Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht
Cloud Dienste als rechtliche Herausforderung BESTANDSAUFNAHME 05.06.2014 Dr. Thomas Engels, LL.M. 2
Die Cloud im Unternehmen Cloud Dienste sind ein Ergebnis der Suche nach Skalierbarkeit und Virtualisierung 05.06.2014 Dr. Thomas Engels, LL.M. 3
Die Cloud im Unternehmen Cloud Dienste werden für fast alle Branchen angeboten Dies beginnt bei spezialisierten SaaS- Angeboten Office 365 bringt Cloud-Software für jedermann Es wird nicht nur Speicherplatz angeboten, sondern Komplettlösungen zur Abbildung ganzer Geschäftsabläufe 05.06.2014 Dr. Thomas Engels, LL.M. 4
Die Besonderheiten der Cloud Keine klar umgrenzte Infrastruktur Skalierbarkeit geht einher mit Unübersichtlichkeit Cloud Dienste greifen ihrerseits auf Cloud Anbieter zurück, bspw. Amazon EC2 Resultat: Es kann nicht sicher festgestellt werden, wo sich die Daten gerade befinden 05.06.2014 Dr. Thomas Engels, LL.M. 5
Datenschutz in der Cloud WARUM EIGENTLICH DATENSCHUTZ? 05.06.2014 Dr. Thomas Engels, LL.M. 6
Datenschutzrechtliche Grundvoraussetzungen Personenbezug von Daten Bei der geschäftlichen Korrespondenz Bei der Verwaltung von Kundendaten Shopsoftware, ERP & CRM 05.06.2014 Dr. Thomas Engels, LL.M. 7
Datenschutzrechtliche Grundvoraussetzungen Verbot mit Erlaubnisvorbehalt Verarbeitung und Weitergabe prinzipiell verboten Weitergabe an Dritte mit Einwilligung oder auf gesetzlicher Grundlage 05.06.2014 Dr. Thomas Engels, LL.M. 8
Datenweitergabe Zulässig, wenn es der Vertragszweck erfordert Banken oder Paketdienste bei Online-Shops Einwilligung der Betroffenen kann eingeholt werden Muss auf ausdrücklicher Erklärung des Kunden beruhen - unpraktikabel 05.06.2014 Dr. Thomas Engels, LL.M. 9
Vereinfachte Datenweitergabe Auftragsdatenverarbeitung als Sonderregelung Bei der Weitergabe von Daten Beim Outsourcing Schon bei der Wartung von EDV-Systemen Resultat: Daten gelten nicht als weitergegeben 05.06.2014 Dr. Thomas Engels, LL.M. 10
Internationaler Kontext Deutsche Gesetze gehen von einer eingegrenzten EU aus außerhalb besteht kein angemessenes Datenschutzniveau 05.06.2014 Dr. Thomas Engels, LL.M. 11
Internationaler Kontext Datenschutzniveau kann hergestellt werden: Safe Harbour, Standardverträge Auftragsdatenverarbeitung aber nur innerhalb der EU möglich Weitergabe außerhalb der EU muss auf zwei Ebenen bedacht werden: Datenschutzniveau + Erforderlichkeit der Weitergabe 05.06.2014 Dr. Thomas Engels, LL.M. 12
Cloud Dienste UMSETZUNG DES BDSG IN DER CLOUD 05.06.2014 Dr. Thomas Engels, LL.M. 13
Analyse Wo sitzt der Cloud-Anbieter? Wo werden die Cloud-Inhalte gehostet? Bei Datenverarbeitung innerhalb der EU Abbildung über Auftragsdatenverarbeitung möglich 05.06.2014 Dr. Thomas Engels, LL.M. 14
Problemfälle Dienste der großen Anbieter Google Amazon Microsoft Sitz im Ausland, Datenverarbeitung weltweit 05.06.2014 Dr. Thomas Engels, LL.M. 15
Lösungsmöglichkeit Angemessenes Datenschutzniveau grundsätzlich herstellbar Erforderlichkeit der Datenübertragung ist aber nie gegeben Auftragsdatenverarbeitung nicht außerhalb der EU vorgesehen 05.06.2014 Dr. Thomas Engels, LL.M. 16
Erste Erfolge Microsoft hat Office 365 jüngst datenschutzkonform eingerichtet In engen Grenzen ist auch eine Auftragsdatenverarbeitung in Kombination mit den Standardverträgen der EU- Kommission denkbar 05.06.2014 Dr. Thomas Engels, LL.M. 17
Verbleibende Risiken Datenschutzrechtliche Verantwortlichkeit bleibt bei der verantwortlichen Stelle Verstöße sind bußgeldbewehrt Vertrauensverlust kann nicht kompensiert werden 05.06.2014 Dr. Thomas Engels, LL.M. 18
Rechtsanwalt Dr. Thomas Engels, LL.M. Fachanwalt für IT-Recht LEXEA Rechtsanwälte, Köln Konstantin-Wille-Str. 2 51105 Köln Tel. 0221 16 804 120 Fax 0221 16 804 121 engels@lexea.de www.lexea.de 05.06.2014 Dr. Thomas Engels, LL.M. 19