Cloud Computing - Rechtliche Lösungen für den Mittelstand - itec 10 Hanau 24. November 2010 Präsentation von Dr. Kai Westerwelle Rechtsanwalt Fachanwalt für Informationstechnologierecht 1 KANZLEI DES JAHRES IT-RECHT
Überblick 01 > Cloud Computing Bedeutung für den Mittelstand 1. Was ist eigentlich Cloud Computing? 02 > 2. Cloud Arten Computing von Clouds Rechtliche Lösungen 3. Cloud Computing Nutzen für den Mittelstand 2
Teil 1 > Bedeutung für den Mittelstand 1. Was ist eigentlich Cloud Computing? Ein riesiger globaler Computer! 3
Teil 1 > Bedeutung für den Mittelstand 2. Arten von Clouds - Überblick DEDICATED CLOUD PUBLIC CLOUD PRIVATE CLOUD 4
Teil 1 > Bedeutung für den Mittelstand 2. Arten von Clouds Einsatzmöglichkeiten Private Cloud Umgebung Public Cloud Umgebung Unternehmenseigen Service Provider betrieben Service Provider gehosted Gemeinsam genutzte Cloud Services Public Cloud Services Unter- nehmens- Rechenzentrum Keine Cloud Unternehmens- Rechenzentrum Keine Cloud Vom Service- Provider betrieben Unternehmen gehostete Private Cloud Service-Provider eigen und betrieben Unternehmsn A Unternehmen B Unternehmen C Service Provider Cloud User A User B User C User D Service Provider Cloud User E Kundeneigene Infrastruktur Entweder vom Kunden oder Dritten betrieben Fixpreise oder Time and Materials Services Internes Netzwerk & fest zugeordnete Assets Service Providereigen und betrieben Zentralisierter, sicherer Leistungsort Pay as you consume Mix gemeinsam genutzter und zugewiesener Resourcen Gemeinsam genutzte Anlagen und Personal Pay as you consume Gemeinsam genutzte Resourcen Flexible Skalierbarkeit Pay as you consume Öffentliches internet 5
Teil 1 > Bedeutung für den Mittelstand 3. Cloud Computing - Nutzen für den Mittelstand Früher: Individual-Outsourcing >Nur Kleine Lösungen für den Mittelstand > Outsourcing einzelner IT-Anwendungen ins (stationäre) Rechenzentrum Mit Cloud Computing: Gemeinschafts-Outsourcing >Partizipation an Skaleneffekten der Großen > Betrieb der (kompletten) IT in hochprofessioneller virtueller Umgebung > Hohe Fixkosten unabhängig vom Bedarf > Hohe Kosten für Vorhalt der Resourcen im Rechenzentrum > Hohe Skalierbarkeit niedrige Kosten > Flexible Nutzung on demand > Pay as you consume > Nur regionale / nationale Lösungen > Nur eingeschränkte Service-Levels > Hohes Kostenniveau in Deutschland >Internationalität in der Cloud > Follow the Sun - Service rund um die Uhr > Niedriges Kostenniveau weltweit 6
Überblick 01 > Cloud Computing Bedeutung für den Mittelstand 02 > Cloud Computing Rechtliche Lösungen 1. Rechtliche Themen 2. Gemischter Vertrag 3. Gestaltung der Verträge 4. Datenschutz 5. Leitfaden für die Praxis 7
Teil 2 > Rechtliche Lösungen 1. Rechtliche Themen IP- IP- Rechte Rechte Vertrags- Vertrags- Recht Recht Cloud Cloud Computing Computing Internationale Internationale Aspekte Aspekte Datenschutz 8
Teil 2 > Rechtliche Lösungen 2. Gemischter Vertrag Vertragsbestandteile Rahmenvertrag SaaS (Software) Mietvertrag (für ASP) Rechtliche Einordnung Platform IaaS Ergebnis: Service Maintenance (Software) Klassischer gemischter Vertrag (Infrastructure) > Komplexes rechtliches Gebilde > Erschwerte Zuordnung der Leistungen zu einzelnen Vertragstypen > Komplizierte Abbildung gesetzlicher Anforderungen im Vertrag Dienstvertrag (Training) Werkvertrag (Instandhaltung- und Setzung) Werkvertrag (Verfügbarkeit, Speicherkapazität) Dienstvertrag (Bandbreite) 9
