WEBBASIERTES ARBEITEN

Transkript

1 WEBBASIERTES ARBEITEN Wolke = Nebel = Rechtsunsicherheit Klaus Brisch, BridgehouseLaw, Geschäftsführer IHK Köln,

2 Annahmen für den Vortrag I. Ein Unternehmen will Mitarbeiter- und Kundendaten oder sonstige personenbezogene Daten in der sogenannten Cloud speichern II. Ein Unternehmen lässt es zu, dass Mitarbeiter private Endgeräte für betriebliche Zwecke nutzen 2

3 Agenda 1. Grundsätze des Datenschutzrechts 2. Auftragsdatenverarbeitung 2.1 Voraussetzungen der Auftragsdatenverarbeitung 2.2 Anforderungen an einen Vertrag zur Auftragsdatenverarbeitung 2.3 Auftragserteilung in Drittstaat 3. BYOD Bring Your Own Divice 3.1 Herausforderung für das Management 3.2 Betriebliche Regelung 4. Fazit 3

4 Cloud Computing und Datenschutz Was sind die rechtlichen Rahmenbedingungen für Anwendungen in der Cloud? Findet auf Cloud Computing das Datenschutzrecht überhaupt Anwendung? Wer ist Herr der Daten in der Cloud? Wer haftet bei Verstößen gegen rechtliche Bestimmungen? Worauf ist zu achten? 4

5 1. Grundsätze des Datenschutzrechts 5

6 Gilt das Datenschutzrecht in der Cloud? Zentraler Anker: Personenbezogene Daten Personenbezogene Daten: Alle Einzelangaben oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 3 I BDSG) Nicht öffentliche Stellen Unternehmen haben Datenschutzvorschriften zu beachten, soweit personenbezogene Daten betroffen sind Mitarbeiterdaten, Kundendaten sind personenbezogene Daten In der Cloud findet Datenschutzrecht Anwendung 6

7 Zulässigkeit der Nutzung personenbezogener Daten Erhebung, Verarbeitung, Nutzung nur zulässig, soweit das BDSG oder eine anderen Rechtsvorschrift dies erlaubt das BDSG dies anordnet oder der Betroffene eingewilligt hat ( 4 I BDSG) Problem: Einwilligung aller durch die Verarbeitung tangierten Personen ist in der Praxis bei Cloud- Anwendungen so gut wie unmöglich Aber: Auftragsdatenverarbeitung, 11 BDSG 7

8 2. Grundsätze der Auftragsdatenverarbeitung 8

9 Auftragsdatenverarbeitung vs. Funktionsübertragung Auftragsdatenverarbeitung, 11 I BDSG: Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich Funktionsübertragung: Nicht nur die Verarbeitung der Daten, sondern auch die Aufgabe, zu deren Erfüllung die Verarbeitung der Daten notwendig ist, wird übertragen Übermittlung der Daten nur auf gesetzlicher Grundlage oder mit Einwilligung des Betroffenen möglich 9

10 Keine Einwilligung der Betroffenen Einwilligung der Betroffenen nicht erforderlich Auftraggeber und Auftragnehmer (Diensteanbieter) werden (rechtlich) als Einheit betrachtet Konsequenz: Ein Datentransfer zwischen diesen Stellen gilt nicht als Datenübermittlung an einen Dritten und ist daher möglich Auftraggeber haftet für Datenschutzverletzung des Auftragnehmers Voraussetzungen der Auftragsdatenverarbeitung 10

11 2.1 Voraussetzungen der Auftragsdatenverarbeitung 11

12 Der Auftrag Auftrag: Er muss die Erhebung, Verarbeitung oder Nutzung personenbezogener Daten beinhalten Rechtsform des Auftrags Dienstvertrag, Werkvertrag, Geschäftsbesorgungsvertrag Im Rahmen bestehender Geschäftsbeziehungen, wie z.b. im Konzernverbund (eigenes Rechenzentrum) Auftraggeber bleibt Herr der Daten Auftragnehmer weisungsgebunden Hat keinen eigenen Entscheidungsspielraum Cloud Computing gilt als Auftragsdatenverarbeitung Daher keine Übermittlung der Daten an Dritten 12

