Datenschutzrechtliche Chancen und Risiken von Cloud Computing

Größe: px
Ab Seite anzeigen:

Download "Datenschutzrechtliche Chancen und Risiken von Cloud Computing"

Transkript

1 163 Datenschutzrechtliche Chancen und Risiken von Cloud Computing VON PHILIPP MITTELBERGER / GABRIELE BINDER Zu den Autoren: Foto: Michael Zanghellini Foto: Gabriele Binder Dr. iur. Philipp Mittelberger bekleidet seit 1. Dezember 2002 die Position als Datenschutzbeauftragter des Fürstentums Liechtenstein. Die Funktion eines Datenschutzbeauftragten wurde erst durch das Datenschutzgesetz, LGBl Nr. 55, geschaffen. Frau Ass. iur. Gabriele Binder arbeitete in der Vergangenheit als Rechtsanwältin in Deutschland und ist zertifizierte ISO 27001:2005 Lead Auditorin. Seit 2007 ist sie als juristische Mitarbeiterin der Datenschutzstelle tätig. Inhaltsübersicht: 1. Einleitung 2. Begriff des Cloud Computing 3. Cloud Computing als Fall einer Auftragsdatenbearbeitung 4. Vertragliche und gesetzliche Geheimhaltungspflichten 5. Vertragliche Regelung 6. Datensicherheit 7. Haftung 8. Zertifizierung nach Art. 14a DSG 9. Fallbeispiele 10. Fazit 1. Einleitung Über den Wolken muss die Freiheit wohl grenzenlos sein. Alle Ängste, alle Sorgen, sagt man, blieben darunter verborgen [ ] 1 sang Reinhard Mey. Anno dazumal dachte der deutsche Liedermacher sicherlich nicht an eine Rechnerwolke 2. Dennoch könnte der Refrain ohne weiteres mit Cloud Computing assoziiert Die ISO-Norm Information technology Security techniques Information security management systems Requirements beinhaltet detaillierte Vorgaben für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems für alle Arten von Organisationen. 1 Auszug aus dem Lied Über den Wolken von Reinhard Mey. Es stammt aus dem Jahre 1974 und wurde erstmals auf der B-Seite der Single Mann aus Alemannia veröffentlicht; vgl. 2 Deutsche Übersetzung für Cloud Computing.

2 164 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing werden, scheinen doch die Freiheiten und Möglichkeiten, die das Cloud Computing bietet, tatsächlich grenzenlos zu sein. Im Gegensatz zu lokalen Rechnern oder Rechenzentren sind die Facetten der Cloud Services unvergleichlich viel grösser und zum Teil eben auch wirtschaftlich attraktiver. In Anbetracht dieses grossen Potentials stellt sich aus Sicht des Datenschutzes die entscheidende Frage, ob die Nutzer von Cloud Services tatsächlich frei von Sorgen und Ängsten sein können, wenn Personendaten, für die sie die (datenschutzrechtliche) Verantwortung tragen, in der Wolke bearbeitet werden. Oder müssen die Nutzer ganz im Gegenteil befürchten, dass die Gefahren des Cloud Computing nur unter den Wolken verborgen bleiben, ansonsten aber durchaus präsent und zu berücksichtigen sind? Welche Chancen und Risiken das Cloud Computing aus datenschutzrechtlicher Sicht mit sich bringt, soll im Folgenden dargestellt werden. 2. Begriff des Cloud Computing Um die datenschutzrechtlichen Aspekte von Cloud Computing besser einordnen zu können, müssen zunächst die Grundsätze von Cloud Computing kurz erläutert werden. 3 Was also ist unter Cloud Computing zu verstehen und wie funktioniert es? Es gibt verschiedene Auslegungsvarianten des Begriffs des Cloud Computing. Eine weitgehend akzeptierte Definition ist jene des National Institute of Standards and Technology (NIST): Cloud Computing ist ein Modell, welches universellen, komfortablen und bei Bedarf über ein Netzwerk Zugriff auf einen gemeinsamen Pool von informationstechnischen Ressourcen ermöglicht (z. B. Netzwerke, Server, Speichersysteme, Anwendungen und Dienste), die schnell und mit minimalem Verwaltungsaufwand oder ohne Interaktion durch den Diensteanbieter bereitgestellt und freigegeben werden können. 4 Trotz der Vielfalt von Definitionen kann das Grundprinzip übergreifend darauf reduziert werden, dass es um die Auslagerung von IT-Diensten geht. Cloud Computing bezweckt, externe Hard- und Software sowie Know-how im Interesse des Einsparens von Ressourcen zu nutzen. Im Idealfall soll es dem Nutzer egal sein können, ob gerade der eigene oder ein weit entfernter Computer eine Aufgabe löst. 5 Die Daten befinden sich nicht mehr auf dem lokalen Rechner oder im Firmenrechenzentrum, sondern irgendwo in einer metaphorisch zu sehenden Wolke (engl. cloud ). 3 Eine ausführliche Darstellung der technischen Hintergründe würde den Rahmen dieses Aufsatzes sprengen. Auf der Internetseite der Datenschutzstelle ist eine Gesamtübersicht online abrufbar unter 4 National Institute of Standards and Technology, Januar 2011, 5 Thilo Weichert, Cloud Computing und Datenschutz, in: DuD 10/2010, S. 679.

3 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 165 Es wird zwischen verschiedenen Modellen 6 und Arten 7 von Cloud Computing unterschieden, die je nach Bedarf jeweils alle unter- und miteinander kombiniert werden können. Cloud Computing Lösungen werden im Wesentlichen von folgenden fünf Merkmalen geprägt: On-Demand-Self-Service ( Selbstbedienung ), Breitband-Netzwerkzugriff, Ressourcenbündelung, Flexibilität und Serviceüberwachung. Aus datenschutzrechtlicher Sicht entscheidend ist, dass die zu bearbeitenden Daten ausgelagert werden. Sie befinden sich nicht mehr im direkten Einflussbereich des Nutzers, sondern meist fernab an einem Ort, den allein der Anbieter des Cloud Services bestimmt. Das Auslagern von Daten in die Cloud darf aber nicht zur Folge haben, dass damit die Kontrolle über die Daten abgegeben wird. Vielmehr muss auch bei einer Inanspruchnahme von Cloud Services der Nutzer immer Herr über seine Daten bleiben. Nur dann kann der Nutzer auch davon ausgehen, seiner datenschutzrechtlichen Verantwortung gerecht zu werden. 3. Cloud Computing als Fall einer Auftragsdatenbearbeitung Die Inanspruchnahme von Cloud Services ist ein typischer Fall einer Auftragsdatenbearbeitung, die in Art. 19 des Datenschutzgesetzes (DSG) speziell geregelt ist, soweit der Auftrag (auch) die Bearbeitung von Personendaten umfasst. Art. 19 DSG bestimmt: 1) Das Bearbeiten von Personendaten kann einem Dritten übertragen werden, wenn: a) der Auftraggeber dafür sorgt, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte; und b) keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. 2) Der Dritte unterliegt denselben Pflichten und kann dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber. 3) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags und die Anforderungen in Bezug auf Massnahmen nach Abs. 1 und 2 schriftlich oder in einer anderen Form zu dokumentieren. Entscheidend ist somit, dass der Auftraggeber (hier der Cloud-Nutzer) dafür verantwortlich ist, dass der Auftragnehmer (hier der Cloud-Service-Anbieter) die Daten nur so bearbeitet, wie es der Nutzer selbst tun dürfte. D. h. derjenige, der die Datenbearbeitung auslagern will, bleibt damit weiterhin vollständig für die Art und Weise der Datenbearbeitung verantwortlich und ist für eine rechtswidrige Datenbearbeitung durch den Cloud-Anbieter insbe- 6 Die drei typischen Modelle sind: Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS), vgl. 7 Nach der o. g. Definition des NIST gibt es derzeit vier Arten von Cloud Services: Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud. Zu einer Gefährdungsanalyse von Private Clouds siehe: Münch / Doubrava, Essoh, in: DuD 5/2011, S. 322ff.

