Cloud Services. Cloud Computing im Unternehmen Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten

Transkript

1 Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten Cloud Services 1

2 Was ist Cloud-Computing? neue Technik flexibel abrechenbarer Einsatz bestehender Technikoptionen aus einer Hand: Bspw. Anwenderprogramme, Zurverfügungstellung von IT-Infrastrukturen oder Entwicklungsplattformen Vor- und Nachteile Datenaktualität Datenverfügbarkeit verringerte Komplexität finanzielles Einsparpotential Fragen der Vertragsgestaltung Urheberrechtliche Fragen Datenschutz Ggf. Fragen grenzüberschreitender Rechtsanwendung 2

3 Probleme des Datenschutzes personenbezogene Daten = Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person. Relevanter Bezug: Speicherung einer IP-Adresse, Zugangsdaten, Daten die in der Cloud abgespeichert werden etc. Einwilligung ist zwingend erforderlich VladislavKochelaevs Fotolia 3

4 Auftragsdatenverarbeitung 11 BDSG Schriftlicher Vertrag über die Auftragsdatenverarbeitung nach 11 Abs. 2 BDSG der Gegenstand und die Dauer des Auftrags, der Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, [ ] vgl. Liste in 11 Abs. 2 BDSG Kontrollpflichten des Auftraggebers Thorsten Schuh-Fotolia 4

5 Grenzüberschreitender Datenverkehr Nur Anbieter mit Serverlandschaft in der Europäischen Union (EU) oder dem Europäische Wirtschaftsraum (EWR): Abschluss eines Vertrages über die Auftragsdatenverarbeitung und dessen Einhaltung Tanja Bagusat - Fotolia.com Grenzüberschreitender Datenverkehr Außerhalb des EWR : strenge Anforderungen für Datentransfer angemessenes Datenschutzniveau im Drittland (ADV) bspw. anerkannt für : Andorra, Argentinien, die Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Kanada, Neuseeland und die Schweiz ec.europa.eu/justice/policies/privacy/thirdcountries/index_eu.htm EU-Standardvertragsklauseln USA angemessenes Datenschutzniveau 5

6 Grenzüberschreitender Datenverkehr USA: Safe-Harbour = unterzeichnete Beitrittserklärung + veröffentlichte Datenschutzerklärung Zusätzliches Verlangen der dt. und eur. Aufsichtsbehörden: Gültigkeit des Zertifikats Zertifikat muss sich auf die übermittelten Daten beziehen Verpflichtung zur Zusammenarbeit mit EU-Datenschutzbehörden Cloud-Anwender muss die erforderlichen INFOS erhalten, um Fragen von Betroffenen beantworten zu können Bei Zweifeln: EU-Standartvertragsklauseln oder BCR Aktuelle Entwicklung Alex White Fotolia US-Geheimdienste (NSA, FBI, CIA, etc.) sind ermächtigt (z.b. Patriot Act) auf eine Datenverarbeitung in Europa zuzugreifen; ausreichend ist, dass ein Cloud- Anbieter zumindest auch in den USA geschäftlich tätig ist. Daher: zusätzliche Garantien, bes. Nachvollziehbarkeit der Datenzugriffe Zugriff auf die Protokolldaten ermöglichen; auswertbare Protokollierung Auswertung muss dann wiederum zu einem Protokolleintrag führen. Aufbewahrungszeit der Protokolldaten muss durch den Cloud-Anwender konfigurierbar sein 6

7 Zertifizierungen Keine Kontrollmöglichkeit vor Ort? Unterwerfung des Anbieters unter Zertifizierungs- und Gütesiegelverfahren zu Fragen des Datenschutzes Vorlage der gültigen Zertifikate Bekanntgabe aller Standorte der DV Veröffentlichung regelmäßiger Berichte über Sicherheitsumfeld Für Deutschland gilt: angemessenes Datenschutzniveau = DV findet ausschließlich innerhalb EU oder ERW satt, keine EU/EWR-fremden staatlichen Kontrollen Haftung und Verantwortlichkeit Bußgelder / Betroffenenrechte fehlende oder unvollständige schriftliche Vereinbarung s fehlende Wahrnehmung von Kontrollmöglichkeiten = bis bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils belegt werden kann ( 43 Absatz 1 Nr. 2 BDSG) Benachrichtigung an Behörde und Betroffene, Auskunft, SchEA 7

8 Informationspflicht bes. Arten pers. bezog. Daten, Berufsgeheimnisträger, Strafverfahren, Bank und Kreditdaten [ ]Soweit die Benachrichtigung der Betroffenen einen unverhältnismäßigen Aufwand erfordern würde, insbesondere aufgrund der Vielzahl der betroffenen Fälle, tritt an ihre Stelle die Information der Öffentlichkeit durch Anzeigen, die mindestens eine halbe Seite umfassen, in mindestens zwei bundesweit erscheinenden Tageszeitungen oder durch eine andere, in ihrer Wirksamkeit hinsichtlich der Information der Betroffenen gleich geeignete Maßnahme. [ ] ( 42 a BDSG) Fazit Robert Kneschke@fotolia.com Sind die behördlichen und gesetzlichen solche Vorgaben in der Praxis umsetzbar sind? Zufriedenstellende Rechtslage? NEIN! Gegenüberstellung: Vorteile Cloud-Lösung /rechtlichen Risiken 8

9 Kostenloses Booklet zum Download Juni 2015, Format 12 x 12 cm, 28 Seiten, pdf-datei, 1,2 MB Alle Booklets in unserer Infothek-App auch bequem auf dem Tablet oder Handy lesen! Haben Sie Fragen? 9