Cloud Computing kann deutsches Datenschutzrecht verletzen Cloud Computing may violate German Data Privacy Laws

Transkript

1 Legal Update July 22, 2010 Cloud Computing kann deutsches Datenschutzrecht verletzen Cloud Computing may violate German Data Privacy Laws Der Begriff Cloud Computing beschreibt das Bereitstellen von Services durch Drittanbieter, welche Unternehmen Zugang zu Softwareapplikationen, Datenbanken, Infrastruktur und ähnlichen Services über das Internet oder andere Netzwerke vermitteln. In der letzten Zeit ist ein erkennbarer Anstieg der Nutzung von Cloud Computing-Umgebungen zu verzeichnen. Dies begründet sich zum einen durch die erheblichen Kosteneinsparungen, die dadurch erzielt werden können, und zum anderen durch die mannigfaltigen sonstigen Vorteile von Cloud Computing. Aufgrund der erhöhten Gefährdung für personenbezogene Daten gehen die deutschen Datenschutz-Aufsichtsbehörden dazu über, stärkere Beschränkungen und höhere Anforderungen an Cloud Computing, aber auch an andere Outsourcing-Projekte, wo personenbezogene Daten betroffen sind, zu stellen. Unternehmen müssen nun sicherstellen, dass sie diese neuen strengeren Voraussetzungen erfüllen. Unternehmen, denen es nicht gelingt, Cloud Computing-Umgebungen an diesen neuen Anforderungen auszurichten, drohen erhebliche Strafen, zivilrechtliche Streitigkeiten und Reputationsschäden. Die Thesen der Datenschutz- Aufsichtsbehörde in Schleswig-Holstein Die Datenschutz-Aufsichtsbehörde für die private Wirtschaft in Schleswig-Holstein (unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein, ULD) hat kürzlich ein Thesenpapier auf ihrer Webseite veröffentlicht, welches die datenschutzrechtlichen Aspekte des Cloud Computing behandelt. Die in dem Papier geäußerten Ansichten des ULD sind nicht rechtlich bindend für Unternehmen, die in Schleswig-Holstein oder in anderen Bundesländern in Deutschland tätig sind. Dennoch zeigt das The term Cloud Computing is generally used to describe services through which a company accesses software applications, databases, infrastructure and related services via the Internet or other networks. The use of Cloud Computing is growing substantially worldwide due to the cost savings and other benefits it provides. Due to concerns regarding personal data protection and transfers, German data protection authorities want to impose tougher restrictions and requirements on both Cloud Computing and other outsourcing arrangements involving personal data. Companies need to ensure that they are complying with these strict new requirements. Failure to comply with these laws may result in substantial fines, civil lawsuits and reputational damages. The Statements of the Data Protection Authority of the German Federal State of Schleswig-Holstein The Data Protection Authority of the German Federal State of Schleswig-Holstein (the Unabhängiges Zentrum für Datenschutz Schleswig-Holstein, ULD) recently published on its web site a white paper that covers data privacy aspects of Cloud Computing. The opinions expressed in the ULD s paper are not legally binding on companies operating in Schleswig-Holstein or other German federal states. However, the ULD s published views indicate the manner in which the ULD will view and examine Cloud Computing arrangements. The ULD views may also influence data protection authorities in other German states. In the paper, the ULD expresses concern that many transfers of personal data in connection with Cloud Computing arrangements will not satisfy requirements under German data privacy laws. The ULD called out Public Clouds in particular, but the concerns are not limited only to Public Clouds.

2 Thesenpapier deutlich, wie das ULD Cloud Computing-Umgebungen künftig beurteilen wird. Es ist anzunehmen, dass der Sicht des ULD auch andere Datenschutz-Aufsichtsbehörden in anderen Bundesländern folgen werden. In dem Thesenpapier äußert das ULD seine Bedenken, dass zahlreiche Datenübermittlungen in Cloud Computing-Umgebungen nicht im Einklang mit deutschem Datenschutzrecht stehen. Insbesondere Public Clouds werden vom ULD als oftmals nicht datenschutz-konform angesehen. Die datenschutzrechtlichen Bedenken sind jedoch keineswegs auf Public Clouds beschränkt. Das deutsche Bundesdatenschutzgesetz (BDSG) setzt die Vorgaben der EU-Datenschutzrichtlinie um. 11 BDSG normiert die Voraussetzungen an die Auftragsdatenverarbeitung. Diese Norm ist grundsätzlich nur anwendbar auf solche Auftragsdatenverarbeitungsverhältnisse, in denen der Auftragnehmer innerhalb der EU sitzt. Das ULD hat nunmehr den Geltungsbereich ausgeweitet und wendet die strengen Voraussetzungen von 11 BDSG auch auf solche Datenübermittlungen an, deren Empfänger Auftragnehmer außerhalb der EU sind. Vielmehr stellt das ULD fest, dass es nicht für eine zulässige Datenübermittlung in einer Cloud Computing-Umgebung ausreicht, sich auf die EU-Standardvertragsklauseln zu verlassen. Diese waren bisher jedoch das in der Praxis am häufigsten verwendete Instrument für zulässige Datenübermittlungen in Länder außerhalb der EU. Vielmehr verlangt das ULD zusätzlich zu den EU-Standardvertragsklauseln, dass Auftraggeber nunmehr die strengen Anforderungen aus 11 BDSG auch in Konstellationen der Auftragsdatenverarbeitung durch einen Auftragnehmer in einem Drittland berücksichtigen müssen. Unabhängig davon, ob Cloud Computing-Anbieter innerhalb oder außerhalb Europas sitzen, fordert das ULD, dass Unternehmen, die Cloud Computing- Services verwenden, grundsätzlich angemessene Maßnahmen ergreifen müssen, um die Integrität und Sicherheit der verarbeiteten personenbezogenen Daten zu gewährleisten. Zum Beispiel müssen sie entsprechende vertragliche Klauseln mit dem Cloud Computing Service-Anbieter vereinbaren, welche die Voraussetzungen an die Auftragsdatenverarbeitung nach 11 BDSG erfüllen unabhängig davon, ob diese in der EU oder außerhalb der EU sitzen. Unternehmen oder externe Sachverständige müssen The German Data Protection Act (Bundesdatenschutzgesetz, BDSG) implements the EU Data Protection Directive. Section 11 of the BDSG specifically addresses requirements that data controllers must follow regarding data processors. Section 11 previously did not apply to data controller to data processor transfers outside of the European Union. Now, however, the ULD has taken the position that Section 11 does apply to transfers of personal data outside of the European Union. The result is that, according to the ULD, reliance solely on the EU standard data transfer clauses (one of the more common means for accomplishing a compliant datatransfer) for data controller to data processor transfers in a Cloud Computing engagement is not enough to satisfy German data privacy laws. In addition to the standard clauses, data controllers will also have to comply with Section 11 requirements of the BDSG. Regardless of whether the Cloud Computing provider is located inside or outside of the European Union, the ULD demands that companies using Cloud Computing services must take adequate measures to safeguard the,integrity and security of the personal data processed. For example, companies must include contractual provisions with Cloud Computing service providers in accordance with the criteria for data controller/data processor relationships, (Auftragsdatenverarbeitung) set forth in Section 11 BDSG regardless of the location of the Cloud Computing provider or the services. In addition, according to the ULD, companies or qualified external third parties must exert regular control over whether Cloud Computing providers observe the restrictions of the BDSG. The control must cover the processor s technical and organizational measures used to protect the data. Neither the BDSG nor the data protection authorities provide any extensive guidance on what regular control means, or how it will be interpreted. The ULD has suggested that companies can do this in at least two ways: they can obtain expert advice, in the form of audits or certificates provided by external experts, that the serviceprovider observes the legal restrictions; or they can obtain a binding guarantee declaration by the service provider in which the service provider provides a comprehensive commitment to obeying the obligations imposed by the law. 2 Legal Update

