SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Größe: px

Ab Seite anzeigen:

Download "SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf"

Viktor Werner Otto
vor 6 Jahren
Abrufe

1 SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf 1

2 1 2 3 Datenschutzrecht Wann greift es ein? Auftragsdatenverarbeitung als Bestandteil von SaaS Datenschutz und Datensicherheit 4 Diskussion und Fragen 2

3 Datenschutzrecht Wann greift es ein? Datenschutzrecht = Schutz personenbezogener Daten Daten, die mittels SaaS-Anwendung erhoben und verwendet werden Übertragung der Daten zwischen Nutzer-System und SaaS- Anwendung personenbezogene Daten ( 3 Abs. 1 BDSG) sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person [ ] Konsequenzen Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1 BDSG): Beschränkungen bei der Verwendung von Daten Pflicht zu IT-Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten ( 9 BDSG, 109 TKG) Maßnahmenkatalog zum Schutz 3

4 1 2 3 Datenschutzrecht Wann greift es ein? Auftragsdatenverarbeitung als Bestandteil von SaaS Datenschutz und Datensicherheit 4 Diskussion und Fragen 4

5 Auftragsdatenverarbeitung als Bestandteil von SaaS Warum ist Auftragsdatenverarbeitung ein Bestandteil von SaaS? Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1 BDSG) Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Übermittlung ( 3 Abs. 4 Nr. 3 BDSG) = Bekanntgabe an einen Dritten Dritter jeder außerhalb des Auftraggebers nicht: Auftragsdatenverarbeiter ( 3 Abs. 8 i.v.m. 11 BDSG) Vertrag über die Auftragsdatenverarbeitung = Rechtsgrundlage für Übertragung der Daten 11 Abs. 5 BDSG: Regelungen über Auftragsdatenverarbeitung bei Wartung und Pflege und Zugriff auf persbezogne Daten nicht ausgeschlossen Pflicht zu Regelungen nach Maßgabe des 11 BDSG 5

6 Auftragsdatenverarbeitung als Bestandteil von SaaS Auftragsdatenverarbeitung Was ist das? Vertrag zwischen SaaS-Nutzer und SaaS-Anbieter über die Verwendung personenbezogener Daten Inhalt nach Maßgabe des 11 BDSG Grundvoraussetzung für Auftragsdatenverarbeitung strikte Weisungsgebundenheit des Auftragnehmers Schriftform des Vertrags über die Auftragsdatenverarbeitung Primärverantwortung für Datenschutz bleibt bei Auftraggeber Vorgaben des 11 BDSG sorgfältige Auswahl des Auftragnehmers unter besonderer Berücksichtigung der Sicherheit der personenbez. Daten NEU seit : Pflichten des 10-Punkte-Katalogs Überzeugungsbildung in Bezug auf Sicherheit der personenbez. Daten NEU seit : Bußgeld bis EURO ,00 bei Verstoß 6

7 Auftragsdatenverarbeitung als Bestandteil von SaaS Pflichten des 10-Punkte-Katalogs ( 11 Abs. 1 S. 2 BDSG) (Auszug) Der Auftrag ist schriftlich [ ], wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. [ ], 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. [ ] 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. [ ] 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 7

8 Auftragsdatenverarbeitung als Bestandteil von SaaS Vertragliche Festlegung der Vorgaben des 10-Punkte-Katalogs keine Pflicht zur einseitigen Vorgabe durch Auftraggeber bei Verstoß: Bußgeld nur gegen Auftraggeber bis EURO ,00 Gesetzgeber sieht auf Auftraggeber in der Pflicht für das Ergebnis Überzeugungsbildung in Bezug auf Maßnahmen nach 9 BDSG Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung [ ] zu überzeugen. Das Ergebnis ist zu dokumentieren. NEU seit : Zeitpunkte und Dokumentationspflicht nicht: stets Prüfung vor Ort auch durch Testate und Auskünfte Bußgeld bis EURO ,00 ( 43 Abs. 1 Nr. 2b BDSG) Verstoß gegen Überzeugungsbildung nicht auch: Verstoß gegen Dokumentationspflicht 8

9 1 2 3 Datenschutzrecht Wann greift es ein? Auftragsdatenverarbeitung als Bestandteil von SaaS Datenschutz und Datensicherheit 4 Diskussion und Fragen 9

10 Datenschutz und Datensicherheit Datenschutz und Datensicherheit Pflicht: primär für Auftraggeber (vgl. 7, 9, 11 BDSG) vertragliche Pflicht des Auftragnehmers gegenüber Auftraggeber und gesetzlich gegenüber Betroffenem vertragliche Festlegung NEU seit : Security Breach Notification Informationspflicht bei Datenpannen gegenüber Aufsichtsbehörde und Betroffenen/Öffentlichkeit Verstoß gegen Informationspflicht: Bußgeld bis EURO ,00 ( 43 Abs. 1 Nr. 7 BDSG) Verwertungsverbot zugunsten des Benachrichtigungspflichten kein Schutz der Verantwortlichen des Unternehmens im strafrechtlichen Sinn keine sog. Fernwirkung des Verwertungsverbots 10

11 Datenschutz und Datensicherheit Security Breach Notification Wann besteht die Pflicht? 42a BDSG, 15a TMG, 93 Abs. 3 TKG gespeicherte Daten besondere Arten personenbezogener Daten ( 3 Absatz 9) personenbezogene Daten geschützt durch Berufsgeheimnis personenbezogene Daten, die sich auf strafbare Handlungen oder Ordnungswidrigkeiten oder den Verdacht strafbarer Handlungen oder Ordnungswidrigkeiten beziehen personenbezogene Daten zu Bank- oder Kreditkartenkonten TMG/TKG: Bestand- oder Nutzungs-/Verkehrsdaten unrechtmäßig übermittelt oder auf sonstige Weise Dritten unrechtmäßig zur Kenntnis gelangt drohen schwerwiegende Beeinträchtigungen für die Rechte oder schutzwürdigen Interessen der Betroffenen 11

12 Datenschutz und Datensicherheit Security Breach Notification Was bedeutet das? Unterrichtung des Betroffenen unverzüglich unter Vorbehalt der Sicherung der Daten und Gefährdung der Strafverfolgung Darlegung der Art der unrechtmäßigen Kenntniserlangung Empfehlungen für Maßnahmen zur Minderung möglicher nachteiliger Folgen Sekundärrisiko durch falsche Empfehlung bei unverhältnismäßigem Aufwand: Unterrichtung der Öffentlichkeit Benachrichtigung der Aufsichtsbehörde unverzüglich zusätzlich : Darlegung möglicher nachteiliger Folgen der unrechtmäßigen Kenntniserlangung und der von der Stelle daraufhin ergriffenen Maßnahmen 12

13 1 2 3 Datenschutzrecht Wann greift es ein? Auftragsdatenverarbeitung als Bestandteil von SaaS Datenschutz und Datensicherheit 4 Diskussion und Fragen 13

14 Diskussion und Fragen Vielen Dank für Ihre Aufmerksamkeit! Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Graf-Recke-Straße Düsseldorf 0211 / / eckhardt@juconomy.de Kostenloser monatlicher Newsletter unter: 14

Ähnliche Dokumente

Bundesdatenschutzgesetz. E-Commerce Konferenz

Bundesdatenschutzgesetz. E-Commerce Konferenz Änderungen Bundesdatenschutzgesetz E-Commerce Konferenz 11.11.2010 Florian Labitzke Strategische Geschäftseinheit IT & Internet TÜV SÜD Management age e Service GmbH TÜV SÜD Management Service GmbH Themenübersicht