4 166 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing sondere gegenüber Kunden, deren Daten in der Cloud sind, haftbar. Umgekehrt aber unterliegt der Anbieter denselben Pflichten wie der Nutzer; auch kann der Anbieter dieselben Rechtfertigungsgründe geltend machen wie der Nutzer. 4. Vertragliche und gesetzliche Geheimhaltungspflichten Zu beachten ist, dass eine Auftragsdatenbearbeitung nur zulässig ist, wenn keine gesetzlichen oder vertraglichen Geheimhaltungspflichten dies verbieten. 8 Diese Bestimmung des Art. 19 Abs. 1 Bst. b) DSG ist allerdings nicht so zu verstehen, dass allein auf Grund des blossen Bestehens einer gesetzlichen Geheimhaltungspflicht eine Auftragsdatenbearbeitung als solche automatisch verboten wäre. Vielmehr ist diese Regelung im Gesamtkontext mit der jeweiligen spezialgesetzlichen Bestimmung zu sehen und zu prüfen, ob die Geheimhaltungspflicht so weit reicht, dass die in Frage stehende Auftragsbearbeitung unzulässig ist. Dies ist durch Auslegung der betreffenden Geheimhaltungspflicht zu ermitteln. 9 Wenn und soweit der Auftragnehmer auf Grund seiner im direktem Zusammenhang stehenden Tätigkeit ebenso wie der Auftraggeber der selben Geheimhaltungspflicht unterliegt, steht einer Auftragsdatenbearbeitung grundsätzlich nichts entgegen. 10 Zum Teil wird diese Bestimmung sogar dahingehend ausgelegt, dass selbst wenn der Auftragnehmer nicht von vorneherein der selben strikten Geheimhaltungspflicht wie der Auftraggeber unterliegt eine Auftragsbearbeitung mangels besonderer Umstände in der Regel auch bei Bestehen einer besonderen Verschwiegenheitspflicht zulässig ist, wenn der Auftraggeber seine Geheimhaltungspflichten per Vereinbarung auf den Auftragsnehmer und dessen Hilfspersonen weitergibt (s. hierzu auch weiter unten zum Datengeheimnis); ein rechtmässiges Interesse auf Seiten des Auftraggebers vorliegt (z. B. höhere Qualität); und die Auftragsbearbeitung die Geheimhaltungsinteressen der betroffenen Personen nicht stärker beeinträchtigt, als wenn der Auftraggeber die Datenbearbeitung selbst durchführen würde. 11 Als Beispiel kann in diesem Zusammenhang die Regelung in Absatz 1 zum 9. Grundsatz 5: Geschäfts- und Bankgeheimnis von Anhang 6 zu den Richtlinien zur Auslagerung von Geschäftsbereichen (Outsourcing) gemäss Art. 35 Bankenver- 8 Gesetzliche Geheimhaltungspflichten sind zum Beispiel das Arzt-, Bank-, Fernmelde- oder Anwaltsgeheimnis; vertragliche Geheimhaltungspflichten sind in der Praxis jedoch weit häufiger. 9 Vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 101ff. zu Art. 10a CH-DSG; Philippe Meier, Protéction des données, Bern 2011, Rn. 1224ff.. 10 Philippe Meier, Protéction des données, Bern 2011, Rn. 1224ff., 1227 (mit Hinweis). 11 Vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 106 zu Art. 10a CH-DSG; Dietmar Jahnel, Datenschutzrecht, Wien 2010, Rn. 3/56.

5 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 167 ordnung genannt werden: Ein liechtensteinischer Dienstleister ist dem Geschäftsgeheimnis der Unternehmung und, soweit ihm Kundendaten bekannt sind, dem Bankgeheimnis der auslagernden Unternehmung zu unterstellen. Er hat sich ausdrücklich zu verpflichten, die daraus folgende Vertraulichkeit zu wahren Vertragliche Regelung Nach Art. 19 Absatz 3 DSG sind die datenschutzrelevanten Elemente zu dokumentieren. 13 Der Anbieter muss verpflichtet werden, sich an die in Liechtenstein geltenden Datenschutzbestimmungen zu halten und diese vollumfänglich zu akzeptieren. 14 Regelungsbedürftig im Zusammenhang mit Cloud Computing sind insbesondere folgende Punkte: Beachtung des Datengeheimnisses 2. Zulässigkeit von Subunternehmern 3. Zulässigkeit von Auslandsdatentransfers 4. Definition Sicherheitskonzept 5. Weisungs-/Kontrollbefugnisse des Cloud-Nutzers Im Einzelnen: Das Datengeheimnisses nach Art. 10 DSG 16 : Das Datengeheimnis tritt neben sonstigen gesetzlichen Verschwiegenheitspflichten wie Amtsgeheimnis, Ärztegeheimnis, Anwaltsgeheimnis, Bankgeheimnis, etc. kumulativ auf. 17 Das Datengeheimnis besagt, dass Daten nur auf Grund einer ausdrücklichen Anordnung des Arbeit- oder Auftraggebers übermittelt werden dürfen. 18 Dies bedeutet eine Verpflichtung all jene[r] Personen, denen berufsmässig Daten anvertraut wurden oder zugänglich gemacht worden sind; also nicht nur das eigene EDV-Personal, sondern auch dem ei- 12 Anhang 6 zur Verordnung vom 22. Februar 1994 über die Banken und Wertpapierfirmen (BankV), LR Abs. 3 fusst auf Art. 17 Abs. 4 der allgemeinen Datenschutzrichtlinie 95/46/EG, s. hierzu Dammann/Simitis, EG-Datenschutzrichtlinie Kurzkommentar, Baden-Baden 1997, Randnummer 15 zu Artikel Insb. Datenschutzgesetz (LR 235.1) und Datenschutzverordnung (LR ) sowie gegebenenfalls in casu anzuwendende spezialgesetzliche Regelungen. 15 Die nachfolgenden Ausführungen können auch auf andere Formen einer Auftragsdatenbearbeitung entsprechend übertragen werden. 16 Ein Verstoss gegen Art. 10 DSG ist nach Art. 41 DSG strafbar. Das Datengeheimnis verpflichtet den berufsmässig mit der Bearbeitung Betrauten zur Verschwiegenheit über erhobene Daten, es sei denn es ergäben sich Gründe für eine Weitergabe (Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 8 zu 15). Art. 10 DSG stützt sich auf den alten 15 des österreichischen Datenschutzgesetzes (Bericht und Antrag Nr. 2002/5, Seite 14). 17 Rainer Knyrim: Datenschutzrecht, Wien 2003, S. 232 (mit Hinweis). 18 Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 9 zu 15.

