07. Juli 2016 - Berlin Datensicherheit und rechtliche Aspekte Auf hoher See, in der Cloud und vor Gericht... Philipp von Schweinitz Rechtsanwalt Gerlach & Partner, Bonn
Cloud & Recht - Übersicht Was geht? Gesetze, D + EU Wie geht s? Verträge Was ging schief? Urteil So geht s! Empfehlungen Philipp von Schweinitz - Gerlach & Partner 3
Bevor wir über die Cloud reden Was für Daten? woher kommen sie? für welchen Zweck? unterliegen sie besonderen Geheimhaltungsverpflichtungen? personenbezogene Daten dabei? Besonders schützenswert, z.b. Sozialversicherungs- oder Gesundheits- Daten Datenverarbeitung bisher / künftig: wie / wo / durch wen? Annahme: Organisation/Behörde in Deutschland. Datenverarbeitung wurde bisher ausschließlich in Deutschland vorgenommen, in eigenen Systemen. Mischung, auch personenbezogene und schützenswerte Daten. Philipp von Schweinitz - Gerlach & Partner 4
EU-Richtlinie zur Netzwerk- und Informationssicherheit ( NIS ) Inkrafttreten wohl im August 2016 21 Monate später durch Mitgliedstaaten umzusetzen Für Betreiber wesentlicher Dienste gelten strenge Regeln z.b. Energiekonzerne, Wasserversorger und Flughäfen. Wann ein Betreiber ein wesentlicher Dienst ist, kann jeder EU- Mitgliedstaat selbst definieren; keine einheitliche Regelung. Auch Anbieter digitaler Dienste sind aufgenommen z.b. Cloud-Computing-Dienste und Suchmaschinen. einheitlicher Standard, allerdings auf niedrigerem Niveau Philipp von Schweinitz - Gerlach & Partner 5
IT-Sicherheitsgesetz Im Juli 2015 in Kraft getreten Adressat: Vor allem Betreiber kritischer Infrastrukturen. Auch Anbieter in den Bereichen Telemedien und Telekommunikation. Wenig konkret: Stand der Technik, konkretisiert z.b. in TeleTrusT-Handreichung Z.B. Verschlüsselungs-Empfehlungen Verhältnis zur NIS ITSGes nimmt NIS zu weiten Teilen voraus In manchen Teilen muss Gesetzgeber aber nachbessern Philipp von Schweinitz - Gerlach & Partner 6
EU-Datenschutz-Grundverordnung Trat am 25.5.2016 in Kraft. Wird am 25.5.2018 wirksam. Bis dahin haben die nationalen Gesetzgeber Zeit, ihre (sonstige) Rechtsordnung anzupassen. BDSG entfällt dann. Recht auf Vergessen, 17 DSGVO - in der (Public) Cloud nicht einfach umzusetzen Aufsichtsbehörden haben höhere Kompetenzen und klarere Zuständigkeit Bußgeldrahmen wird am weltweiten Unternehmensumsatz festgemachten EU-Kommission und auch Datenschutzaufsichtsbehörden können z.b. Standarddatenschutzklauseln erlassen, die eine entsprechende Datenübermittlung auch nach der DS-GVO ermöglichen. Cloud-Anbieter werden wohl bereits vor Inkrafttreten der DS-GVO entsprechende Dokumentationen und Zertifizierungen vorlegen. Philipp von Schweinitz - Gerlach & Partner 7
Auftragsdatenverarbeitung (ADV) 11 BDSG Pflichten als Verantwortliche Stelle: Sorgfältige Auswahl des Cloud-Anbieters: in der Lage, die erforderlichen technischen und organisatorischen Maßnahmen einzuhalten ( 9 BDSG und Anlage zu 9 Satz 1 BDSG)? Kontrolle der Umsetzung, auch für die technischen und organisatorischen Maßnahmen. Dokumentieren! Abschluss einer Vereinbarung: Für die Auftragserteilung für Cloud- Dienste: Schriftform. Abgrenzung zu Funktionsübertragung dann bedarf es für die Verwendung der Daten durch den Cloud- Anbieter einer gesetzlichen Erlaubnis oder einer Einwilligung des Betroffenen. Der Cloud-Anbieter wird dann selbst zur verantwortlichen Stelle für die personenbezogenen Daten des Nutzers und ist gesetzlich nicht privilegiert. Philipp von Schweinitz - Gerlach & Partner 8
