Status quo Cloud Computing: Fallstricke Recht, Datenschutz und Compliance

Transkript

1 Status quo Cloud Computing: Fallstricke Recht, Datenschutz und Compliance 26. Oktober 2011 Jörg-Alexander Paul Bird & Bird LLP, Frankfurt am Main

2 Keine Angst vor Cloud Computing! Cloud Computing ist kein Technologiesprung, sondern Kombination alter Geschäftsmodelle + neue Abrechnung Fakt: jeder nutzt Cloud Services im Privaten ( & Spam-Filter & ) Aber viele Unternehmer sind skeptisch Top 4 Sorgen*: Sicherheit, 23,7 % Datenschutz, 19,8 % Vertragsgestaltung, 11,9 % Compliance, 11,9 % Ist die Skepsis berechtigt? Heutige Meldung: Wissenschaftler der Ruhr-Uni Bochum dringen in Cloud Control Interfaces von Amazon und Eucalyptus ein, könnten Daten manipulieren Seite 2 *Laut Xaas Check 2010 Studie der TU Darmstadt und IT Research; Quelle:

3 Datenschutz

4 Datenschutz und die Wolke Werden Stellen außerhalb der Europäischen Union mit einbezogen, so sind Clouds [ ] grundsätzlich unzulässig. (Schleswig-Holstein) Vor dem Hintergrund der hohen Internationalisierung und Globalisierung der Clouds [ ] ist zurzeit an eine datenschutzgerechte Datenverarbeitung in der Wolke nicht zu denken. (Brandenburg) In der Praxis lässt sich dies [Einhaltung des adäquaten Schutzniveaus] nur schwer umsetzen, insbesondere im Zusammenhang mit Cloud Computing, [ ] (Europäischer Datenschutzbeauftragter) [ ] schwer vorstellbar, ob und wie [bei geographisch unbegrenzten Clouds] die datenschutzrechtlichen Anforderungen überhaupt realisiert werden können. (Bundesbeauftragter für den Datenschutz) (Non-EU) clouds unzulässig? Seite 4

5 Die Realität und die Wolke Auch 2011 der wichtigste IT Trend. Wachstum bis 2015 geschätzt 48%/Jahr (BITKOM ). Global Player (Google, Microsoft, Amazon, IBM, Deutsche Telekom etc.) investieren Milliarden. Cloud Lösungen gibt es seit Beginn des Internets im privaten, datenschutzrechtlich besonders sensiblen Bereich ( s). Top-Thema der CeBIT 2011: Work and Life with the Cloud. Cloud Computing, in some form, will happen anyway. (Neelie Kroes, Towards a European Cloud Computing Strategy, Davos, ). Cloud Computing Initiative der Kommission im Rahmen der Digitalen Agenda (seit Mai 2011) Die Wolke existiert und wird an Bedeutung weiter zunehmen. Seite 5

6 The Clash in the Cloud Moderne Welt Digitalisierung Virtualisierung, Grid Computing Standardisierung / on demand Ubiquität Cloud Computing Social Media Geo-Location Traditioneller Datenschutz Umfassende Kontrolle Lokalisation Löschung Territorialität Seite 6

7 Verarbeitung durch Dritte Cloud Computing als Auftragsdatenverarbeitung, 11, 9 BDSG? Grundsätzlich: Abhängig von konkreter Ausgestaltung und den erbrachten Services Bzgl. der meisten Szenarien herrschende und richtige Meinung Anforderungen Weisungsrecht Kontrollpflichten Festlegung der Maßnahmen nach 9 BDSG (technische und organisatorische Maßnahmen) Löschungspflichten Verbleib der Daten und Kenntnis der Subunternehmer Seite 7

8 Verarbeitung durch Dritte Lösungen Klare vertragliche Regelungen der Leistungen Wahl durch Auswahl Flexibles Kündigungsrecht Beauftragung zertifizierter Clouddienstleister Regelmäßige Prüfberichte Delegation der Kontrollen und Prüfungen an Prüfungsgesellschaften Seite 8

9 Verarbeitung außerhalb EU/EWR Privilegierung durch 11 BDSG (Auftragsdatenverarbeitung) nur innerhalb EU/EWR Übermittlung der Daten ins Nicht-EU/EWR-Ausland = doppelte Prüfung erforderlich Rechtfertigung nach deutschem Datenschutzrecht Zusätzlich: adäquates Schutzniveau - Sicheres Drittland - Safe Harbour (Problem: fehlende Akzeptanz durch deutsche Datenschutzbehörden) - Vertragliche Sicherstellung des Schutzniveaus: multilaterale EU Model Clauses - Evtl. Binding Corporate Rules bei konzerninterner Cloud Seite 9

10 Vertragsrecht

11 Strategien zur Anbieterwahl Single Point of Contact (SPOC) vs. Multi Vendor SPOC = Ein Anbieter, viele Services - Problem: Abhängigkeit von nur einem Anbieter (Insolvenz, Datenverlust, ) Multi Vendor = Verschiedene Anbieter für verschiedene Services - Problem: Kohärenz, Aufwand Abwägung erforderlich, SPOC oft der bessere Weg Seite 11

12 Vertragsgestaltung Aus Kundensicht: Wahl bei der Auswahl Exkurs: Aus Anbietersicht zählt Differenzierung Rechtswahl & Gerichtsstand Detaillierte Leistungsbeschreibung Klare & sorgfältig formulierte vertragliche Regelungen Insbesondere: Flexibilität bei Kündigung & Gewährleistung Regelungen zur Unterauftragsvergabe (Subunternehmen) Seite 12

13 Compliance

14 Regulatorische Vorgaben anwendungsspezifisch Telekommunikationsrecht Cloud Provider als Telekommunikationsdienstleister? Abhängig von Art der erbrachten Services Nicht grundsätzlich wegen TK-Verbindung zur Cloud Bsp.: Outsourcing von TK-Diensten (Telefon, ) Wenn ja, beachten: Fernmeldegeheimnis Datenschutz - Derzeit: Zulässigkeit der Auslagerung richtet sich nach dem besonders strengen 92 TKG (strittig) - TKG-Novelle (noch 2011?): 92 TKG fällt weg, BDSG einschlägig Seite 14

15 Regulatorische Vorgaben branchenspezifisch Finanzsektor Berufsgeheimnisträger, 203 StGB Sozialdatenverabeitung Seite 15

16 Regulatorische Vorgaben - Weitere Überlegungen Verpflichtungen zu investigativer Unterstützung Vorratsdatenspeicherung (in naher Zukunft?) Pre-Trial-Discovery Strafprozessordnung Compliance nach 9 BDSG <=> SOX u.a. int. Regelungen Steuerrecht Seite 16

17 Fazit Cloud Computing ist möglich, auch im bestehenden Rechtsrahmen. Datenschutz: Wahl durch Auswahl, cloud-spezifische Regelungen Vertragsrecht: Strategische Entscheidung SPOC vs. Multi Vendor; vertragsrechtliche Besonderheiten beachten Regulatorische Vorgaben: Sektor- und anwendungsspezifische Regelungen sind zu beachten (Finanzen, TK, Träger von Berufsgeheimnissen, Steuerrecht) Compliance: Spannungsfeld zwischen Datenschutzvorgaben und internationalen regulatorischen Anforderungen (z.b. SOX) Bei Auswahl des Anbieters beachten Cloud-Anbieter können sich durch maßgeschneiderte Lösungen positionieren Seite 17

18 Vielen Dank Jörg-Alexander Paul Rechtsanwalt und Partner Taunusanlage Frankfurt Telefon: Telefax: joerg-alexander.paul@twobirds.com Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated businesses.