6 168 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing genen Betrieb nicht angehörende Personen, wie etwa Wartungstechniker [oder] Netzwerkbetreuer die zur Vermeidung einer Interessenkollision bei ihrer eigenen Firma auf das Datengeheimnis zu verpflichten sind. 19 Der Cloud-Anbieter bzw. seine Mitarbeiter sollten zwingend eine separate Geheimhaltungsverpflichtung unterzeichnen. 20 Diese Verpflichtung gilt im Falle von Unterauftragsvergabe(n) auch entsprechend für jeden einzelnen Subunternehmer. Die Zulässigkeit von Unterauftraggebern: In der Praxis kommt es oft vor, dass Cloud-Anbieter ihrerseits einen Subunternehmer mit (ausgewählten) Cloud-Dienstleistungen beauftragen, der wiederum (Teile) seines Auftrages outsourcen könnte. Die Kette könnte unendlich weiter geführt werden mit der Folge, dass der Cloud-Nutzer mitunter gar nicht mehr weiss, wer seine Daten wo bearbeitet. Aus diesem Grund sollte bei der Auftragsvergabe klar geregelt werden, ob die Beauftragung von Subunternehmern generell zulässig sein soll oder nicht, ob nur bestimmte Dienstleistungen weiter outgesourct werden dürfen und ob die Beauftragung von Subunternehmern nur nach vorheriger ausdrücklicher Zustimmung des Cloud-Nutzers zulässig sein soll. Hier sind je nach Fallkonstellation individuelle Absprachen möglich. Aus datenschutzrechtlicher Sicht aber sollte ein Cloud-Nutzer unbedingt darauf bestehen, dass die Beauftragung von Subunternehmern nur nach Rücksprache, wenn nicht sogar Einwilligung des Cloud-Nutzers möglich sein sollte. Nur dann kann der Cloud-Nutzer weiterhin Einfluss auf die Datenbearbeitung ausüben. Die Zulässigkeit eines Datentransfers ins Ausland nach Art. 8 DSG: Für Cloud-Nutzer mag es auf Grund von niedrigeren Löhnen und einem insgesamt billigeren Dienstleistungsmarkt verlockend erscheinen, Anbieter im Ausland zu beauftragen. Häufig beauftragen auch erst die Anbieter selbst Subunternehmer, die ihren Sitz im Ausland haben (s. oben). Bei der Nutzung von Cloud Services im Ausland sind jedoch zusätzliche Zulässigkeitsvoraussetzungen zu beachten: Grundsätzlich darf eine Datenbekanntgabe ins Ausland nur dann erfolgen, wenn in dem Empfängerland ein angemessener Datenschutz gewährleistet ist. Im Verhältnis zu EU-/EWR-Staaten sowie zu den Ländern, die in Anhang 2 zu Art. 7 DSV aufgelistet sind, geht der liechtensteinische Gesetzgeber gemäss Art. 8 Abs. 1 DSG von einer 19 Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 8 zu Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 11 zu 15. Ein Musterformular kann auf der Internetseite der DSS abgerufen werden unter

7 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 169 Angemessenheit aus. 21 Hier scheitert ein grenzüberschreitender Datentransfer im Rahmen des Cloud Computing also nicht schon an dem Erfordernis der Angemessenheit. Dennoch sollte eine Übertragung der Datenbearbeitung ins Ausland auch hier nur mit Bedacht erfolgen. Denn der Anbieter der Cloud- Dienste hat ebenfalls bei einem grenzüberschreitenden Datentransfer sicherzustellen, dass die allgemeinen Grundsätze des Datenschutzes sowie im Besonderen das Datengeheimnis gewahrt werden. Hier kann aber unter Umständen eine Geheimnispflicht einer Auftragsbearbeitung generell entgegen stehen, wenn und soweit in dem Empfängerland der Umfang der korrespondieren Geheimhaltungspflicht von der liechtensteinischen Regelung abweicht, weil dort möglicherweise staatliche Behörden gesetzliche Zugriffsrechte haben. Zugriffe durch staatliche Stellen auf Grund des jeweiligen nationalen Rechts sind denkbar in dem Land, in dem der Cloud-Anbieter seinen Sitz hat; 22 in dem Land, in dem ein möglicher Subunternehmer seinen Sitz hat; in dem Land, in dem das Unternehmen seinen Sitz hat, das den Cloud-Anbieter wirtschaftlich kontrolliert (z. B. Cloud-Anbieter sitzt in Indien, die Muttergesellschaft in den USA); und/oder in dem Land, in dem die Daten bearbeitet und gespeichert werden. Bei einem allfälligen Datentransfer ausserhalb der EU / des EWR in ein sog. Drittland ist eine Datenbekanntgabe nur unter den Voraussetzungen von Art. 8 Abs. 2 DSG zulässig. Dementsprechend ist der Einsatz von Standardvertragsklauseln oder verbindlichen unternehmensinternen Regelungen (Binding Corporate Rules, BCR) zu empfehlen, die grundsätzlich der Genehmigung der Regierung gemäss Art. 8 Abs. 3 DSG bedürfen. 23 Ansonsten ist eine grenzüberschreitende Datenbearbeitung nur bei Vorliegen einer der anderen gesetzlich vorgesehenen Fälle, wie z. B. der ausdrücklichen Einwilligung der betroffenen Person zulässig. 24 Die vorgenannten Standardver- 21 Dies sind derzeit: Argentinien, Guernsey, Jersey, Kanada, Insel Man, Schweiz, Vereinigte Staaten von Amerika nach Massgabe der Grundsätze des sicheren Hafen und der diesbezüglichen Häufig gestellten Fragen (FAQ). 22 So ist es möglich, dass Cloud-Anbieter wie Microsoft den US-Strafverfolgungsbehörden Zugriff auf von Kunden gespeicherte Daten gewähren müssen: /meldung/us-behoerden-duerfen-auf-europaeische-cloud-daten-zugreifen html. 23 Drittländer weisen keinen angemessenen Datenschutz gemäss Art. 25 der Datenschutzrichtlinie und Art. 8 DSG auf. Eine Übermittlung in solche Länder ist grundsätzlich nur unter gewissen Bedingungen erlaubt, so beim Bestehen von Standardvertragsklauseln oder Binding Corporate Rules. Sehr wichtig bei einem Auslandstransfer von Personendaten ist auch die Frage der Durchsetzbarkeit der eigenen Ansprüche. Allgemeines und Ausführliches zum Auslandsdatentransfer: 24 Vgl. hierzu David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 108ff. zu Art. 10a CH-DSG. Zur Einwilligung: Philipp Mit-

