Netzwerk Elektronischer Geschäftsverkehr Cloud Computing für kleine und mittlere Unternehmen Cloud Computing rechtssicher gestalten 10.03.2011 RA Dr. Peter Schmitz JUCONOMY Rechtsanwälte Graf-Recke-Straße 82 D-40239 Düsseldorf schmitz@juconomy.de Tel. +49 (211) 909916-62 Fax. +49 (211) 909916-99
1. Vor- und Nachteile der Cloud bedingen sich! Die technischen und wirtschaftlichen Vorteile der Cloud: Dezentrale Verarbeitung der Daten durch einen oder mehrere Dienstleister theoretisch überall und weltweit möglich Zugriff auf die Daten von überall und durch einfache Remoterechner möglich. Wirtschaftliche Synergien viele Kunden nutzen die Systemressourcen der Cloud effizient gemeinsam Die Ressourcen werden je nach Bedarf flexibel verteilt. bedingen rechtlich kritische Sachverhalte zu Datensicherheit und Datenschutz und damit die potentiellen Nachteile : unklare Orte der Datenverarbeitung: Wo sind meine Daten? ; Welches Recht ist anwendbar? 2
Unbestimmter Personenkreis mit Zugriff: Wer verarbeitet meine Daten, wer hat Zugriff? Frage der Verantwortlichkeit Bin ich / wer ist verantwortlich für die Datenverarbeitung? Umfang der Weisungsrechte technisch eingeschränkt Ich bin verantwortlich - kann die Datenverarbeitung aber nicht abschließend steuern! Eingeschränkte Kontrolle Ich will und muss kontrollieren- kann aber die Datenverarbeitung nicht umfassend kontrollieren 3
2. Haftungsrisiko Die Cloud ist ebenso wie das Internet kein rechtsfreier Raum! Im Regelfall bleibt der Unternehmer als Auftraggeber/Nutzer des Cloud Computing verantwortliche Stelle für die Datenverarbeitung und damit: Verantwortlich für die Datensicherheit Verantwortlich für den Datenschutz Regelfall: Nur die Datenverarbeitung wird ausgelagert, die Verantwortlichkeit bleibt beim Unternehmen! Pflicht zur Datensicherheit ( sichere Datenverarbeitung ) ist betriebswirtschaftlich erforderlich ( Schutz der eigenen Marktposition ) und erwächst aus zahlreichen rechtlichen Regeln, z.b. Pflicht nach 9 BDSG 4
Organisationspflicht gegenüber Eigentümer/Gesellschafter Obliegenheiten gegenüber Versicherung Vertragliche Pflichten gg. Kunden und Mitarbeitern Spezialgesetzliche Pflichten je nach Rechtsform (z.b. AktG) oder Branche (Banken, Versicherungen, Telekommunikation usw.) Compliance / Corporate Governance Regeln Pflicht zum Datenschutz ( rechtmäßige Datenverarbeitung ) bei personenbezogenen Daten von Kunden und Mitarbeitern, Lieferanten ist erforderlich zur Wahrung des Vertrauens von Kunden und Mitarbeitern und ist rechtlich erforderlich, insbesondere Pflichten nach dem BDSG (insbes. 28 ff. BDSG) und ggf. Spezialgesetzen (TKG; TMG) Compliance / Corporate Governance Regeln 5
Das Unternehmen haftet für Verstöße gegen die Pflicht zur Einhaltung von Datensicherheit und Datenschutz Das Unternehmen ist selbst Träger der Pflichten und haftet deshalb selbst für Verstöße, z.b.: Zivilrechtliche Haftung auf Schadensersatz gg. Kunden bei Datenverlust, Verletzung des Datengeheimnisses oder Datenschutz OWI-Geldbußen nach 43 BDSG Nachteile wg. möglichem Verlust des Versicherungsschutzes bei Datenverlust, rechtswidriger Datenveröffentlichung, Datenkorruption usw. Geschäftsführung/Vorstand und IT-Verantwortliche haften persönlich, z.b. Haftung gg. Gesellschafter auf Schadensersatz wg. Verletzung der Organisationspflicht 6
Strafrechtliche Verantwortung nach 44 BDSG und z.b. 203 StGB ( Verletzung von Privatgeheimnissen für bestimmte Berufsträger, 206 StGB ( Verletzung des Post- und Fernmeldegeheimnisses ) u.a. 7