Anforderungen an Auswahl und Kontrolle Hängt von den betroffenen Datenarten, den Verarbeitungszwecken, den Betroffenenkreisen sowie dem Risikopotenzial ab. Kontrollen müssen nicht persönlich oder vor Ort vorgenommen werden; stattdessen Datenschutz- Gütesiegel oder IT- Sicherheitszertifikate von unabhängigen, fachkundigen Stellen anstatt einer eigenen Prüfung, z.b. Zertifikat zur Auftragsdatenverarbeitung der datenschutz cert GmbH; SaaS-Gütesiegel "EuroCloud SaaS Star Audit" des EuroCloud Deutschland_eco e.v.; "EuroPriSe" (European Privacy Seal) des Unabha ngigen Landeszentrums für Datenschutz Schleswig-Holstein; Zertifizierung nach ISO 27001 auf der Basis von IT-Grundschutz Philipp von Schweinitz - Gerlach & Partner 9
Technisch-organisatorische Maßnahmen (Anlage zu 9 BDSG) Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle Verfügbarkeitskontrolle: "Trennungskontrolle Zutritt zu Datenverarbeitungsanlagen Nutzung der EDV nur von Befugten Wirksamkeit von Zugriffberechtigungen Zulässigkeit und Prüfbarkeit des Datentransportes Änderungsnachverfolgung Kontrolle der Einhaltung von Weisungen Schutz vor zufälligem Untergang der Daten Trennung der Daten nach Zwecken Philipp von Schweinitz - Gerlach & Partner 10
EU-US Privacy Shield Verabschiedet, tritt am 12. Juli 2016 in Kraft Nachfolger von Safe Harbour, wurde vom EuGH als Feigenblatt enttarnt Selbstverpflichtung der staatlichen Institutionen in US, eben nicht willkürlich oder selektiv diskriminierend auf Daten von EU-Bürgern zuzugreifen Unternehmen in den USA dürfen Daten von EU-Bürgern nur so lange speichern, "wie sie für den Zweck verwendet werden, zu dem sie ursprünglich gesammelt worden sind" Daten verarbeitende Provider mit Hauptsitz in Deutschland sind nicht betroffen Philipp von Schweinitz - Gerlach & Partner 11
Weitere Datenschutz - Quellen Orientierungshilfe Cloud Computing der Konferenz der Datenschutzbeauftragten des Bundes und der Länder. EU-Artikel 29 Arbeitsgruppe Hat April 2014 bestätigt dass die Enterprise Cloud Services von Microsoft die hohen Anforderungen für den Schutz der Privatsphäre erfüllen, die in den EU- Datenschutzvorschriften festgelegt sind. Philipp von Schweinitz - Gerlach & Partner 12
Cloud-Vertrag Typologie SaaS (Software as a Service) - grundsätzlich Mietrecht. Anpassungsleistungen und Implementierungen - Werkvertragsrecht. Entgeltliche Überlassung von lokaler Software Kaufrecht Typengemischte Verträge spezifische Rechtsfolgen berücksichtigen, z.b. hinsichtlich Gewährleistung und Haftung. Service Levels z.b. für Verfügbarkeit Verhandlungssituation Cloud-Anbieter: möglichst viel Variabilität, wenig Konsequenzen Kunde: Verbindlichkeit, strikte Konsequenzen Viel Spielraum und Bedarf für Verhandlungen! Philipp von Schweinitz - Gerlach & Partner 13
Cloud-Vertrag wichtige Punkte Detaillierte, möglichst abschließende Leistungsbeschreibung Eindeutige Vergütungsregelungen Exakte Nutzungsrechteinräumung Geplante Einbindung von Subunternehmern Service-Level-Agreements (SLA) inkl. Datensicherungs- und Verfügbarkeitsregelungen Regelungen zu Datenschutz und Datensicherheit, z.b. Berichtigung, Löschung und Sperrung Haftung bei Datenverlust effektives Eskalationsregime Exit-Klauseln/ Vertragsrückbau Philipp von Schweinitz - Gerlach & Partner 14
