Fachkundig beraten. Rechtssicherheit in der Cloud Die neuen datenschutzrechtlichen Vorgaben und ihre Umsetzung in der Praxis

Transkript

1 Fachkundig beraten Rechtssicherheit in der Cloud Die neuen datenschutzrechtlichen Vorgaben und ihre Umsetzung in der Praxis Dr. Christiane Bierekoven, Rechtsanwältin, Fachanwältin für IT-Recht it-sa Nürnberg

2 Agenda 01 Ausgangspunkt: Kernmerkmale der Cloud Modelle 1.1 Inhalte 1.2 Ausgestaltungen 02 Ausgewählte Herausforderungen Datenschutz 2.1 national 2.2 international 03 Die neuen datenschutzrechtlichen Vorgaben nach der Orientierungshilfe (OH) Cloud Computing dem Working Paper (WP) Nr. 196 der Art. 29-Gruppe on Cloud Computing 04 Ausblick: Die EU-Datenschutz-Grundverordnung 05 Fazit 2

3 Agenda 01 Ausgangspunkt: Kernmerkmale der Cloud Modelle 1.1 Inhalte 1.2 Ausgestaltungen 02 Ausgewählte Herausforderungen Datenschutz 2.1 national 2.2 international 03 Die neuen datenschutzrechtlichen Vorgaben nach der Orientierungshilfe (OH) Cloud Computing dem Working Paper (WP) Nr. 196 der Art. 29-Gruppe on Cloud Computing 04 Ausblick: Die EU-Datenschutz-Grundverordnung 05 Fazit 3

4 1. Kernmerkmale der Cloud Modelle 1.1 Inhalte Public Cloud Private Cloud Hybrid Cloud Betrieb außerhalb der unternehmensspezifischen Firewall außerhalb der Kontrolle des Kunden Cloud Umgebung/Betrieb beim/durch IT-Dienstleister Kein Einfluss des Kunden auf Art & Ort der Datenhaltung Datenverarbeitungsprozesse Betrieb innerhalb der Firewall des/dediziert für Kunden unter der Kontrolle des Kunden Cloud Umgebung/Betrieb durch IT- Dienstleister für Kunden/beim Kunden Kontrolle und Einfluss des Kunden auf Art & Ort der Datenhaltung Datenverarbeitungsprozesse Kombination Public Cloud Private Cloud on Premise abgestuft nach Cloud Modell beim/durch IT-Dienstleister beim/für Kunden on Premise abhängig vom Cloud-Modell mit/ohne Kontrolle des Kunden vollständige Kontrolle on Premise 4

5 1. Kernmerkmale der Cloud Modelle 1.2 Ausgestaltungen a) Generalunternehmer (GU-) Modell Provider 5 Elektronisches Archiv KUNDE Eine Leistungsbeziehung Provider 1 ERP-System Cloud Provider (GU) Provider 4 SW- Applikation Provider 3 Mail-System Provider 2 CRM-System Wesentliches Merkmal: Cloud Provider + Provider sind bestimmbar/bekannt 5

6 1. Kernmerkmale der Cloud Modelle 1.2 Ausgestaltungen b) Multi Vendor Management (MV-) Modell Provider 5 Elektronisches Archiv KUNDE Eine Leistungsbeziehung Provider 1 ERP-System Cloud Provider (GU) Provider 4 SW- Applikation Provider 3 Mail-System Provider 2 CRM-System 6

7 1. Kernmerkmale der Cloud Modelle 1.2 Ausgestaltungen b) Multi Vendor Management (MV-) Modell mit bestimmten Vertragspartnern Cloud Provider 5 Elektronisches Archiv Cloud Provider 1 ERP-System KUNDE Vielfältige Leistungsbeziehungen Cloud Provider 4 SW-Applikation Cloud Provider 3 Mail-System Cloud Provider 2 CRM-System Wesentliches Merkmal: Cloud Provider sind bestimmbar/bekannt 7

8 1. Kernmerkmale der Cloud Modelle 1.2 Ausgestaltungen c) Multi Vendor Management (MV-) Modell: Public Cloud mit n- Providern/unbestimmten KUNDE Subunternehmern Provider 5.1 Elektronisches Archiv Provider 5.2 Elektronisches Archiv Cloud Provider 5 Elektronisches Archiv Eine Leistungsbeziehung KUNDE Vielfältige Leistungsbeziehungen Cloud Provider 1 ERP- System Provider 1.1 ERP-System Provider 1.2 ERP-System Provider 4.1 SW- Applikation Provider 4.2 SW- Applikation Cloud Provider 4 SW- Applikation Provider 3.1 Mail-System Cloud Provider 3 Mail-System Cloud Provider 2 CRM-System Provider 3.2 Mail-System Provider 2.2 CRM-System Provider 2.1 CRM-System Wesentliches Merkmal: Provider sind weder bekannt noch bestimmbar 8

9 Agenda 01 Ausgangspunkt: Kernmerkmale der Cloud Modelle 1.1 Inhalte 1.2 Ausgestaltungen 02 Ausgewählte Herausforderungen Datenschutz 2.1 national 2.2 international 03 Die neuen datenschutzrechtlichen Vorgaben nach der Orientierungshilfe (OH) Cloud Computing dem Working Paper (WP) Nr. 196 der Art. 29-Gruppe on Cloud Computing 04 Ausblick: Die EU-Datenschutz-Grundverordnung 05 Fazit 9

10 2. Ausgewählte Herausforderungen Datenschutz Ausgangspunkt: Anwendbarkeit des Bundesdatenschutzgesetzes (BDSG) Die datenschutzrechtlichen Vorschriften des BDSG gelten nur für personenbezogene Daten (pd), nicht für sonstige Daten Wesentlich: Feststellung des Personenbezugs der Cloud Services 10

11 2. Ausgewählte Herausforderungen Datenschutz Unterscheidung: Personenbezogene Daten Sonstige Daten Einzelangaben über persönliche/sachliche Verhältnisse einer bestimmten/bestimmbaren natürlichen Person Beispiele: Name, Anschrift, Telefonnummer, -Adresse, Geo-Daten, biometrische Merkmale einer Person alle anderen Daten ohne Personenbezug Firmendaten Grauzone: Kleinunternehmer Beispiele: Technische Daten, Geschäftsdaten, Knowhow AG, GmbH, KG etc. Einzel-Personen-Betriebe 11

12 2. Ausgewählte Herausforderungen Datenschutz 2.1 national Herausforderung 1 Durchführung der Vorabkontrolle, 11 Abs. 2 S. 4 BDSG Herausforderung 2 Abschluss einer ADV, 11 Abs. 2 S. 2 BDSG Herausforderung 3 Einschaltung von Subunternehmen, 11 Abs. 2 S. 2 Nr. 6 BDSG 12

13 2. Ausgewählte Herausforderungen Datenschutz 2.2 international Herausforderung: Übermittlung personenbezogener Daten im internationalen Kontext Übermittlung zulässig, 4b Abs. 1 BDSG Unsichere Drittstaaten EU/ EWR Sichere Drittstaaten (9) Übermittlung zulässig Argentinien, Guernsey, Isle of Man, Kanada, Schweiz, Jersey, Färöer Inseln, Andorra, Israel Übermittlung unzulässig, 4b Abs. 2 S. 2 BDSG USA Übermittlung unzulässig wie unsicherer Drittstaat / Safe Harbor 13

14 2. Ausgewählte Herausforderungen Datenschutz 2.2 international Legitimation der Datenübermittlung in/an Herausforderung 1 unsichere Drittstaaten Safe Harbor zertifizierte US-Unternehmen Herausforderung 2 Vorabkontrolle von im Ausland ansässigen Cloud-Anbietern Das Privileg der Auftragsdatenverarbeitung 3 Abs. 8 BDSG gilt für Deutschland EU / EWR nicht für sichere Drittstaaten unsichere Drittstaaten Safe Harbor zertifizierte US-Unternehmen Herausforderung 3 Folge: Es bedarf einer Übermittlungsrechtfertigung, 4 Abs. 1 BDSG 14

15 Agenda 01 Ausgangspunkt: Kernmerkmale der Cloud Modelle 1.1 Inhalte 1.2 Ausgestaltungen 02 Ausgewählte Herausforderungen Datenschutz 2.1 national 2.2 international 03 Die neuen datenschutzrechtlichen Vorgaben nach der Orientierungshilfe (OH) Cloud Computing dem Working Paper (WP) Nr. 196 der Art. 29-Gruppe on Cloud Computing 04 Ausblick: Die EU-Datenschutz-Grundverordnung 05 Fazit 15

16 3. Die neuen datenschutzrechtlichen Vorgaben 3.1 nationaler Datenschutz Herausforderung 1: Herausforderung Vorabkontrolle, 11 Abs. 2 S. 2 BDSG Lösung nach OH Cloud Computing*: Vor-Ort-Kontrolle ist nicht immer möglich Lösung: Zertifizierungs-/ Gütesiegelverfahren des Cloud Providers bei unabhängiger und kompetenter Prüfstelle Einschränkung: Kontrollpflichten des Kunden nach 11 Abs. 2 S. 4 BDSG bleiben bestehen nach WP Nr. 196**: * Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Version 1.0, Stand ** Working Paper Art. 29 Gruppe vom Zertifizierung in diesem Sinne möglich, ABER: Verpflichtung des Kunden, sich Prüfbericht vorlegen zu lassen Folge: MV-Modell mit n-(sub) Cloud Providern ist unzulässig 16

17 3. Die neuen datenschutzrechtlichen Vorgaben 3.1 nationaler Datenschutz Herausforderung Herausforderung 2: Abschluss ADV, 11 Abs. 2 S. 2 BDSG Lösung nach OH Cloud Computing: ist erforderlich nach WP Nr. 196: Vertrag mit Cloud Provider ist erforderlich mit Anforderungen, die im Wesentlichen 11 Abs. 2 S. 2 BDSG entsprechen Folge: MV-Modell mit n-(sub) Cloud Providern entfällt 17

18 3. Die neuen datenschutzrechtlichen Vorgaben 3.1 nationaler Datenschutz Herausforderung 3: Herausforderung Einschaltung von Subunternehmern, 11 Abs. 2 S. 2 Nr. 6 BDSG Lösung nach OH Cloud Computing: Cloud Provider muss Provider benennen + die für 11 Abs. 2 BDSG relevanten Inhalte offen legen die Kontrollpflichten des 11 Abs. 2 S. 4 BDSG weitergeben nach WP Nr. 196: Zustimmungsvorbehalt des Kunden substituierbar durch Generalzustimmung mit Widerspruchsmöglichkeit Bekanntgabe von Name + Ort des Providers erforderlich Einräumung der Kontrollrechte (nach 11 Abs. 2 S. 4 BDSG) auch gegenüber Provider Folge: MV-Modell mit n-(sub) Cloud Providern entfällt 18

19 3. Die neuen datenschutzrechtlichen Vorgaben 3.1 internationaler Datenschutz Herausforderung 1: Datenübermittlung in Herausforderung unsichere Drittstaaten an US-Unternehmen Lösung nach OH Cloud Computing + WP Nr. 196: Vereinbarung der EU-Standardklauseln/ Standardvertragsklauseln für Auftragsdatenverarbeiter w.v. oder Safe Harbor Zertifizierung mit Nachweisen der Einhaltung Folge: Übermittlung in unsichere Drittstaaten über Public Cloud MV-Modell mit n-(sub) Cloud Providern ist unzulässig 19

20 3. Die neuen datenschutzrechtlichen Vorgaben 3.1 internationaler Datenschutz Herausforderung Lösung Herausforderung 2: Vorabkontrolle von im Ausland ansässigen Cloud Providern w.o. Folie 18 20

21 3. Die neuen datenschutzrechtlichen Vorgaben 3.1 internationaler Datenschutz Herausforderung 3: Herausforderung Lösung nach OH Cloud Computing: Kein Privileg der Auftragsdatenverarbeitung bei Übermittlung in / an unsichere Drittstaaten US-Unternehmen Einschaltung von Providern Standardklauseln + ADV gem. 11 Abs. 2 BDSG Folge: Rechtfertigung der Datenübermittlung gem. 28 Abs. 1 Nr. 2 BDSG Safe Harbor Zertifizierung + ADV Abschluss von Verträgen mit Inhalt der Standardvertragsklauseln Cloud Provider /Sub Cloud Provider + ADV nach WP Nr. 196: Standardvertragsklauseln Safe Harbor Zertifizierung Beachtung nationaler Besonderheiten 21