8 170 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing tragsklauseln oder BCR bzw. die Einwilligung müssen bei Unterauftragsvergaben alle Subunternehmer einbinden. Dies dürfte in der Praxis in allerletzter Konsequenz oft nicht möglich sein. Die Definition des Sicherheitskonzepts: Die erforderlichen technischen und organisatorischen Massnahmen der Datensicherheit nach Art. 9 bis 11 der Datenschutzverordnung (DSV) müssen getroffen werden, um einen ungewünschten Datenverlust oder -diebstahl zu vermeiden. Da die Regelungen zur Datensicherheit bei der Datenbearbeitung eine wesentliche Rolle spielen, wird diesem Thema ein eigenes Kapitel gewidmet, auf das an dieser Stelle verwiesen wird. 25 Weitere Regelungen sollten getroffen werden in Bezug auf das Weisungsrecht des Cloud-Nutzers: Es muss vorgesehen sein, dass der Anbieter nur auf Weisung des für die Verarbeitung Verantwortlichen (= Nutzer des Cloud Services) handelt, zumindest hinsichtlich des Zwecks der Bearbeitung und der wesentlichen Elemente der Mittel. 26 die Verteilung der Kontrolle: Es muss sicher gestellt sein, dass selbst in komplexen Datenverarbeitungsfeldern, wenn zum Beispiel mehrere Organisationen den selben Cloud Service nutzen (community cloud), die Verantwortung für die Einhaltung der Datenschutzbestimmungen und für mögliche Verletzungen dieser Bestimmungen klar zugewiesen wird. 27 Audits beim Cloud-Anbieter, um die Einhaltung der Datenschutzbestimmungen zu überprüfen: Die Kontrolle des Anbieters bzw. Subunternehmers muss nicht nur überhaupt möglich, sondern auch effektiv sein. Dementsprechend sind gewisse Anforderungen an Kontrollen zu stellen. Kontrollen sollten vor Beginn der Datenbearbeitung, aber auch regelmässig während des Bestehens des Auftragsverhältnisses durchgeführt werden. Um sich beispielsweise gerade im Haftungsfall entlasten zu können, dass der Kontrollpflicht ordnungsgemäss nachgekommen wurde, sollten diese Kontrollen darüber hinaus lückenlos dokumentiert sein. Der Umfang der Dokumentationspflicht kann je nach Grösse und Komplexität der Auftragsdatenbearbeitung variieren. Protokollierung durch Anbieter und Zugriffskontrolle durch den Nutzer; telberger: Die Einwilligung als zentrales Element des Datenschutzrechts, in: LJZ 4 / 06, Seite 135 ff.: 25 s. unten Datensicherheit 26 Vgl. Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 31f., 27 So die Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 7,

9 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 171 die Vorgehensweise und die Meldepflichten an den Cloud-Nutzer bei Auftreten von Sicherheitsvorfällen in der Cloud (sog. incident management); die Durchsetzung der Rechte der Betroffenen: die betroffenen Personen müssen ihre datenschutzrechtlichen Rechte geltend machen können (insb. Auskunftsanspruch, Widerspruch, Recht auf Berichtigung und Löschung). Gerade wenn (mehrere) Subunternehmer dazwischen geschaltet sind, muss klar geregelt sein, wer hiefür die Verantwortung trägt. und die unwiederbringliche Löschung der Daten bei Vertragsende oder Rückgabe von Datenträgern nach Beendigung des Vertrags. 6. Datensicherheit Zentral ist die Datensicherheit. Welche Massnahmen zum Schutz der Daten wurden getroffen? Auf welcher Basis? Welches Recht kommt in Bezug auf die Datensicherheit zur Anwendung? Besteht ein Schutz gegen den Zugriff (ausländischer) staatlicher Behörden? Hier ist speziell zu erwähnen, dass gerade Geheimdienste oft auch auf dem Gebiet der Wirtschaftsspionage tätig sind. 28 Können gar Private auf die Daten zugreifen? Die Bestimmungen von Art. 9 bis 11 DSV sehen die wichtigsten technischen und organisatorischen Massnahmen zum Schutz vor unbefugter Datenbearbeitung vor, die auch im Rahmen einer Auftragsbearbeitung gleicher Massen einzuhalten sind. Wie diese gesetzlichen Vorgaben konkret umgesetzt werden, hängt vom Einzelfall und den Bedürfnissen des jeweiligen Auftragsverhältnisses ab. Das Gesetz schreibt hier keine konkreten Massnahmen vor; die Entscheidung über die Auswahl der wirksamsten Massnahmen obliegt dem Auftraggeber bzw. Auftragnehmer. Denn auch wenn die Rechtmässigkeit der Datenbearbeitung grundsätzlich von dem Auftraggeber im Rahmen des erteilten Auftrags bestimmt wird, kann die Aufgabenübertragung für den Auftragsbearbeiter trotzdem einen gewissen Ermessensspielraum in der Wahl der technischen und organisatorischen Mittel beinhalten. 29 Ausschlaggebend sollte sein, mit welchen Mitteln der Anbieter die Interessen hier des Cloud-Nutzers am besten wahrnehmen kann. 30 Die Sicherheitsmassnahmen sind am besten im Rahmen eines risk assessment zu prüfen. Sind beispielsweise besonders schützenswerte Daten und/oder 28 Weichert, Cloud Computing und Datenschutz, in: DuD 10 / 2010, 683 (mit Hinweis). 29 Vgl. die Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 31, 30 Vgl. allgemein hierzu die Richtlinien der DSS zu den technischen und organisatorischen Massnahmen des Datenschutzes: massnahmen_des_datenschutzes.