Cloud-Vertrag was wenn s schief ging? Performance, z.b. Verfügbarkeit Bei Service Level Unterschreitung Pönale Bei wiederholter/dauerhafter Verletzung Kündigung Datenverlust/veränderung Nachbesserung? Haftung - Schadensberechnung? Wiederherstellung von Daten, überhaupt möglich? Gesetzesverstöße Bußgelder auferlegen? Schaden? Pauschalisierte Vertragsstrafe? Philipp von Schweinitz - Gerlach & Partner 15
Öffentlicher Sektor Vertragsfrei? Eine Cloud für die gesamte öffentliche Hand? Verbot der Mischverwaltung, Art. 83 ff. GG e-government, Shared Service Center mehrerer Verwaltungsbehörden; One-Stop- Behörden? Zulässig wenn der jeweils zuständige Verwaltungsträger auf den Aufgabenvollzug hinreichend einwirken kann, nach seinen eigenen Vorstellungen EVB-IT, Einkaufs-AGBs der öffentlichen Hand Passen nicht wirklich für Cloud Aber No-Spy-Erkla rungen in den neuesten Versionen der EVB-IT (2016) beachten, Erklärungen zum Daten- und Geheimnisschutz. Bei Ausschreibung Die Cloud-Lösung muss wirtschaftlicher sein als Alternativen Rechtliche Kriterien müssen auch berücksichtigt werden. EU ist auch aktiv hat Studie zu Cloud-Verträgen vorgelegt arbeitet an Muster-Verträgen Philipp von Schweinitz - Gerlach & Partner 16
Kriterien für die Nutzung der Cloud Quelle: BSI und Rat der IT-Beauftragten der Ressorts, 2015 Autonomie und Handlungsfähigkeit der IT des Staates erhalten; technologische Souveränität für die IT des Staates stärken Einsatz von Cloud-Diensten der IT-Wirtschaft durch die Bundesverwaltung erst nach sorgfältiger Abwägung von Risiken Wenn vergleichbare und anforderungsgerechte Leistungen bereits durch die Bundesverwaltung angeboten werden, sind diese zu bevorzugen Schützenswerte Informationen (z. B. Betriebs- und Geschäftsgeheimnisse, sensible Daten über IT-Infrastrukturen des Bundes) müssen ausschließlich in Deutschland verarbeitet werden Zur Vermeidung von Lock-in-Effekten sollen offene Standards bevorzugt werden, um die Möglichkeit eines Austauschs von Anbietern in wettbewerblicher Vergabe u ermöglichen Strafnormen, z.b. Verletzung von Privatgeheimnissen und Dienstgeheimnissen als Maßstab für private IT-Anbieter Arbeitnehmerrechte bei der Nutzung externer Cloud-Dienste Philipp von Schweinitz - Gerlach & Partner 17
Gerichtsurteil Mail-Server in Irland, von Microsoft betrieben Gerichtsurteil erster Instanz - Herausgabe US-Regierung argumentiert, eine als E-Mail versandte Korrespondenz verwandle sich in (rechtlich schwächer geschützte) Geschäftsunterlagen eines Cloud-Anbieters Microsoft : Ging in Berufung (noch nicht entschieden) Effektiv bedroht das DOJ die Möglichkeit von Menschen rund um die Welt, sich auf den Schutz ihrer Privatsphäre durch ihre eigenen Regierungen und Gesetze zu verlassen! kämpft für die Kunden in Europa, und deren Datenschutz Philipp von Schweinitz - Gerlach & Partner 18
Philipp von Schweinitz Rechtsanwalt Gerlach & Partner Willy-Brandt-Allee 18 53113 Bonn +49 228 982160 bonn@gerlachundpartner.de +49 170 2244899 p.vonschweinitz@gerlachundpartner.de
Empfehlungen Setzen Sie die Segel, planen Sie mit der Cloud! Alternativen sind meist weniger sicher. Jetzt schon vorplanen: Applikationen, Fachanwendungen etc. Cloud-fähig auslegen Verträge & Lizenzen Cloud-fähig verhandeln Auf hoher See und in der Cloud brauchen Sie gute Lotsen Vor Gericht landen Sie dann gar nicht! Philipp von Schweinitz - Gerlach & Partner 20