22 Agenda 01 Ausgangspunkt: Kernmerkmale der Cloud Modelle 1.1 Inhalte 1.2 Ausgestaltungen 02 Ausgewählte Herausforderungen Datenschutz 2.1 national 2.2 international 03 Die neuen datenschutzrechtlichen Vorgaben nach der Orientierungshilfe (OH) Cloud Computing dem Working Paper (WP) Nr. 196 der Art. 29-Gruppe on Cloud Computing 04 Ausblick: Die EU-Datenschutz-Grundverordnung 05 Fazit 22

23 4. Ausblick: Die EU-Datenschutz-Grundverordnung 1) Das Erfordernis einer ADV/eines Vertrages bleibt. 2) Die internationalen Lösungsansätze bleiben, sie werden etwas detaillierter geregelt. 3) Der Auftragsverarbeiter wird stärker in die Pflicht genommen. Er kann neben dem Auftraggeber auf Schadensersatz in Anspruch genommen werden. 4) Die klare Trennung der Verantwortlichkeiten Auftraggeber/Auftragnehmer entfällt. 5) Es erfolgt keine gegenseitige Anerkennung von Zertifizierungsverfahren zur Durchführung der (Vorab-) Kontrollen. Diese werden laut EU Cloud Strategie Papier vom separat eingeführt. 6) Entscheidende Rechtsthemen bzgl. Cloud Computing im B2B-Bereich beantwortet der Entwurf der DS-GVO nicht. 23

24 Agenda 01 Ausgangspunkt: Kernmerkmale der Cloud Modelle 1.1 Inhalte 1.2 Ausgestaltungen 02 Ausgewählte Herausforderungen Datenschutz 2.1 national 2.2 international 03 Die neuen datenschutzrechtlichen Vorgaben nach der Orientierungshilfe (OH) Cloud Computing dem Working Paper (WP) Nr. 196 der Art. 29-Gruppe on Cloud Computing 04 Ausblick: Die EU-Datenschutz-Grundverordnung 05 Fazit 24

25 5. Fazit 1) Die neuen Anforderungen der OH Cloud Computing und des WP 196 verschärfen die Herausforderungen an den Datenschutz im Cloud Umfeld. 2) Danach sind nur solche Cloud Modelle zulässig, bei denen Art und Ort der Datenverarbeitung bekannt sind und der Kunde die Kontrolle behält. 3) MV-Modelle mit n-(sub) Cloud Providern sind danach unzulässig. 4) GU- oder Private Cloud Modelle können diese Anforderungen umsetzen. 5) Der Entwurf der DS-GVO lässt wesentliche Klarstellungen bzgl. Cloud Computing im B2B-Bereich vermissen. 25

26 5. Fazit 6) Wesentlich ist eine transparente Datenverarbeitung. Deshalb ist dem Kunden zu empfehlen, das Datenschutzkonzept des Cloud Anbieters einzufordern, dem Cloud Anbieter dieses zur Verfügung zu stellen. 7) Transparenz schafft Vertrauen in datenschutzgerechtes Cloud Computing. 8) Vertrauen ist wesentlich für die Etablierung und Nutzung der Cloud Konzepte. 26

27 Ihre Ansprechpartnerin Dr. Christiane Bierekoven Associate Partnerin / Rechtsanwältin Fachanwältin für IT-Recht Rödl & Partner Äußere Sulzbacher Str. 100 D Nürnberg Telefon +49 (911) Telefax +49 (911) christiane.bierekoven@roedl.com Jeder Einzelne zählt bei den Castellers und bei uns. Menschentürme symbolisieren in einzigartiger Weise die Unternehmenskultur von Rödl & Partner. Sie verkörpern unsere Philosophie von Zusammenhalt, Gleichgewicht, Mut und Mannschaftsgeist. Sie veranschaulichen das Wachstum aus eigener Kraft, das Rödl & Partner zu dem gemacht hat, was es heute ist. Força, Equilibri, Valor i Seny (Kraft, Balance, Mut und Verstand) ist der katalanische Wahlspruch aller Castellers und beschreibt deren Grundwerte sehr pointiert. Das gefällt uns und entspricht unserer Mentalität. Deshalb ist Rödl & Partner eine Kooperation mit Repräsentanten dieser langen Tradition der Menschentürme, den Castellers de Barcelona, im Mai 2011 eingegangen. Der Verein aus Barcelona verkörpert neben vielen anderen dieses immaterielle Kulturerbe. 27