-GVO-E: Schutzniveau: nach Verarbeitungsrisiken und Art der Daten Maßnahmen unter Berücksichtigung des Stands der Technik und der Implementierungskosten Delegierte Rechtsakte der Kommission Folgen? Datenschutz durch Technik? Anonymität und Pseudonymität nicht erwähnt (!) data protection by design (EG 61) aber bloße Ankündigung a) Keine Aussagen zur Technikgestaltung b) Zertifizierungen, Datenschutzsiegel und -zeichen? Sollen gefördert werden Aber keine Aussagen zu Stellen, Verfahren, Kriterien, Rechtsfolgen, Deutlich mehr erforderlich gerade für Cloud Computing Folie 6/13

7 Data Breach Notification: Gegenwart Hintergrund Grundsätzliche Zielrichtung Implementierung von Prozessen in Unternehmen Heutige Rechtslage: EU-Vorgaben für TK-Bereich Deutschland: a) 93 III, 109a TKG einerseits (seit ) b) 42a BDSG, 15a TMG, 83a SGB X andererseits Folgen u.a.: Bei TK reiner Datenverlust anzeigepflichtig sonst nicht Bei TK Behörde immer zu benachrichtigen sonst nur bei Drohen schwerwiegender Beeinträchtigungen Bei TK kann BNetzA Benachrichtigung anordnen sonst nicht Bei TK ist Verzeichnis anzulegen sonst nicht Folie 7/13

8 Data Breach Notification: Zukunft Unterschiede durch nichts zu rechtfertigen Folgen für die Prozesse v.a. der TK-Anbieter DS-GVO-E: Weitgehende Harmonisierung mit TK-Bereich Datenschutzaufsicht nach Möglichkeit binnen 24 Stunden zu benachrichtigen Verzögerung zu begründen Verstöße: Bußgeld bis 1 Mio. Euro oder 2% des weltweiten Jahresumsatzes Information weiterer Institutionen (ENISA, BSI)? In vielen Fällen sinnvoll Aber: a) Verschwiegenheitspflichten? b) DS-GVO-E = abschließend: Information nicht durch Verantwortliche, sondern durch Datenschutzbehörden? Folie 8/13

9 Organisation der IT- Datenschutzbeauftragte: Wenn hoheitliche Clouds Wenn > 250 Beschäftigte untaugliches Kriterium Wenn Kerntätigkeit aufgrund ihres Wesens, ihres Umfangs und/oder ihrer Zwecke eine regelmäßige und systematische Beobachtung erforderlich macht in der Cloud? IT-sbeauftragter? (nach wie vor) keine generelle Pflicht Einzelne Pflichtaufgaben des Datenschutzbeauftragten interne Kontrolle: a) Datenschutz durch Technik + datenschutzfreundliche Voreinstellungen b) Datensicherheit c) Umsetzung des Data Breach Notification-Konzepts Folie 9/13

10 Zwei neue Rechte Recht auf Vergessenwerden Derzeit: Benachrichtigungspflicht bei Veröffentlichung Folge: keine spezifischen Probleme für die Cloud Recht auf Datenportabilität Anspruch auf Kopie + auf Nichtbehinderung bei Anbieterwechsel a) Ziel: Vermeidung von Lock-In Effekten b) An sich lex facebook aber auch in der Cloud anwendbar Voraussetzung: a) Daten elektronisch in einem strukturierten gängigen elektronischen Format verarbeitet werden b) D.h.: Frage der Standardisierung Auswirkungen auf Geschäftsmodelle? Folie 10/13

11 2 Typen von Geschäftsmodellen Unterschiede zwischen Zweipersonenverhältnis: Betroffener Cloud Provider Mehrpersonenverhältnis: Business Clouds Keine direkte Beziehung Betroffener Cloud Provider: Anwendbarkeit der DS-GVO-E in diesem Fall? Recht auf Datenportabilität? Transparenzpflichten? - nachvollziehbare und für jedermann leicht zugängliche Strategie für die Verarbeitung? Effektive Zertifizierung zur Kontrollierbarkeit? Folie 11/13

12 Wie weiter? Technische Standards für die Cloud und unabhängige Kontrolle Grundlagen der Übermittlung in Drittstaaten weiter zu klären Auftragsdatenverarbeitung Binding Corporate Rules Schutz gegen Zugriffe in Drittstaaten Etc. Die problematische Rolle der Kommission Letztentscheidungsbefugnisse in Einzelfragen (!) Konsistenzmechanismus (Zu) viele Kompetenzen für delegierte Rechtsetzung Folge: Tatsächliche Auswirkungen des Entwurfs für die Cloud noch vielfach offen Folie 12/13

13 Europäische Vorgaben für die Cloud? Die Auswirkungen der Datenschutz-Grundverordnung auf IT-, Geschäftsmodelle und den Datenschutz Hornung, Datenschutz durch Technik in Europa. Die Reform der Richtlinie als Chance für ein modernes Datenschutzrecht, ZD 2011, 51. Hornung, Eine Datenschutz-Grundverordnung für Europa? Licht und Schatten im Kommissionsentwurf vom , ZD 2012, 99. Bäcker/Hornung, EU-Richtlinie für die Datenverarbeitung bei Polizei und Justiz in Europa. Einfluss des Kommissionsentwurfs auf das nationale Strafprozessund Polizeirecht, ZD 2012, 147. Prof. Dr. Gerrit Hornung, LL.M. Folie 13/13

Ähnliche Dokumente

Ein Recht auf Vergessenwerden?

Ein Recht auf Vergessenwerden? Anonymität im Vorschlag der EU-Kommission zu einer Datenschutz-Grundverordnung Prof. Dr. Gerrit Hornung, LL.M. 7. Internationales For..Net-Symposium 2012 Universität Passau,