Datenschutz in der Cloud Rechtlicher Rahmen und Compliance

Transkript

1 Datenschutz in der Cloud Rechtlicher Rahmen und Compliance Austrian Cloud Congress 2015 Wien, Mag. Jakob Geyer Rechtsanwaltsanwärter

2 Agenda Basics des Datenschutzrechts Grundlagen Nutzung von Cloud Services was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig Jetzt alles anders? 2

3 Agenda Basics des Datenschutzrechts Grundlagen Nutzung von Cloud Services was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig Jetzt alles anders? 3

4 Rechtsgrundlage Datenschutzgesetz DSG Verarbeitung von Daten ist grundsätzlich verboten! Ausnahme von diesem Verbot? Zweck und Inhalt von gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und schutzwürdige Geheimhaltungsinteressen gewahrt 4

5 Rechtsgrundlage Datenschutzgesetz 2000 Jedermann hat Anspruch auf Geheimhaltung seiner Daten! Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens Geheimhaltung gegenüber Staat und Privaten Schutz vor Ermittlung und Weitergabe Voraussetzungen für Schutz: Personenbezogene Daten Schutzwürdiges Interesse Daten öffentlich / anonym? 5

6 Wichtigste Begriffe des Datenschutzgesetzes Definitionen in 4 DSG 2000 Personenbezogene Daten: DSG voll anwendbar Identität bestimmt (Name) oder Identität bestimmbar Beispiele Personenbezug: Anonymisierte Daten: DSG nicht anwendbar Adresse Herstellung eines Personenbezugs verlässlich ausgeschlossen? IP-Adresse Praxistipp: Aggregierte Datensätze (Gruppe von Kundennummer, mind. 5 Betroffenen) etc...! Indirekt personenbezogene (= pseudonymisierte) Daten: Identifikationsmerkmal durch Pseudonym/Code ersetzt für jeweiligen User Personenbezug verhindert 6

7 Wichtigste Begriffe des Datenschutzgesetzes Definitionen in 4 DSG 2000 Auftraggeber: Trifft Entscheidung, Daten zu verwenden... verwendet selbst oder setzt dafür Dienstleister ein Dienstleister: Verwendet Daten... nur für Durchführung des Auftrags Auskunfts-, Richtigstellungs- und Löschungsverpflichtungen treffen immer den Auftraggeber!! 7

8 Die 3 Akteure des Datens hutzgesetzes Auftraggeber Rechtschutzbehelfe Betroffener Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Datenüberlassung Dienstleister Verwendet überlassene Daten... zur Durchführung des Auftrags 8

9 Agenda Basics des Datenschutzrechts Grundlagen Nutzung von Cloud Services was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig Jetzt alles anders? 9

10 Wel her Akteur ist Cloud-Provider? Auftraggeber Rechtschutzbehelfe Betroffener Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Datenüberlassung Dienstleister Verwendet überlassene Daten... zur Durchführung des Auftrags 10

11 Wel her Akteur ist Cloud-Provider? Auftraggeber Rechtschutzbehelfe Betroffener Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Datenüberlassung Dienstleister Verwendet überlassene Daten... zur Durchführung des Auftrags 11

12 Nutzung von Cloud-Services Was passiert rechtlich? Erbringung von Dienstleistungen Dienstleister muss rechtmäßige & sichere Datenverwendung gewährleisten Dienstleister-Pflichten in schriftlichem Dienstleistervertrag...regeln ( 11 DSG 2000): Datensicherheitsmaßnahmen Keine u -Dienstleister ohne OK von Auftragge er Datenübergabe nach Vertragsbeendigung, etc. Zusätzlich zb: Überbindung Geheimhaltungspflichten...und Einhaltung überprüfen! 12

13 Agenda Basics des Datenschutzrechts Grundlagen Nutzung von Cloud Services was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig Jetzt alles anders? 13

14 Haftungsfragen in der Cloud Sorgfaltspflichten / Haftungsregelung Schadenersatzforderungen gegen Cloud-User und Cloud-Provider...müssen mangelndes Verschulden beweisen Entscheidend: Sorgfältige Auswahl des Cloud-Providers Prüfpflicht für ausreichenden Datenschutz beim Cloud-Provider Vorlage externer Zertifizierung, Informationen etc (MS: Office 365-Trust Center 1 )

15 Data Breach Notification Pflicht des Cloud-Users 24 Abs 2a DSG 2000 (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen (...) zu informieren. Ausnahme: Geringfügiger Schaden droht oder Informationskosten unverhältnismäßig hoch Schadensminderungsobliegenheit des Cloud-Benützers! Selbstbeurteilung des Auftraggebers Notfallplan ratsam! 15

