Status quo Cloud Computing: Fallstricke Recht, Datenschutz und Compliance 26. Oktober 2011 Jörg-Alexander Paul Bird & Bird LLP, Frankfurt am Main
Keine Angst vor Cloud Computing! Cloud Computing ist kein Technologiesprung, sondern Kombination alter Geschäftsmodelle + neue Abrechnung Fakt: jeder nutzt Cloud Services im Privaten (E-Mail & Spam-Filter & ) Aber viele Unternehmer sind skeptisch Top 4 Sorgen*: Sicherheit, 23,7 % Datenschutz, 19,8 % Vertragsgestaltung, 11,9 % Compliance, 11,9 % Ist die Skepsis berechtigt? Heutige Meldung: Wissenschaftler der Ruhr-Uni Bochum dringen in Cloud Control Interfaces von Amazon und Eucalyptus ein, könnten Daten manipulieren Seite 2 http://www.nds.rub.de/research/publications/amazon-hacking/ *Laut Xaas Check 2010 Studie der TU Darmstadt und IT Research; Quelle: http://www.competencesite.de/downloads/ee/15/i_file_323593/xaascheck2010.pdf
Datenschutz
Datenschutz und die Wolke Werden Stellen außerhalb der Europäischen Union mit einbezogen, so sind Clouds [ ] grundsätzlich unzulässig. (Schleswig-Holstein) Vor dem Hintergrund der hohen Internationalisierung und Globalisierung der Clouds [ ] ist zurzeit an eine datenschutzgerechte Datenverarbeitung in der Wolke nicht zu denken. (Brandenburg) In der Praxis lässt sich dies [Einhaltung des adäquaten Schutzniveaus] nur schwer umsetzen, insbesondere im Zusammenhang mit Cloud Computing, [ ] (Europäischer Datenschutzbeauftragter) [ ] schwer vorstellbar, ob und wie [bei geographisch unbegrenzten Clouds] die datenschutzrechtlichen Anforderungen überhaupt realisiert werden können. (Bundesbeauftragter für den Datenschutz) (Non-EU) clouds unzulässig? Seite 4
Die Realität und die Wolke Auch 2011 der wichtigste IT Trend. Wachstum bis 2015 geschätzt 48%/Jahr (BITKOM 18.01.2011). Global Player (Google, Microsoft, Amazon, IBM, Deutsche Telekom etc.) investieren Milliarden. Cloud Lösungen gibt es seit Beginn des Internets im privaten, datenschutzrechtlich besonders sensiblen Bereich (Emails). Top-Thema der CeBIT 2011: Work and Life with the Cloud. Cloud Computing, in some form, will happen anyway. (Neelie Kroes, Towards a European Cloud Computing Strategy, Davos, 27.01.2011). Cloud Computing Initiative der Kommission im Rahmen der Digitalen Agenda (seit Mai 2011) Die Wolke existiert und wird an Bedeutung weiter zunehmen. Seite 5
The Clash in the Cloud Moderne Welt Digitalisierung Virtualisierung, Grid Computing Standardisierung / on demand Ubiquität Cloud Computing Social Media Geo-Location Traditioneller Datenschutz Umfassende Kontrolle Lokalisation Löschung Territorialität Seite 6
Verarbeitung durch Dritte Cloud Computing als Auftragsdatenverarbeitung, 11, 9 BDSG? Grundsätzlich: Abhängig von konkreter Ausgestaltung und den erbrachten Services Bzgl. der meisten Szenarien herrschende und richtige Meinung Anforderungen Weisungsrecht Kontrollpflichten Festlegung der Maßnahmen nach 9 BDSG (technische und organisatorische Maßnahmen) Löschungspflichten Verbleib der Daten und Kenntnis der Subunternehmer Seite 7