3 regelmäßige Audits durchführen, ob Cloud Computing Service-Anbieter die Anforderungen des BDSG einhalten. Diese regelmäßigen Audits beinhalten auch die Kontrolle der technischen und organisatorischen Maßnahmen, die der Auftragnehmer zum Schutz der Daten implementieren muss. Weder im BDSG noch in Stellungnahmen der Datenschutz-Aufsichtsbehörden findet man Hilfestellungen zu der Frage, was unter dem Begriff regelmäßige Kontrollen zu verstehen ist und in welchem Ausmaß diese verlangt werden. Das ULD sieht zwei Möglichkeiten vor, wie Unternehmen ihrer Kontrollpflicht nachkommen können: erstens die verbindliche Zusage des Auftragnehmers in Form einer umfassenden Selbstbindung einholen und zweitens die Kontrolle, ob diese Pflichten beachtet werden, an eine unabhängige und kompetente Stelle zu übertragen. Die externe Kontrolle kann durch das Einholen von Audits oder Zertifizierungen erfolgen. Datenübermittlungen ins EU Ausland Neben dem vom ULD ausdrücklich verlangten Erfordernis, dass für Cloud Computing-Umgebungen unter Einbeziehung außereuropäischer Länder grundsätzlich 11 BDSG erfüllt sein muss, verlangt das ULD eines der zugelassenen Instrumente, die den Datentransfer in Länder außerhalb Europas rechtfertigen. Eine der in der Praxis am häufigsten genutzten Methoden ist die Verwendung der Standardvertragsklauseln, insbesondere die für die Auftragsdatenverarbeitung, welche von der EU erlassen wurden. Auch das eigens für eine zulässige Datenübermittlung in die USA geschaffene Safe Harbour-Agreement stellte bis dato eine ausreichende Rechtfertigungsgrundlage für einen Datentransfer in die USA dar. Jedoch hat der Düsseldorfer Kreis, das Gremium der Vertreter der staatlichen Datenschutz-Aufsichtsbehörden, erst kürzlich erklärt, die Safe Harbour-Zertifikationen von US-Unternehmen nicht mehr als ausreichend ansehen zu wollen, um auf dieser Basis Daten in die USA zu übermitteln. Vielmehr müssten Datenübermittler strenge Regeln beachten (vgl. zu den verschärften Anforderungen an das Übermitteln von Daten an Safe Harbour zertifizierte Empfänger: p?id=9156&nid=6). Data Transfer to Countries Outside the European Union When personal data is transferred outside of the European Union in connection with the Cloud Computing services, in addition to complying with Section 11 of the BDSG, the transfer must be accomplished by one of the permitted means. One widely used method is to employ the EU-approved standard clauses for transfer of personal data. Until recently, the Safe Harbor Agreement was also a permissible means of accomplishing personal data transfers from the European Union to the United States. However, German data protection authorities recently announced that they no longer regard Safe-Harbor certifications of US companies as a stand-alone basis for fulfilling German data privacy standards. (For more information about the stricter requirements set out for German companies regarding the Safe Harbor certification, see icle.asp?id=9156&nid=6.) m ay e r b r ow n 3

4 In seinem Papier benennt das ULD einige Beispiele, wie Cloud Computing-Umgebungen mit dem BDSG und den Anforderungen an Übermittlungen in das EU-Ausland in Einklang zu bringen sind. Dabei ist zu beachten, dass das ULD erfordert, dass in sämtlichen Situationen die Anforderungen nach 11 BDSG erfüllt sein müssen. Manche der Vorschläge sind jedoch kritisch zu bewerten, da sie nur entfernt auf die tatsächlichen Gepflogenheiten und die Art und Weise von Cloud Computing-Angeboten eingehen. 1. Möglichkeit der räumlichen Beschränkung Der Cloud Computing-Anbieter kann den Nutzern die Möglichkeit einräumen, eine begrenzte Cloud zu nutzen und die Datenverarbeitung nur in Ländern innerhalb des europäischen Wirtschaftsraumes (EWR) bzw. der EU durchzuführen. 2. Angemessenheit des Datenschutzniveaus durch die EU-Kommission Cloud Computing kann so angeboten werden, dass es nur in solche Länder hineinreicht, in denen die EU-Kommission ein angemessenes Datenschutzniveau nach 4b Abs. 2 S. 3 BDSG festgestellt hat. 3. EU-Standardvertragsklauseln und zusätzliche Maßnahmen Ein Unternehmen, das Cloud Computing Services nutzt, kann mithin datenschutzrechtskonform handeln, indem es die EU-Standardvertragsklauseln anwendet und zusätzlich die Anforderungen von 11 BDSG erfüllt. Wie zuvor erwähnt, wurden in Übereinstimmung mit der Praxis der Aufsichtsbehörden die EU-Standardvertragsklauseln für die Auftragsdatenverarbeitung bisher als ausreichend erachtet, um Daten zulässig in Länder außerhalb der EU zu übermitteln. Die Sicht des ULD ist jedoch durchaus kritisch zu würdigen. Die Systematik des BDSG zeigt, dass die Anforderungen an eine Auftragsdatenverarbeitung nach 11 BDSG auf Datenverarbeiter innerhalb der EU anzuwenden sind und nicht auf die Weitergabe von Daten an Datenverarbeiter außerhalb der EU. Die enge vertragliche Anbindung des Auftragnehmers an den Auftraggeber, wie in 11 BDSG verlangt, ist der Grund für die Privilegierung nach 11 BDSG. In der Praxis wird diese Privilegierung oftmals genutzt, denn eine Weitergabe von Daten innerhalb einer Auftragsdatenverarbeitung bedeutet keine Übermittlung, die ihrerseits durch The ULD gave examples of situations in which Cloud Computing arrangements could satisfy the German data protection and transfer laws. Please note that the ULD requires that the requirements of Section 11 of the BDSG are also to be satisfied in these arrangements. Some of the examples, however, bear little resemblance to actual business practices and Cloud Computing service offerings. 