10 172 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing Persönlichkeitsprofile Gegenstand einer Auslagerung in die Cloud, ist das Risiko als hoch einzustufen. Elemente einer genügenden Datensicherheit sind zum Beispiel die Verschlüsselung der Daten, eine getrennte Datenspeicherung, keine Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen, Speicherung nur in einer private cloud oder die Kontrolle des Auftragnehmers durch eine unabhängige Institution, ob der Auftrag auch tatsächlich eingehalten wird (z. B. Audit). 31 Oft besteht das Problem darin, dass die Kontrolle über die Daten und den Ort, wo sie gespeichert sind, verloren geht. Das darf nicht sein. Bei einem Outsourcing in die Cloud müssen daher umfassende Sicherungsmassnahmen getroffen werden, damit weder eigene, betriebsinterne Daten noch Kundendaten bedroht sind. 7. Haftung Denn der Verlust bzw. der Diebstahl von personenbezogenen Daten kann auch im Rahmen von Cloud Computing zu Schadenersatzforderungen führen. Bei Persönlichkeitsverletzungen im Rahmen der Auftragsbearbeitung kann die verletzte Person grundsätzlich Ansprüche sowohl gegen den Auftraggeber als auch gegen den Auftragnehmer geltend machen. 32 Nach Art. 19 Abs. 2 DSG bleibt der Auftraggeber für die Daten verantwortlich mit der Folge, dass gegen ihn/sie deliktische Haftungsansprüche nicht nur auf Grund seinen/ihres eigenen Verhaltens, sondern auch auf Grund des Verhaltens des Auftragsbearbeiters möglich sind Zertifizierung nach Art. 14a DSG Eine vorbildliche Berücksichtigung des Datenschutzes kann auch durch eine Zertifizierung von Organisationen, Dienstleistungen, Systemen und Produkten nach Art. 14a DSG nachgewiesen werden. Diese Bestimmung gewinnt gerade vor dem Hintergrund der Kontrollpflicht des Cloud-Nutzers an besonderer Bedeutung: Wie oben bereits dargestellt wurde, ist die Kontrolle über die Datenbearbeitung durch den Cloud-Nutzer ein wesentliches Element. Kontrollen können auf verschiedene Art und Weise durchgeführt werden, zum Beispiel durch unmittelbare Vor-Ort-Kontrollen durch den Cloud-Nutzer beim Anbieter bzw. Subunternehmer. Dies dürfte jedoch in der Praxis nur in Einzelfällen möglich und kaum realisierbar sein, gerade wenn der Cloud Service aus dem Ausland angeboten wird. Denkbar wäre auch, eine schriftliche Aus- 31 Weichert, Cloud Computing und Datenschutz, in: DuD 10 / 2010, 683, Im Einzelfall kommt es für die Durchsetzung hierbei auf die Art der Persönlichkeitsverletzung, die Mitwirkung, das Verschulden und die Anspruchsgrundlage an, vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 86 zu Art. 10a CH-DSG. 33 David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 87ff. zu Art. 10a CH-DSG.

11 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 173 kunft des Auftragnehmers einzufordern, deren Aussagekraft allerdings sehr relativiert zu sehen wäre. Gegenüber diesen Optionen erscheint die Einholung der Meinung eines Dritten als einzige realistische Möglichkeit. Dies wären insbesondere die Begutachtung durch einen Sachverständigen oder aber eine Zertifizierung. Der im Rahmen der letzten Revision des DSG neu eingeführte Art. 14a 34 ermöglicht es Unternehmen in Liechtenstein, Datenschutzprüfungen durchführen zu lassen. Danach könnte zum Beispiel ein liechtensteinischer Anbieter seinen Cloud Service unter datenschutzrechtlichen Gesichtspunkten zertifizieren lassen. Zum Zweck dieser neuen Vorschrift führt der liechtensteinische Gesetzgeber aus: Mit der hier neu vorgeschlagenen Bestimmung wird ein Element der Selbstregulierung ins Datenschutzgesetz eingeführt. Damit soll die Selbstverantwortung der Inhaber der Datensammlungen gestärkt und der Wettbewerb stimuliert werden. Dies trägt zu einer kontinuierlichen Verbesserung von Datenschutz und Datensicherheit bei; bestehende Defizite beim Vollzug der einschlägigen Gesetzgebung können so abgebaut werden. Darüber hinaus führt das Konzept der Selbstkontrolle bis zu einem gewissen Grad zu einer Berücksichtigung der technologischen Entwicklung. 35 Ein erfolgreich durchgeführtes Zertifizierungsverfahren soll zur Verleihung eines Datenschutz-Qualitätszeichens führen. Der Nachweis der datenschutzkonformen Datenbearbeitung wäre dadurch qualifiziert und nachprüfbar erbracht. Auf Grund der zur Aufrechterhaltung des Zertifikats üblicher Weise erforderlichen Audits und Re-Zertifizierungen 36 wäre darüber hinaus gewährleistet, dass regelmässige Kontrollen der Datenbearbeitung stattfinden. Ein solches Datenschutz-Gütesiegel kann daher gewiss als ein Vertrauensvorschuss für mögliche Kunden und durchaus als Wettbewerbsvorteil angesehen werden. 9. Fallbeispiele Der kürzliche Vorfall und Datenverlust bei Amazon 37 zeigt, auf welche Gratwanderung man sich beim Cloud Computing begeben kann. Die Datenschutzkommission von Dänemark hatte 2010 einen Fall zu entscheiden, in dem die Stadt Odense Daten auf Google Apps auslagern wollte. Das Hauptproblem bestand in diesem Fall darin, dass die Stadt Odense die Kontrolle über die Daten nicht mehr hatte: weder konnte nachgewiesen 34 LGBl Nr Bericht und Antrag Nr. 2008/130, S. 36f. 36 Die über Art. 14a Abs. 2 DSG zu erlassende Verordnung zur Regelung des Akkreditierungsverfahren war zum Zeitpunkt des Verfassens dieses Aufsatzes noch nicht in Kraft. Hier bleibt es daher abzuwarten, welche Anforderungen der liechtensteinische Gesetzgeber an das Verfahren stellen wird. Regelmässige Audits und Re-Zertifizierungen sind jedoch nach internationalen Standards, wie z. B. ISO, üblich. 37 In Folge eines technischen Ausfalls des Cloud-Service Amazon EC2 gingen unzählige Kundendaten unwiederbringlich verloren. Beispielhaft für die umfangreiche Berichterstattung: Cloud html.

12 174 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing werden, wo die Daten sind, noch konnte belegt werden, dass sich Google an den Auftrag mit Odense hält. 38 Denn Google wandte die eigenen Datenschutzbestimmungen an. Dies kann zur Folge haben, dass die Bestimmungen einseitig zu Gunsten von Google geändert werden können. Beides widerspricht dem eingangs erwähnten Grundsatz der Herrschaft über die eigenen Daten (Recht auf informationelle Selbstbestimmung). Im dänischen Fall stellten sich vor allem folgende Fragen bei der Prüfung der Datenschutzkonformität: Wo sind die Daten? Welcher Schutz besteht gegen Übermittlung in Drittländer? Auf welcher Grundlage wurde das risk assessment durchgeführt? Was hindert Google daran, die Datenschutzerklärung einseitig zu ändern? Wie werden Daten gelöscht? Werden sie bei der Speicherung verschlüsselt? Bei der Entscheidung der dänischen Datenschutzkommission sind folgende Punkte erwähnenswert: Es konnte nicht nachgewiesen werden, dass die Daten nicht in ein Drittland fliessen, in dem es keinen angemessenen Datenschutz gibt (3.1). Das kann z.b. zu ungewollten Datenzugriffen insbesondere durch staatliche Behörden führen. Es wurde kein genügendes risk-assessment durchgeführt (4.1.2). Google hielt sich nur an die eigenen Nutzungsbedingungen (5.1. und 5.2.). Dies bedeutet nicht weniger, als dass Google den Auftrag nicht so ausführt, wie dies gedacht war. Eine Prüfung der Löschung war nicht möglich (6.3) und eine Protokollierung wurde nicht nachgewiesen (9.3.). Die Datenschutzkommission betont ausdrücklich, dass ein Audit hier hilfreich gewesen wäre (5.3.2.). Was lehrt diese Entscheidung? Die Kontrolle über die Daten ist entscheidend. Da es sich beim Cloud Computing um eine Form der Auftragsbearbeitung handelt, müssen die massgeblichen Punkte wie oben ausführlich dargestellt auch vertraglich geregelt werden. Die European Network and Information Security Agency (ENISA) hat sich sehr intensiv mit den Chancen und Risiken von Cloud Computing beschäftigt und die Ergebnisse in einem Dokument mit dem Titel Benefits, risks and recommendations for information security veröffentlicht. 39 Eine Be