Verarbeitung durch Dritte Lösungen Klare vertragliche Regelungen der Leistungen Wahl durch Auswahl Flexibles Kündigungsrecht Beauftragung zertifizierter Clouddienstleister Regelmäßige Prüfberichte Delegation der Kontrollen und Prüfungen an Prüfungsgesellschaften Seite 8
Verarbeitung außerhalb EU/EWR Privilegierung durch 11 BDSG (Auftragsdatenverarbeitung) nur innerhalb EU/EWR Übermittlung der Daten ins Nicht-EU/EWR-Ausland = doppelte Prüfung erforderlich Rechtfertigung nach deutschem Datenschutzrecht Zusätzlich: adäquates Schutzniveau - Sicheres Drittland - Safe Harbour (Problem: fehlende Akzeptanz durch deutsche Datenschutzbehörden) - Vertragliche Sicherstellung des Schutzniveaus: multilaterale EU Model Clauses - Evtl. Binding Corporate Rules bei konzerninterner Cloud Seite 9
Vertragsrecht
Strategien zur Anbieterwahl Single Point of Contact (SPOC) vs. Multi Vendor SPOC = Ein Anbieter, viele Services - Problem: Abhängigkeit von nur einem Anbieter (Insolvenz, Datenverlust, ) Multi Vendor = Verschiedene Anbieter für verschiedene Services - Problem: Kohärenz, Aufwand Abwägung erforderlich, SPOC oft der bessere Weg Seite 11
Vertragsgestaltung Aus Kundensicht: Wahl bei der Auswahl Exkurs: Aus Anbietersicht zählt Differenzierung Rechtswahl & Gerichtsstand Detaillierte Leistungsbeschreibung Klare & sorgfältig formulierte vertragliche Regelungen Insbesondere: Flexibilität bei Kündigung & Gewährleistung Regelungen zur Unterauftragsvergabe (Subunternehmen) Seite 12
Compliance
Regulatorische Vorgaben anwendungsspezifisch Telekommunikationsrecht Cloud Provider als Telekommunikationsdienstleister? Abhängig von Art der erbrachten Services Nicht grundsätzlich wegen TK-Verbindung zur Cloud Bsp.: Outsourcing von TK-Diensten (Telefon, Email) Wenn ja, beachten: Fernmeldegeheimnis Datenschutz - Derzeit: Zulässigkeit der Auslagerung richtet sich nach dem besonders strengen 92 TKG (strittig) - TKG-Novelle (noch 2011?): 92 TKG fällt weg, BDSG einschlägig Seite 14
Regulatorische Vorgaben branchenspezifisch Finanzsektor Berufsgeheimnisträger, 203 StGB Sozialdatenverabeitung Seite 15
Regulatorische Vorgaben - Weitere Überlegungen Verpflichtungen zu investigativer Unterstützung Vorratsdatenspeicherung (in naher Zukunft?) Pre-Trial-Discovery Strafprozessordnung Compliance nach 9 BDSG <=> SOX u.a. int. Regelungen Steuerrecht Seite 16
Fazit Cloud Computing ist möglich, auch im bestehenden Rechtsrahmen. Datenschutz: Wahl durch Auswahl, cloud-spezifische Regelungen Vertragsrecht: Strategische Entscheidung SPOC vs. Multi Vendor; vertragsrechtliche Besonderheiten beachten Regulatorische Vorgaben: Sektor- und anwendungsspezifische Regelungen sind zu beachten (Finanzen, TK, Träger von Berufsgeheimnissen, Steuerrecht) Compliance: Spannungsfeld zwischen Datenschutzvorgaben und internationalen regulatorischen Anforderungen (z.b. SOX) Bei Auswahl des Anbieters beachten Cloud-Anbieter können sich durch maßgeschneiderte Lösungen positionieren Seite 17
Vielen Dank Jörg-Alexander Paul Rechtsanwalt und Partner Taunusanlage 1 60329 Frankfurt Telefon: 069 74 222 6000 Telefax: 069 74 222 6011 E-Mail: joerg-alexander.paul@twobirds.com Bird & Bird is an international legal practice comprising Bird & Bird LLP and its affiliated businesses. www.twobirds.com