Datenschutz in der Cloud. RA Wilfried Reiners, MBA

Transkript

1 Datenschutz in der Cloud Referent: RA Wilfried Reiners, MBA 1

2 2 Agenda Voraussetzungen für rechtlich sicheres Cloud Computing Rechtsgrundlagen Wegfall von Safe Harbor Datenschutz + Datensicherheit Beispiel Microsoft Cloud Services

3 Anwaltskanzlei für das Recht in der IT Consulting Unternehmen für IT-Compliance Umsetzung

4 Hintergrund-Informationen SIND VERGRIFFEN UND IN ÜBERARBEITUNG 4

5 5 Entwicklung des Computer-/EDV-/IT-Rechts Sechziger Jahre: Phänomen Computer, Datenverarbeitungsanlagen Siebziger Jahre: EDV-Systeme (1970 Hess. Datenschutz; 1977 BDSG) Achtziger Jahre: PC und Software Neunziger Jahre: Standard Software (EU Datenschutzrichtlinie 1995) 2000er Jahre: Internet (EU Datenschutzumsetzung in Deutschland 2005) 2007 Consumerization (iphone / smart Phone) 2012 Services / Cloud / App (= Outsourcing, XaaS) 2016 Big Data / Personal Data Economy (Datenschutz Grund VO)

6 6 Cloud Computing braucht vier Komponenten zum Erfolg Rechtliche Zulässigkeit (Datenschutz und andere Gesetze) Geprüfte Datensicherheit (ISO 27001, etc.) Zugesicherte Verfügbarkeit (Hochverfügbarkeit von 99,9x %) Finanzielle Attraktivität (Gesamtkostenbetrachtung, Migration und Betrieb)

7 7 Generelle Informationen - Grundlagen -

8 8 Wem gehören die Daten? Wem gehören die Fahrzeugdaten? Prof. Dr. jur. Alexander Roßnagel klar beantwortet: Die Kfz-Daten gehören als immaterielle Informationen niemand. Allerdings regelt die Rechtsordnung differenziert den Umgang mit diesen Daten.. wer mit diesen Daten wie umgehen darf.. Quelle: AK VII des 52. VGT am 30. und Quelle://

9 Wem gehören die Daten? 903 BGB Befugnisse des Eigentümers Der Eigentümer einer Sache kann, soweit nicht das Gesetz oder Rechte Dritter entgegenstehen, mit der Sache nach Belieben verfahren und andere von jeder Einwirkung ausschließen. 90 BGB Begriff der Sache Sachen im Sinne des Gesetzes sind nur körperliche Gegenstände. Daten fehlt die Körperlichkeit. Sie besitzen insbesondere durch die Möglichkeit einer unbegrenzten identischen Vervielfältigung keine physikalische Einmaligkeit im 9 klassischen Sinne.

10 Datenschutzgesetze (Übersicht / Auswahl) I Bundesdatenschutzgesetz Das Bundesdatenschutzgesetz (BDSG) regelt die Zulässigkeit der Verarbeitung von Bürgerdaten einerseits durch Behörden des Bundes und andererseits durch private Unternehmen in der gesamten Bundesrepublik Deutschland. Landesdatenschutzgesetze Die Landesdatenschutzgesetze regeln die Voraussetzungen, unter denen Landesbehörden personenbezogene Daten verarbeiten dürfen. Kirchlicher Datenschutz Die Anordnung über den kirchlichen Datenschutz (KDO) ist die für den Bereich der römisch-katholischen Kirche in Deutschland geltende Datenschutz-Regelung. Das Kirchengesetz über den Datenschutz der Evangelischen Kirche in Deutschland (DSG-EKD) ist die für den Bereich der Evangelischen Kirche in 10 Deutschland geltende Datenschutz-Regelung.