13 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 175 rücksichtigung dieses Papiers ist bei der Anwendung von Cloud Computing in jedem Fall zu empfehlen Fazit Die Welt ist weder schwarz noch weiss. Deshalb sollte man sich auch nicht von den angeblich unglaublichen Chancen des Cloud Computing blenden, aber auch nicht völlig abschrecken lassen. Nur bei einer angemessenen Berücksichtigung der dargestellten Risiken kann das Modell Cloud Computing aus datenschutzrechtlicher Sicht bestehen. Generell kann allerdings das Fazit gezogen werden, dass das Modell einer public cloud in der Regel eher nicht mit den datenschutzrechtlichen Anforderungen der Art. 9 bis 11 DSV vereinbar sein dürfte, während das Modell einer private cloud richtig angewendet durchaus ein neues Geschäftsfeld bieten kann. Allerdings gilt auch hier: je höher die Anpassung der Private Cloud an die individuellen Bedürfnisse, desto mehr schwinden die originären Vorteile der Cloud. Bei der Entscheidung, Personendaten durch einen Cloud Computing Service bearbeiten zu lassen, sollten daher im Rahmen einer Risikoanalyse die Organisationsstruktur und Funktionsweise der Cloud genauestens analysiert werden, ob diese für die konkrete Datenbearbeitung auch wirklich geeignet und angemessen ist. Der Umgang mit Datenschutz auf Seiten des Serviceanbieters sollte hierbei mit entscheidend sein. So stellt sich bei einem Serviceanbieter in Europa die Frage des Zugriffes durch US-Strafverfolgungsbehörden weniger als z.b. bei Microsoft. 41 Als positiv zu bewerten ist zum Beispiel der Nachweis eines Datenschutzzertifikats gem. Art. 14a DSG oder Datenschutzmanagementsystems. Genau so viel Sorgfalt sollte an die Ausarbeitung des schriftlichen Auftragsverhältnisses verwendet werden, damit die von Reinhard Mey besungene grenzenlose Freiheit über den Wolken letztendlich nicht doch Ängste und Sorgen bereitet. 40 Die ENISA, a. a. O., hält zu den Datenschutzrisiken auf Seite 46 Folgendes fest: It can be difficult for the cloud customer (in its role of data controller) to effectively check the data processing that the cloud provider carries out, and thus be sure that the data is handled in a lawful way. It has to be clear that the cloud customer will be the main person responsible for the processing of personal data, even when such processing is carried out by the cloud provider in its role of external processor. Failure to comply with data protection law may lead to administrative, civil and also criminal sanctions, which vary from country to country, for the data controller. This problem is exacerbated in the case of multiple transfers of data e.g., between federated clouds. On the other hand, some cloud providers do provide information on the data processing that they carry out. Some also offer certification summaries of their data processing and data security activities and the data controls they have in place, e.g.,. SAS70 certification providers. There may be data security breaches which are not notified to the controller by the cloud provider. The cloud customer may lose control of the data processed by the cloud provider. This issue is increased in the case of multiple transfers of data (e.g., between federated cloud providers). The cloud provider may receive data that have not been lawfully collected by its customer (the controller). 41 Vgl. Fussnote 22.

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten Auftraggeber: Auftragnehmer: 1. Gegenstand der Vereinbarung Der Auftragnehmer erhebt / verarbeitet / nutzt personenbezogene

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

AUFTRAG (Outsourcing)

AUFTRAG (Outsourcing) Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue

Mehr

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter

Mehr

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag

Anlage zum Vertrag vom. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag Anlage zum Vertrag vom Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag O durch Wartung bzw. O Fernwartung *Zutreffendes bitte ankreuzen Diese Anlage konkretisiert die datenschutzrechtlichen

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Rechtliche Herausforderungen für IT-Security-Verantwortliche

Rechtliche Herausforderungen für IT-Security-Verantwortliche Rechtliche Herausforderungen für IT-Security-Verantwortliche lic. iur. David Rosenthal ETH Life 2 Handelsblatt 3 SDA 4 5 20 Minuten/Keystone Die Folgen - Image- und Vertrauensschaden - Umsatzausfälle -

Mehr

Verpflichtung auf das Datengeheimnis

Verpflichtung auf das Datengeheimnis Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 des Sächsischen Datenschutzgesetzes (SächsDSG) i. d. F. der Bekanntmachung vom 25. August 2003 (SächsGVBl. S. 330), Rechtsbereinigt mit Stand vom 31.

Mehr

Cloud Computing: Rechtliche Aspekte

Cloud Computing: Rechtliche Aspekte Cloud Computing: Rechtliche Aspekte Information Center und IT-Services Manager Forum Schweiz 22. März 2012 Dr. iur., Rechtsanwalt Froriep Renggli gegründet 1966 Büros in Zürich, Zug, Lausanne, Genf, London

Mehr

IT SECURITY IN THE HYBRID CLOUD

IT SECURITY IN THE HYBRID CLOUD IT SECURITY IN THE HYBRID CLOUD Hybrid Clouds Rechtliche Herausforderungen Carmen De la Cruz Böhringer DIE REFERENTEN Carmen De la Cruz Böhringer Carmen De la Cruz Böhringer RA lic. iur. Eidg. dipl. Wirtschaftsinformatikerin

Mehr

Cloud Computing. Rechtliche Rahmenbedingungen und praktische Tipps zur Risikoreduktion. Business Breakfast FFHS. mag. iur.

