CLOUD COMPUTING DATENSCHUTZRECHTLICHE ASPEKTE

Transkript

1 CLOUD COMPUTING DATENSCHUTZRECHTLICHE ASPEKTE Führungskräfte Forum 27. Juni 2011 Mathias Zimmer-Goertz

2 Seite 2 AGENDA Vorstellung Cloud Computing-Modelle Rechtlich relevante Daten und Nutzungen Wann gilt deutsches Datenschutzrecht? Voraussetzung zulässiger Datennutzung Cloud Computing-Vertrag Fazit

3 Vorstellung Seite 3

4 Seite 4 BEITEN BURKHARDT STELLT SICH VOR Gründung: Büros: Anwälte: Mandanten: 1990 in München Beijing, Berlin, Brüssel, Düsseldorf, Frankfurt am Main, Kiew, Moskau, München, Nürnberg, Shanghai, St. Petersburg, Warschau 317 Anwälte Kleine und mittelständische Unternehmen Großunternehmen und Konzerne Banken Öffentliche Verwaltung

5 Seite 5 BEITEN BURKHARDT IT & Telekommunikation Derzeit 21 Anwälte mit Schwerpunkt Informations- und Telekommunikationstechnologie: Datenschutz Datenschutz-Audits Unterstützung Datenschutzbeauftragte Umsetzung Auftragsdatenverarbeitung Gestaltung von Einwilligungslösungen Rechtssichere Nutzung von Kundendaten Neue Technologien & Konzepte Social Media (Twitter, Facebook etc.) User Generated Content Cloud Computing Location-Based Services Vertragsgestaltung IT- / Telekommunikationsinfrastruktur Softwareerstellung Hardwareüberlassung Softwarepflege ecommerce / mcommerce Gestaltung von Webshops Umsetzung Werbe- und Vertriebskonzepte Verteidigung von Domains Lizenzierung von Content Jugendschutz

6 Seite 6 ANSPRECHPARTNER: MATHIAS ZIMMER-GOERTZ Studium in Freiburg und München Wirtschaftskanzleien in Atlanta / USA und Dubai / V.A.E. The Boston Consulting Group, Düsseldorf Seit 10 Jahren als Anwalt im Bereich IP / IT / Medien tätig Partner bei BEITEN BURKHARDT Düsseldorf Schwerpunkte & Erfahrung: Cloud Computing IT-Verträge Datenschutz Werbung Mobile Commerce Urheberrecht & Lizenzen Social Media Gewinn- und Glücksspiele.

7 Cloud Computing-Modelle Seite 7

8 Seite 8 Servicemodelle In der Praxis werden drei Servicemodelle unterschieden: SaaS Software as a Service PaaS Platform as a Service IaaS Infrastructure as a Service Datenschutzrechtlich relevant sind alle Modelle, bei denen Daten an den Cloud-Anbieter übermittelt werden.

9 Seite 9 Cloud-Modelle (I) Private Cloud Vernetzung von Servern innerhalb eines Unternehmens Daten verlassen das Unternehmen nicht und stehen unter dessen Kontrolle Achtung: Datenschutzrecht kennt kein Konzernprivileg Rein Unternehmens-interne Datenübermittlung ist datenschutzrechtlich regelmäßig unbedenklich..

10 Seite 10 Cloud-Modelle (II) Public Cloud Datenübermittlung Dritten als Cloud- Betreiber Nutzung der Ressourcen verschiedener Anbieter innerhalb einer Cloud denkbar Ggf. Infrastruktur-Nutzung durch beliebige Personen und Unternehmen Aufgrund Datenübermittlung an einen Dritten sind datenschutzrechtliche Vorgaben zu beachten..

11 Seite 11 Cloud-Modelle (III) Hybrid Cloud Betrieb einer Private Cloud Rückgriff auf Public Cloud bei Störungen und Belastungsspitzen Bei Nutzung der Public Cloud gleiche datenschutzrechtliche Herausforderungen wie bei reiner Public Cloud.

