Datenschutz und Cloud

Transkript

1 Datenschutz und Cloud Lokalsystemworkshop im hbz Michael Nelißen

2 Urteil zu Safe Harbor EuGH Urteil (C-362/14) v Fall: Beschwerde eines Österreichers gegen Facebook Ireland bei der irischen Datenschutzaufsichtsbehörde => Untersagung der Übermittlung seiner persönlichen Daten in die USA durch die Behörde => diese sah sich nicht zuständig => Österreicher klagte dann vor dem irischen High Court => High Court wandte sich an EuGH um Vorgabeentscheidung Enorme Auswirkung, da u.a. folgendes entschieden wurden ist: In der Sache: eine Entscheidung der EU-Kommission hindert eine nationale Aufsichtsbehörde nicht daran, die Eingabe einer Person zu prüfen, die geltend macht, dass das Recht und die Praxis (eines Drittlands) kein angemessenes Schutzniveau gewährleisten. Darüber hinaus: Entscheidung 200/520/EG der Europäischen Kommission ungültig, die besagt, dass USA sicheres Drittland ist und somit ein Safe Harbor

3 Status Quo Konsequenzen aus dem Urteil I Datenübermittlungen in ein Drittland, die nur auf Safe Harbour gestützt sind, sind seit dem nicht mehr rechtens. Derzeit bleiben vorerst noch Standardvertragsklauseln oder verbindliche Unternehmensrichtlinien / Binding Corporate Rules (BCR) Aber beide werden im Lichte des EuGH-Urteils auch geprüft und es wird davon ausgegangen, dass diese (zumindest) in existierender Form nicht ausreichen. Bliebe die persönliche Einwilligung: aber diese wirkt nicht bei Datentransfer, der wiederholt, massenhaft oder routinemäßig erfolgt info-hbz@hbz-nrw.de 3

4 Status Quo Konsequenzen aus dem Urteil II Seit Privacy Shield mit USA => aber bereits zur Einführung umstritten und ist direkt auf dem Prüfstand. Persönliches Fazit: derzeit keine absolute rechtliche Sicherheit bezüglich Datenschutz und Drittstaaten erreichbar. Vertragsabschlüsse können nur bestmöglichst bezüglich Datenschutz vorgenommen werden, um keinen Stillstand zu produzieren

5 Problematik Cloudanwendungen Rat der IT-Beauftragten der Ressorts in der Bundesverwaltung Beschluss vom Ziel: Kriterienkatalog zum Einsatz von Cloud-Technologien, der Mindestanforderungen statuiert im Bezug auf IT-Sicherheit und Datenschutz Grundsatz: Einsatz von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung erst nach sorgfältiger Abwägung von Risiken unter anderem für IT-Sicherheit, der wirtschaftlichen und praktischen Folgen

6 Orientierungshilfe Cloud Computing Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten I Cloud-Anwender ist verantwortlich für die Einhaltung aller datenschutzrechtlicher Bestimmungen und Weisungsgeber. Cloud-Anbieter ist Auftragsdatenverarbeiter und Weisungsempfänger Verpflichtung des Cloud-Anbieters zur Benennung aller Subunternehmer info-hbz@hbz-nrw.de 6

7 Orientierungshilfe Cloud Computing Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten II Kontrolle des Cloud-Anbieters durch den Cloud-Anwender Vor-Ort-Prüfung wünschenswert, aber nicht immer durchsetzbar. Alternativ Zertifizierungsverfahren zu Datenschutz und IT-Sicherheit durch eine unabhängige und kompetente Prüfstelle. Gutachten, Berichte und Analyseergebnisse müssen zur Verfügung gestellt werden und vom Cloud-Anwender positiv bewertet werden. Kontrollrechte des Cloud-Anwenders dürfen vertraglich nicht ausgeschlossen werden, Zertifikate alleine reichen nicht aus

8 Orientierungshilfe Cloud Computing Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten III Ort der Datenverarbeitung Vertraglich festlegen: technische Infrastruktur nur in der EU Nicht hinnehmbar ist eine Verweigerung der Angabe zu Standorten der Datenverarbeitung Fazit: wirtschaftliche Vorteile des Cloud Computing sind unübersehbar, zur Durchsetzung des Datenschutzes sind offene, transparente und detaillierte Informationen über die technischen, organisatorischen und rechtlichen Rahmenbedingungen notwendig sowie detaillierte und eindeutige vertragliche Regelungen

9 Vielen Dank für die Aufmerksamkeit! Fragen? Jetzt oder Mail