Cloud Computing. Rechtliche Rahmenbedingungen und praktische Tipps zur Risikoreduktion. Business Breakfast FFHS. mag. iur. Cloud Computing Rechtliche Rahmenbedingungen und praktische Tipps zur Risikoreduktion Business Breakfast FFHS mag. iur. Maria Winkler Cloud Computing Es handelt sich (aus rechtlicher Sicht) einen Outsourcingvertrag,

Mehr

Rechtliche Anforderungen bei Cloud Computing

Rechtliche Anforderungen bei Cloud Computing Rechtliche Anforderungen bei Cloud Computing Risk in der Cloud Was steckt wirklich hinter diesem Begriff? SGRP-Frühlingsevent vom 05. Mai 2010 Agenda Cloud Computing - eine Qualifikation aus rechtlicher

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

Probleme des Datenschutzes in der Versicherungsmedizin

Probleme des Datenschutzes in der Versicherungsmedizin Probleme des Datenschutzes in der Versicherungsmedizin Ursula Uttinger, lic. iur., MBA HSG, Präsidentin Datenschutz-Forum Schweiz 1 Hauptprinzipien Transparenz Informationelle Selbstbestimmung 2 Geltungsbereich

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000 Version November 2013 1. Anwendungsbereich Dieses Dokument regelt die Überlassung von Daten zum Zweck der Verarbeitung als Dienstleistung

Mehr

Herausforderung Datenschutz in einem global agierenden Unternehmen

Herausforderung Datenschutz in einem global agierenden Unternehmen Herausforderung Datenschutz in einem global agierenden Unternehmen Fabrizio Lelli Data Protection Officer / lic. iur. Datenschutz-Forum Schweiz, Basel, 7. November 2006 Die nachfolgende Präsentation stellt

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

Datenschutzrichtlinie für die Plattform FINPOINT

Datenschutzrichtlinie für die Plattform FINPOINT Datenschutzrichtlinie für die Plattform FINPOINT Die FINPOINT GmbH ( FINPOINT ) nimmt das Thema Datenschutz und Datensicherheit sehr ernst. Diese Datenschutzrichtlinie erläutert, wie FINPOINT die personenbezogenen

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Datenschutz und Datensicherheit rechtliche Aspekte 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick Überblick Grundlagen Datenschutz Grundlagen Datensicherheit Clouds In EU/EWR In

Mehr

Big Data Was ist erlaubt - wo liegen die Grenzen?

Big Data Was ist erlaubt - wo liegen die Grenzen? Big Data Was ist erlaubt - wo liegen die Grenzen? mag. iur. Maria Winkler Themen Kurze Einführung ins Datenschutzrecht Datenschutzrechtliche Bearbeitungsgrundsätze und Big Data Empfehlungen für Big Data

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

(Rechts-)Sicher in die Cloud

(Rechts-)Sicher in die Cloud (Rechts-)Sicher in die Cloud Datenschutzrechtliche Aspekte von Cloud Computing RA lic. iur. Nicole Beranek Zanon, Exec. MBA HSG Nicole Beranek Zanon RA lic. iur., EMBA HSG 2 Warum in die Cloud? 3 4 Häufige

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr Dr. med. Michael Liebrenz, Leiter Gutachterstelle für Zivil- und Öffentlichrechtliche Fragestellung PUK Ursula Uttinger, lic. iur. /exec. MBA HSG, Präsidentin

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Rechtliche Aspekte von Informationssicherheitsmessungen

Rechtliche Aspekte von Informationssicherheitsmessungen iimt information security brush-up workshop 11/02/2003 measuring information security state of the art and best practices Rechtliche Aspekte von Informationssicherheitsmessungen Dr. Wolfgang Straub Überblick

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung Prof. Dr. Britta Böckmann Ausgangssituation Telemedizin noch kein Bestandteil

Mehr

Risikofragebogen Cyber-Versicherung

Risikofragebogen Cyber-Versicherung - 1 / 5 - Mit diesem Fragebogen möchten wir Sie und / oder Ihre Firma sowie Ihren genauen Tätigkeitsbereich gerne kennenlernen. Aufgrund der von Ihnen gemachten Angaben besteht für keine Partei die Verpflichtung

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Verordnung über die Datenschutzzertifizierungen

Verordnung über die Datenschutzzertifizierungen Verordnung über die Datenschutzzertifizierungen (VDSZ) 235.13 vom 28. September 2007 (Stand am 1. April 2010) Der Schweizerische Bundesrat, gestützt auf Artikel 11 Absatz 2 des Bundesgesetzes vom 19. Juni

Mehr

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Agenda Cloud Computing - eine Qualifikation aus rechtlicher Sicht Wichtige Vertragspunkte Outsourcing der

Mehr

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012 Datenschutzrecht Grundlagen Dr. Gregor König, LLM., Datenschutzkommission 15. November 2012 Inhalt Grundlagen Datenschutzrecht Rollen und Pflichten Datenschutzrecht Betroffenenrechte Soziale Netzwerke

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz 2. April 2011 Dr. Fabian Niemann Bird & Bird LLP, Frankfurt a.m. Datenschutzbehörden und die Wolke Werden Stellen außerhalb der Europäischen Union mit einbezogen, so sind

Mehr

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung...

Stabsstelle Datenschutz. Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Stabsstelle Datenschutz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch Wartung bzw. Fernwartung... Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag durch

Mehr

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team Gültigkeitsbereich Verantwortlich Team Zweck AWO RV Halle Merseburg und alle Tochtergesellschaften GF Datenschutzbeauftragter ist Prozessverantwortlich Alle MA sind durchführungsverantwortlich Zweck des

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) Anlage zur Beauftragung vom ##.##.2016 Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG) zwischen der Verbraucherzentrale Nordrhein-Westfalen e.v., Mintropstr. 27, 40215

Mehr

Was Sie vom Provider (auch) verlangen sollten

Was Sie vom Provider (auch) verlangen sollten 25.1.2005 Rechtliche Vorgaben beim Outsourcing von Bank-IT: Was Sie vom Provider (auch) verlangen sollten David Rosenthal Die «üblichen» Vorgaben - Übergang von Arbeitsverhältnissen bei Betriebsübergang

Mehr

Anlage zur Auftragsdatenverarbeitung

Anlage zur Auftragsdatenverarbeitung Anlage zur Auftragsdatenverarbeitung Diese Anlage konkretisiert die datenschutzrechtlichen Verpflichtungen der Vertragsparteien, die sich aus der im Hauptvertrag in ihren Einzelheiten beschriebenen Auftragsdatenverarbeitung

Mehr

Schweizerisches Bundesverwaltungsrecht

Schweizerisches Bundesverwaltungsrecht Prof. Dr. Felix Uhlmann Lehrstuhl für Staats- und Verwaltungsrecht sowie Rechtsetzungslehre Universität Zürich Prof. Dr. Felix Uhlmann 1 Datenschutz Leseplan: Skript 36 BGE 138 II 346 ff. EuGH, Urteil

Mehr

Social Media kein rechtsfreier Raum

Social Media kein rechtsfreier Raum Social Media kein rechtsfreier Raum Lunchveranstaltung vom 7. Mai 2014 lic.iur. Nadia Steiner-Huwiler, Rechtsdienst, Universität Zürich E-Mail: nadia.steiner@rd.uzh.ch 07.05.14 Seite 1 Übersicht Social

Mehr

Checkliste zum Datenschutz

Checkliste zum Datenschutz Checkliste zum Datenschutz Diese Checkliste soll Ihnen einen ersten Überblick darüber geben, ob der Datenschutz in Ihrem Unternehmen den gesetzlichen Bestimmungen entspricht und wo ggf. noch Handlungsbedarf

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl

Cloud-Computing - rechtliche Aspekte. Forum 7-it. RA Rainer Friedl Cloud-Computing - rechtliche Aspekte Forum 7-it RA Rainer Friedl München, 16. November 2015 Verpflichtung zur IT-Compliance: Haftung des Vorstands/Geschäftsführer für IT-Risiken» Vorstandspflicht bei AGs

Mehr

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle...