Teil 2 > Rechtliche Lösungen 3. Gestaltung der Verträge Rahmenvertrag Schritt 1: Leistungen identifizieren Software (SaaS) Hardware (Serverkapazität) Services (Wartung ect.) Schritt 2: Themen umsetzen Gewährleistung, Haftung Festlegung Service Level Eskalationsmechanismen Vertraulichkeit IP 10
Teil 2 > Rechtliche Lösungen 4. Datenschutz Idee des Cloud Computing Provider (Irland) Kunde (Deutschland) USA Kanada Cloud Computing und Datenschutz Frankreich passen nicht zusammen! (Leiter der Datenschutzaufsicht RLP vom 14.04.2010) Brasilien Südafrika Indien 11
Teil 2 > Rechtliche Lösungen 4. Datenschutz Ihre Aufgaben > Cloud Computing = Outsourcing = Auftragsdatenverarbeitung (ADV) > ADV: Strenge formale Anforderungen beachten > Schriftformerfordernis für vertragliche Mindestanforderungen, u.a.: > Umfang, Art und Zweck der Datenverwendung, Art der Daten, Kreis der Betroffenen > technische Schutzmaßnahmen nach 9 BDSG > Berechtigung zu Unterauftragsverhältnissen > Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten > Prüf- und Dokumentationspflichten > To do: Kontrolle der Einhaltung des Datenschutzrechts beim Provider > Kontrolle bereits vor Beginn, dann regelmäßig > Ausführliche Dokumentation durchgeführter Audits (SV-Testat, IT-Zertifikat; umstr.) 12
Teil 2 > Rechtliche Lösungen 4. Datenschutz In der weltweiten Wolke > Problem: Restriktion für Datentransfer ins Ausland / Verarbeitung im Ausland Anbieter Kunde (Deutschland) USA Frankreich Indien >Verarbeitung innerhalb der EU >Verarbeitung in den USA (Safe Harbour / BCR, EU Standardvertragsklauseln) >Verarbeitung in sonstigen Ländern (EU Standardvertragsklauseln) >To do: Anbieter auf Einhaltung vertraglicher Anforderungen prüfen! 13
Teil 2 > Rechtliche Lösungen 4. Datenschutz Alternative Angebote Anbieter Kunde (Deutschland) USA Frankreich Indien > Variante 1: EU/EWR - Cloud > Variante 2: EU/EWR/USA - Cloud > Variante 3: Globale Cloud 14
Teil 2 > Rechtliche Lösungen 4. (Daten-) Sicherheit Strukturierungsmöglichkeiten Partner Cloud Private Cloud Public Cloud 15
Teil 2 > Rechtliche Lösungen 5. Leitfaden für die Praxis > Schritt 1: Eigene Zielsetzungen und Anforderungen definieren > Notwendige Service Levels ( Follow the sun ) bestimmen > Kosten-Nutzen Relation bestimmen > Sensibilität der eigenen Geschäftsdaten und Prozesse bestimmen > Schritt 2: Auswahl passender Anbieter > Entscheidung für territorial begrenzte Modelle (EU / USA / global) > Wahl passender Cloud-Modelle (Public, Private, Hybrid) > Prüfung der Garantien, Zertifikate ect. > Schritt 3: Ordentliche Vertragsgestaltung > Umsetzung der klassischen Vertragsthemen (Haftung, SLA, IP) > Vereinbarung anbieterseitiger Garantien > Beachtung formeller Anforderungen des Datenschutzrechts (oft: Zusatzvereinbarungen) 16
Dr. Kai Westerwelle Partner, Frankfurt am Main Informationstechnologierecht Kai Westerwelle berät nationale und internationale Unternehmen in allen Bereichen des IT- Rechts, insbesondere im Hinblick auf die verschiedenen Lizenzmodelle, unterschiedliche Arten von Serviceverträgen, OEM, F&E, Beschaffungswesen, Datenschutz und andere regulatorische Anforderungen, E-Commerce und Multimediarecht, elektronische Bezahlsysteme, Open Source Anforderungen sowie Telekommunikationsrecht. Daneben hat er eine erhebliche Anzahl von nationalen und internationalen Restrukturierungsmaßnahmen und Outsourcingvorhaben, auch in besonderen Beschränkungen unterliegenden Wirtschaftsbereichen, wie beispielsweise Banken und Versicherungen, sowie viele M&A Transaktionen und IPOs begleitet. Kai Westerwelle studierte an den Universitäten Bonn und Lausanne/Schweiz und absolvierte sein Referendariat in Aachen, Speyer und Toronto/Kanada. Er arbeitete sodann als Assistent an der Universität Trier, wo er 1996 zum Dr. jur. promovierte. Nach Stationen bei Clifford Chance Pünder und Freshfields Bruckhaus Deringer in Frankfurt und San Francisco/USA wurde er 2003 Partner bei Taylor Wessing. Kai Westerwelle ist Autor zahlreicher Veröffentlichungen, schwerpunktmäßig in den Bereichen Wettbewerbsrecht, anwaltliches Berufsrecht und insbesondere Recht der Informationstechnologie und Multimediarecht. Er hält regelmäßig Vorträge bei Fortbildungsveranstaltungen, Seminaren, nationalen und internationalen Kongressen und gibt Vorlesungen an der Universität Dresden und der Frankfurt School of Finance and Management. Er ist aktives Mitglied der Deutschen Gesellschaft für Recht und Informatik (DGRI) sowie der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht (GRUR). Er ist von der iam 250 in The World s Leading Patent & Technology Licensing Lawyers 2010 gelistet und für die ILO Client Choice Award 2011 als der hervorragende Experte für IT-Recht in Deutschtland nominiert. Kai Westerwelle ist Mitlied des Aufsichtsrats verschiedener Unternehmen in den Bereichen Technologie und Venture Capital. Kontaktdetails T: +49 (0)69 97130-110 E: k.westerwelle@taylorwessing.com 17
Unsere Standorte Berlin Ebertstraße 15 10117 Berlin T. +49 (0)30 88 56 36 0 F. +49 (0)30 88 56 36 100 Brussels Trône House 4 Rue du Trône 1000 Brussels T. +32 (0)2 289 6060 F. +32 (0)2 289 6070 Cambridge 24 Hills Road Cambridge, CB2 1JP T. +44 (0)1223 446400 F. +44 (0)1223 446401 Dubai P.O. Box 33675 28th Floor Al Moosa Tower II Sheikh Zayed Road Dubai, United Arab Emirates T. +971 (0)4 332 3324 F. +971 (0)4 332 3325 Düsseldorf Benrather Straße 15 40213 Düsseldorf T. +49 (0)211 83 87 0 F. +49 (0)211 83 87 100 Frankfurt a.m. Senckenberganlage 20-22 60325 Frankfurt a.m. T. +49 (0)69 971 30 0 F. +49 (0)69 971 30 100 Hamburg Hanseatic Trade Center Am Sandtorkai 41 20457 Hamburg T. +49 (0)4 0 36 80 30 F. +49 (0)4 0 36 80 3280 London 5 New Street Square London EC4A 3TW T. +44 (0)20 7300 7000 F. +44 (0)20 7300 7100 Munich Türkenstraße 16 80333 Munich T. +49 (0)89 2 10 38 0 F. +49 (0)89 2 10 38 300 Paris 42 avenue Montaigne 75008 Paris T. +33 (0)1 72 74 03 33 F. +33 (0)1 72 74 03 34 Representative offices Associated offices Beijing Unit 1503, Tower 2, Prosper Center No. 5, Guanghua Road Chaoyang District Beijing 100020 T. +86 10 8587 5886 F. +86 10 8587 5885 Shanghai Unit 1509, United Plaza No. 1468, Nanjing West Road Shanghai 200040 T. +86 21 6247 7247 F. +86 21 6247 6248 BSJP Legal Warsaw Al Armii Ludowej 26 PL-00-609 Warsaw T. +48 (0) 22 579 89 00 F. +48 (0) 22 579 89 01 18