12 Rechtlich relevante Daten und Nutzungen Seite 12

13 Seite 13 Personenbezogene Daten (I) Das Google StreetView-Missverständnis: Nicht alle Daten sind datenschutzrechtlich relevant! Datenschutzrechtliche Vorgaben sind (nur) dann zu beachten, wenn personenbezogene Daten genutzt werden, d.h. Einzelangaben Informationen, die sich auf eine bestimmte Person beziehen (z. B. Name, Ausweisnummer, Versicherungsnummer, Telefonnummer) über persönliche Verhältnisse Angaben über den Betroffenen selbst (z. B. Anschrift, Familienstand, Geburtsdatum, Staatsangehörigkeit, Konfession, Beruf, Aussehen, Gesundheitszustand) Auch: Fotos und Röntgenbilder über sachliche Verhältnisse Angaben über einen auf den Betroffenen beziehbaren Sachverhalt (z. B. Grundbesitz, vertragliche Beziehungen zu Dritten, Führen eines Telefongesprächs) Nicht: Häuserfassade ohne Personenbezug

14 Seite 14 Personenbezogene Daten (II) einer bestimmten oder bestimmbaren Person Problem: objektive oder relative Bestimmbarkeit? + Relativer Begriff: Kenntnisse, Mittel und Möglichkeiten der speichernden Stelle (Maßstab: normalerweise zur Verfügung stehende Hilfsmitteln, ohne unverhältnismäßigen Aufwand) + Objektiver Begriff: Objektive technische Möglichkeiten natürliche Person Schutz juristischer Personen ggf. nur über Persönlichkeitsrecht (anders z.b. Österreich, Dänemark, Luxemburg) Aber: Hinter der juristischen Personen stehende natürliche Personen sind geschützt, wenn sich die Angaben über die Personengemeinschaft auf sie durchschlagen Umstritten: Daten Verstorbener (Tendenz (-))

15 Seite 15 Besondere Arten personenbezogene Daten Für die Nutzung bestimmter Daten mit stärkerem Bezug zur Privat- und Intimsphäre gelten strengere Vorgaben: Rassische und ethnische Herkunft Politische Meinungen Religiöse oder philosophische Überzeugungen Gewerkschaftszugehörigkeit Gesundheit Sexualleben Besondere Restriktionen bei Erhebung, Verarbeitung und Nutzung solcher Daten (vgl. 16, 28 BDSG)

16 Seite 16 Relevante Nutzungshandlungen Datenschutzrechtlich primär relevante Nutzungshandlungen beim Cloud Computing: Übertragung der Daten an den Cloud-Anbieter Speicherung der Daten auf den Systemen des Cloud-Anbieters In der Praxis kommen dabei insbesondere in Betracht Daten von Mitarbeitern Kunden Lieferanten & Dienstleistern Sonstigen Geschäftspartnern

17 Wann gilt deutsches Datenschutzrecht? Seite 17

18 Seite 18 Anwendbarkeit deutschen Datenschutzrechts Grundsatz: EU-Recht: Ort der Datenverarbeitung relevant Sitz der verarbeitenden Stelle relevant Deutsches Datenschutzrecht ist daher in folgenden Fällen anwendbar: Verarbeitersitz: Verarbeitungsort:.

19 Voraussetzung zulässiger Datennutzung Seite 19

20 Seite 20 Zulässige Datennutzung Sollen personenbezogene Daten im Rahmen des Cloud Computing genutzt werden, dann ist dies nur zulässig, wenn der Cloud Computing-Anbieter nicht Dritter im Sinne des Datenschutzrechts ist oder der Betroffene vorher wirksam zugestimmt hat oder eine ausdrückliche gesetzliche Erlaubnis gegeben ist. Ist keine der vorstehenden Voraussetzungen gegeben, so ist die Datennutzung rechtlich kritisch

21 Auftragsdatenverarbeitung Seite 21

22 Seite 22 Auftragsdatenverarbeitung ( 11 BDSG) Erfolgt eine Datenverarbeitung, -erhebung oder -nutzung durch einen Anderen im Auftrag für die verantwortliche Stelle, so gilt dieser Andere nicht als Dritter i.s.d. Datenschutzrechts ( 3 Abs. 8 Satz 3 BDSG). Folge: Aber: Eine gesetzliche Erlaubnis oder Einwilligung des Betroffenen ist dann nicht erforderlich. Grenzen der Auftragsdatenverarbeitung + Island + Norwegen + Liechtenstein

23 Seite 23 Auftragsverhältnis Tätigkeit des Dritten muss sich auf die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten für den Auftraggeber beschränken ( verlängerte Werkbank ), z.b. Externes Rechenzentrum für bestimmte Datenverarbeitungsaufgaben Entsorgungsunternehmen zur Vernichtung von Akten Dienstleister zum Anfertigen und Aufbewahren von Sicherungskopien Cloud Computing Rechtsform des Auftragsverhältnisses ist unerheblich (Dienstvertrag, Werkvertrag etc.). Aber: Kein Auftragsverhältnis, wenn Dritter nur die Verarbeitung von Daten, sondern auch die Aufgabe, zu deren Erfüllung die Verarbeitung der Daten notwendig ist, erledigt (Funktionsübertragung). Rechtsanwalt Eigenständige Bearbeitung von Kundenreklamationen durch Call Center

24 Seite 24 Vorgaben bei Auftragsdatenverarbeitung (I) Auftraggeber bliebt datenschutzrechtlich verantwortlich Sorgfältige Auswahl des Auftragnehmers unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen (auch bzgl. Unterauftragnehmer) Auftrag muss schriftlich erfolgen (kann bei öffentlichen Stellen auch durch Fachaufsichtsbehörde erteilt werden) Pflicht des Auftraggebers, sich von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen (sowohl vor Beginn als auch regelmäßig danach), z.b. - Eigene Kontrolle vor Ort - Sachverständige - Fragebögen - Vorlage von Prüfergebnissen und Zertifikaten

25 Seite 25 Vorgaben bei Auftragsdatenverarbeitung (II) Auftragnehmer darf Daten nur im Rahmen der Weisungen des Auftraggebers nutzen Hinweispflicht des Auftragnehmer, wenn Weisung seiner Ansicht nach gegen Datenschutzrecht verstößt Achtung: Bußgeld von bis zu EUR ,00 bei - nicht richtiger, nicht vollständiger oder nicht in vorgeschriebener Weise erfolgter Auftragserteilung - unterbliebener Erstkontrolle der technischen und organisatorischen Maßnahmen

26 Seite 26 Mindestinhalt des Auftrags (I) Der schriftlich zu erteilende Auftrag muss mindestens folgende Punkte regeln: Gegenstand und Dauer des Auftrags Umfang, Art und Zweck der Verarbeitung, Art der Daten, der Kreis der Betroffenen Zu treffende technische und organisatorische Sicherungsmaßnahmen ( 9 BDSG) Berichtigung, Löschung und Sperrung von Daten Pflichten des Auftragnehmers, insbesondere vorzunehmende Kontrollen Ggf. Berechtigung zur Begründung von Unterauftragsverhältnissen

27 Seite 27 Mindestinhalt des Auftrags (II) Kontrollrechte des Auftraggebers & Duldungs- und Mitwirkungspflichten des Auftragnehmers Mitzuteilende Verstöße des Auftragnehmers gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Vorgaben Umfang der Weisungsbefugnisse des Auftraggebers Rückgabe überlassener Datenträger und Löschung von Daten bei Auftragsende

28 Seite 28 Technische & Organisatorische Maßnahmen (I) Schutzmaßnahmen im Sinne von 9 BDSG umfassen: Zutrittskontrolle Kein Zutritt Unbefugter zu den Datenverarbeitungsanlagen. Zugangskontrolle Keine Nutzung der Datenverarbeitungssysteme durch Unbefugte. Zugriffskontrolle Zugriff auf Daten durch die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich entsprechend ihrer Zugriffsberechtigung. Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen von Daten bei deren Verarbeitung, Nutzung und nach der Speicherung. Eingabekontrolle Kontrollmöglichkeit, ob und von wem Daten eingegeben, verändert oder entfernt wurden.

29 Seite 29 Technische & Organisatorische Maßnahmen (II) Weitergabekontrolle Sicherstellung, dass Daten bei der elektronischen Übertragung, während des Transports oder während ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Möglichkeit der Überprüfung, an welche Stellen eine Übermittlung von Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Auftragskontrolle Gewährleistung, dass Daten nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Verfügbarkeitskontrolle Schutz der Daten gegen zufällige Zerstörung oder Verlust. Datentrennung Sicherstellung, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

30 Einwilligung des Betroffenen Seite 30

31 Seite 31 Einwilligung des Betroffenen (I) Vorgaben für die Erteilung der Einwilligung gem. 4a BDSG: Freie Entscheidung des Betroffenen Aufklärung über Zweck der Erhebung, Verarbeitung oder Nutzung Information über Folgen der Verweigerung (soweit erforderlich oder verlangt) Schriftform (Ausnahme: wegen besonderer Umstände andere Form angemessen) Bei Verbindung der Einwilligung mit anderen Erklärungen: besondere Hervorhebung Bei Nutzung besonderer Arten personenbezogener Daten gem. 3 Abs. 9 BDSG muss sich die Einwilligung ausdrücklich auf solche beziehen.

32 Seite 32 Einwilligung des Betroffenen (II) Im Bereich der öffentlichen Verwaltung hat die Möglichkeit der Einwilligung eine noch geringere Bedeutung. Grund: Öffentliche Stellen sind lediglich dazu befugt, bestimmte i.d.r. gesetzlich definierten Aufgaben nachzugehen. Für die Verwendung von Daten in diesem Rahmen ist aber kein Einverständnis des Betroffenen nötig. Daher darf grundsätzlich nur auf die Einwilligung zurückgegriffen werden, sofern eine entsprechende gesetzliche Regelung besteht und die Verweigerungsfolgen geregelt sind..

33 Gesetzliche Erlaubnis für öffentliche Stellen Seite 33

34 Seite 34 Gesetzliche Erlaubnis Liegt keine Auftragsdatenverarbeitung vor, müssen die weitergehenden Voraussetzungen einer Datenübermittlung an nicht-öffentliche Stellen gegeben sein: Übermittlung ist zur Erfüllung der in der Zuständigkeit der übermittelnden Stelle liegenden Aufgaben erforderlich und Voraussetzungen nach 14 liegen vor ( 16 I Nr. 1 BDSG) Problem: Erforderlichkeit der Datenübertragung Berechtigtes Interesse des Dritten, an den die Daten übermittelt werden, kein schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Übermittlung Problem: Regelmäßig kein berechtigtes Interesse des Cloud-Anbieters Datenübermittlung an Cloud Computing-Anbieter außerhalb der Auftragsdatenverarbeitung ist in der öffentlichen Veraltung in der Regel nicht zulässig.

35 Fazit: Datenverarbeitung in der Public Cloud? Seite 35

36 Seite 36 Fazit: Datenverarbeitung in der Public Cloud Bei Datenverarbeitung in EU (+ Norwegen, Island & Liechtenstein) im Rahmen einer Auftragsdatenverarbeitung grds. möglich. Sorgfältige Umsetzung der gesetzlichen Vorgaben insbes. bezüglich Kontrollen und Weisungsrechte erforderlich. Datenübermittlung an Cloud-Anbieter außerhalb EU/EWR derzeit für öffentliche Stellen rechtlich kritisch.

37 Seite 37 Lösungsalternativen Private Cloud Public EWR -Cloud Auftrags-DV + Hohe Sicherheit - Geringer Flexibilitätsgewinn - Weniger Kostenersparnis + Angemessene Sicherheit durch sorgfältige Auswahl des Auftragnehmers + Risikobegrenzung durch Vertragsgestaltung + Höhere Flexibilität & Kostenersparnis.