16 Strafbestimmungen bei Rechtsverletzungen Verwaltungsstrafen Derzeit: 52 DSG 2000 Geldstrafe bis zu EUR ,- zb: eigenmächtige Übermittlung (=Verletzung Datengeheimnis) Geldstrafe bis zu EUR ,- zb: gröbliche Missachtung von Datensicherheitsmaßnahmen nicht genehmigte Datenübermittlung ins EWR-Ausland Zukünftig: EU Datenschutz- Grund-VO Vorschlag EU-Kommission: Geldstrafen Was ist passiert? bis zu EUR ,- oder bis 2 % des Eingriff Jahresumsatzes in Ausschließungsrecht! weltweit Vorschlag EU-Parlament: bis zu EUR ,- oder (wenn höher) 5 % des Jahresumsatzes weltweit 16

17 Agenda Basics des Datenschutzrechts Grundlagen Nutzung von Cloud Services was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig Jetzt alles anders? 17

18 Datenschutzrechtliche Zulässigkeit des Cloud Computing Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt Innerhalb EWR Nur Abschluss Dienstleistervertrag nötig (Vertrag mit Cloud-Provider) Keine Genehmigungspflicht durch Datenschutzbehörde 18

19 Datenschutzrechtliche Zulässigkeit innerhalb des EWR Keine Genehmigungspflicht des Datentransfers durch Datenschutzbehörde! Abschluss eines schriftlichen Dienstleistervertrags erforderlich Gilt für Datenüberlassung innerhalb: des (inländischen) Unternehmens Österreichs des EWR (EU-28 plus Island, Liechtenstein, Norwegen) 19

20 Datenschutzrechtliche Zulässigkeit von Cloud-Services Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt Innerhalb EWR Nur Abschluss Dienstleistervertrag nötig (Vertrag mit Cloud-Anbieter) Keine Genehmigungspflicht durch Datenschutzbehörde Außerhalb EWR Grundsätzlich Genehmigung durch Datenschutzbehörde erforderlich Außer Ausnahmetatbestand erfüllt (zb Gleichgestellte Drittstaaten, Standardvertragsklauseln, Zustimmung,...) 20

21 Datenschutzrechtliche Zulässigkeit außerhalb des EWR Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel... 21

22 Datenschutzrechtliche Zulässigkeit außerhalb des EWR Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel oder bei Verwendung von Binding Corporate Rules... oder bei Verwendung von EU-Standardvertragsklauseln Aber: Bisher keine nationale Umsetzung (Verordnung) In Zukunft: Bloße Anzeige- statt Genehmigungspflicht durch DSB Derzeit weiterhin Genehmigungspflicht!! 22

23 Datenschutzrechtliche Zulässigkeit außerhalb des EWR Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel oder bei Verwendung von Binding Corporate Rules... oder EU-Standardvertragsklauseln... oder weitere Alternativen: Zustimmung des Betroffenen; Daten sind veröffentlicht/pseudonymisiert/anonymisiert etc. 23

24 Agenda Basics des Datenschutzrechts Grundlagen Nutzung von Cloud Services was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig Jetzt alles anders? 24

25 EuGH: Safe Harbor Abkommen ungültig Verfahren Max Schrems gegen irische Datenschutzbehörde 1 Bisher: Entscheidung der EU Kommission im Jahr 2000 Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor Keine Bindung der US-Behörden; Ausnahmen; keine Rechtsbehelfe etc. EuGH: Safe Harbor Abkommen nicht mit EU-Grundrechten vereinbar 1 Rechtssache EuGH C-362/14 25

26 EuGH: Safe Harbor Abkommen ungültig Bedeutung für Praxis Örtlich betroffen: Datentransfers in die USA Inhaltlich betroffen: Safe Harbor ersetzte hauptsächlich - Zustimmung des Betroffenen - Genehmigung der Datenschutzbehörde Alternativen: - Daten anonymisieren/pseudonymisieren; veröffentlichte Daten verwenden - Zustimmung Betroffener oder Genehmigung DSB einholen - Binding Corporate Rules Wie bisher: Genehmigung Datenschutzbehörde - EU-Standardvertragsklauseln 26

27 Vereinbarkeit Datenschutzrecht von EU & USA US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU Aktuelles Verfahren 1 gegen Microsoft Ausgangslage: US-Behörden verlangen Zugriff auf in EU gespeicherte Daten Grundlage: Durchsuchungsbefehl in US-Strafverfahren Microsoft in 2 Instanzen zur Herausgabe verurteilt Sanktionen vorerst ausgesetzt (keine Datenherausgabe) Neuester Stand 2 : Berufungsverfahren in 3. Instanz Laufende Information: 1 US Court of Appeals for the Second Circuit, cv 2 Reply Brief for Appellant, ; 27

28 Key Points to Remember Compliance- & Haftungsrisiken minimieren durch sorgfältige Auswahl des Cloud-Providers Ist eine Datenanwendung zulässig, kann der Kunde die Daten auch in die Cloud geben (innerhalb des EWR) Cloud-Speicherung in EWR grundsätzlich genehmigungsfrei Datentransfer in USA auch nach Safe Harbor möglich

29 Vielen Dank für Ihre Aufmerksamkeit! Mag. Jakob Geyer Rechtsanwaltsanwärter aringer herbst winklbauer rechtsanwälte 1010 Wien, Grillparzerstraße