3. Effizienzgewinne sicher nutzen - Cloud Computing rechtssicher gestalten Fazit: Die Vorteile des Cloud Computing lassen sich wirtschaftlich vertretbar nur nutzen, wenn die Betriebs- und Haftungsrisiken durch rechtssichere Gestaltung und den hierzu erforderlichen umfassenden Prozess minimiert werden. Sonst ist die spürbare Kosteneinsparung von heute der noch teurere Schadens-/Haftungs- und Beratungsfall von Morgen! Der Aufwand für die rechtssichere Gestaltung muss bei der Kostenbetrachtung von Anfang an berücksichtigt werden. Die Prozesse für zukünftige Kontrollen und Verwaltung des Cloud Computing müssen berücksichtigt und aufgesetzt werden. 8
4. Besonderes Problem: Datenschutz und Sicherheit Die Datenverarbeitung durch die Cloud muss sicher und insbesondere datenschutzrechtlich rechtmäßig gestaltet werden. Die Rechtmäßigkeit hängt von vielen Faktoren ab und muss deshalb im Einzelfall geprüft werden. 9
4.1. Überblick Der Auftraggeber ist selbst für die Einhaltung des Datenschutzes verantwortliche Stelle, vgl. 3 Abs. 7 BDSG. Das Auslagern in die Cloud befreit nicht vom deutschen Datenschutz und den Sicherheitsanforderungen! Insbesondere müssen datenschutzrechtlich rechtmäßig sein: Der Datentransfer in die Cloud Die Datenverarbeitung in der Cloud. Der Abruf und die Nutzung der Daten aus der Cloud Die grundsätzlichen Fragen sind i.d.r. für alle Cloud Anwendungen gleich die konkrete Lösung hängt immer vom Einzelfall ab. Ist die Cloud ein privates Netz im Konzern oder öffentlich? Wo findet die DV statt z.b. EU, USA, Indien, weltweit? 10
Welche Arten von Daten sind betroffen? z.b. Besondere Arten von personenbezogenen Daten nach 3 Nr. 9 BDSG (u.a. Gesundheit, Gewerkschaftsdaten, Herkunft usw.). Gibt es die Pflicht zu besonderem Geheimnisschutz aus Gesetz (z.b. Banken, Krankenkassen, Anwälte, Telekommunikation- und Postdienstleister) oder vertraglichen Verpflichtungen? Die Auslagerung in die Cloud erfordert Planung und ständige Betreuung und damit Aufwand und weitere Verantwortlichkeit! 11
4.2. Faustregel innerhalb der EU - Auftragsdatenverarbeitung Eine Datenübermittlung an den/die Cloud-Betreiber als Dritte ist i.d.r. nur schwer oder gar nicht nach 28 BDSG zu rechtfertigen, da überwiegende Interessen der Betroffenen entgegenstehen. Rechtsichere Alternative: Auftragsdatenverarbeitung (ADV) nach 11 BDSG: Bei dieser bleibt der Auftraggeber die verantwortliche Stelle und haftet somit für die Tätigkeit und Fehler der Cloud, vgl. 3 Abs. 7 BDSG der/die Cloud-Betreiber gelten nicht als Dritte. ADV hat strenge Voraussetzungen nach 11 BDSG und erfordert schriftlichen Auftrag, der insbesondere enthält: Der Auftraggeber muss sich gem. 11 BDSG umfangreiche Kontroll- und Weisungsrechte gewähren lassen. 12
Der Auftraggeber muss die Datenverarbeitung detailliert und abschließend so vorgeben, dass der Cloud keine eigene Entscheidungsfreiheit bleibt, wie die Daten zu verarbeiten sind, Die Datensicherheit ist vom Auftraggeber detailliert vorzugeben nicht zur die Sicherheitsziele, sondern die hierzu konkret erforderlichen Maßnahmen. 13
4.3. Faustregel außerhalb der EU Das deutsche BDSG kennt außerhalb der EU nicht die Privilegierung der Auftragsdatenverarbeitung, vgl. 3 Abs. 7 BDSG. In der Praxis bietet sich als Lösung an: Standvertragsklausel der EU mit Auftragsdatenverarbeitung entweder richtlinienkonforme Auslegung oder aber positive Beeinflussung der Abwägung nach 28 BDSG bei der Datenübermittlung und verarbeitung an/durch Dritte. Warnung: Safe Harbor -Principles können für sich alleine die Rechtmäßigkeit der Datenverarbeitung nicht herstellen sie beseitigen nur das Hindernis des unsicheren Drittstaates. Problem in der Praxis: Große internationale Anbieter lassen sich oftmals nicht auf die strengen Regelungen der Standardvertragsklauseln ein. 14