38 Cloud Computing-Vertrag Wichtige Punkte Seite 38

39 Seite 39 Regelungsbedürftige Punkte Aufgrund der Besonderheiten des Cloud Computing sind folgende Punkte besonders regelungsbedürftig: Art und Umfang der geschuldeten Leistung Verfügbarkeit / Sicherheit Haftung / Freistellung bei Ansprüchen Dritter (insbes. Urheberrecht) Vertragsende / Abwicklung Anwendbares Recht Gerichtsstand Je klarer und umfassender die vertraglichen Regelungen sind, desto größer ist die Rechtssicherheit für beide Vertragspartner.

40 Seite 40 Verfügbarkeit der Cloud Ausgangspunkt: Eine 100%ige Verfügbarkeit ist i.d.r. technisch nicht möglich. Eine 100%ige Haftungsfreizeichnung ist rechtlich nicht möglich (nach deutschem Recht). Strategie: Service Level Agreement (SLA) Möglichst detaillierte vertragliche Leistungsbeschreibung: Leistungsperformance (z.b. 98 % Verfügbarkeit) Bezugsgrößen (z.b. pro Kalendermonat) Zugangszeiten Wartungsarbeiten (Zeitpunkt Achtung: Zeitzonen; maximale Dauer und Häufigkeit) Vertragliche Sanktionen bei Schlechtleistungen (insbes. Vertragsstrafen)

41 Seite 41 Sicherheit der Cloud Ausgangspunkt: Sicherheitsinteresse des Nutzers vs. Gewinnmaximierungsinteresse des Cloud-Anbieters Strategie: Security Service Level Agreement (SSLA) Bestimmung konkreter Pflichten bzgl. Pflegemaßnahmen Fehlerbeseitigung (inbes. Reaktionszeiten) Maßnahmen zur Abwehr von virtuellen Angriffen (Viren, Hacker) Reale Sicherungsmaßnahmen beim Anbieter Bei Auftragsdatenverarbeitung bereits weitgehend im schriftlichen Auftrag geregelt.

42 Seite 42 Datenmigration bei Vertragsende Ausgangspunkt: Gefahr des Lock-In in der Cloud. Strategie: Migrationsregelung Genaue vertragliche Regelungen bezüglich der Migration der Daten bei Vertragsende in die eigene IT oder zu einem anderen Anbieter, insbes. Zeitrahmen der Migration Mitwirkungshandlungen des Anbieters Vertragsstrafe bei Verstoß

43 Seite 43 Anwendbares Recht & Gerichtsstand Es gibt kein globales IT-Recht - weder im Internet noch in der Cloud! Grundsatz: Freie Rechtswahl im Vertrag (Ausnahme: Verbraucherverträge) Ansonsten: Bestimmung nach Rom I VO je nach Vertragsart, z.b. Kaufverträge über bewegliche Sachen Aufenthaltsort des Verkäufers Dienstverträge Aufenthaltsort des Dienstleisters Im Übrigen: Engste Verbindung maßgeblich Da die Anwendbarkeit ausländischen Rechts stets Risiken mit sich bringt, ist die Bestimmung des anwendbaren Rechts im Vertrag ebenso zu empfehlen, wie die Vereinbarung eines Gerichtsstands in Deutschland.

44 Fazit Seite 44

45 Seite 45 Fazit Eine umfassende Nutzung der Vorteile des Cloud Computing ist dann möglich, wenn keine personenbezogenen Daten verarbeitet werden. Minimierung datenschutzrechtlicher Risiken durch Nutzung personenbezogener Daten in Private Clouds in Public Clouds auf der Basis einer Auftragsdatenverarbeitung in der EU/EWR. Der Einsatz von Cloud Computing sollte immer auf der Grundlage eines individuellen, auf Art und Umfang der Cloud-Nutzung abgestimmten Vertrages erfolgen. Bei Berücksichtigung dieser Regeln kann eine Nutzung der Vorteile des Cloud Computing mit vertretbarem rechtlichem Risiko umgesetzt werden..

46 Vielen Dank für Ihre Aufmerksamkeit. Mathias Zimmer-Goertz Uerdinger Straße Düsseldorf Tel.: Fax: