Rechtliche Aspekte des Cloud Computing

Transkript

1 Rechtliche Aspekte des Cloud Computing Dr. Jan Geert Meents, Rechtsanwalt und Partner, DLA Piper ISV Vision 16. November 2010

2 DLA Piper Eine der weltweit größten Anwaltssozietäten mit über Anwälten an 69 Standorten in 30 Ländern in Europa, Asien, Naher Osten und USA. ISV Vision München 16. November

3 Agenda Rechtsnatur von Cloud Services und anwendbares Recht Datenschutz und Datensicherheit Softwarelizenzen in der Cloud IT Compliance und IT Governance Vertragsgestaltung und Service Levels ISV Vision München 16. November

4 Agenda Rechtsnatur von Cloud Services und anwendbares Recht Datenschutz und Datensicherheit Softwarelizenzen in der Cloud IT Compliance und IT Governance Vertragsgestaltung und Service Levels ISV Vision München 16. November

5 Rechtsnatur von Cloud-Services Mietvertrag Dienstvertrag/Werkvertrag SaaS BGH zu ASP: typische Leistung ist Onlinenutzung von Software für eine begrenzte Zeit ASP-Services sind rechtlich vergleichbar mit Nutzung von Software via Cloud Services IaaS, PaaS User Help Desk Support Wartung Datenspeicherung Archivierung Application Management ISV Vision München 16. November

6 Anwendbares Recht Keine Rechtswahl: Rom I Verordnung (EC No 593/2008) Dienstleistungsverträge: Recht des Staates,in dem der Dienstleister seinen gewöhnlichen Aufenthalt hat, Artikel 4 (1) (b) Verträge über die Online Nutzung von Hardware und Software: Nicht geregelt durch Artikel 4 (1) Recht des Staates, in dem die Partei, welche die für den Vertrag charakteristische Leistung zu erbringen hat, ihren gewöhnlichen Aufenthalt hat, Artikel 4 (2) Grundsatz: Recht des Staates des Service Providers Aspekte bei der Rechtswahl (gerichtliche) Durchsetzbarkeit von vertraglichen Ansprüchen Möglichkeiten zur Sicherung von Ansprüchen einstweiliger Rechtsschutz Unabhängig von Rechtswahl einschlägige nationale Vorschriften berücksichtigen (IPR, Sachenrecht, zwingendes Recht) ISV Vision München 16. November

7 Anwendbares Recht ISV Vision München 16. November

8 Agenda Rechtsnatur von Cloud Services und anwendbares Recht Datenschutz und Datensicherheit Softwarelizenzen in der Cloud IT Compliance und IT Governance Vertragsgestaltung und Service Levels ISV Vision München 16. November

9 Datenschutz Personenbezogene Daten: Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten Nicht untersagt, soweit gesetzlich erlaubt es dem Zweck des Vertrages mit der betroffenen Person entspricht es erforderlich ist, um die berechtigten Interessen der verantwortlichen Stellen zu wahren und keine überwiegenden Interessen des Betroffenen vorliegen Anderenfalls: Verbot der Erhebung, Verarbeitung und Nutzung ISV Vision München 16. November

10 Datentransfer Problem: Übermittlung personenbezogener Daten ins Ausland Innerhalb des EWR Einwilligung des Betroffenen oder sonstiger Erlaubnistatbestand, z.b. Interessenabwägung verarbeitende Stelle - Betroffener Auftragsdatenverarbeitung 11 BDSG nächste Folie Unsicheres Drittland außerhalb des EWR Einwilligung des Betroffenen oder sonstiger Erlaubnistatbestand PLUS EU Standardvertragsklauseln Binding Corporate Rules Safe Harbor Regelungen ISV Vision München 16. November

11 Auftragsdatenverarbeitung Schriftliche Vereinbarung Sorgfältige Auswahl des Auftragnehmers unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen Schriftliche Festlegung der Art der Datenverarbeitung Kontrollrechte und -pflichten des Auftraggebers Weisungsbefugnisse des Auftraggebers Rückgabe überlassener Datenträger und Löschung gespeicherter Daten nach Beendigung des Auftrags ISV Vision München 16. November

12 Datensicherheit Einhaltung bestimmter technischer und organisatorischer Anforderungen gemäß 9 BDSG Zutrittskontrolle Zugangskontrolle Zugriffskontrolle Weitergabekontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennung von zu unterschiedlichen Zwecken erhobenen Daten Verpflichtung folgt auch aus 91 AktG ISV Vision München 16. November

13 Agenda Rechtsnatur von Cloud Services und anwendbares Recht Datenschutz und Datensicherheit Softwarelizenzen in der Cloud IT Compliance und IT Governance Vertragsgestaltung und Service Levels ISV Vision München 16. November

14 Softwarelizenzen in der Cloud Vervielfältigung einer Software bedarf der Zustimmung des Rechteinhabers, 69c Nr. 1 UrhG Bloße Verschiebung der Software in die Cloud ist keine Vervielfältigung. Zugriff auf die Software (etwa per Webbrowser) ist Vervielfältigung Zulässigkeit dieser Vervielfältigungshandlung hängt davon ab, ob der Zugreifende der zur Nutzung "Berechtigte" gemäß 69d UrhG ist Nutzer-Software, die über die Cloud genutzt wird wohl ja Anbieter-Software, die über die Cloud genutzt wird abhängig von den Lizenzbedingungen, eher nein ISV Vision München 16. November