4.4. Grundsätzliche Probleme der Auftragsdatenverarbeitung Problem: Technisches Prinzip der Cloud und Einzelweisung- und umfassende Kontrolle widersprechen sich Cloud Computing ist Datenverarbeitung für eine breite Öffentlichkeit Die Datenverarbeitung ist dezentral und erfolg nach Bedarf auf verschiedenen Systemen an verschiedenen Orten sowie ggf. durch verschiedene Dienstleiser Auftragsdatenverarbeitung erfordert aber genaue Einzelvorgabe, was, wo wie zu verarbeiten ist und erfordert Einzelkontrolle durch den Auftraggeber. Der Cloud-Anbieter wird i.d.r. nicht die von der ADV geforderten Rechte akzeptieren: Einzelweisung Einzelkontrolle vor Ort der Datenverarbeitung und Sicherheit 15
Lösung ist insbesondere wegen der Weisungsrechte und der Kontrolle noch umstritten. Abschließende Rechtssicherheit besteht noch nicht. Mögliche Verfahren (aber noch umstritten) sind Zertifizierung Auditierung durch vertrauenswürdige Instanzen 16
5. Fazit Cloud Computing ist im Grundsatz Outsourcing und damit technisch und rechtlich nichts umfassend Neues. Die Besonderheiten der Cloud machen die Umsetzung der bisherigen Regelungsmechanismen zum Teil schwierig. Rechtssichere Lösungen müssen in der Praxis erarbeitet werden und sich durch Rechtsprechung und Aufsichtsbehörden bewähren. 17
6. Vertragsprozess und Check List Jeder Fall stellt besondere Anforderungen und ist besonders zu prüfen! Vereinfacht ergibt sich im Überblick folgender Prozess nebst Check-List : 18
6.1. Prozess im Unternehmen mit allen relevanten Fachelementen aufsetzen Die Einführung von Cloud Computing erfordert i.d.r. einen umfassenden Prozess, der alle relevanten Aspekte (und ggf. Fachgruppen des Unternehmens) mit einbezieht: Controlling und Kosten-Leistungsrechnung ( Was spare ich wirklich? ) Marketing und Vertrieb ( Wie sage ich es meinen Kunden?, welche Auswirkungen (Chancen und Risiken) ergeben sich für meine Produkte?) IT-Technik ( Welche Daten und zu welcher DV gehen in die Cloud? ) Sicherheit und Datenschutz ( Wie sind diese trotz Cloud zu gewährleisten?, wie zuverlässig ist der Anbieter, wie kann das später kontrolliert werden, wie sind Weisungsrechte zu gewährleisten?) 19
Mitarbeiterbeteiligung: Sind Daten der Mitarbeiter betroffen, muss ich diese oder den Betriebsrat beteiligen? Zukünftige Abhängigkeit vom Anbieter: Ist später eine Migration zu neuem Anbieter oder Reintegration möglich? Rechtssichere vertragliche Gestaltung durch Juristen (Wie sind alle Vorgaben vertraglich umzusetzen?) 20
6.2. Auswahl der Cloud und Prüfung der Zuverlässigkeit Der Anbieter muss neben den wirtschaftlichen Aspekten im Hinblick auf Fachkunde und Zuverlässigkeit sorgfältig ausgewählt werden. Pflicht nach 11 Abs. 1 BDSG bei Auftragsdatenverarbeitung Möglicher Haftungsmaßstab bei Auswahlverschulden seitens des Unternehmens/Geschäftsführung Erfüllung der Obliegenheiten gg. Versicherung Allgemeine Check-List zur Zuverlässigkeit? Erscheint der Anbieter seriös und renommiert oder ist er ein bekanntes Schwarzes Schaf der Branche? Bestehen besondere Bedenken wegen der unbestimmten Orte der Datenverarbeitung? 21
Gibt es eine klare und verständliche Produktbeschreibung und Angebotsunterlagen? Gibt es seitens des Anbieters verständliche und transparente AGB und eine Vereinbarung zur Auftragsdatenverarbeitung? Kann der Anbieter einen betrieblichen Datenschutzbeauftragten und Sicherheitsbeauftragten nachweisen und sind diese ansprechbar? Kann der Anbieter ein Datenschutz- und Sicherheitskonzept vorlegen auch wenn vom Anbieter zur Sicherheit i.d.r. nicht alle Einzelheiten offen gelegt werden? Beantwortet der Anbieter nachvollziehbar Fragen zu Datenschutz und Sicherheit? Ist der Anbieter bereit, Kontrollen zuzulassen oder hat er eine Zertifizierung oder unterwirft sich der Kontrolle durch Dritte? Kontrolle und Weisung durch die Vielzahl der Kunden sind grundsätzlich bei einer Auftragsdatenverarbeitung erforderlich 22
gefährden aber den Datenschutz und die Sicherheit der Daten bei den anderen Kunden. Möglicher Ausweg, aber umstritten, ist die Auditierung und Kontrolle durch vertrauenswürdige Dritte. 23
6.3. Rechtsicherer Vertrag Welches Recht gilt z.b. Deutsches Recht, wo liegt der Gerichtsstand? Hinweis: Auch wenn ein ausländisches Rechtsstatut vereinbart wird, bleibt der deutsche Auftraggeber an das deutsche Datenschutzrecht gebunden! Die Vertragsbedingungen werden i.d.r. vom Anbieter vorgegeben sind diese angemessen und transparent? Bei ausländischem Rechtsstatut ist dies in der Praxis nur eingeschränkt oder sehr aufwändig zu prüfen. Ist die Leistungsbestimmung ausreichend klar und enthält die erforderlichen Leistungsparameter? z.b. Detaillierte und nachvollziehbare Beschreibung der geschuldeten Datenverarbeitung ( Was macht die Cloud? mit Beschreibung der 24
Verfügbarkeit, Redundanzen, Zugriffszeiten, Bandbreite beim Abruf, Speichervolumina, Datensicherung usw.) Die Leistung muss ausreichend bestimmt sein sonst sind weder Rechte auf Leistung, noch auf Gewährleistung und Schadensersatz durchsetzbar. Softwarelizenzen: Zusage, dass der Anbieter über die erforderlichen Lizenzen verfügt und Gewährung einer ausreichenden Nutzungslizenz für den Auftraggeber Klare Regelung zur Lizenz, insbesondere: Wer (wichtig im Konzern!), wie viele Nutzer, wo (z.b. weltweit, EU, Deutschland), gewerblich, späterer Export der Daten usw. Welche Haftungsbeschränkungen gibt es sind diese akzeptabel? Gibt es klare Gewährleistungsregeln mit z.b. Fehlerbehebungszeiten und Informationsprozess 25
Support mit kompetenten Ansprechpartnern in verständlicher Sprache (z.b. Deutsch/Englisch). Klarer Kommunikations- und Weisungsprozess Benennung der Ansprechpartner und Kommunikationswege Laufzeit und Vertragsanpassung Allgemeine Regel zum Outsourcing: Je länger eine feste Laufzeit ist, desto mehr Rechte des Auftraggebers an Preis- und Leistungsanpassung muss der Vertrag vorsehen. Problem: Cloud Computing ist i.d.r. Standardgeschäft, somit wird der Anbieter kaum Anpassungsrechte gewähren. Kurze Laufzeiten oder Kündigungsrechte als Lösung erwägen sie helfen aber nur, wenn Migration zu neuem Anbieter oder Reintegration möglich ist. Klare und abschließende Regelung zu den Entgelten und zur Abrechnung. 26
6.4. Datenschutz und Datensicherheit Anbieter verfügt über Datenschutz- und Sicherheitsbeauftragten. Anbieter legt ausreichendes Datenschutz- und Sicherheitskonzept vor. Beide Konzepte werden vom Auftraggeber im Rahmen einer Auftragsdatenverarbeitung mit dem Cloud Betreiber als Auftragnehmer vereinbart. Zu den Problemen bei der Dichte der Weisung und Kontrolle im Widerspruch zu den Grundprinzipien der Cloud vgl. oben Ziffer 4.4. Alternativ: Prüfung der rechtmäßigen Datenverarbeitung im Rahmen der sog. Funktionsübertragung. 27
6.5. Weitere Aspekte nach Einzelfall Die oben genannten Aspekte geben einen ersten Anhaltspunkt und Überblick. Die weiteren zu bedenkenden Aspekte ergeben sich je nach Einzelfall. Vielen Dank für Ihre Aufmerksamkeit! 28