1. Option of territorial restriction A Cloud Computing provider may offer its customers the option to restrict data processing to countries which are part of the European Economic Area (EEA) or the European Union. 2. Adequate level of protection pursuant to the EU Commission Cloud Computing services may be provided in and from any jurisdiction for which the EU Commission has deemed to have an adequate level of protection pursuant to Sec. 4b Subsec. 2 Sent. 3 BDSG. 3. Standard Contractual Clauses plus additional measures The company using the Cloud Computing services may comply via (i) use of standard contractual clauses and (ii) satisfaction of the requirements of Section 11 of the BDSG. As mentioned above, use of the standard clauses was thought to be sufficient to accomplish a compliant data transfer. There are questions regarding the ULD s view and application of Section 11 of the BDSG to data transfers outside of the European Union. Previously, Section 11 was thought to apply to data processing within the European Union, and not to transfers of personal data for processing outside of the European Union. The ULD s application of Section 11 to data processing outside of the European Union extends the prior reach of Section 11. Despite these questions, other German state data protection authorities are likely to share the ULD s view and enforce these requirements. 4 Legal Update

5 gesetzliche Erlaubnistatbestände des BDSG gerechtfertigt sein muss. Diese strengen Anforderungen, welche die Privilierung im deutschen und europäischen Raum begründen, möchte das ULD nun auch auf Sachverhalte außerhalb Europas anwenden. Sitzt ein Auftragnehmer jedoch im EU Ausland, so sieht das BDSG diesen gemäß 3 Abs. 8 Satz 3 BDSG als Dritten an, der nicht von der Priviligierung erfasst wäre. Das ULD wendet mithin diese strengen Voraussetzungen über den eigentlichen Anwendungsbereich von 11 BDSG hinaus an. Es ist zu erwarten, dass die anderen Datenschutz-Aufsichtsbehörden in Deutschland dieser Ansicht folgen und sie genauso durchsetzen werden. 4. Anwendbarkeit von BCRs Obwohl Binding Corporate Rules (BCR) ursprünglich für die Datenverarbeitung in internationalen Konzernen entworfen wurden, hat das ULD nun vorgeschlagen, BCRs als Instrument zu verwenden, um auch nicht im Konzern miteinander verbundene Auftragnehmer den BCRs zu unterwerfen. Andere Aufsichtsbehörden haben diese Ansicht jedoch noch nicht aufgegriffen bzw. bestätigt, so dass abzuwarten bleibt, ob sich deren Anwendung auf Unternehmen durchsetzt, die in keinem gemeinsamen Unternehmensverbund stehen. Konsequenzen für in Deutschland tätige Unternehmen Unternehmen sind gut beraten, ihre bestehenden Cloud Computing-Umgebungen oder andere Outsourcing-Strukturen, die personenbezogene Daten aus Deutschland beinhalten, auf die erforderliche Vereinbarkeit mit dem Datenschutzgesetz zu überprüfen. Unternehmen, die planen, Cloud Computing- Umgebungen für sich zu nutzen, sollten sich vergewissern, dass Cloud Computing-Umgebungen, Verträge und Kontrollmaßnahmen so ausgestaltet sind, dass sie den neuen Anforderungen, die durch das ULD aufgestellt wurden, entsprechen. Angesichts des enormen Anstiegs der Cloud Computing-Nutzung ist zu erwarten, dass auch andere EU-Datenschutz- Aufsichtsbehörden Stellungnahmen und Arbeitshilfen zu Datenschutz und Cloud Computing abgeben werden. 4. Question of application of binding corporate rules Though Binding Corporate Rules (BCR) have previously applied to intercompany and multinational affiliated company transfers of personal data, the ULD has suggested that BCR might be adapted to cover non-affiliated processors. This view is not yet officially approved by the EU Article 29 Working Group (the EU advisory body that coordinates data protection activities among the EU member states), and its application and use for transfers to thirdparty processors, including Cloud Computing providers, remains to be seen. What Your Company Should Do If you have existing Cloud Computing service arrangements, or other outsourcing arrangements involving personal data from Germany, you should review these arrangements with counsel to ensure that they continue to meet the requirements of the German data protection authorities. If you are considering entering into a Cloud Computing service arrangement involving personal data from Germany, you should review the ULD requirements with German lawyers to ensure that you structure the arrangement, contracts and control measures in a manner that satisfies the new and changed requirements under German data protection laws. You should also monitor the developments both in Germany and other EU countries. As the use of Cloud Computing increases, other EU data protection authorities are certain to provide their opinions and guidance on personal data protection and Cloud Computing. m ay e r b r ow n 5

6 Bisherige und zukünftige Entwicklung des Datenschutzes in Deutschland Das Themenpapier des ULD zeigt erneut, wie wichtig die Beachtung des Datenschutzrechts allgemein und die Verfolgung neuer Entwicklungen im Besonderen sind. Die Stellungsnahme des ULD ist nur eine der vielen neueren Entwicklungen im Datenschutzrecht. Diese erfolgten als Reaktion auf zahlreiche Datenschutzverletzungen größerer Unternehmen. Erst kürzlich hat z. B. der Düsseldorfer Kreis strengere Anforderungen für solche Unternehmen aufgestellt, die personenbezogene Daten zu Safe Harbour zertifizierten Empfängern in die USA übermitteln (vgl. oben). Auch sind derzeit die Vorschriften über den Arbeitnehmerdatenschutz Gegenstand eines Gesetzgebungsverfahrens. Grundsätzlich hat sich die Bedeutung des Datenschutzes als einer der Hauptbestandteile von Unternehmens-Compliance in den letzten Jahren erheblich vergrößert und es kann nur vermutet werden, dass sich diese Entwicklung weiter verstärkt. Unternehmen in Deutschland sind deshalb gefordert, verstärkt ihre Datenschutzstruktur anhand der Neuerungen zu überprüfen und ihre Datenschutz-Compliance- Programme daraufhin auszurichten. Other Related Data Protection Developments in Germany The ULD white paper is only one of several recent developments in personal data protection. There have been several scandals involving large German companies disregarding binding BDSG provisions. Recently, the joint coordination committee, in which all German data protection authorities align their regulatory actions (the so-called Düsseldorfer Kreis), passed strict control requirements for companies transferring personal data to Safe Harbor-certified data recipients in the United States. In addition, the German government is currently preparing new legislation regarding employee data protection. Generally, the importance of data privacy as one major part of corporate compliance in Germany has increased substantially during the last few years and it can safely be assumed that this trend will continue. As a consequence, companies operating in Germany need to stay current with these developments, and review their data privacy compliance programs. Sollten Sie zu dieser Publikation noch mehr Informationen wünschen, wenden Sie sich bitte an einen der folgenden Ansprechpartner: If you have any questions or require specific advice on any matter discussed in this publication, please contact one of the lawyers listed below: Tim Wybitul T: twybitul@mayerbrown.com Dr. Andrea Patzak T: apatzak@mayerbrown.com Dr. Guido Zeppenfeld T: gzeppenfeld@mayerbrown.com 6 Legal Update

7 Mayer Brown is a leading global law firm with approximately 1,000 lawyers in the Americas, 300 in Asia and 450 in Europe. We serve many of the world s largest companies, including a significant proportion of the Fortune 100, FTSE 100, DAX and Hang Seng Index companies and more than half of the world s largest investment banks. We provide legal services in areas such as Supreme Court and appellate; litigation; corporate and securities; finance; real estate; tax; intellectual property; government and global trade; restructuring, bankruptcy and insolvency; and environmental. OFFICE LOCATIONS AMERICAS: Charlotte, Chicago, Houston, Los Angeles, New York, Palo Alto, Rio de Janeiro, São Paulo, Washington ASIA: Bangkok, Beijing, Guangzhou, Hanoi, Ho Chi Minh City, Hong Kong, Shanghai EUROPE: Berlin, Brussels, Cologne, Frankfurt, London, Paris ALLIANCE LAW FIRMS Spain (Ramón & Cajal); Italy and Eastern Europe (Tonucci & Partners) Please visit our website for comprehensive contact information for all Mayer Brown offices. This Mayer Brown LLP publication provides information and comments on legal issues and developments of interest to our clients and friends. The foregoing is not a comprehensive treatment of the subject matter covered and is not intended to provide legal advice. Readers should seek specific legal advice before taking any action with respect to the matters discussed herein. Copyright Mayer Brown LLP, Mayer Brown International LLP, Mayer Brown JSM and/or Tauil & Chequer Advogados, a Brazilian law partnership with which Mayer Brown is associated. All rights reserved. Mayer Brown LLP is a limited liability partnership established under the laws of the State of Illinois, U.S.A