Auf hoher See, in der Cloud und vor Gericht... Philipp von Schweinitz Rechtsanwalt Gerlach & Partner, Bonn

Ähnliche Dokumente
Datenschutz und Cloud

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung nach DSGVO

EU-US Privacy Shield Ein neuer sicherer Hafen für die Datenübermittlung in die USA?

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Sicherheit in Cloud-Diensten

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

Vorgaben der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung, Datenschutzfolgenabschätzung und Verfahrensverzeichnis

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

EINLEITUNG... 1 GANG DER UNTERSUCHUNG...3 DATENSCHUTZ IM MULTINATIONALEN KONZERN...5 A. BESTIMMUNG DER WESENTLICHEN BEGRIFFE Datenschutz...

Datenschutz & Datensicherheit

Rechtliche Aspekte des Cloud Computing

Digitale Transformation alte und neue Anforderungen des Datenschutzrechts

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Auftragsdatenverarbeitung

Datenschutz von A-Z. Ausgabe Taschenbuch. 272 S. Paperback ISBN

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

Datenschutz ist Grundrechtsschutz

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

SaaSKon 2009 SaaS - Datenschutzfallen vermeiden Stuttgart, Rechtsanwalt Jens Eckhardt JUCONOMY Rechtsanwälte Düsseldorf

Cloud und Datenschutz

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

Allgemeine Beschreibung zu den Maßnahmen nach 9 BDSG

Datenschutzreform 2018

Microsoft Office 365 oder keine Auslagerung an Unternehmen, die EU/EWR-fremden staatlichen Kontrollen unterliegen?

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Rechtlicher Rahmen für Lernplattformen

Pragmatischer Umgang mit den wandelnden Anforderungen in KMU

Auftragsdatenverarbeitung und Zertifizierung nach der DSGVO M ä r z , K ö l n

Herniamed gemeinnützige GmbH Neue Bergstr Berlin Geschäftsführer: Prof. Dr. med. Ferdinand Köckerling

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Hosted Cloud: Kundendatenschutz, Datenschutzmanagement und Auftragsdatenverarbeitung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Unterschätzte Anforderungen der Datenschutz- Grundverordnung an den technischen Datenschutz

REFERENTIN. Die EU-DSGVO was steht drin?

IT-Sicherheitsfragen in Pflegeeinrichtungen. Rechtsgrundlagen mit Blick auf die EU DSGVO

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN 2. Hanno Wagner

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

Datensicherheitskonzept. Maßnahmen zur Datenschutzkontrolle gemäß 9 des Bundesdatenschutzgesetzes und der zugehörigen Anlage

Vereinbarung zur Auftragsdatenverarbeitung mit Kunde

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Datenschutzrecht in der Praxis Internationale Datenschutz-Compliance Cloud-basierte Personalverwaltung in einem globalen Unternehmen

Freie Universität Berlin

Juristische Aspekte des Cloud Computing

Datenschutzvereinbarung nach 11 BDSG Wartung und Pflege von IT-Systemen

Vorgehensweisen und Kriterien zur Inanspruchnahme und Beschaffung von Cloud-Diensten der IT-Wirtschaft Beschluss des IT-Planungsrats.

Datenschutz und Datensicherheit im Handwerksbetrieb

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

12. Fachtag IV / IT des BeB - Datenschutz Fragestellungen aus dem tatsächlichen IT-Leben

Newsletter EU-Datenschutz-Grundverordnung Nr. 13

DuD Jahresfachkonferenz Datenschutz und Datensicherheit. Was bedeutet die EU-DSGVO für die Auftragsdatenverarbeitung?

Einführung. Gründe und Ziele der Datenschutz-Grundverordnung

IT und rechtliche Notwendigkeiten

Herausforderungen und Konsequenzen der EU-DSGVO für IT-Infrastrukturen

Einführung Datenschutz in der Pflege

Nutzung von IT-Systemen der SellerLogic GmbH durch ihre Kunden Datenschutzvereinbarung nach 11 BDSG

Vertragsanlage zur Auftragsdatenverarbeitung

Vereinbarung über die Anforderungen an die technischen Verfahren zur Videosprechstunde gemäß 291g Absatz 4 SGB V. zwischen

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Stephan Hansen-Oest Rechtsanwalt. Stand: erstellt von: Sachverständiger für IT-Produkte (rechtlich)

ConformityZert GmbH. Zertifizierungsprozess ISO 27001

Verwaltungsvorschrift Datenschutz an öffentlichen Schulen. Ministerium für Kultus, Jugend und Sport

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP

Datenschutz im Client-Management Warum Made in Germany

Die Auftragsverarbeitung nach der DSGVO. Bremen, 17.August 2017 Hamburg, 07. September 2017 Dr. Babette Nüßlein

Das neue Datenschutzrecht DSGVO Die aus unternehmerischer Sicht entscheidenden Fragen und Themen zum neuen Datenschutzrecht 2018

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Microsoft Cloud Deutschland: Der datenschutzrechtliche Rahmen einer nationalen Cloud Microsoft Cloud Event

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

IT-Sicherheitsrechtstag 2017

Anhang zu den AGB Saas Auftragsdatenverarbeitung

Anhang zu den AGB Saas Auftragsdatenverarbeitung

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

Neue Pflicht zu technischorganisatorischen. Vorkehrungen durch 13 Abs. 7 TMG

6. Fachtagung der LfM für den Datenschutz: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht

EU-Grundverordnung zum Datenschutz Was könnte sich für die Unternehmenspraxis ändern?

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

Outsourcing und Tracking in einer vernetzten Welt

Verfahrensbeschreibung

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

EU-Datenschutz-GVO - Was kommt da auf uns zu?

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1)

Corporate Privacy Management Group

Die neue EU-Datenschutz-Grundverordnung Erweiterte Pflichten für Unternehmen das müssen Sie ab Mai 2018 beachten

Transkript:

07. Juli 2016 - Berlin Datensicherheit und rechtliche Aspekte Auf hoher See, in der Cloud und vor Gericht... Philipp von Schweinitz Rechtsanwalt Gerlach & Partner, Bonn

Cloud & Recht - Übersicht Was geht? Gesetze, D + EU Wie geht s? Verträge Was ging schief? Urteil So geht s! Empfehlungen Philipp von Schweinitz - Gerlach & Partner 3

Bevor wir über die Cloud reden Was für Daten? woher kommen sie? für welchen Zweck? unterliegen sie besonderen Geheimhaltungsverpflichtungen? personenbezogene Daten dabei? Besonders schützenswert, z.b. Sozialversicherungs- oder Gesundheits- Daten Datenverarbeitung bisher / künftig: wie / wo / durch wen? Annahme: Organisation/Behörde in Deutschland. Datenverarbeitung wurde bisher ausschließlich in Deutschland vorgenommen, in eigenen Systemen. Mischung, auch personenbezogene und schützenswerte Daten. Philipp von Schweinitz - Gerlach & Partner 4

EU-Richtlinie zur Netzwerk- und Informationssicherheit ( NIS ) Inkrafttreten wohl im August 2016 21 Monate später durch Mitgliedstaaten umzusetzen Für Betreiber wesentlicher Dienste gelten strenge Regeln z.b. Energiekonzerne, Wasserversorger und Flughäfen. Wann ein Betreiber ein wesentlicher Dienst ist, kann jeder EU- Mitgliedstaat selbst definieren; keine einheitliche Regelung. Auch Anbieter digitaler Dienste sind aufgenommen z.b. Cloud-Computing-Dienste und Suchmaschinen. einheitlicher Standard, allerdings auf niedrigerem Niveau Philipp von Schweinitz - Gerlach & Partner 5

IT-Sicherheitsgesetz Im Juli 2015 in Kraft getreten Adressat: Vor allem Betreiber kritischer Infrastrukturen. Auch Anbieter in den Bereichen Telemedien und Telekommunikation. Wenig konkret: Stand der Technik, konkretisiert z.b. in TeleTrusT-Handreichung Z.B. Verschlüsselungs-Empfehlungen Verhältnis zur NIS ITSGes nimmt NIS zu weiten Teilen voraus In manchen Teilen muss Gesetzgeber aber nachbessern Philipp von Schweinitz - Gerlach & Partner 6

EU-Datenschutz-Grundverordnung Trat am 25.5.2016 in Kraft. Wird am 25.5.2018 wirksam. Bis dahin haben die nationalen Gesetzgeber Zeit, ihre (sonstige) Rechtsordnung anzupassen. BDSG entfällt dann. Recht auf Vergessen, 17 DSGVO - in der (Public) Cloud nicht einfach umzusetzen Aufsichtsbehörden haben höhere Kompetenzen und klarere Zuständigkeit Bußgeldrahmen wird am weltweiten Unternehmensumsatz festgemachten EU-Kommission und auch Datenschutzaufsichtsbehörden können z.b. Standarddatenschutzklauseln erlassen, die eine entsprechende Datenübermittlung auch nach der DS-GVO ermöglichen. Cloud-Anbieter werden wohl bereits vor Inkrafttreten der DS-GVO entsprechende Dokumentationen und Zertifizierungen vorlegen. Philipp von Schweinitz - Gerlach & Partner 7