Stabsstelle Datenschutz. Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Stabsstelle Datenschutz Mustervereinbarung zur Datenverarbeitung im Auftrag einer öffentlichen Stelle... Vereinbarung über die Datenverarbeitung im Auftrag (personenbezogene Daten / Sozialdaten) Zwischen..,

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

ARTIKEL-29-DATENSCHUTZGRUPPE

ARTIKEL-29-DATENSCHUTZGRUPPE ARTIKEL-29-DATENSCHUTZGRUPPE 12110/04/DE WP 102 Muster-Checkliste Antrag auf Genehmigung verbindlicher Unternehmensregelungen angenommen am 25. November 2004 Die Gruppe ist gemäß Artikel 29 der Richtlinie

Mehr

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Erläuterungen zum Abschluss der Datenschutzvereinbarung Erläuterungen zum Abschluss der Datenschutzvereinbarung Bei der Nutzung von 365FarmNet erfolgt die Datenverarbeitung durch die365farmnet GmbH im Auftrag und nach Weisung des Kunden. Die die365farmnet GmbH

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

Datenverwendung und Datenweitergabe - was ist noch legal?

Datenverwendung und Datenweitergabe - was ist noch legal? RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD) e.v. Pariser Str. 37 53117 Bonn Tel.: 0228-694313 Fax: 0228-695638 E-Mail: jaspers@gdd.de Die GDD e.v. Die GDD

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control Smart Grids und Smart Metering Datenschutz Dr. Gregor König, LLM., Datenschutzkommission E-Control 16. Juni 2010 Inhalt Smart Grids Grundrecht auf Datenschutz Prinzipien i i der Zulässigkeit it der Verwendung

Mehr

Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010

Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010 Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010 Prof. Dr. Rainer Erd Rechtsanwalt Schmalz Rechtsanwälte Hansaallee 30-32, 60322 Frankfurt am

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic.

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic. ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG VOM FIT FÜR DIE ZUKUNFT UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld lic. iur. Barbara Widmer, LL.M./CIA REFERAT IM KONTEXT DES TAGUNGSTHEMAS

Mehr

Information Security Policy für Geschäftspartner

Information Security Policy für Geschäftspartner safe data, great business. Information Security Policy für Geschäftspartner Raiffeisen Informatik Center Steiermark Raiffeisen Rechenzentrum Dokument Eigentümer Version 1.3 Versionsdatum 22.08.2013 Status

Mehr

Vereinbarung Auftrag gemäß 11 BDSG

Vereinbarung Auftrag gemäß 11 BDSG Vereinbarung Auftrag gemäß 11 BDSG Schuster & Walther Schwabacher Str. 3 D-90439 Nürnberg Folgende allgemeinen Regelungen gelten bezüglich der Verarbeitung von Daten zwischen den jeweiligen Auftraggebern

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ Auszug aus dem Bundesdatenschutzgesetz in der Fassung vom 14.01.2003, zuletzt geändert am 14.08.2009 1 Allgemeine und gemeinsame Bestimmungen (1) Zweck dieses Gesetzes

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen und der IT-Sicherheit Lösungen zum 12. Übungsblatt Technischer Datenschutz an Hochschulen 12.1 Datenschutzrechtliche Chipkarteneinführung (1) Nach 12 Abs. 4 LHG können Hochschulen durch Satzung für ihre

Mehr

Datenschutz aktuell. Themenblock 3. Grenzüberschreitender Datenverkehr und Outsourcing in der Praxis. mag. iur. Maria Winkler, 18.

Datenschutz aktuell. Themenblock 3. Grenzüberschreitender Datenverkehr und Outsourcing in der Praxis. mag. iur. Maria Winkler, 18. Datenschutz aktuell Themenblock 3 und Outsourcing in der Praxis mag. iur. Maria Winkler, 18. März 2014 Agenda Datenübermittlung ins Ausland Gesetzliche Grundlagen US-Swiss Safe Harbor Outsourcing der Datenbearbeitung

Mehr

Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010

Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010 Google Street View Ticken Schweizer Uhren anders? Erhebung, Bearbeiten und Verwendung von Personendaten Lukas Bühlmann, LL.M., Zürich Berlin, 10. März 2010 Übersicht. Einführung. Google Street View ( GSV

Mehr

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Informationstag "Ersetzendes Scannen" Berlin, 19.04.2013 "RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte Meine Punkte Leistungsvertrag

Mehr

HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in der Schweiz. Zürich, 28. März 2014 René Schnichels

HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in der Schweiz. Zürich, 28. März 2014 René Schnichels HEUKING KÜHN LÜER WOJTEK Datenschutz bei Portfoliotransfers in der Schweiz Zürich, 28. März 2014 René Schnichels I Wann spielt Datenschutz eine Rolle? 1. Vorbereitung der Bestandsübertragung: Due Diligence,

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014 Recht in der Cloud Die rechtlichen Aspekte von Cloud Computing Nicole Beranek Zanon Lic. iur., EMBA HSG 2 Agenda 1 2 3 4 5 6 Ausgangslage: Cloud oder eigener Betrieb?Cloud Ecosystem Verantwortlichkeit

Mehr

Einführung ins Datenschutzrecht

Einführung ins Datenschutzrecht Workshop vom 6. Dezember 2004 Einführung ins Datenschutzrecht Dr. Wolfgang Straub Überblick Wozu Datenschutz? Grundlagen Grundsätze der Datenbearbeitung Rechte der Betroffenen Anwendungsbeispiele 2 1 Rechtsquellen

Mehr

Datenschutz- und Vertraulichkeitsvereinbarung

Datenschutz- und Vertraulichkeitsvereinbarung Datenschutz- und Vertraulichkeitsvereinbarung zwischen der Verein - nachstehend Verein genannt - und der Netxp GmbH Mühlstraße 4 84332 Hebertsfelden - nachstehend Vertragspartner genannt - wird vereinbart:

Mehr

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI)

Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Berliner Beauftragter für Januar 2002 Datenschutz und Informationsfreiheit (BlnBDI) Hinweise zur Vorabkontrolle nach dem Berliner Datenschutzgesetz (BlnDSG) Das am 30.7.2001 novellierte Berliner Datenschutzgesetz

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) ARTIKEL-29-DATENSCHUTZGRUPPE 1271-03-02/08/DE WP 155 Rev.03 Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) Angenommen am 24. Juni 2008 Zuletzt

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

Rechtsanwälte Steuerberater Wirtschaftsprüfer

Rechtsanwälte Steuerberater Wirtschaftsprüfer Workshop Cloud-Computing Die Herausforderung für die Daten- und Rechtssicherheit GI-Fachgruppe Management 20. November 2009 Dr. Christiane Bierekoven, Rödl & Partner Rechtsanwälte Steuerberater Wirtschaftsprüfer

Mehr