Cloud Computing in der öffentlichen Verwaltung. Datenschutzrechtliche Aspekte des Cloud Computing

Transkript

1 Cloud Computing in der öffentlichen Verwaltung Datenschutzrechtliche Aspekte des Cloud Computing

2 Inhalt 01 > Einführung 02 > Relevante Vorschriften 03 > Datenschutz 04 > Auftragsdatenverarbeitung 05 > ADV bei Cloud Computing? 06 > 203 StGB 2011 Tay lor Wessing Deutschland 2

3 01 > Einführung Cloud Computing - was ist das eigentlich? Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software (Bundesamt für Sicherheit in der Informationstechnik). Typische Erscheinungsformen des Cloud Computing: Software-as-a-Service (SaaS), Storage-as-a-Service, Platform-as-a-Service (Paas), Infrastructure-as-a- Service (IaaS) > abzugrenzen vom IT-Outsourcing. Dieses bezeichnet die Übertragung der Verantwortung für den Betrieb von IT-Systemen und des damit verbundenen IT- Managements auf externe Dienstleister auf der Grundlage vereinbarter Leistungen und Service Level Agreements (SLA) (Bitkom Arbeitskreis Outsourcing ) Tay lor Wessing Deutschland 3

4 01 > Einführung > Umsetzung durch Verlagerung von Geschäftsprozessen und damit verbundenen Informationen und Daten aus der Sphäre der öffentlichen Verwaltung im Ergebnis: Auslagerung von Daten und externe Datenverarbeitung typische Problemfelder: Datenschutz und sicherheit, Verfügbarkeiten (SLA), Skalierbarkeit 2011 Tay lor Wessing Deutschland 4

5 01 > Einführung Cloud Computing - Initiativen der Bundesregierung > Cloud Computing ist eine zentrale Komponente in der IKT-Strategie der Bundesregierung Deutschland Digital 2015 > Cloud Computing wurde im IT-Gipfel-Prozess als bedeutendes Thema für die nationale Technologie- und Standortpolitik identifiziert > Aktionsprogramm Cloud Computing wurde am 5. Oktober 2010 vom Bundesminister für Wirtschaft und Technologie gestartet > Zuwendungsmaßnahme Trusted Cloud 2011 Tay lor Wessing Deutschland 5

6 01 > Einführung Arten von Clouds Private Cloud Umgebung Public Cloud Umgebung Verwaltungseigen Service Provider betrieben Service Provider gehosted Gemeinsam genutzte Cloud Services Public Cloud Services Internes Rechenzentrum Keine Cloud Internes Rechenzentrum Keine Cloud Vom Service- Provider betrieben Verw altung gehostete Private Cloud Service-Provider eigen und betrieben Behörde A Behörde B Behörde C Service Provider Cloud User A User B User C User D Service Provider Cloud User E Technische Details - eigene Inf rastruktur - Selbt oder durch Dritten betrieben - klassisches Outsourcing - Inf rastruktur und Betrieb bei Prov ider - Zentralisierte Architektur - Inf rastruktur und Betrieb gemeinsam genutzter Resourcen bei Prov ider (Multi-Client.Plattform) - Öf f entliches Internet - dezentralisierte weltweite Architektur auf Infrastruktur des Prov iders Kontrolle der Daten - Daten bleiben unter phy sischer Kontrolle des Auf traggebers - Aber: Prov ider hat ev tl. Zugriff (z.b. Remote) - Daten unter Kontrolle des Prov iders - Aber: Daten auf abgegrenzten Resourcen - Daten unter Kontrolle des Prov iders - Aber: Daten auf abgegrenzten Resourcen - Inf rastruktur und Betrieb bei Prov ider - Zentralisierte Architektur 2011 Tay lor Wessing Deutschland 6

7 02 > Relevante Vorschriften > Bei der externen Datenverarbeitung durch die öffentliche Verwaltung sind insbesondere die folgenden Vorschriften im Zusammenhang mit dem Thema Datenschutz von Bedeutung: Bundesdatenschutzgesetz (BDSG) 2 BDSG Begriff der öffentlichen Stellen 3 BDSG Begriff der personenbezogenen Daten 11 BDSG Auftragsdatenverarbeitung siehe hierzu 03 und Abs. 2 Nr. 1 und 2 StGB Verletzung von Privatgeheimnissen durch Amtsträger oder Öffentlich Bedienstete (Strafrecht) siehe hierzu Tay lor Wessing Deutschland 7