Auftragsdatenverarbeitung (ADV) 11 BDSG Pflichten als Verantwortliche Stelle: Sorgfältige Auswahl des Cloud-Anbieters: in der Lage, die erforderlichen technischen und organisatorischen Maßnahmen einzuhalten ( 9 BDSG und Anlage zu 9 Satz 1 BDSG)? Kontrolle der Umsetzung, auch für die technischen und organisatorischen Maßnahmen. Dokumentieren! Abschluss einer Vereinbarung: Für die Auftragserteilung für Cloud- Dienste: Schriftform. Abgrenzung zu Funktionsübertragung dann bedarf es für die Verwendung der Daten durch den Cloud- Anbieter einer gesetzlichen Erlaubnis oder einer Einwilligung des Betroffenen. Der Cloud-Anbieter wird dann selbst zur verantwortlichen Stelle für die personenbezogenen Daten des Nutzers und ist gesetzlich nicht privilegiert. Philipp von Schweinitz - Gerlach & Partner 8

Anforderungen an Auswahl und Kontrolle Hängt von den betroffenen Datenarten, den Verarbeitungszwecken, den Betroffenenkreisen sowie dem Risikopotenzial ab. Kontrollen müssen nicht persönlich oder vor Ort vorgenommen werden; stattdessen Datenschutz- Gütesiegel oder IT- Sicherheitszertifikate von unabhängigen, fachkundigen Stellen anstatt einer eigenen Prüfung, z.b. Zertifikat zur Auftragsdatenverarbeitung der datenschutz cert GmbH; SaaS-Gütesiegel "EuroCloud SaaS Star Audit" des EuroCloud Deutschland_eco e.v.; "EuroPriSe" (European Privacy Seal) des Unabha ngigen Landeszentrums für Datenschutz Schleswig-Holstein; Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Philipp von Schweinitz - Gerlach & Partner 9

Technisch-organisatorische Maßnahmen (Anlage zu 9 BDSG) Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle Verfügbarkeitskontrolle: "Trennungskontrolle Zutritt zu Datenverarbeitungsanlagen Nutzung der EDV nur von Befugten Wirksamkeit von Zugriffberechtigungen Zulässigkeit und Prüfbarkeit des Datentransportes Änderungsnachverfolgung Kontrolle der Einhaltung von Weisungen Schutz vor zufälligem Untergang der Daten Trennung der Daten nach Zwecken Philipp von Schweinitz - Gerlach & Partner 10

EU-US Privacy Shield Verabschiedet, tritt am 12. Juli 2016 in Kraft Nachfolger von Safe Harbour, wurde vom EuGH als Feigenblatt enttarnt Selbstverpflichtung der staatlichen Institutionen in US, eben nicht willkürlich oder selektiv diskriminierend auf Daten von EU-Bürgern zuzugreifen Unternehmen in den USA dürfen Daten von EU-Bürgern nur so lange speichern, "wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind" Daten verarbeitende Provider mit Hauptsitz in Deutschland sind nicht betroffen Philipp von Schweinitz - Gerlach & Partner 11

Weitere Datenschutz - Quellen Orientierungshilfe Cloud Computing der Konferenz der Datenschutzbeauftragten des Bundes und der Länder. EU-Artikel 29 Arbeitsgruppe Hat April 2014 bestätigt dass die Enterprise Cloud Services von Microsoft die hohen Anforderungen für den Schutz der Privatsphäre erfüllen, die in den EU- Datenschutzvorschriften festgelegt sind. Philipp von Schweinitz - Gerlach & Partner 12

Cloud-Vertrag Typologie SaaS (Software as a Service) - grundsätzlich Mietrecht. Anpassungsleistungen und Implementierungen - Werkvertragsrecht. Entgeltliche Überlassung von lokaler Software Kaufrecht Typengemischte Verträge spezifische Rechtsfolgen berücksichtigen, z.b. hinsichtlich Gewährleistung und Haftung. Service Levels z.b. für Verfügbarkeit Verhandlungssituation Cloud-Anbieter: möglichst viel Variabilität, wenig Konsequenzen Kunde: Verbindlichkeit, strikte Konsequenzen Viel Spielraum und Bedarf für Verhandlungen! Philipp von Schweinitz - Gerlach & Partner 13

Cloud-Vertrag wichtige Punkte Detaillierte, möglichst abschließende Leistungsbeschreibung Eindeutige Vergütungsregelungen Exakte Nutzungsrechteinräumung Geplante Einbindung von Subunternehmern Service-Level-Agreements (SLA) inkl. Datensicherungs- und Verfügbarkeitsregelungen Regelungen zu Datenschutz und Datensicherheit, z.b. Berichtigung, Löschung und Sperrung Haftung bei Datenverlust effektives Eskalationsregime Exit-Klauseln/ Vertragsrückbau Philipp von Schweinitz - Gerlach & Partner 14

Cloud-Vertrag was wenn s schief ging? Performance, z.b. Verfügbarkeit Bei Service Level Unterschreitung Pönale Bei wiederholter/dauerhafter Verletzung Kündigung Datenverlust/veränderung Nachbesserung? Haftung - Schadensberechnung? Wiederherstellung von Daten, überhaupt möglich? Gesetzesverstöße Bußgelder auferlegen? Schaden? Pauschalisierte Vertragsstrafe? Philipp von Schweinitz - Gerlach & Partner 15

Öffentlicher Sektor Vertragsfrei? Eine Cloud für die gesamte öffentliche Hand? Verbot der Mischverwaltung, Art. 83 ff. GG e-government, Shared Service Center mehrerer Verwaltungsbehörden; One-Stop- Behörden? Zulässig wenn der jeweils zuständige Verwaltungsträger auf den Aufgabenvollzug hinreichend einwirken kann, nach seinen eigenen Vorstellungen EVB-IT, Einkaufs-AGBs der öffentlichen Hand Passen nicht wirklich für Cloud Aber No-Spy-Erkla rungen in den neuesten Versionen der EVB-IT (2016) beachten, Erklärungen zum Daten- und Geheimnisschutz. Bei Ausschreibung Die Cloud-Lösung muss wirtschaftlicher sein als Alternativen Rechtliche Kriterien müssen auch berücksichtigt werden. EU ist auch aktiv hat Studie zu Cloud-Verträgen vorgelegt arbeitet an Muster-Verträgen Philipp von Schweinitz - Gerlach & Partner 16

Kriterien für die Nutzung der Cloud Quelle: BSI und Rat der IT-Beauftragten der Ressorts, 2015 Autonomie und Handlungsfähigkeit der IT des Staates erhalten; technologische Souveränität für die IT des Staates stärken Einsatz von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung erst nach sorgfältiger Abwägung von Risiken Wenn vergleichbare und anforderungsgerechte Leistungen bereits durch die Bundesverwaltung angeboten werden, sind diese zu bevorzugen Schützenswerte Informationen (z. B. Betriebs- und Geschäftsgeheimnisse, sensible Daten über IT-Infrastrukturen des Bundes) müssen ausschließlich in Deutschland verarbeitet werden Zur Vermeidung von Lock-in-Effekten sollen offene Standards bevorzugt werden, um die Möglichkeit eines Austauschs von Anbietern in wettbewerblicher Vergabe u ermöglichen Strafnormen, z.b. Verletzung von Privatgeheimnissen und Dienstgeheimnissen als Maßstab für private IT-Anbieter Arbeitnehmerrechte bei der Nutzung externer Cloud-Dienste Philipp von Schweinitz - Gerlach & Partner 17

Gerichtsurteil Mail-Server in Irland, von Microsoft betrieben Gerichtsurteil erster Instanz - Herausgabe US-Regierung argumentiert, eine als E-Mail versandte Korrespondenz verwandle sich in (rechtlich schwächer geschützte) Geschäftsunterlagen eines Cloud-Anbieters Microsoft : Ging in Berufung (noch nicht entschieden) Effektiv bedroht das DOJ die Möglichkeit von Menschen rund um die Welt, sich auf den Schutz ihrer Privatsphäre durch ihre eigenen Regierungen und Gesetze zu verlassen! kämpft für die Kunden in Europa, und deren Datenschutz Philipp von Schweinitz - Gerlach & Partner 18

Philipp von Schweinitz Rechtsanwalt Gerlach & Partner Willy-Brandt-Allee 18 53113 Bonn +49 228 982160 bonn@gerlachundpartner.de +49 170 2244899 p.vonschweinitz@gerlachundpartner.de

Empfehlungen Setzen Sie die Segel, planen Sie mit der Cloud! Alternativen sind meist weniger sicher. Jetzt schon vorplanen: Applikationen, Fachanwendungen etc. Cloud-fähig auslegen Verträge & Lizenzen Cloud-fähig verhandeln Auf hoher See und in der Cloud brauchen Sie gute Lotsen Vor Gericht landen Sie dann gar nicht! Philipp von Schweinitz - Gerlach & Partner 20

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback