Microsoft Cloud Services Erfahrungen aus der Beratungspraxis mit speziellem Fokus auf die Microsoft Cloud Germany
Agenda 1 Einleitung 3 2 Betroffene Rechtsgebiete 5 3 Fokus auf die Microsoft Cloud Germany 4 4 Zusammenfassung 10
1 Einleitung
Einleitung I Vorüberlegungen Schutz personenbezogener Daten wird wichtiger. Technischer Datenschutz gewinnt an Bedeutung (z.b. IT-SiG). Neben Schadensersatzansprüchen, Bußgeldern sowie eventuellen Datendelikten (z.b. 202a d, 206, 303a StGB) werden vor allem Reputationsrisiken befürchtet. Unternehmen kommen auf das Radar (vgl. 38 Abs. 5 BDSG). Gefährdung der Geschäftsbeziehungen mit Geschäfts- und Privatkunden. Verschärfung der Lage durch die Datenschutzgrundverordnung. 2017 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 4
2 Betroffene Rechtsgebiete
Betroffene Rechtsgebiete nicht nur Datenschutz Vertragsrecht Cloud-Anbieter kann AGB und Services einseitig anpassen. ABER 308 Nr. 4 BGB beschränkt Leistungsänderungen (Hinweispflicht bei disruptive changes vereinbaren). Kollektives Arbeitsrecht Ordnungsvorschriften für die Buchführung Lizenzbedingungen sollten vertraglich an Konzerngesellschaften weitergegeben werden. Urheberrecht Für in der Cloud veröffentliche Daten muss jedenfalls (auch) ein Recht zur öffentlichen Zugänglichmachung bestehen. Ordnungsgemäße Geschäftsführung Verbote der Datenweitergabe Hohe Abhängigkeit von Ausfallsicherheit des Cloud-Anbieters. DAHER Provider im Hinblick auf seine Leistungsgeschichte sorgfältig auswählen und ausreichende SLA vereinbaren, insb. für unternehmenskritische Dienste (z.b. ecommerce-plattform). Regelungen zu Business Continuity und Disaster Recovery sowie zur Demigration treffen. Im Fall von 203 StGB ist die Offenbarung von Geheimnissen an Dritte untersagt. NDAs mit Verbot der Weitergabe an Dritte: Outsourcing zulässig? Einführung/Nutzung von Cloud-Systemen unterliegt 87 Abs. 1 Nr. 6 BetrVG. BR überwacht Einhaltung des Arbeitnehmerdatenschutzes, 80 Abs. 1 Nr. 1 BetrVG. 146 Abs. 2 Satz 1 AO: Bücher und die sonst erforderlichen Aufzeichnungen sind im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren. 146 Abs. 2a AO: Abweichend von Absatz 2 Satz 1 kann die zuständige Finanzbehörde auf schriftlichen Antrag des Steuerpflichtigen bewilligen, dass elektronische Bücher und sonstige erforderliche elektronische Aufzeichnungen außerhalb des Geltungsbereichs dieses Gesetzes geführt und aufbewahrt werden können. Voraussetzung ist, dass 2017 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 6
3 Fokus auf die Microsoft Cloud Germany
Microsoft Cloud Germany I Vertragsstruktur Standard (1) Vertrag mit Unterauftragsverarbeiter entsprechend Klausel 11 der EU- Standardvertragsklauseln für Auftragsdatenverarbeiter vom 12.2.2010 Subunternehmer von Microsoft Corporation Microsoft Ireland Operations Ltd. Lizenzvertrag/Online Services Terms & DPA/ADV- Vereinbarung Microsoft Corporation EU-Standardvertragsklauseln für Auftragsdatenverarbeiter vom 12.2.2010 erweitert um weitere datenschutzrechtliche Klauseln Kunde Subunternehmer von Microsoft Corporation 2017 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 8
Microsoft Cloud Germany I Vertragsstruktur Microsoft Cloud Germany (2) Vertrag mit Unterauftragsverarbeiter entsprechend Klausel 11 der EU- Standardvertragsklauseln für Auftragsdatenverarbeiter vom 12.2.2010 Microsoft Corporation Subunternehmer von Microsoft Corporation EU-Standardvertragsklauseln für Auftragsdatenverarbeiter vom 12.2.2010 erweitert um weitere datenschutzrechtliche Klauseln Microsoft Ireland Operations Ltd. T-Systems Lizenzvertrag/Online Services Terms & DPA/ADV- Vereinbarung Kunde Trustee Agreement DPA/ADV-Vereinbarung Subunternehmer von Microsoft Corporation 2017 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 9
4 Zusammenfassung
Zusammenfassung I Microsoft Cloud Germany Datenzugriffe durch Microsoft und T-Systems datenschutzrechtlich von bestehender Vertragsstruktur abgedeckt: ADV mit T-Systems ADV mit Microsoft Ireland ADV (incl. EU Model Contract 2010/87/EU) mit Microsoft Corp. Datenzugriff durch Microsoft von Zustimmung des Kunden bzw. T-Systems (im Rahmen der bestehenden Datentreuhändervereinbarung) abhängig genereller Zugriff von Microsoft auf Kundendaten vertraglich eingeschränkt Infolge des eingeschränkten Zugriffs durch Microsoft ist die Möglichkeit eines Datenzugriffs durch US Behörden de facto ausgeschlossen Vertrag mit T-Systems erlaubt es, auf eine geänderte Konzernstruktur von T-Systems zu reagieren 2017 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb 11
Prof. Dr. Michael Schmidl, LL.M. Eur. Fachanwalt für IT-Recht Partner Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern, Steuerberatern und Solicitors Theatinerstraße 23 80333 München T: +49 89 5 52 38 155 M: +49 163 29 90 901 Michael.Schmidl@bakermckenzie.com www.bakermckenzie.com Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb is a member firm of Baker & McKenzie International, a Swiss Verein with member law firms around the world. In accordance with the common terminology used in professional service organizations, reference to a "partner" means a person who is a partner, or equivalent, in such a law firm. Similarly, reference to an "office" means an office of any such law firm. This may qualify as Attorney Advertising requiring notice in some jurisdictions. Prior results do not guarantee a similar outcome. 2017 Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbb