Datenschutzrechtliche Chancen und Risiken von Cloud Computing

Größe: px
Ab Seite anzeigen:

Download "Datenschutzrechtliche Chancen und Risiken von Cloud Computing"

Transkript

1 163 Datenschutzrechtliche Chancen und Risiken von Cloud Computing VON PHILIPP MITTELBERGER / GABRIELE BINDER Zu den Autoren: Foto: Michael Zanghellini Foto: Gabriele Binder Dr. iur. Philipp Mittelberger bekleidet seit 1. Dezember 2002 die Position als Datenschutzbeauftragter des Fürstentums Liechtenstein. Die Funktion eines Datenschutzbeauftragten wurde erst durch das Datenschutzgesetz, LGBl Nr. 55, geschaffen. Frau Ass. iur. Gabriele Binder arbeitete in der Vergangenheit als Rechtsanwältin in Deutschland und ist zertifizierte ISO 27001:2005 Lead Auditorin. Seit 2007 ist sie als juristische Mitarbeiterin der Datenschutzstelle tätig. Inhaltsübersicht: 1. Einleitung 2. Begriff des Cloud Computing 3. Cloud Computing als Fall einer Auftragsdatenbearbeitung 4. Vertragliche und gesetzliche Geheimhaltungspflichten 5. Vertragliche Regelung 6. Datensicherheit 7. Haftung 8. Zertifizierung nach Art. 14a DSG 9. Fallbeispiele 10. Fazit 1. Einleitung Über den Wolken muss die Freiheit wohl grenzenlos sein. Alle Ängste, alle Sorgen, sagt man, blieben darunter verborgen [ ] 1 sang Reinhard Mey. Anno dazumal dachte der deutsche Liedermacher sicherlich nicht an eine Rechnerwolke 2. Dennoch könnte der Refrain ohne weiteres mit Cloud Computing assoziiert Die ISO-Norm Information technology Security techniques Information security management systems Requirements beinhaltet detaillierte Vorgaben für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines dokumentierten Informationssicherheits-Managementsystems für alle Arten von Organisationen. 1 Auszug aus dem Lied Über den Wolken von Reinhard Mey. Es stammt aus dem Jahre 1974 und wurde erstmals auf der B-Seite der Single Mann aus Alemannia veröffentlicht; vgl. 2 Deutsche Übersetzung für Cloud Computing.

2 164 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing werden, scheinen doch die Freiheiten und Möglichkeiten, die das Cloud Computing bietet, tatsächlich grenzenlos zu sein. Im Gegensatz zu lokalen Rechnern oder Rechenzentren sind die Facetten der Cloud Services unvergleichlich viel grösser und zum Teil eben auch wirtschaftlich attraktiver. In Anbetracht dieses grossen Potentials stellt sich aus Sicht des Datenschutzes die entscheidende Frage, ob die Nutzer von Cloud Services tatsächlich frei von Sorgen und Ängsten sein können, wenn Personendaten, für die sie die (datenschutzrechtliche) Verantwortung tragen, in der Wolke bearbeitet werden. Oder müssen die Nutzer ganz im Gegenteil befürchten, dass die Gefahren des Cloud Computing nur unter den Wolken verborgen bleiben, ansonsten aber durchaus präsent und zu berücksichtigen sind? Welche Chancen und Risiken das Cloud Computing aus datenschutzrechtlicher Sicht mit sich bringt, soll im Folgenden dargestellt werden. 2. Begriff des Cloud Computing Um die datenschutzrechtlichen Aspekte von Cloud Computing besser einordnen zu können, müssen zunächst die Grundsätze von Cloud Computing kurz erläutert werden. 3 Was also ist unter Cloud Computing zu verstehen und wie funktioniert es? Es gibt verschiedene Auslegungsvarianten des Begriffs des Cloud Computing. Eine weitgehend akzeptierte Definition ist jene des National Institute of Standards and Technology (NIST): Cloud Computing ist ein Modell, welches universellen, komfortablen und bei Bedarf über ein Netzwerk Zugriff auf einen gemeinsamen Pool von informationstechnischen Ressourcen ermöglicht (z. B. Netzwerke, Server, Speichersysteme, Anwendungen und Dienste), die schnell und mit minimalem Verwaltungsaufwand oder ohne Interaktion durch den Diensteanbieter bereitgestellt und freigegeben werden können. 4 Trotz der Vielfalt von Definitionen kann das Grundprinzip übergreifend darauf reduziert werden, dass es um die Auslagerung von IT-Diensten geht. Cloud Computing bezweckt, externe Hard- und Software sowie Know-how im Interesse des Einsparens von Ressourcen zu nutzen. Im Idealfall soll es dem Nutzer egal sein können, ob gerade der eigene oder ein weit entfernter Computer eine Aufgabe löst. 5 Die Daten befinden sich nicht mehr auf dem lokalen Rechner oder im Firmenrechenzentrum, sondern irgendwo in einer metaphorisch zu sehenden Wolke (engl. cloud ). 3 Eine ausführliche Darstellung der technischen Hintergründe würde den Rahmen dieses Aufsatzes sprengen. Auf der Internetseite der Datenschutzstelle ist eine Gesamtübersicht online abrufbar unter 4 National Institute of Standards and Technology, Januar 2011, 5 Thilo Weichert, Cloud Computing und Datenschutz, in: DuD 10/2010, S. 679.

3 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 165 Es wird zwischen verschiedenen Modellen 6 und Arten 7 von Cloud Computing unterschieden, die je nach Bedarf jeweils alle unter- und miteinander kombiniert werden können. Cloud Computing Lösungen werden im Wesentlichen von folgenden fünf Merkmalen geprägt: On-Demand-Self-Service ( Selbstbedienung ), Breitband-Netzwerkzugriff, Ressourcenbündelung, Flexibilität und Serviceüberwachung. Aus datenschutzrechtlicher Sicht entscheidend ist, dass die zu bearbeitenden Daten ausgelagert werden. Sie befinden sich nicht mehr im direkten Einflussbereich des Nutzers, sondern meist fernab an einem Ort, den allein der Anbieter des Cloud Services bestimmt. Das Auslagern von Daten in die Cloud darf aber nicht zur Folge haben, dass damit die Kontrolle über die Daten abgegeben wird. Vielmehr muss auch bei einer Inanspruchnahme von Cloud Services der Nutzer immer Herr über seine Daten bleiben. Nur dann kann der Nutzer auch davon ausgehen, seiner datenschutzrechtlichen Verantwortung gerecht zu werden. 3. Cloud Computing als Fall einer Auftragsdatenbearbeitung Die Inanspruchnahme von Cloud Services ist ein typischer Fall einer Auftragsdatenbearbeitung, die in Art. 19 des Datenschutzgesetzes (DSG) speziell geregelt ist, soweit der Auftrag (auch) die Bearbeitung von Personendaten umfasst. Art. 19 DSG bestimmt: 1) Das Bearbeiten von Personendaten kann einem Dritten übertragen werden, wenn: a) der Auftraggeber dafür sorgt, dass die Daten nur so bearbeitet werden, wie er es selbst tun dürfte; und b) keine gesetzliche oder vertragliche Geheimhaltungspflicht es verbietet. 2) Der Dritte unterliegt denselben Pflichten und kann dieselben Rechtfertigungsgründe geltend machen wie der Auftraggeber. 3) Zum Zwecke der Beweissicherung sind die datenschutzrelevanten Elemente des Vertrags und die Anforderungen in Bezug auf Massnahmen nach Abs. 1 und 2 schriftlich oder in einer anderen Form zu dokumentieren. Entscheidend ist somit, dass der Auftraggeber (hier der Cloud-Nutzer) dafür verantwortlich ist, dass der Auftragnehmer (hier der Cloud-Service-Anbieter) die Daten nur so bearbeitet, wie es der Nutzer selbst tun dürfte. D. h. derjenige, der die Datenbearbeitung auslagern will, bleibt damit weiterhin vollständig für die Art und Weise der Datenbearbeitung verantwortlich und ist für eine rechtswidrige Datenbearbeitung durch den Cloud-Anbieter insbe- 6 Die drei typischen Modelle sind: Software as a Service (SaaS), Platform as a Service (PaaS), Infrastructure as a Service (IaaS), vgl. 7 Nach der o. g. Definition des NIST gibt es derzeit vier Arten von Cloud Services: Private Cloud, Community Cloud, Public Cloud, Hybrid Cloud. Zu einer Gefährdungsanalyse von Private Clouds siehe: Münch / Doubrava, Essoh, in: DuD 5/2011, S. 322ff.

4 166 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing sondere gegenüber Kunden, deren Daten in der Cloud sind, haftbar. Umgekehrt aber unterliegt der Anbieter denselben Pflichten wie der Nutzer; auch kann der Anbieter dieselben Rechtfertigungsgründe geltend machen wie der Nutzer. 4. Vertragliche und gesetzliche Geheimhaltungspflichten Zu beachten ist, dass eine Auftragsdatenbearbeitung nur zulässig ist, wenn keine gesetzlichen oder vertraglichen Geheimhaltungspflichten dies verbieten. 8 Diese Bestimmung des Art. 19 Abs. 1 Bst. b) DSG ist allerdings nicht so zu verstehen, dass allein auf Grund des blossen Bestehens einer gesetzlichen Geheimhaltungspflicht eine Auftragsdatenbearbeitung als solche automatisch verboten wäre. Vielmehr ist diese Regelung im Gesamtkontext mit der jeweiligen spezialgesetzlichen Bestimmung zu sehen und zu prüfen, ob die Geheimhaltungspflicht so weit reicht, dass die in Frage stehende Auftragsbearbeitung unzulässig ist. Dies ist durch Auslegung der betreffenden Geheimhaltungspflicht zu ermitteln. 9 Wenn und soweit der Auftragnehmer auf Grund seiner im direktem Zusammenhang stehenden Tätigkeit ebenso wie der Auftraggeber der selben Geheimhaltungspflicht unterliegt, steht einer Auftragsdatenbearbeitung grundsätzlich nichts entgegen. 10 Zum Teil wird diese Bestimmung sogar dahingehend ausgelegt, dass selbst wenn der Auftragnehmer nicht von vorneherein der selben strikten Geheimhaltungspflicht wie der Auftraggeber unterliegt eine Auftragsbearbeitung mangels besonderer Umstände in der Regel auch bei Bestehen einer besonderen Verschwiegenheitspflicht zulässig ist, wenn der Auftraggeber seine Geheimhaltungspflichten per Vereinbarung auf den Auftragsnehmer und dessen Hilfspersonen weitergibt (s. hierzu auch weiter unten zum Datengeheimnis); ein rechtmässiges Interesse auf Seiten des Auftraggebers vorliegt (z. B. höhere Qualität); und die Auftragsbearbeitung die Geheimhaltungsinteressen der betroffenen Personen nicht stärker beeinträchtigt, als wenn der Auftraggeber die Datenbearbeitung selbst durchführen würde. 11 Als Beispiel kann in diesem Zusammenhang die Regelung in Absatz 1 zum 9. Grundsatz 5: Geschäfts- und Bankgeheimnis von Anhang 6 zu den Richtlinien zur Auslagerung von Geschäftsbereichen (Outsourcing) gemäss Art. 35 Bankenver- 8 Gesetzliche Geheimhaltungspflichten sind zum Beispiel das Arzt-, Bank-, Fernmelde- oder Anwaltsgeheimnis; vertragliche Geheimhaltungspflichten sind in der Praxis jedoch weit häufiger. 9 Vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 101ff. zu Art. 10a CH-DSG; Philippe Meier, Protéction des données, Bern 2011, Rn. 1224ff.. 10 Philippe Meier, Protéction des données, Bern 2011, Rn. 1224ff., 1227 (mit Hinweis). 11 Vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 106 zu Art. 10a CH-DSG; Dietmar Jahnel, Datenschutzrecht, Wien 2010, Rn. 3/56.

5 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 167 ordnung genannt werden: Ein liechtensteinischer Dienstleister ist dem Geschäftsgeheimnis der Unternehmung und, soweit ihm Kundendaten bekannt sind, dem Bankgeheimnis der auslagernden Unternehmung zu unterstellen. Er hat sich ausdrücklich zu verpflichten, die daraus folgende Vertraulichkeit zu wahren Vertragliche Regelung Nach Art. 19 Absatz 3 DSG sind die datenschutzrelevanten Elemente zu dokumentieren. 13 Der Anbieter muss verpflichtet werden, sich an die in Liechtenstein geltenden Datenschutzbestimmungen zu halten und diese vollumfänglich zu akzeptieren. 14 Regelungsbedürftig im Zusammenhang mit Cloud Computing sind insbesondere folgende Punkte: Beachtung des Datengeheimnisses 2. Zulässigkeit von Subunternehmern 3. Zulässigkeit von Auslandsdatentransfers 4. Definition Sicherheitskonzept 5. Weisungs-/Kontrollbefugnisse des Cloud-Nutzers Im Einzelnen: Das Datengeheimnisses nach Art. 10 DSG 16 : Das Datengeheimnis tritt neben sonstigen gesetzlichen Verschwiegenheitspflichten wie Amtsgeheimnis, Ärztegeheimnis, Anwaltsgeheimnis, Bankgeheimnis, etc. kumulativ auf. 17 Das Datengeheimnis besagt, dass Daten nur auf Grund einer ausdrücklichen Anordnung des Arbeit- oder Auftraggebers übermittelt werden dürfen. 18 Dies bedeutet eine Verpflichtung all jene[r] Personen, denen berufsmässig Daten anvertraut wurden oder zugänglich gemacht worden sind; also nicht nur das eigene EDV-Personal, sondern auch dem ei- 12 Anhang 6 zur Verordnung vom 22. Februar 1994 über die Banken und Wertpapierfirmen (BankV), LR Abs. 3 fusst auf Art. 17 Abs. 4 der allgemeinen Datenschutzrichtlinie 95/46/EG, s. hierzu Dammann/Simitis, EG-Datenschutzrichtlinie Kurzkommentar, Baden-Baden 1997, Randnummer 15 zu Artikel Insb. Datenschutzgesetz (LR 235.1) und Datenschutzverordnung (LR ) sowie gegebenenfalls in casu anzuwendende spezialgesetzliche Regelungen. 15 Die nachfolgenden Ausführungen können auch auf andere Formen einer Auftragsdatenbearbeitung entsprechend übertragen werden. 16 Ein Verstoss gegen Art. 10 DSG ist nach Art. 41 DSG strafbar. Das Datengeheimnis verpflichtet den berufsmässig mit der Bearbeitung Betrauten zur Verschwiegenheit über erhobene Daten, es sei denn es ergäben sich Gründe für eine Weitergabe (Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 8 zu 15). Art. 10 DSG stützt sich auf den alten 15 des österreichischen Datenschutzgesetzes (Bericht und Antrag Nr. 2002/5, Seite 14). 17 Rainer Knyrim: Datenschutzrecht, Wien 2003, S. 232 (mit Hinweis). 18 Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 9 zu 15.

6 168 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing genen Betrieb nicht angehörende Personen, wie etwa Wartungstechniker [oder] Netzwerkbetreuer die zur Vermeidung einer Interessenkollision bei ihrer eigenen Firma auf das Datengeheimnis zu verpflichten sind. 19 Der Cloud-Anbieter bzw. seine Mitarbeiter sollten zwingend eine separate Geheimhaltungsverpflichtung unterzeichnen. 20 Diese Verpflichtung gilt im Falle von Unterauftragsvergabe(n) auch entsprechend für jeden einzelnen Subunternehmer. Die Zulässigkeit von Unterauftraggebern: In der Praxis kommt es oft vor, dass Cloud-Anbieter ihrerseits einen Subunternehmer mit (ausgewählten) Cloud-Dienstleistungen beauftragen, der wiederum (Teile) seines Auftrages outsourcen könnte. Die Kette könnte unendlich weiter geführt werden mit der Folge, dass der Cloud-Nutzer mitunter gar nicht mehr weiss, wer seine Daten wo bearbeitet. Aus diesem Grund sollte bei der Auftragsvergabe klar geregelt werden, ob die Beauftragung von Subunternehmern generell zulässig sein soll oder nicht, ob nur bestimmte Dienstleistungen weiter outgesourct werden dürfen und ob die Beauftragung von Subunternehmern nur nach vorheriger ausdrücklicher Zustimmung des Cloud-Nutzers zulässig sein soll. Hier sind je nach Fallkonstellation individuelle Absprachen möglich. Aus datenschutzrechtlicher Sicht aber sollte ein Cloud-Nutzer unbedingt darauf bestehen, dass die Beauftragung von Subunternehmern nur nach Rücksprache, wenn nicht sogar Einwilligung des Cloud-Nutzers möglich sein sollte. Nur dann kann der Cloud-Nutzer weiterhin Einfluss auf die Datenbearbeitung ausüben. Die Zulässigkeit eines Datentransfers ins Ausland nach Art. 8 DSG: Für Cloud-Nutzer mag es auf Grund von niedrigeren Löhnen und einem insgesamt billigeren Dienstleistungsmarkt verlockend erscheinen, Anbieter im Ausland zu beauftragen. Häufig beauftragen auch erst die Anbieter selbst Subunternehmer, die ihren Sitz im Ausland haben (s. oben). Bei der Nutzung von Cloud Services im Ausland sind jedoch zusätzliche Zulässigkeitsvoraussetzungen zu beachten: Grundsätzlich darf eine Datenbekanntgabe ins Ausland nur dann erfolgen, wenn in dem Empfängerland ein angemessener Datenschutz gewährleistet ist. Im Verhältnis zu EU-/EWR-Staaten sowie zu den Ländern, die in Anhang 2 zu Art. 7 DSV aufgelistet sind, geht der liechtensteinische Gesetzgeber gemäss Art. 8 Abs. 1 DSG von einer 19 Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 8 zu Dohr / Pollirer / Weiss: DSG Datenschutzrecht (Loseblattsammlung), 2. Auflage Wien, Anmerkung 11 zu 15. Ein Musterformular kann auf der Internetseite der DSS abgerufen werden unter

7 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 169 Angemessenheit aus. 21 Hier scheitert ein grenzüberschreitender Datentransfer im Rahmen des Cloud Computing also nicht schon an dem Erfordernis der Angemessenheit. Dennoch sollte eine Übertragung der Datenbearbeitung ins Ausland auch hier nur mit Bedacht erfolgen. Denn der Anbieter der Cloud- Dienste hat ebenfalls bei einem grenzüberschreitenden Datentransfer sicherzustellen, dass die allgemeinen Grundsätze des Datenschutzes sowie im Besonderen das Datengeheimnis gewahrt werden. Hier kann aber unter Umständen eine Geheimnispflicht einer Auftragsbearbeitung generell entgegen stehen, wenn und soweit in dem Empfängerland der Umfang der korrespondieren Geheimhaltungspflicht von der liechtensteinischen Regelung abweicht, weil dort möglicherweise staatliche Behörden gesetzliche Zugriffsrechte haben. Zugriffe durch staatliche Stellen auf Grund des jeweiligen nationalen Rechts sind denkbar in dem Land, in dem der Cloud-Anbieter seinen Sitz hat; 22 in dem Land, in dem ein möglicher Subunternehmer seinen Sitz hat; in dem Land, in dem das Unternehmen seinen Sitz hat, das den Cloud-Anbieter wirtschaftlich kontrolliert (z. B. Cloud-Anbieter sitzt in Indien, die Muttergesellschaft in den USA); und/oder in dem Land, in dem die Daten bearbeitet und gespeichert werden. Bei einem allfälligen Datentransfer ausserhalb der EU / des EWR in ein sog. Drittland ist eine Datenbekanntgabe nur unter den Voraussetzungen von Art. 8 Abs. 2 DSG zulässig. Dementsprechend ist der Einsatz von Standardvertragsklauseln oder verbindlichen unternehmensinternen Regelungen (Binding Corporate Rules, BCR) zu empfehlen, die grundsätzlich der Genehmigung der Regierung gemäss Art. 8 Abs. 3 DSG bedürfen. 23 Ansonsten ist eine grenzüberschreitende Datenbearbeitung nur bei Vorliegen einer der anderen gesetzlich vorgesehenen Fälle, wie z. B. der ausdrücklichen Einwilligung der betroffenen Person zulässig. 24 Die vorgenannten Standardver- 21 Dies sind derzeit: Argentinien, Guernsey, Jersey, Kanada, Insel Man, Schweiz, Vereinigte Staaten von Amerika nach Massgabe der Grundsätze des sicheren Hafen und der diesbezüglichen Häufig gestellten Fragen (FAQ). 22 So ist es möglich, dass Cloud-Anbieter wie Microsoft den US-Strafverfolgungsbehörden Zugriff auf von Kunden gespeicherte Daten gewähren müssen: /meldung/us-behoerden-duerfen-auf-europaeische-cloud-daten-zugreifen html. 23 Drittländer weisen keinen angemessenen Datenschutz gemäss Art. 25 der Datenschutzrichtlinie und Art. 8 DSG auf. Eine Übermittlung in solche Länder ist grundsätzlich nur unter gewissen Bedingungen erlaubt, so beim Bestehen von Standardvertragsklauseln oder Binding Corporate Rules. Sehr wichtig bei einem Auslandstransfer von Personendaten ist auch die Frage der Durchsetzbarkeit der eigenen Ansprüche. Allgemeines und Ausführliches zum Auslandsdatentransfer: 24 Vgl. hierzu David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 108ff. zu Art. 10a CH-DSG. Zur Einwilligung: Philipp Mit-

8 170 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing tragsklauseln oder BCR bzw. die Einwilligung müssen bei Unterauftragsvergaben alle Subunternehmer einbinden. Dies dürfte in der Praxis in allerletzter Konsequenz oft nicht möglich sein. Die Definition des Sicherheitskonzepts: Die erforderlichen technischen und organisatorischen Massnahmen der Datensicherheit nach Art. 9 bis 11 der Datenschutzverordnung (DSV) müssen getroffen werden, um einen ungewünschten Datenverlust oder -diebstahl zu vermeiden. Da die Regelungen zur Datensicherheit bei der Datenbearbeitung eine wesentliche Rolle spielen, wird diesem Thema ein eigenes Kapitel gewidmet, auf das an dieser Stelle verwiesen wird. 25 Weitere Regelungen sollten getroffen werden in Bezug auf das Weisungsrecht des Cloud-Nutzers: Es muss vorgesehen sein, dass der Anbieter nur auf Weisung des für die Verarbeitung Verantwortlichen (= Nutzer des Cloud Services) handelt, zumindest hinsichtlich des Zwecks der Bearbeitung und der wesentlichen Elemente der Mittel. 26 die Verteilung der Kontrolle: Es muss sicher gestellt sein, dass selbst in komplexen Datenverarbeitungsfeldern, wenn zum Beispiel mehrere Organisationen den selben Cloud Service nutzen (community cloud), die Verantwortung für die Einhaltung der Datenschutzbestimmungen und für mögliche Verletzungen dieser Bestimmungen klar zugewiesen wird. 27 Audits beim Cloud-Anbieter, um die Einhaltung der Datenschutzbestimmungen zu überprüfen: Die Kontrolle des Anbieters bzw. Subunternehmers muss nicht nur überhaupt möglich, sondern auch effektiv sein. Dementsprechend sind gewisse Anforderungen an Kontrollen zu stellen. Kontrollen sollten vor Beginn der Datenbearbeitung, aber auch regelmässig während des Bestehens des Auftragsverhältnisses durchgeführt werden. Um sich beispielsweise gerade im Haftungsfall entlasten zu können, dass der Kontrollpflicht ordnungsgemäss nachgekommen wurde, sollten diese Kontrollen darüber hinaus lückenlos dokumentiert sein. Der Umfang der Dokumentationspflicht kann je nach Grösse und Komplexität der Auftragsdatenbearbeitung variieren. Protokollierung durch Anbieter und Zugriffskontrolle durch den Nutzer; telberger: Die Einwilligung als zentrales Element des Datenschutzrechts, in: LJZ 4 / 06, Seite 135 ff.: 25 s. unten Datensicherheit 26 Vgl. Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 31f., 27 So die Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 7,

9 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 171 die Vorgehensweise und die Meldepflichten an den Cloud-Nutzer bei Auftreten von Sicherheitsvorfällen in der Cloud (sog. incident management); die Durchsetzung der Rechte der Betroffenen: die betroffenen Personen müssen ihre datenschutzrechtlichen Rechte geltend machen können (insb. Auskunftsanspruch, Widerspruch, Recht auf Berichtigung und Löschung). Gerade wenn (mehrere) Subunternehmer dazwischen geschaltet sind, muss klar geregelt sein, wer hiefür die Verantwortung trägt. und die unwiederbringliche Löschung der Daten bei Vertragsende oder Rückgabe von Datenträgern nach Beendigung des Vertrags. 6. Datensicherheit Zentral ist die Datensicherheit. Welche Massnahmen zum Schutz der Daten wurden getroffen? Auf welcher Basis? Welches Recht kommt in Bezug auf die Datensicherheit zur Anwendung? Besteht ein Schutz gegen den Zugriff (ausländischer) staatlicher Behörden? Hier ist speziell zu erwähnen, dass gerade Geheimdienste oft auch auf dem Gebiet der Wirtschaftsspionage tätig sind. 28 Können gar Private auf die Daten zugreifen? Die Bestimmungen von Art. 9 bis 11 DSV sehen die wichtigsten technischen und organisatorischen Massnahmen zum Schutz vor unbefugter Datenbearbeitung vor, die auch im Rahmen einer Auftragsbearbeitung gleicher Massen einzuhalten sind. Wie diese gesetzlichen Vorgaben konkret umgesetzt werden, hängt vom Einzelfall und den Bedürfnissen des jeweiligen Auftragsverhältnisses ab. Das Gesetz schreibt hier keine konkreten Massnahmen vor; die Entscheidung über die Auswahl der wirksamsten Massnahmen obliegt dem Auftraggeber bzw. Auftragnehmer. Denn auch wenn die Rechtmässigkeit der Datenbearbeitung grundsätzlich von dem Auftraggeber im Rahmen des erteilten Auftrags bestimmt wird, kann die Aufgabenübertragung für den Auftragsbearbeiter trotzdem einen gewissen Ermessensspielraum in der Wahl der technischen und organisatorischen Mittel beinhalten. 29 Ausschlaggebend sollte sein, mit welchen Mitteln der Anbieter die Interessen hier des Cloud-Nutzers am besten wahrnehmen kann. 30 Die Sicherheitsmassnahmen sind am besten im Rahmen eines risk assessment zu prüfen. Sind beispielsweise besonders schützenswerte Daten und/oder 28 Weichert, Cloud Computing und Datenschutz, in: DuD 10 / 2010, 683 (mit Hinweis). 29 Vgl. die Art. 29-Datenschutzgruppe in ihrer Stellungnahme 1/2010 zu den Begriffen für die Verarbeitung Verantwortlicher und Auftragsverarbeiter (WP 169), angenommen am 16. Februar 2010, S. 31, 30 Vgl. allgemein hierzu die Richtlinien der DSS zu den technischen und organisatorischen Massnahmen des Datenschutzes: massnahmen_des_datenschutzes.

10 172 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing Persönlichkeitsprofile Gegenstand einer Auslagerung in die Cloud, ist das Risiko als hoch einzustufen. Elemente einer genügenden Datensicherheit sind zum Beispiel die Verschlüsselung der Daten, eine getrennte Datenspeicherung, keine Bearbeitung von besonders schützenswerten Daten oder Persönlichkeitsprofilen, Speicherung nur in einer private cloud oder die Kontrolle des Auftragnehmers durch eine unabhängige Institution, ob der Auftrag auch tatsächlich eingehalten wird (z. B. Audit). 31 Oft besteht das Problem darin, dass die Kontrolle über die Daten und den Ort, wo sie gespeichert sind, verloren geht. Das darf nicht sein. Bei einem Outsourcing in die Cloud müssen daher umfassende Sicherungsmassnahmen getroffen werden, damit weder eigene, betriebsinterne Daten noch Kundendaten bedroht sind. 7. Haftung Denn der Verlust bzw. der Diebstahl von personenbezogenen Daten kann auch im Rahmen von Cloud Computing zu Schadenersatzforderungen führen. Bei Persönlichkeitsverletzungen im Rahmen der Auftragsbearbeitung kann die verletzte Person grundsätzlich Ansprüche sowohl gegen den Auftraggeber als auch gegen den Auftragnehmer geltend machen. 32 Nach Art. 19 Abs. 2 DSG bleibt der Auftraggeber für die Daten verantwortlich mit der Folge, dass gegen ihn/sie deliktische Haftungsansprüche nicht nur auf Grund seinen/ihres eigenen Verhaltens, sondern auch auf Grund des Verhaltens des Auftragsbearbeiters möglich sind Zertifizierung nach Art. 14a DSG Eine vorbildliche Berücksichtigung des Datenschutzes kann auch durch eine Zertifizierung von Organisationen, Dienstleistungen, Systemen und Produkten nach Art. 14a DSG nachgewiesen werden. Diese Bestimmung gewinnt gerade vor dem Hintergrund der Kontrollpflicht des Cloud-Nutzers an besonderer Bedeutung: Wie oben bereits dargestellt wurde, ist die Kontrolle über die Datenbearbeitung durch den Cloud-Nutzer ein wesentliches Element. Kontrollen können auf verschiedene Art und Weise durchgeführt werden, zum Beispiel durch unmittelbare Vor-Ort-Kontrollen durch den Cloud-Nutzer beim Anbieter bzw. Subunternehmer. Dies dürfte jedoch in der Praxis nur in Einzelfällen möglich und kaum realisierbar sein, gerade wenn der Cloud Service aus dem Ausland angeboten wird. Denkbar wäre auch, eine schriftliche Aus- 31 Weichert, Cloud Computing und Datenschutz, in: DuD 10 / 2010, 683, Im Einzelfall kommt es für die Durchsetzung hierbei auf die Art der Persönlichkeitsverletzung, die Mitwirkung, das Verschulden und die Anspruchsgrundlage an, vgl. David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 86 zu Art. 10a CH-DSG. 33 David Rosenthal in: David Rosenthal / Yvonne Jöhri (Hrsg.), Handkommentar zum Datenschutzgesetz, Zürich 2008, Rn. 87ff. zu Art. 10a CH-DSG.

11 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 173 kunft des Auftragnehmers einzufordern, deren Aussagekraft allerdings sehr relativiert zu sehen wäre. Gegenüber diesen Optionen erscheint die Einholung der Meinung eines Dritten als einzige realistische Möglichkeit. Dies wären insbesondere die Begutachtung durch einen Sachverständigen oder aber eine Zertifizierung. Der im Rahmen der letzten Revision des DSG neu eingeführte Art. 14a 34 ermöglicht es Unternehmen in Liechtenstein, Datenschutzprüfungen durchführen zu lassen. Danach könnte zum Beispiel ein liechtensteinischer Anbieter seinen Cloud Service unter datenschutzrechtlichen Gesichtspunkten zertifizieren lassen. Zum Zweck dieser neuen Vorschrift führt der liechtensteinische Gesetzgeber aus: Mit der hier neu vorgeschlagenen Bestimmung wird ein Element der Selbstregulierung ins Datenschutzgesetz eingeführt. Damit soll die Selbstverantwortung der Inhaber der Datensammlungen gestärkt und der Wettbewerb stimuliert werden. Dies trägt zu einer kontinuierlichen Verbesserung von Datenschutz und Datensicherheit bei; bestehende Defizite beim Vollzug der einschlägigen Gesetzgebung können so abgebaut werden. Darüber hinaus führt das Konzept der Selbstkontrolle bis zu einem gewissen Grad zu einer Berücksichtigung der technologischen Entwicklung. 35 Ein erfolgreich durchgeführtes Zertifizierungsverfahren soll zur Verleihung eines Datenschutz-Qualitätszeichens führen. Der Nachweis der datenschutzkonformen Datenbearbeitung wäre dadurch qualifiziert und nachprüfbar erbracht. Auf Grund der zur Aufrechterhaltung des Zertifikats üblicher Weise erforderlichen Audits und Re-Zertifizierungen 36 wäre darüber hinaus gewährleistet, dass regelmässige Kontrollen der Datenbearbeitung stattfinden. Ein solches Datenschutz-Gütesiegel kann daher gewiss als ein Vertrauensvorschuss für mögliche Kunden und durchaus als Wettbewerbsvorteil angesehen werden. 9. Fallbeispiele Der kürzliche Vorfall und Datenverlust bei Amazon 37 zeigt, auf welche Gratwanderung man sich beim Cloud Computing begeben kann. Die Datenschutzkommission von Dänemark hatte 2010 einen Fall zu entscheiden, in dem die Stadt Odense Daten auf Google Apps auslagern wollte. Das Hauptproblem bestand in diesem Fall darin, dass die Stadt Odense die Kontrolle über die Daten nicht mehr hatte: weder konnte nachgewiesen 34 LGBl Nr Bericht und Antrag Nr. 2008/130, S. 36f. 36 Die über Art. 14a Abs. 2 DSG zu erlassende Verordnung zur Regelung des Akkreditierungsverfahren war zum Zeitpunkt des Verfassens dieses Aufsatzes noch nicht in Kraft. Hier bleibt es daher abzuwarten, welche Anforderungen der liechtensteinische Gesetzgeber an das Verfahren stellen wird. Regelmässige Audits und Re-Zertifizierungen sind jedoch nach internationalen Standards, wie z. B. ISO, üblich. 37 In Folge eines technischen Ausfalls des Cloud-Service Amazon EC2 gingen unzählige Kundendaten unwiederbringlich verloren. Beispielhaft für die umfangreiche Berichterstattung: Cloud html.

12 174 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing werden, wo die Daten sind, noch konnte belegt werden, dass sich Google an den Auftrag mit Odense hält. 38 Denn Google wandte die eigenen Datenschutzbestimmungen an. Dies kann zur Folge haben, dass die Bestimmungen einseitig zu Gunsten von Google geändert werden können. Beides widerspricht dem eingangs erwähnten Grundsatz der Herrschaft über die eigenen Daten (Recht auf informationelle Selbstbestimmung). Im dänischen Fall stellten sich vor allem folgende Fragen bei der Prüfung der Datenschutzkonformität: Wo sind die Daten? Welcher Schutz besteht gegen Übermittlung in Drittländer? Auf welcher Grundlage wurde das risk assessment durchgeführt? Was hindert Google daran, die Datenschutzerklärung einseitig zu ändern? Wie werden Daten gelöscht? Werden sie bei der Speicherung verschlüsselt? Bei der Entscheidung der dänischen Datenschutzkommission sind folgende Punkte erwähnenswert: Es konnte nicht nachgewiesen werden, dass die Daten nicht in ein Drittland fliessen, in dem es keinen angemessenen Datenschutz gibt (3.1). Das kann z.b. zu ungewollten Datenzugriffen insbesondere durch staatliche Behörden führen. Es wurde kein genügendes risk-assessment durchgeführt (4.1.2). Google hielt sich nur an die eigenen Nutzungsbedingungen (5.1. und 5.2.). Dies bedeutet nicht weniger, als dass Google den Auftrag nicht so ausführt, wie dies gedacht war. Eine Prüfung der Löschung war nicht möglich (6.3) und eine Protokollierung wurde nicht nachgewiesen (9.3.). Die Datenschutzkommission betont ausdrücklich, dass ein Audit hier hilfreich gewesen wäre (5.3.2.). Was lehrt diese Entscheidung? Die Kontrolle über die Daten ist entscheidend. Da es sich beim Cloud Computing um eine Form der Auftragsbearbeitung handelt, müssen die massgeblichen Punkte wie oben ausführlich dargestellt auch vertraglich geregelt werden. Die European Network and Information Security Agency (ENISA) hat sich sehr intensiv mit den Chancen und Risiken von Cloud Computing beschäftigt und die Ergebnisse in einem Dokument mit dem Titel Benefits, risks and recommendations for information security veröffentlicht. 39 Eine Be

13 Mittelberger / Binder Datenschutzrechtliche Chancen und Risiken von Cloud Computing 175 rücksichtigung dieses Papiers ist bei der Anwendung von Cloud Computing in jedem Fall zu empfehlen Fazit Die Welt ist weder schwarz noch weiss. Deshalb sollte man sich auch nicht von den angeblich unglaublichen Chancen des Cloud Computing blenden, aber auch nicht völlig abschrecken lassen. Nur bei einer angemessenen Berücksichtigung der dargestellten Risiken kann das Modell Cloud Computing aus datenschutzrechtlicher Sicht bestehen. Generell kann allerdings das Fazit gezogen werden, dass das Modell einer public cloud in der Regel eher nicht mit den datenschutzrechtlichen Anforderungen der Art. 9 bis 11 DSV vereinbar sein dürfte, während das Modell einer private cloud richtig angewendet durchaus ein neues Geschäftsfeld bieten kann. Allerdings gilt auch hier: je höher die Anpassung der Private Cloud an die individuellen Bedürfnisse, desto mehr schwinden die originären Vorteile der Cloud. Bei der Entscheidung, Personendaten durch einen Cloud Computing Service bearbeiten zu lassen, sollten daher im Rahmen einer Risikoanalyse die Organisationsstruktur und Funktionsweise der Cloud genauestens analysiert werden, ob diese für die konkrete Datenbearbeitung auch wirklich geeignet und angemessen ist. Der Umgang mit Datenschutz auf Seiten des Serviceanbieters sollte hierbei mit entscheidend sein. So stellt sich bei einem Serviceanbieter in Europa die Frage des Zugriffes durch US-Strafverfolgungsbehörden weniger als z.b. bei Microsoft. 41 Als positiv zu bewerten ist zum Beispiel der Nachweis eines Datenschutzzertifikats gem. Art. 14a DSG oder Datenschutzmanagementsystems. Genau so viel Sorgfalt sollte an die Ausarbeitung des schriftlichen Auftragsverhältnisses verwendet werden, damit die von Reinhard Mey besungene grenzenlose Freiheit über den Wolken letztendlich nicht doch Ängste und Sorgen bereitet. 40 Die ENISA, a. a. O., hält zu den Datenschutzrisiken auf Seite 46 Folgendes fest: It can be difficult for the cloud customer (in its role of data controller) to effectively check the data processing that the cloud provider carries out, and thus be sure that the data is handled in a lawful way. It has to be clear that the cloud customer will be the main person responsible for the processing of personal data, even when such processing is carried out by the cloud provider in its role of external processor. Failure to comply with data protection law may lead to administrative, civil and also criminal sanctions, which vary from country to country, for the data controller. This problem is exacerbated in the case of multiple transfers of data e.g., between federated clouds. On the other hand, some cloud providers do provide information on the data processing that they carry out. Some also offer certification summaries of their data processing and data security activities and the data controls they have in place, e.g.,. SAS70 certification providers. There may be data security breaches which are not notified to the controller by the cloud provider. The cloud customer may lose control of the data processed by the cloud provider. This issue is increased in the case of multiple transfers of data (e.g., between federated cloud providers). The cloud provider may receive data that have not been lawfully collected by its customer (the controller). 41 Vgl. Fussnote 22.

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

AUFTRAG (Outsourcing)

AUFTRAG (Outsourcing) Autorité cantonale de surveillance en matière de protection des données Kantonale Aufsichtsbehörde für Datenschutz CANTON DE FRIBOURG / KANTON FREIBURG La Préposée Die Beauftragte Merkblatt Nr. 5 Grand-Rue

Mehr

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte

Risiken und Haftungsfragen für Sicherheits- und Führungskräfte Risiken und Haftungsfragen für Sicherheits- und Führungskräfte mag. iur. Maria Winkler Geschäftsführerin der IT & Law Consulting GmbH SSI-Fachtagung vom 28.10.2010 Unternehmenssicherheit - Neue Herausforderungen

Mehr

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler

RECHTLICHE ASPEKTE DER DATENHALTUNG. von Andreas Dorfer, Sabine Laubichler RECHTLICHE ASPEKTE DER DATENHALTUNG von Andreas Dorfer, Sabine Laubichler Gliederung 2 Definitionen Rechtliche Rahmenbedingungen C3-Framework Servicemodelle 3 Software as a Service (SaaS) salesforce.com,

Mehr

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen

Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Endgültige Vernichtung von Daten Risiken und rechtliche Anforderungen Security Zone 2010 Themen Müssen Daten und Dokumente vernichtet werden? Informationssicherheit Geheimhaltungspflichten Datenschutzrecht

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

IT SECURITY IN THE HYBRID CLOUD

IT SECURITY IN THE HYBRID CLOUD IT SECURITY IN THE HYBRID CLOUD Hybrid Clouds Rechtliche Herausforderungen Carmen De la Cruz Böhringer DIE REFERENTEN Carmen De la Cruz Böhringer Carmen De la Cruz Böhringer RA lic. iur. Eidg. dipl. Wirtschaftsinformatikerin

Mehr

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010

Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Cloud Computing was ist aus rechtlicher Sicht zu beachten? ISSS Security Lunch 06. Dezember 2010 Agenda Cloud Computing - eine Qualifikation aus rechtlicher Sicht Wichtige Vertragspunkte Outsourcing der

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Rechtliche Herausforderungen für IT-Security-Verantwortliche

Rechtliche Herausforderungen für IT-Security-Verantwortliche Rechtliche Herausforderungen für IT-Security-Verantwortliche lic. iur. David Rosenthal ETH Life 2 Handelsblatt 3 SDA 4 5 20 Minuten/Keystone Die Folgen - Image- und Vertrauensschaden - Umsatzausfälle -

Mehr

Probleme des Datenschutzes in der Versicherungsmedizin

Probleme des Datenschutzes in der Versicherungsmedizin Probleme des Datenschutzes in der Versicherungsmedizin Ursula Uttinger, lic. iur., MBA HSG, Präsidentin Datenschutz-Forum Schweiz 1 Hauptprinzipien Transparenz Informationelle Selbstbestimmung 2 Geltungsbereich

Mehr

Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010

Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010 Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010 Prof. Dr. Rainer Erd Rechtsanwalt Schmalz Rechtsanwälte Hansaallee 30-32, 60322 Frankfurt am

Mehr

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www.niclaw.ch. niclaw Blindflug im Wolkenmeer? Rechtliche Aspekte zum Cloud Computing Last Monday vom 27. Juni 2011 Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - www..ch Persönliches Cordula E. Niklaus,

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze? Vortrag im Rahmen des BSI-Grundschutztages zum Thema Datenschutz und Informationssicherheit für KMU in der Praxis am 25.10.2011 im Bayernhafen Regensburg

Mehr

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz

Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz Merkblatt zur Verpflichtung auf das Datengeheimnis nach 6 Abs. 2 Sächsisches Datenschutzgesetz 1. Was versteht man unter der "Verpflichtung auf das Datengeheimnis"? Die Verpflichtung auf das Datengeheimnis

Mehr

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR)

Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) ARTIKEL-29-DATENSCHUTZGRUPPE 1271-03-02/08/DE WP 155 Rev.03 Arbeitsdokument zu Häufig gestellten Fragen über verbindliche unternehmensinterne Datenschutzregelungen (BCR) Angenommen am 24. Juni 2008 Zuletzt

Mehr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr

Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr Ursula Uttinger 15. Oktober 2014 18.15 19.30 Uhr Dr. med. Michael Liebrenz, Leiter Gutachterstelle für Zivil- und Öffentlichrechtliche Fragestellung PUK Ursula Uttinger, lic. iur. /exec. MBA HSG, Präsidentin

Mehr

Cloud Computing Security

Cloud Computing Security Cloud Computing Security Wie sicher ist die Wolke? Prof. Dr. Christoph Karg Studiengang Informatik Hochschule Aalen 24.6.2010 SPI Service Modell Prof. Dr. Christoph Karg: Cloud Computing Security 2/14

Mehr

Cloud-Rechtssicherheit

Cloud-Rechtssicherheit Cloud-Rechtssicherheit TechDay Kramer & Crew 30 Minuten Stefan Fischerkeller Diplomverwaltungswirt (FH) Geprüfter, fachkundiger Datenschutzbeauftragter 1 Profil DDK Standorte: München, Bodensee, Stuttgart,

Mehr

Cloud Computing: Rechtliche Aspekte

Cloud Computing: Rechtliche Aspekte Cloud Computing: Rechtliche Aspekte Information Center und IT-Services Manager Forum Schweiz 22. März 2012 Dr. iur., Rechtsanwalt Froriep Renggli gegründet 1966 Büros in Zürich, Zug, Lausanne, Genf, London

Mehr

Rechtliche Aspekte von Informationssicherheitsmessungen

Rechtliche Aspekte von Informationssicherheitsmessungen iimt information security brush-up workshop 11/02/2003 measuring information security state of the art and best practices Rechtliche Aspekte von Informationssicherheitsmessungen Dr. Wolfgang Straub Überblick

Mehr

Sicherheit und Datenschutz in der Cloud

Sicherheit und Datenschutz in der Cloud Sicherheit und Datenschutz in der Cloud Kennen Sie die Herausforderungen der Zukunft? VDE Rhein-Main e.v. Arbeitsgemeinschaft IK Thomas Kochanek Montag, den 24.10.2011 Sicherheit und Datenschutz in der

Mehr

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen.

lassen Sie mich zunächst den Organisatoren dieser Konferenz für ihre Einladung danken. Es freut mich sehr, zu Ihren Diskussionen beitragen zu dürfen. Mobile Personal Clouds with Silver Linings Columbia Institute for Tele Information Columbia Business School New York, 8. Juni 2012 Giovanni Buttarelli, Stellvertretender Europäischer Datenschutzbeauftragter

Mehr

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9. DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor Die neuen Cloud-Zertifizierungen nach ISO 27018 und ISO 20000-9 DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor ISO/IEC 27013 Information technology - Security techniques - Guidance on the integrated

Mehr

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter

Mehr

Datenschutz aktuell. Themenblock 3. Grenzüberschreitender Datenverkehr und Outsourcing in der Praxis. mag. iur. Maria Winkler, 18.

Datenschutz aktuell. Themenblock 3. Grenzüberschreitender Datenverkehr und Outsourcing in der Praxis. mag. iur. Maria Winkler, 18. Datenschutz aktuell Themenblock 3 und Outsourcing in der Praxis mag. iur. Maria Winkler, 18. März 2014 Agenda Datenübermittlung ins Ausland Gesetzliche Grundlagen US-Swiss Safe Harbor Outsourcing der Datenbearbeitung

Mehr

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS

EUROPEAN NETWORK OF CLOUD ASSOCIATIONS CPC Transparency, Security, Reliability An Initiative of EuroCloud Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. Legal

Mehr

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic.

ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG FIT VOM UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld. lic. ISACA/SVIR 19.11.2013 ISACA/SVIR-VERANSTALTUNG VOM FIT FÜR DIE ZUKUNFT UKUNFT? Die Prüfung des Datenschutzes im veränderten Umfeld lic. iur. Barbara Widmer, LL.M./CIA REFERAT IM KONTEXT DES TAGUNGSTHEMAS

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M.

Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013. Dr. Oliver Staffelbach, LL.M. Vielfältiges Dialogmarketing Datenschutz Feind des Mobile Marketing? Referat für den SDV vom 23. April 2013 Dr. Oliver Staffelbach, LL.M. 1 Einleitung (1) Quelle: http://www.20min.ch/digital/news/story/schaufensterpuppe-spioniert-kunden-aus-31053931

Mehr

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung...

1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 1 Rechtliche und steuerrechtliche Betrachtung... 2 1.1 Der Entwurf der EU-Kommission zu einer einheitlichen europäischen Datenschutzverordnung... 2 1.1.1 Rechtsnatur und Anwendungsbereich der neuer EU-

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz 2. April 2011 Dr. Fabian Niemann Bird & Bird LLP, Frankfurt a.m. Datenschutzbehörden und die Wolke Werden Stellen außerhalb der Europäischen Union mit einbezogen, so sind

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Big Data Was ist erlaubt - wo liegen die Grenzen?

Big Data Was ist erlaubt - wo liegen die Grenzen? Big Data Was ist erlaubt - wo liegen die Grenzen? mag. iur. Maria Winkler Themen Kurze Einführung ins Datenschutzrecht Datenschutzrechtliche Bearbeitungsgrundsätze und Big Data Empfehlungen für Big Data

Mehr

Datenschutz und Privacy in der Cloud

Datenschutz und Privacy in der Cloud Datenschutz und Privacy in der Cloud Seminar: Datenbankanwendungen im Cloud Computing Michael Markus 29. Juni 2010 LEHRSTUHL FÜR SYSTEME DER INFORMATIONSVERWALTUNG KIT Universität des Landes Baden-Württemberg

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz 01. Februar 2011 Jörg-Alexander Paul & Dr. Fabian Niemann Bird & Bird LLP, Frankfurt a.m. Herzlich willkommen! Jörg-Alexander Paul Dr. Fabian Niemann Webinar 1. Teil Vertragsgestaltung

Mehr

Datenverwendung und Datenweitergabe - was ist noch legal?

Datenverwendung und Datenweitergabe - was ist noch legal? RA Andreas Jaspers Geschäftsführer der Gesellschaft für Datenschutz und Datensicherung (GDD) e.v. Pariser Str. 37 53117 Bonn Tel.: 0228-694313 Fax: 0228-695638 E-Mail: jaspers@gdd.de Die GDD e.v. Die GDD

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

VSD: Datenschutz und ISO 27001 Anforderungen an Druckdienstleister

VSD: Datenschutz und ISO 27001 Anforderungen an Druckdienstleister VSD: Datenschutz und ISO 27001 Anforderungen an Druckdienstleister Datenschutz und Informationssicherheit proaktiv und systematisch umgesetzt Pascal Tschachtli, lic. iur. DMC Data Management Consulting

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze

Datenschutz. IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg. Petra Schulze Datenschutz IT-Sicherheitsbotschafter Aufbauseminar 3, am 15.05.2014 in Hamburg-Harburg Petra Schulze Fachverband Motivation Daten werden zunehmend elektronisch gespeichert und übermittelt Daten können

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG Wann ist das Bundesdatenschutzgesetz anwendbar? Das Bundesdatenschutzgesetz (BDSG) gilt gemäß 1 Abs. 2 Nr. 3 BDSG für alle nicht öffentlichen

Mehr

ERGÄNZENDE INTERNE BESTIMMUNGEN ZUR DURCHFÜHRUNG DER VERORDNUNG (EG) Nr. 45/2001 ÜBER DEN DATENSCHUTZBEAUFTRAGTEN

ERGÄNZENDE INTERNE BESTIMMUNGEN ZUR DURCHFÜHRUNG DER VERORDNUNG (EG) Nr. 45/2001 ÜBER DEN DATENSCHUTZBEAUFTRAGTEN Ergänzende interne Bestimmungen zur Durchführung der Verordnung über den Datenschutzbeauftragten ERGÄNZENDE INTERNE BESTIMMUNGEN ZUR DURCHFÜHRUNG DER VERORDNUNG (EG) Nr. 45/2001 ÜBER DEN DATENSCHUTZBEAUFTRAGTEN

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

Social Media kein rechtsfreier Raum

Social Media kein rechtsfreier Raum Social Media kein rechtsfreier Raum Lunchveranstaltung vom 7. Mai 2014 lic.iur. Nadia Steiner-Huwiler, Rechtsdienst, Universität Zürich E-Mail: nadia.steiner@rd.uzh.ch 07.05.14 Seite 1 Übersicht Social

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Merkblatt "Cloud Computing"

Merkblatt Cloud Computing AUFSICHTSSTELLE DATENSCHUTZ Merkblatt "Cloud Computing" Cloud Computing ist heutzutage in aller Munde. Schnell und kostengünstig soll es sein. Doch was hat es mit dieser sog. Wolke auf sich? Was geschieht,

Mehr

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015

COBIT 5 Controls & Assurance in the Cloud. 05. November 2015 COBIT 5 Controls & Assurance in the Cloud 05. November 2015 Charakteristika der Cloud On-Demand Self Service Benötigte IT-Kapazität selbstständig ordern und einrichten Broad Network Access Zugriff auf

Mehr

Anforderungen für sicheres Cloud Computing

Anforderungen für sicheres Cloud Computing Anforderungen für sicheres Cloud Computing Isabel Münch Bundesamt für Sicherheit in der Informationstechnik EuroCloud Deutschland Conference Köln 18.05.2011 Agenda Überblick BSI Grundlagen Sicherheitsempfehlungen

Mehr

Datenschutz-Unterweisung

Datenschutz-Unterweisung Datenschutz-Unterweisung Prof. Dr. Rolf Lauser Datenschutzbeauftragter (GDDcert) öbuv Sachverständiger für Systeme und Anwendungen der Informationsverarbeitung im kaufmännisch-administrativen Bereich sowie

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Cloud Computing Datenschutz und richtig gute Cloud-Verträge

Cloud Computing Datenschutz und richtig gute Cloud-Verträge Cloud Computing Datenschutz und richtig gute Cloud-Verträge Dr. Jörg Alshut iico 2013 Berlin, 13.05.2013 Rechtsberatung. Steuerberatung. Luther. Überblick. Cloud Computing Definition. Datenschutz Thesen.

Mehr

Kontrollvereinbarung. zwischen. [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und

Kontrollvereinbarung. zwischen. [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und Kontrollvereinbarung datiert [Datum] zwischen [Name], [Strasse Nr., PLZ Ort] (UID: CHE-xxx.xxx.xxx) (nachfolgend Teilnehmer) (nachfolgend Teilnehmer) und SIX SIS AG, Baslerstrasse 100, 4601 Olten (UID:

Mehr

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat

Was Ihr Cloud Vertrag mit Sicherheit zu tun hat Was Ihr Cloud Vertrag mit Sicherheit zu tun hat EC Deutschland 14 Mai 2013- Konzerthaus Karlsruhe Ziele des Vortrags - ein Weg in die Cloud 1. Sicherheit eine mehrdimensionalen Betrachtung 2. Zusammenhang

Mehr

CLOUD COMPUTING DATENSCHUTZRECHTLICHE ASPEKTE & MEHR

CLOUD COMPUTING DATENSCHUTZRECHTLICHE ASPEKTE & MEHR CLOUD COMPUTING DATENSCHUTZRECHTLICHE ASPEKTE & MEHR Führungskräfte Forum 14. Oktober 2010 Mathias Zimmer-Goertz Seite 2 AGENDA Cloud Computing: Ein Begriff viele Bedeutungen Im Fokus: Datenschutz Vertragsgestaltung

Mehr

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel -

Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen. - Beispiel - Sicherheitsrichtlinie für das Outsourcing von IT-Leistungen - Beispiel - Stand: Juni 2004 INHALTSVERZEICHNIS 1 EINLEITUNG... 2 2 GELTUNGSBEREICH... 2 3 AUSWAHL EINES OUTSOURCING-DIENSTLEISTERS... 3 4 VERTRAGSSPEZIFISCHE

Mehr

Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe

Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe MERKBLATT Datenschutzkonforme Nutzung sozialer Medien durch öffentliche Organe I. Einleitung Dieses Merkblatt richtet sich an öffentliche Organe, welche der kantonalen Datenschutzgesetzgebung unterstehen

Mehr

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht

Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht . Auch in kleineren Unternehmen ist der Datenschutzbeauftragte Pflicht Themenschwerpunkt 1. Wer braucht einen Datenschutzbeauftragter? Unternehmen, die personenbezogene Daten automatisiert erheben, verarbeiten

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein

Contra Cloud. Thilo Weichert, Leiter des ULD. Landesbeauftragter für Datenschutz Schleswig-Holstein Contra Cloud Thilo Weichert, Leiter des ULD Landesbeauftragter für Datenschutz Schleswig-Holstein DAV-Symposium: In den Wolken Schutz der anwaltlichen Verschwiegenheitspflicht auch bei grenzüberschreitendem

Mehr

Cloud Computing Datenschutz und IT-Sicherheit

Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing Datenschutz und IT-Sicherheit Cloud Computing in der Praxis Trends, Risiken, Chancen und Nutzungspotentiale IHK Koblenz, 23.5.2013 Helmut Eiermann Leiter Technik Der Landesbeauftragte für

Mehr

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits

Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits Datenschutzbeauftragter Datenschutzberatung - externer Datenschutzbeauftragter - Datenschutzaudits www.ds-easy.de Seminare für Datenschutzbeauftragte Seite 2 von 5 Egal, ob Sie sich weiterqualifizieren

Mehr

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter

Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Ev.-Luth. Landeskirche Mecklenburgs Datenschutzbeauftragter Goethestraße 27 18209 Bad Doberan Telefon: 038203/77690 Telefax: 038203/776928 Datenschutzbeauftragter Schütte, Goethestraße 27, 18209 Bad Doberan

Mehr

Cloud Computing und Metadatenkonzepte

Cloud Computing und Metadatenkonzepte Cloud Computing und Metadatenkonzepte 6. Darmstädter Informationsrechtstag F. Wagner - Cloud Computing und Metadatenkonzepte - 6. Darmstädter Informationsrechtstag 26.11.2010 1 Herausforderungen Sicherheit

Mehr

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern

Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern Verordnung zum Schutz von Patientendaten Krankenh-DSV-O 715 Verordnung zum Schutz von Patientendaten in evangelischen Krankenhäusern vom 29. Oktober 1991 KABl. S. 234 Aufgrund von 11 Absatz 2 des Kirchengesetzes

Mehr

Das Datenschutzgesetz im privaten Bereich. Zwischenbilanz und offene Fragen fünf Thesen David Rosenthal, 27. April 2012

Das Datenschutzgesetz im privaten Bereich. Zwischenbilanz und offene Fragen fünf Thesen David Rosenthal, 27. April 2012 Das Datenschutzgesetz im privaten Bereich Zwischenbilanz und offene Fragen fünf Thesen David Rosenthal, Das Datenschutzgesetz im privaten Bereich Zwischenbilanz und offene Fragen fünf Thesen David Rosenthal,

Mehr

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Datenschutzbestimmung 1. Verantwortliche Stelle Diese Website und das Leistungsangebot von www.pflegemit-herz.de werden von der Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung Pieskower Straße

Mehr

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche

Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche Sozialdatenschutz in der freien Jugendhilfe in der katholischen Kirche (Kirchliches Amtsblatt, Erzbistum Hamburg, Bd. 11, Nr. 3, Art. 36, S. 34 ff., v. 15. März 2005) Vorbemerkung: Der Schutz von Sozialdaten

Mehr

Cloud Computing Wohin geht die Reise?

Cloud Computing Wohin geht die Reise? Cloud Computing Wohin geht die Reise? Isabel Münch Bundesamt für Sicherheit in der Informationstechnik 14. ComIn Talk Essen 17.10.2011 Agenda Einleitung Chancen und Risiken von Cloud Computing Aktivitäten

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Rechtsanwälte Steuerberater Wirtschaftsprüfer

Rechtsanwälte Steuerberater Wirtschaftsprüfer Workshop Cloud-Computing Die Herausforderung für die Daten- und Rechtssicherheit GI-Fachgruppe Management 20. November 2009 Dr. Christiane Bierekoven, Rödl & Partner Rechtsanwälte Steuerberater Wirtschaftsprüfer

Mehr

18.03.2011. G.Riekewolt 1. Meine Daten gehören mir! Datenschutz - ein Managementthema. Übersicht

18.03.2011. G.Riekewolt 1. Meine Daten gehören mir! Datenschutz - ein Managementthema. Übersicht - ein Managementthema beauftragte in Werkstätten für Menschen mit Behinderung Werkstätten:Messe 2011 Nürnberg, 18.03.2011 datenschutzbeaufragter (gepr.udis) datenschutzauditor (pers.cert.tüv) höfle 2 73087

Mehr

FachInfo Dezember 2012

FachInfo Dezember 2012 FachInfo Dezember 2012 Datenschutz in der Asylsozialhilfe Inhaltsverzeichnis 1. Einleitung... 2 2. Grundsätze des Datenschutzes... 2 2.1 Verhältnismässigkeit...2 2.2 Zweckbindung...2 2.3 Richtigkeit und

Mehr

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen

Änderungs- und Ergänzungsvorschläge der deutschen gesetzlichen Krankenkassen über eine Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (Datenschutz-Grundverordnung) KOM(2012)

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

1. bvh-datenschutztag 2013

1. bvh-datenschutztag 2013 1 CLOUD COMPUTING, DATENSCHUTZ ASPEKTE DER VERTRAGSGESTALTUNG UND BIG DATA Rechtsanwalt Daniel Schätzle Berlin, 20. März 2013 1. bvh-datenschutztag 2013 Was ist eigentlich Cloud Computing? 2 WESENTLICHE

Mehr