15 Agenda Rechtsnatur von Cloud Services und anwendbares Recht Datenschutz und Datensicherheit Softwarelizenzen in der Cloud IT Compliance und IT Governance Vertragsgestaltung und Service Levels ISV Vision München 16. November

16 IT Compliance und IT Governance IT Compliance Einhaltung und Umsetzung von regulatorischen Anforderungen mit dem Ziel eines verantwortungsvollen Umgangs mit allen Aspekten der Informationstechnik, z.b. Einhaltung der gesetzlichen Vorgaben Einhaltung der vertraglichen Vorgaben, z.b. Lizenzmanagement IT Governance Maßnahmen zur Organisation, Steuerung und Kontrolle der IT- Systeme eines Unternehmens zur Ausrichtung an der Unternehmensstrategie ISV Vision München 16. November

17 IT Compliance Corporate Governance AktG, GmbHG, KonTraG, UMAG Datenschutz und Datensicherheit BDSG, TKG, TMG Handelsrecht und Steuerrecht Sektorspezifische Vorgaben HGB, GoB, GoBS, GDPdU, IFRS, US GAAP, SOX MaRisk, KWG, WpHG, Basel II MPG Best Practises ITIL, CobiT, ISO, BSI ISV Vision München 16. November

18 IT Governance Risk Management Erfassung, Steuerung und Kontrolle von IT-Risiken Strategic Alignment Strategische Ausrichtung der IT an Unternehmenszielen, z.b. Buchhaltung Resource Management Verantwortungsvoller und nachhaltiger Einsatz der IT Ressourcen (Mitarbeiter, Systeme und finanzielle Mittel) Performance Management und Value Delivery Messung der Leistungsfähigkeit der IT Bewertung des Wertbeitrags der IT ISV Vision München 16. November

19 Haftungsrisiken Hoheitliche Maßnahmen gegen die Organe Auskunfts-, Berichtigungs-, Löschungs- und Unterlassungsansprüche (BDSG) Bußgeldverfahren Geldstraße und Freiheitsstrafe Zivilrechtliche Maßnahmen gegen die Organe Schadensersatz gegenüber der Gesellschaft aufgrund Pflichtverletzung, 93, 91 AktG Entlastungsbeweis Geltendmachung auch durch Gläubiger der Gesellschaft Abberufung und Entlassung Maßnahmen gegen die Gesellschaft Nichterteilung des Prüfungstestats Nachteile bei der Kreditvergabe als Folge von Basel II ISV Vision München 16. November

20 Agenda Rechtsnatur von Cloud Services und anwendbares Recht Datenschutz und Datensicherheit Softwarelizenzen in der Cloud IT Compliance und IT Governance Vertragsgestaltung und Service Levels ISV Vision München 16. November

21 Vertragsgestaltung Klare Leistungsbeschreibung nächste Folie Schnittstellendefinition Trennung von Datenbeständen in der Wolke Sicherheitsstandards und -zertifizierungen, Auditrechte Speicherort und regionale Beschränkungen Regelungen zur Wiederherstellung von Daten Exit Strategien zur Vermeidung von Data Lock-in Prüfungsunterstützung (z.b. Logging Support) zur Unterstützung bei Datensicherheitsanforderungen Beendigungsunterstützung, insbesondere bei verteilten Speicherplätzen ISV Vision München 16. November

22 Leistungsbeschreibung Möglichst genaue und abschließende Beschreibung der zu erbringenden Leistung. Insbesondere Bezeichnung der Leistungsübergabepunkte und Schnittstellen zur Messung der erbrachten Leistung. Soweit aus Leistungsbeschreibung und gesetzlichem Leitbild keine eindeutige Leistung ergibt, schuldet der Cloud-Anbieter analog 243 Abs. 1 BGB Leistung "mittlerer Art und Güte". Soweit Leistungen dem Mietrecht zuzuordnen sind, schuldet der Anbieter 100% Verfügbarkeit der Services vertragliche Regelung im Rahmen des rechtlich Möglichen sinnvoll ISV Vision München 16. November

23 Service Level Agreement Service Level Agreement Einigung über die Qualität von Diensten und das Leistungsniveau eines Anbieters, z.b. Systemverfügbarkeit und Nutzerzufriedenheit Zweck eines SLA Festlegung der Erwartungen auf beiden Seiten von Beginn an. Sanktionen für Qualitätsabweichungen und Ausgleich für den Kunden. Vorrangige Beachtung der Kundeninteressen Unterstützung für beide Seiten bei der Erfassung von Ereignissen und Tendenzen, Leistungssteuerung, korrigierende Maßnahmen soweit erforderlich. ISV Vision München 16. November

24 Service Level Agreement Mögliche Qualitätskriterien Verfügbarkeiten Maximale Ausfallzeiten Reaktionszeit Wiederherstellungszeit/Fehlerbehebungszeit Dialogantwortzeit Meantime between Failure (MTBF) Erstlösungsquote Service Desk Problem des Cloud-Anbieters: Übernahme von unkontrollierbaren Haftungsrisiken Lösung: Augenmaß bei der Vertragsgestaltung ISV Vision München 16. November

25 Rechtliche Aspekte des Cloud Computing Dr. Jan Geert Meents Rechtsanwalt und Partner DLA Piper UK LLP Isartorplatz 1, München T: F: E: ISV Vision München 16. November