Cloud 2012 Schluss mit den rechtlichen Bedenken! RA Jan Schneider Fachanwalt für Informationstechnologierecht Roadshow Informationssicherheit in der Praxis Bochum, 11. September 2012
Ist die (Public-)Cloud nicht... ein rechtswidriger Kontrollverlust?... unsicher?... durch den Patriot Act bedroht?... eine unerlaubte Datenübermittlung?... datenschutzwidrig?
Wie alles beginnt Rechtskonforme Datenübermittlung
Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. Angaben, anhand derer natürliche Personen bestimmbar sind z. B. Name, (E-Mail-)Anschrift -, Alter, Geschlecht, Beruf, Konfession, aber ggf. auch Fotos
Die rechtliche Konsequenz ist Die Datenschutzgesetze finden Anwendung Herausforderung: Grundsatz: Gesetzliche Legitimation für die Datenübermittlung in die Cloud? Datenübermittlung nur mit gesetzlicher Ermächtigungsgrundlage
Etablierte Lösung: Auftragsdatenverarbeitung
Etablierte Lösung: Auftragsdatenverarbeitung Schriftlicher Cloud-Vertrag Regelungskatalog des 11 BDSG technische und organisatorische Maßnahmen zum Datenschutz --> 9 BDSG
Konsequenz einer ordnungsgemäßen ADV: Datenübermittlung in die Cloud ist zulässig Cloud-Nutzer bleibt für seine Daten verantwortlich
Projekt Datensicherheit!
Moderne Rechenzentren der Cloud Provider
Aufgabe für Provider und Nutzer: Beschreibung der Maßnahmen in einem Datensicherheitskonzept nicht nur Werbeaussage, sondern verbindlich und belastbar verbindlicher des Cloud-Vertrags Bestandteil
Odyssee in die Cloud? Überprüfung der Maßnahmen zum Datenschutz
Prüfung der Maßnahmen zum Datenschutz: Prüfung vor Ort beim Provider durch den Cloud Nutzer nicht möglich! Lösungsansatz: 11 BDSG schreibt keine Prüfung vor Ort durch den Nutzer vor.
Prüfung der Maßnahmen zum Datenschutz: Zertifizierung nach ISO 27001? jährliche Auditierung und Testate durch Datenschutzauditor oder andere fachkundige Stellen? Nachweis nach Standards SSAE 16 bzw. ISAE 3402?
Ein sicherer Hafen?! Serverfarmen in Übersee
Die Übermittlung personenbezogener Daten in eine Cloud in einem nicht sicheren Drittland kann als Auftragsdatenverarbeitung nicht zulässig sein.
Etablierte Lösung: EU-Standardvertragsklauseln
Was sind die EU-Standardvertragsklauseln? Von der EU-Kommission gestellte Vertragsvorgaben Maßnahmen zum Datenschutz für den Datentransfer in ein nicht sicheres Drittland Unveränderte Verwendung der Klauseln führt zu angemessenem Datenschutzniveau
Etablierte Lösung für die USA: Safe Harbor -Abkommen
Was ist Safe Harbor? Abkommen zwischen EU-Kommission und US-Regierung aus dem Jahre 2000 Festlegung von Maßnahmen zum Datenschutz freiwillige des Cloud-Anbieters Selbstverpflichtung Safe Harbor führt zu angemessenem Datenschutzniveau
Safe Harbor ist noch zeitgemäß! Festlegungen des Düsseldorfer Kreises vom 28.04.2010 zu Safe Harbor für Cloud Computing: Nachweis über Beitritt zu Safe Harbor Vertragliche Gewährleistung der Einhaltung von Safe Harbor Nachweis über die Einhaltung - z. B. durch Testate oder Standards (SSAE 16, ISAE 3402?)
Showstopper oder Panikmache? Der Patriot Act
USA Patriot Act US-amerikanisches Bundesgesetz, verabschiedet am 25. Oktober 2001 Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act
Der USA Patriot Act erlaubt FBI unter bestimmten Voraussetzungen Zugriff auf Unternehmensdaten erfasst alle US-Unternehmen informiert (Cloud-) Kunden ggf. nicht über die Datenherausgabe
Überlegungen zum Patriot Act PA ist nicht die einzige Möglichkeit einer staatlichen Behörde zur Erlangung von Informationen Anwendungsbereich des PA ist eng --> Bekämpfung des Terrorismus Maßnahmen sind seit Mai 2011 gerichtlich überprüfbar
(Vertriebs-?) Argumente für Cloud Provider: Vertragliches Herausgabeverbot bzw. Abwehrklausel? Vertragsschluss mit EU-Tochter? --> Schutz durch EU-Datenschutzrecht Verschlüsselung der Daten?
Fazit und Ausblick Die Cloud hat Potential auch in rechtlicher Hinsicht! Die rechtlichen Herausforderungen sind lösbar mit einem konstruktiven und praxisnahen Ansatz aller Beteiligten.
Jan Schneider Rechtsanwalt Fachanwalt für IT-Recht SKW Schwarz Rechtsanwälte 40212 Düsseldorf Steinstraße 1 / KÖ T +49 (0)211 82 89 59 0 j.schneider@skwschwarz.de www.skwschwarz.de Abbild. (außer dieser Seite) istockphoto.com