8 03 > Datenschutz Übersicht Was sind personenbezogene Daten im Sinne des BDSG? Personenbezogene Daten ( 3 Abs. 1 BDSG) Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener) Persönliche Verhältnisse Sachliche Verhältnisse Sonderfall: IP-Adresse Name, Anschrift, Familienstand Geburtsdatum Staatsangehörigkeit Konfession, Gesundheit Einkommen Besitzverhältnisse Steuern Vertragskonditionen strittig Personenbezug bejaht Folge: Verarbeitungsverbot ( Google Analytics ) 8

9 03 > Datenschutz Übersicht Wer ist öffentliche Stelle im Sinne des BDSG? Öffentliche Stellen ( 2 BDSG) 2 Absatz 1 BDSG des Bundes sind die Behörden, die Organe der Rechtspflege und andere öffentlich-rechtlich organisierte Einrichtungen des Bundes, der bundesunmittelbaren Körperschaften, Anstalten und Stiftungen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. 2 Absatz 2 BDSG der Länder sind die Behörden eines Landes, die Organe der Rechtspflege und andere öffentlich- Rechtlich organisierte Einrichtungen eines Landes, einer Gemeinde, eines Gemeindeverbandes, und sonstiger der Aufsicht des Landes unterstehender juristischer Personen des öffentlichen Rechts sowie deren Vereinigungen ungeachtet ihrer Rechtsform. 2 Absatz 3 BDSG Vereinigungen des privaten Rechts von öffentlichen Stellen des Bundes und der Länder, die Aufgaben der öffentlichen Verwaltung wahrnehmen, gelten ungeachtet der Beteiligung nicht-öffentlicher Stellen als öffentliche Stellen des Bundes, wenn 1. sie über den Bereich eines Landes hinaus tätig werden oder 2. dem Bund die absolute Mehrheit der Anteile gehört oder die absolute Mehrheit der Stimmen zusteht. Andernfalls gelten sie als öffentliche Stellen der Länder. 9

10 03 > Datenschutz Übersicht Wann liegt eine Datenverarbeitung im Sinne des BDSG vor? Verwendungshandlungen ( 3 Abs. 2 ff. BDSG) Erheben.. ist das Beschaffen von Daten über den Betroffenen. (Abs. 3) Verarbeiten (Abs. 2) Nutzen ist jede Verwendung [ ], soweit es sich nicht um Verarbeitung handelt. (Abs. 5) Speichern (Erfassen, Aufnehmen, Aufbewahren) Verändern (inhaltliche Umgestaltung) Übermitteln (Bekanntgabe an Dritte) Sperren (Kennzeichnung zwecks Nutzungsbeschränkung) Löschen (Unkenntlichmachen) 10

11 04 > Auftragsdatenverarbeitung > Problemstellung: 4 Abs 1 BDSG: Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten sind nur zulässig, soweit dieses Gesetz oder eine andere Rechtsvorschrift dies erlaubt oder anordnet oder der Betroffene eingewilligt hat. Lösung: Zulässigkeit bei Auftragsdatenverarbeitung (ADV) nach 11 BDSG > Gegenstand Privilegierung des Datentransfers zwischen Auftraggeber und Auftragsdatenverarbeiter (= IT-Dienstleister) Unterscheide Auftragsdatenverarbeitung und Funktionsübertragung Bei der ADV wird nicht die Aufgabe selbst, zu deren Zweck die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten erfolgt, ausgelagert, sondern lediglich der zur Aufgabenerledigung erforderliche Umgang mit den Daten. Verstoß gegen Pflicht zum Abschluss einer Vereinbarung gemäß 11 BDSG stellt Ordnungswidrigkeit dar > Internationale Auftragsdatenverarbeitung Innerhalb EU/EWR ist 11 BDSG anwendbar Außerhalb EU/EWR ist 11 BDSG eigentlich nicht anwendbar; ABER: 11 PLUS erforderlich, d. h. vergleichbare Zusatzvereinbarung / ergänzte EU- Standardvertragsklauseln 2011 Tay lor Wessing Deutschland 11

12 04 > Auftragsdatenverarbeitung > Strenge Anforderungen nach 11 BDSG Nach 11 Abs. 2 BDSG ist eine schriftliche Vereinbarung mit folgendem Inhalt zwingend: Nr. 1: Gegenstand und Dauer des Auftrags Nr. 2: Umfang, Art und Zweck der Datenverarbeitung, Art der Daten und Kreis der Betroffenen Nr. 3: technische und organisatorische Schutzmaßnahmen ( 9 BDSG) Nr. 4: Berichtigung, Sperrung und Löschung von Daten Nr. 5: Pflichten des Auftragnehmers, insbesondere Kontrollpflichten Nr. 6: Unterauftragsverhältnisse Nr. 7: Kontrollrechte des Auftraggebers Nr. 8: Mitzuteilende Verstöße des Auftragnehmers Nr. 9: Umfang der Weisungsbefugnisse des Auftraggebers Nr. 10: Rückgabe und Löschung überlassener Daten Auftraggeber ist als verantwortliche Stelle zur Kontrolle der Einhaltung der vorstehenden Anforderungen verpflichtet. Praktische Umsetzung: Auftraggeber muss Kontrollen nicht selber durchführen, er kann einen externen Prüfer bestimmen Tay lor Wessing Deutschland 12

13 05 > ADV bei Cloud Computing? Anforderungen 11 Abs. 2 BDSG Cloud Computing Im Vergleich: IT- Outsourcing Public Cloud Private Cloud Schriftliche Vereinbarung Nr. 1: Auftragsgegenstand und dauer Nr. 2: Daten(-verarbeitung), Betroffene theoretisch X X X theoretisch X X X theoretisch X X X Nr. 3: Schutzmaßnahmen ( 9 BDSG) - X X Nr. 4: Berichtigung, Sperrung und Löschung Nr. 5: Pflichten des Auftragnehmers theoretisch X X X theoretisch X X X Nr. 6: Unterauftragsverhältnisse - X X Nr. 7: Kontrollrechte des Auftraggebers - X X Nr. 8: Mitzuteilende Verstöße - X X Nr. 9: Weisungsbefugnisse des Auftraggebers - X X Nr. 10: Rückgabe und Löschung - X X X = erfüllt - = nicht erfüllt theoretisch X = Erfüllbarkeit theoretisch denkbar, praktisch jedoch in aller Regel ausgeschlossen 2011 Tay lor Wessing Deutschland 13

14 06 > 203 StGB > 203 Abs. 2 Nr. 1 und 2 StGB (Verletzung von Privatgeheimnissen): (1) Wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als [ ] anvertraut worden oder sonst bekanntgeworden ist, wird mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bestraft. (2) Ebenso wird bestraft, wer unbefugt ein fremdes Geheimnis, namentlich ein zum persönlichen Lebensbereich gehörendes Geheimnis oder ein Betriebs- oder Geschäftsgeheimnis, offenbart, das ihm als 1. Amtsträger, 2. für den öffentlichen Dienst besonders Verpflichteten, anvertraut worden oder sonst bekanntgeworden ist. Einem Geheimnis im Sinne des Satzes 1 stehen Einzelangaben über persönliche oder sachliche Verhältnisse eines anderen gleich, die für Aufgaben der öffentlichen Verwaltung erfasst worden sind; Satz 1 ist jedoch nicht anzuwenden, soweit solche Einzelangaben anderen Behörden oder sonstigen Stellen für Aufgaben der öffentlichen Verwaltung bekanntgegeben werden und das Gesetz dies nicht untersagt Tay lor Wessing Deutschland 14

15 06 > 203 StGB > 203 Abs. 2 Nr. 1 und 2 StGB (Verletzung von Privatgeheimnissen): > Aktuelle Rechtslage: Die Rechtsprechung wendet einen funktionalen Behördenbegriff an, d. h. die Weitergabe von Daten zuständigkeitshalber an andere Behörden, insbesondere innerhalb des Aufsichtsrechts, ist grundsätzlich nicht als Offenbaren im Sinne von 203 StGB zu qualifizieren Weitergabe von Daten an externen IT-Dienstleister ist grundsätzlich als Offenbaren im Sinne von 203 StGB zu qualifizieren ABER: Die Weitergabe an berufsmäßig tätige Gehilfen i.s.d. 203 Abs. 3 S. 2 StGB ist zulässig Strittig ist, ob IT-Dienstleister als solche Gehilfen angesehen werden können (die wohl h.m. verneint dies, da der externe Dienstleister aufgrund seiner selbständigen Tätigkeit nicht quasi organisationsintern tätig wird; die MM bejaht dies, da auch der externe Dienstleister weisungsgebunden und funktional als organisationsintern in den Anwendungsbereich von 203 StGB einzubeziehen sei) bislang keine gesetzliche Regelung im BDSG; allgemeine Regelungen anwendbar > 11 BDSG findet auf das Verhältnis zum IT-Dienstleister Anwendung, stellt aber keinen Erlaubnistatbestand für 203 StGB dar > bei der Auslagerung relevanter Aktivitäten ohne Einwilligung des Bürgers: erhebliche Rechtsunsicherheit 2011 Tay lor Wessing Deutschland 15