13 Aber: Richtige Auswahl des Auftragnehmers Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszusuchen ( 11 II BDSG) Auftraggeber muss sich darüber informieren, ob der Auftragnehmer willens und in der Lage ist, die erforderlichen Sicherheitsmaßnahmen auszuführen 13

14 Kontrollpflicht Die Eignung des Auftragnehmers muss der Auftraggeber nach Vertragsschluss regelmäßig überprüfen bei Missachtung: Bußgeld Auftragnehmer muss sich nicht vor Ort überzeugen Auftraggeber kann seine Kontrollpflicht auch auf andere Weise erfüllen Sachverständigen Dritten Fragebögen Anforderung von Prüfergebnissen oder Zertifikaten 14

15 2.2 Anforderungen an einen Vertrag zur Auftragsdatenverarbeitung Datenverarbeitungsvertrag ist schriftlich zu erteilen Inhaltliche Anforderungen ( 11 II BDSG): 15

16 1. Gegenstand und Dauer des Auftrags, 2. Umfang, Art, Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. vorzunehmenden Kontrollen, 6. Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10.Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags 16

17 Problem: Kenntnis und Beherrschung der Daten durch den Auftraggeber Auftraggeber muss Art und Umfang der Datenverarbeitung sowie Ort und Zeit vollständig kennen und beherrschen ( 11 II Nr. 3, 9 BDSG) Daten-Outsourcing: Auftraggeber weiß, wo sich Datenspeicher befindet und kann Ort und Zeit der Datenverarbeitung beherrschen Cloud: Aufspaltung von Datenpaketen, Datenverlagerung Ressourcenbedarf wird dynamisch an aktuelle Erfordernisse angepasst Auftraggeber hat keinen beherrschenden Zugriff auf Daten (keine Zugangs-/Zugriffskontrolle) 17

18 Lösung? Vertrauenswürdige Stellen Übertragung an Dritte möglich, wenn es sich um Stellen handelt, die im Inland, in einem anderen Mitgliedstaat der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen ( 3 VIII BDSG) Auftragsdatenverarbeitung möglich 18

19 2.3 Auftragserteilung in Drittstaat Staaten außerhalb der EU / EWR 19

20 Angemessenes Datenschutzniveau Grundsatz des angemessenen Datenschutzniveaus des Empfängerlandes EU hat eine Anzahl von Ländern als solche mit angemessenen Datenschutzniveau eingestuft, z.b. Andorra, Argentinien, Australien, Färöer, Guernsey, Israel, Isle of Man, Kanada, Neuseeland, Schweiz, Uruguay Übermittlung zulässig bei angemessenen Datenschutzniveau im Drittland 20

21 Auftragserteilung in Drittstaat ohne angemessenes Datenschutzniveau Es muss sichergestellt werden, dass die EWR-weiten Datenschutzstandards eingehalten werden und sich der Auftragnehmer ihnen unterwirft Rechtsgrundlagen für Auftragserteilung in Drittstaat Corporate Binding Rules EU-Standardvertragsklauseln Save Harbour-Abkommen? 21

22 Binding Corporate Rules erlauben es multinationalen Konzernen, internationalen Organisationen und Firmengruppen nach geltendem EU-Recht, intern personenbezogene Daten in Drittstaaten mit nicht angemessenem Datenschutzniveau zu transferieren müssen von der europäischen Datenschutzbehörde des Landes, aus dem Daten übertragen werden sollen, verifiziert werden 22

23 Standard-Vertragsklauseln der Europäischen Kommission Von der EU vorformuliertes Vertragswerk, das zwischen den datenaustauschenden Unternehmen verbindlich abgeschlossen werden muss Eine Genehmigung der Datenübermittlung durch die Aufsichtsbehörde ist dann entbehrlich Zweck ist, ein angemessenes Datenschutzniveau bei der Empfängerstelle herzustellen Verstöße: Geldbuße bis zu ( 43 (2) Nr. 1, (3) BDSG) 23