11 Datenschutzgesetze (Übersicht / Auswahl) II Telemediengesetz 11 bis 15a TMG regeln den Datenschutz in den Telemedien. Sozialdatenschutz 67 bis 85a SGB X regeln den Schutz der Sozialdaten. Europäische Datenschutzrichtlinie 95/46/EG Die Richtlinie beschreibt Mindeststandards für den Datenschutz, die in allen Mitgliedstaaten der Europäischen Union durch nationale Gesetze sichergestellt werden müssen. Datenschutz Grundverordnung Die DS-GrVO soll die Richtlinie 95/46/EG ersetzen. Im Gegensatz zur Richtlinie 95/46/EG, wird die 11 Datenschutz-Grundverordnung ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedsstaaten gelten.

12 12 Datenschutz - Grundlagen -

13 13 Warum Datenschutz? Die Einhaltung des Datenschutzes ist eine gesetzliche Pflicht.

14 14 Was ist Datenschutz? Datenschutz ist der Schutz des Einzelnen vor unbefugter Verwendung und Weitergabe seiner personenbezogenen Daten. Personenbezogene Daten? Alle Informationen, die etwas über eine natürliche Person aussagen. Es ist ausreichend, wenn zu der jeweiligen Person ein Bezug hergestellt werden kann.

15 15 Verantwortliche Stelle Die Stelle, die personenbezogene Daten für eigene Zwecke erhebt, verarbeitet oder nutzt (oder dies durch andere im Auftrag vornehmen lässt), nennt man verantwortliche Stelle.

16 16 Betroffener Die bestimmte oder bestimmbare natürliche Person, über deren persönliche oder sachliche Verhältnisse die Einzelangaben etwas aussagen wird vom Gesetz kurz als Betroffener bezeichnet.

17 17 Betroffener Verantwortliche Stelle + A D V Auftragsdatenverarbeiter

18 18 Auftragsdatenverarbeitung 11 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag (1) Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind

19 19 Auftragsdatenverarbeitung 11 BDSG bedeutet im Wesentlichen: Gewährung von Kontrollmöglichkeiten Gewährung von Weisungsrechten Abgrenzung zur Funktionsübertragung Gilt für Deutschland und EU. Rechtliche Verantwortlichkeit des Auftraggebers Rechtliche Verpflichtung der Dienstleister Schaffung der technischen IT-Infrastruktur Maßnahmen zur Gewährleistung der Datensicherheit

20 20 Auftragsdatenverarbeitung in nicht sicheren Häfen alt bis Safe Harbor BCR Binding Corporate Rules, sind ein von der Europäischen Kommission eingesetzten Artikel-29-Datenschutzgruppe entwickelter Rahme für verbindliche Richtlinien zum Umgang mit personenbezogene Daten. Diese erlauben es multinationalen Konzernen, internationalen Organisationen und Firmengruppen nach geltendem europäischem Recht, intern personenbezogene Daten in Drittstaaten mit nicht angemessenem Datenschutzniveau zu transferieren. EU Standard Vertragsklauseln für die Übermittlung personenbezogener Daten ins EU-Ausland.

21 21 Kurze Zusammenfassung Datenverarbeitung mit Personenbezug braucht immer eine Rechtsgrundlage Wird die Aufgabe der Datenverarbeitung an einen Dritten weitergegeben, muss zwischen Auftraggeber und Auftragnehmer ein Vertrag zur Auftragsdatenverarbeitung (kurz: ADV) abgeschlossen werden. Dies gilt für Deutschland und die EU. Im außereuropäischen Raum gelten Sonderregeln.

22 22 Das Aus des Safe-Harbor-Abkommens

23 23 Reaktion der Datenschutzbehörden hoch groß Handlungsgeschwindigkeit Aus für Safe Harbor Auswirkungen niedrig gering

24 24 Reaktionen

25 25 Reaktionen

26 26 Reaktionen

27 27 Reaktionen In der Zwischenzeit wird die Datenschutzgruppe weiter untersuchen, wie sich das EuGH-Urteil auf andere Übermittlungsinstrumente auswirkt. Die Datenschutzbehörde gehen während dieser Zeit davon aus, dass die Standardvertragsklauseln und BCR weiter verwendet werden können. Falls bis Ende Januar 2016 noch keine angemessene Lösung in Zusammenarbeit mit den US-amerikanischen Behörden gefunden wurde und je nachdem, wie die Einschätzung der Datenschutzgruppe zu den Übermittlungsinstrumenten aussieht, sind die EU-Datenschutzbehörden verpflichtet, alle notwendigen und angemessen Maßnahmen zu ergreifen, einschließlich koordinierter Durchsetzungsmaßnahmen.

28 Reaktionen Zusammenfassung Genehmigungen für Datentransfers beruhend auf Binding Corporate Rules oder Exportverträgen werden nicht mehr erteilt. Bisherige Genehmigungen werden (vorerst) nicht aufgehoben. Auf Safe Harbor gestützte Datenübermittlungen werden untersagt. Einwilligungen sollen nur zulässig sein, wenn es nicht zu einer wiederholten, massenhaften oder routinemäßigen Übertragung kommt. 28 Keine Aussage zu EU Standard Klauseln.

29 29 Wegfall von Safe Harbor Bei Übermittlung personenbezogener Daten aus Deutschland an eine Stelle in einem außereuropäischen Staat muss ein wirksamer Schutz der Persönlichkeitsrechte der Betroffenen sichergestellt werden. Dies war möglich durch: Einwilligung Individualverträge EU-Standardverträge verbindliche Konzernregelungen (BCR) Safe Harbor (Safe-Harbor-Entscheidung der Europäischen Kommission (2000/520/EG)) Der Gerichtshof der Europäischen Union hat mit Urteil vom die unter dem Namen "Safe Harbor" bekannte Entscheidung der EU-Kommission für ungültig erklärt. Davon betroffen sind Datentransfers in die USA.

30 30 Daten in der Microsoft Cloud

31 Speicherort der Daten in der MS Cloud Für deutsche Kunden werden standardmäßig die wesentlichen Kundendaten (Core Customer Data) der Microsoft Enterprise Services (Office 365, Microsoft Azure, CRM- Online, Windows Intune) in den Microsoft Rechenzentren in Dublin und Amsterdam gespeichert. Microsoft verfolgt bei den Rechenzentren eine an den Regionen orientierte Strategie. Das Land oder die Region des Kunden, das oder die der Administrator bei der erstmaligen Einrichtung der Dienste eingibt, bestimmt den primären Speicherort für die Daten des Kunden. Weitere Informationen finden Sie hier: 31 (Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland Stand: Februar 2015)

32 32 Kein deutsches MS Rechenzentrum Rechenzentren in anderen EU-Ländern sind Rechenzentren in Deutschland datenschutzrechtlich gleichgestellt. Datenschutzrechtlich ist es also unerheblich, wo sich ein Rechenzentrum in der EU befindet. Dies folgt aus der Waren- und Dienstleistungsfreiheit in der Europäischen Union. Die Dienstleistungsfreiheit ist eine der vier Grundfreiheiten des Europäischen Binnenmarktes. Sie ermöglicht Anbietern den freien Zugang zu den Dienstleistungsmärkten aller Mitgliedsstaaten der Europäischen Union. Ein Rechenzentrum in Deutschland ist datenschutzrechtlich nicht anders zu behandeln als ein Rechenzentrum in einem anderen Mitgliedsstaat der EU. (Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland Stand: Februar 2015)

33 Datenzugriff von MS Mitarbeitern aus anderen Regionen Die Anforderungen zur Bereitstellung der Dienste können im Einzelfall beinhalten, dass einige Daten Mitarbeitern bzw. Zulieferern von Microsoft außerhalb der primären Speicherregion zugänglich gemacht werden. Darüber hinaus kann es vorkommen, dass sich die Mitarbeiter mit der meisten technischen Erfahrung für die Behandlung spezieller Dienstprobleme an anderen Standorten als am primären Standort befinden, und sie ggf. Zugriff auf Systeme oder Daten benötigen, um das Problem lösen zu können. Für den Teil der Services, die Microsoft von außerhalb der EU erbringt, bietet Microsoft seinen Kunden die EU-Standardvertragsklauseln an (dazu später). 33 (Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland Stand: Februar 2015)

34 34 MS und die Zusammenarbeit mit den Datenschutzbehörden Mai 2011 Besprechung mit Übertragung der Finale Abstimmung Bestätigung der den Aufsichts- Zusammenarbeit mit der Artikel 29 Vertragsstruktur behörden in der EU an die Artikel 29 Gruppe zum durch die zum Inhalt der Gruppe genauen Wortlaut Bayerische Verträge der Verträge im Aufsichtsbehörde April 2014.

35 Rechtliche Grundlagen der MS Cloud-Nutzung Grundlage für die Leistungsbeziehung sind die Lizenzverträge über die Nutzung der jeweiligen Microsoft-Technologie. Diese werden zwischen dem Kunden und der Microsoft Ireland Operations Limited (nachfolgend: MIOL) abgeschlossen. Die Lizenzverträge werden durch die Online Services Terms ergänzt (aktuelle Fassung unter ttypeid=31 35 (Quelle: Compliance in der Microsoft Enterprise Cloud, Veröffentlicht von Microsoft Legal and Corporate Affairs (LCA) Deutschland Stand: Februar 2015)

36 36 Online Service Terms (OST)

37 37 OST Germany

38 38 OST Germany

39 39 OST Germany

40 40 OST Germany

41 41 OST Germany

42 42 OST Germany

43 43 Datenschutzrechtliche Vertragsbeziehungen

44 Besonderheit: Verschlüsselung Es ist fraglich, ob der Datenschutz dann überhaupt zum Tragen kommt. Sofern eine Verschlüsselung sowohl auf dem Transportweg zwischen Kunde und Microsoft als auch der gespeicherten Daten in der Cloud erfolgt und der Schlüssel allein beim Kunden liegt, fehlt es bereits an der Übermittlung personenbezogener Daten. Microsoft bietet seinen Kunden hierzu an, ihren eigenen Schlüssel für die Verschlüsselung von Daten in Windows Azure Rights Management zu verwenden. Dabei wird der Schlüssel durch ein Hardware-Sicherheitsmodul (HSM) des Herstellers Thales geschützt, so dass Microsoft den Schlüssel nicht exportieren und weitergeben kann. Eine solche Verschlüsselung würde den Personenbezug von Daten ausschließen, kann jedoch die Funktionalität, wie die Suchfunktion, einschränken.

45 45 ISO Seit August 2014 gibt es einen neuen internationalen Standard für den Datenschutz in der Cloud, die ISO/IEC Inhaltlich baut die Norm auf bereits existierenden Sicherheitsstandards insbesondere ISO/IEC auf. Allerdings befasst sich ISO/IEC speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in einer Cloud. In der Praxis ist der Einsatz anerkannter Sicherheitsverfahren oder aber die Zertifizierung durch unabhängige Dritte ein entscheidendes Kriterium für die Auswahl des Cloud-Anbieters. Dies gilt umso mehr für die Kontrollrechte des Auftraggebers im Rahmen einer Auftragsdatenverarbeitung nach 11 Abs. 2 Nr. 7 BDSG. Die ISO/IEC legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud-Diensten fest und formuliert Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen.

46 46 ISO 27018

47 Rechtliches Rahmenwerk von Microsoft Cloud Services Datenschutz Kunde Anbieter Standort in: Deutschland Deutschland ADV, ISO Deutschland EU (Irland / Niederlande) ADV, ISO Deutschland USA EU-Klauseln; ADV, CoC, ISO 27018

48 48 Cloud Computing braucht vier Komponenten zum Erfolg Geprüfte Datensicherheit (ISO 27001, etc.)

49 Datensicherheit Quelle: =56a3c89a-d48f-4770-afd2-64aa48ebae16

50 50 Cloud Computing braucht vier Komponenten zum Erfolg Zugesicherte Verfügbarkeit (Hochverfügbarkeit von 99,9x %)

51 Verfügbarkeit 3c89a-d48f-4770-afd2-64aa48ebae16

52 Kontakt PRW Rechtsanwälte Wilfried Reiners, MBA Leonrodstr München Tel: +49 (89)