16 > Fazit > Cloud Computing ist in datenschutzrechtlicher Hinsicht grundsätzlich auch für die öffentliche Verwaltung möglich > Cloud Computing und Datenschutz funktionieren für die öffentliche Verwaltung bei Private Clouds praktisch nicht bei Public Clouds > Die öffentliche Verwaltung muss stets auch 203 StGB beachten 2011 Tay lor Wessing Deutschland 16

17 Vielen Dank für Ihre Aufmerksamkeit! Fragen Anregungen 2011 Tay lor Wessing Deutschland 17

18 Ihr Ansprechpartner Detlef Klett Partner, Düsseldorf > Informationstechnologie und Telekommunikation > Litigation and Dispute Resolution Detlef Klett hat sich auf die rechtliche Beratung in den Bereichen IT, Telekommunikation und Datenschutz spezialisiert. Er berät seit vielen Jahren nationale und internationale IT- und Telekommunikationsunternehmen. Daneben umfasst sein Aufgabengebiet die rechtliche Begleitung von komplexen IT-Projekten, insbesondere in den Bereichen Outsourcing, Software-Lizenzmanagement und IT- Security. Das JUVE Handbuch 2011/2012 erwähnt ihn als "häufig empfohlenen Anwalt" im IT-Recht. Detlef Klett ist Fachanwalt für Informationstechnologierecht. Detlef Klett ist Mitherausgeber des "Leitfaden IT-Recht", welcher im Bundesanzeiger-Verlag erschienen ist. Zudem verfasst er regelmäßig Beiträge in verschiedenen Fachzeitschriften und referiert zu seinen Spezialbereichen. Detlef Klett ist als Schlichter bei der Schlichtungsstelle für IT-Streitigkeiten in Hamburg akkreditiert und Stellvertretender Vorsitzender des Vorprüfungsausschusses Fachanwalt für IT-Recht der Rechtsanwaltskammer Düsseldorf. Detlef Klett ist zudem Lehrbeauftragter der Universität Düsseldorf. Nach einer Ausbildung zum Bankkaufmann und seinem Studium der Rechtswissenschaften an der Universität zu Köln legte Detlef Klett in den Jahren 1993 und 1995 seine beiden juristischen Staatsexamina ab. Detlef Klett wurde 1996 als Anwalt zugelassen und trat Taylor Wessing 2005 bei. Kontaktdetails T: +49 (0) E: 2011 Tay lor Wessing Deutschland 18

19 Office details Berlin Ebertstraße Berlin T. +49 (0) F. +49 (0) Brussels Trône House 4 Rue du Trône 1000 Brussels T. +32 (0) F. +32 (0) Cambridge 24 Hills Road Cambridge, CB2 1JP T. +44 (0) F. +44 (0) Dubai 26th Floor, Rolex Tower, Sheikh Zayed Road, P.O. Box Dubai, United Arab Emirates T (0) F (0) Düsseldorf Benrather Straße Düsseldorf T. +49 (0) F. +49 (0) Frankfurt Senckenberganlage Frankfurt a.m. T. +49 (0) F. +49 (0) Hamburg Hanseatic Trade Center Am Sandtorkai Hamburg T. +49 (0) F. +49 (0) London 5 New Street Square London EC4A 3TW T. +44 (0) F. +44 (0) Munich Isartorplatz 8, Munich T. +49 (0) F. +49 (0) Paris 42 avenue Montaigne Paris T. +33 (0) F. +33 (0) Representative offices Associated offices Beijing Unit 1503, Tower 2, Prosper Center No. 5, Guanghua Road Chaoyang District Beijing T F Shanghai Unit 1509, United Plaza No. 1468, Nanjing West Road Shanghai T F Warsaw BSJP Legal Al Armii Ludowej 26 PL Warsaw T. +48 (0) F. +48 (0) Singapore RHT Law LLP Six Battery Road #09-01, #10-01 Singapore T F Taylor Wessing 2011 This publication is intended for general public guidance and to highlight issues. It is not intended to apply to specific circumstances or to constitute legal advice. Taylor Wessing s international offices operate as one firm but are established as distinct legal entities. For further information about our offices and the regulatory regimes that apply to them, please refer to Tay lor Wessing Deutschland 19