24 USA? Sog. Save Harbour -Abkommen zwischen EU- Kommission und US-Handelsministerium Angemessenes Datenschutzniveau dann, wenn sich der Datenempfänger in den USA durch Erklärung gegenüber der zuständigen US-Behörde zur Einhaltung bestimmter Datenschutzprinzipien verpflichtete Aber: Entscheidung des EuGH vom Save Harbour -Abkommen gekippt, da es Ausnahmeregel beinhaltete, die es Behörden in den USA gestattete, generell auf den Inhalt elektronischer Kommunikation zuzugreifen Und nun? Safer Save Harbour-Abkommen? 24

25 Lösungsmöglichkeit durch Verschlüsselung? Bei Nutzung von Verschlüsselungstechniken und anschließender Versendung werden keine personenbezogenen Daten transportiert Es handelt sich bei chiffrierten Daten nicht um Daten über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (vgl. 3I BDSGG) Zwar stellen die verschlüsselten Daten für die den Schlüssel besitzende Stelle weiterhin personenbezogene Daten dar. Der Personenbezug ist für alle Nicht-Schlüsselinhaber ausgeschlossen 25

26 3. BYOD ("Bring your own danger" oder "Bring your own disaster?) Mitarbeiter nutzen ihre privaten Geräte (Smartphones, Laptops etc.) für ihre Arbeit im Büro oder zu hause Gefahr, z.b.: Verlust von Kontrolle über geschäftliche Daten unkontrollierter Datenabfluss an Dritte - nicht zuletzt von sensiblen Geschäftsdaten Datenschutzverstöße mit Folgen (z.b. Rufschäden) Bußgelder bis zu Schadensersatzansprüche von Betroffenen Herausforderung für das Management 26

27 3.1 Herausforderung für das Management Geschäftsleitung triff die Organisationspflicht, geeignete Maßnahmen zur Früherkennung solcher Entwicklungen zu treffen, die den Fortbestand des Unternehmens gefährden können Einrichtung und Überwachung eines Risikomanagements für die Erkennung, Kontrolle und Reduzierung von Geschäftsrisiken IT-Systeme einschließlich der von den Mitarbeitern genutzten Endgeräte müssen überwacht werden 27

28 Haftung der Geschäftsleitung Geschäftsleitung (auch leitende Angestellte) persönlich verantwortlich für ein angemessenes Risikomanagement Persönliche Schadensersatzpflicht Unter Umständen strafrechtliche Sanktionierung bei mangelndem Risikomanagement aus sogenannter Garantenstellung 28

29 3.2 Was ist zu tun? Betriebliche Regelung Betriebliche Regelung zur Nutzung von Geräten Festlegung von technischen und organisatorischen Maßnahmen für ausreichende IT- und Datensicherheit Verhaltens- und Sicherheitsrichtlinien für Umgang der Mitarbeitern mit Geräten (nicht nur bei BYOD) Unter Umständen: Mitbestimmung des Betriebsrats ( 87 BetrVG) Fragen der Ordnung des Betriebs und des Verhaltens der Arbeitnehmer im Betrieb Betriebliche Regelung ist Compliance-Anforderung 29

30 Inhalt der Betrieblichen Regelung - Beispiele Reflektion der unternehmensspezifischen Risiken Potentielle Verstöße gegen das Urheberrecht Download von Content Nutzung von Software außerhalb der Lizenzbestimmungen Bestandsaufnahme über die auf Geräten vorhandene Software Erlaubte Apps und Datenschutz regeln Trennung von privaten und Daten des Unternehmens Private und betriebliche Nutzung differenzieren Verhaltensregeln im Falle des Gerätediebstahls 30

31 4. Fazit Neue Technologien sind rechtliche Herausforderungen Es gibt keinen rechtsfreien Raum Cloud und BYOD sind rechtlich erfasst Spannungsfeld zwischen rechtlicher Lösung, technisch Möglichem und geschäftlich Gewolltem Cloud-Anwendungen und BYOD lassen sich rechtskonform regeln Zur Haftungsvermeidung muss das Management Regelungen in technischer und rechtlicher Hinsicht als Complianc-Anforderung umsetzen und kontrollieren 31

32 Klaus M. Brisch LL.M. Managing Partner Fachanwalt für Informationstechnologierecht BridgehouseLaw Germany 32