Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011
Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit
Überblick Cloud Computing Erscheinungsformen / Service-Ebenen Software as a Service Platform as a Service Infrastructure as a Service SaaS Anwendung Entwickl erumge bung Anwen dung Anwen dung Bsp: Google Docs, Basecamp, Salesforce.com Bsp. Windows Azure Plattform, Google App-Engine, Force.com Bsp. Amazon web services wie EC2
Überblick Cloud Computing Arten der cloud Public Clouds Private Clouds Hybride Clouds S / P / I SaaS / PaaS / IaaS SaaS / PaaS / IaaS SaaS / PaaS / IaaS
Überblick Grundlagen Cloud Computing Vorteile und Risiken Kosten- und Effizienzvorteile vs. Datensicherheit und Datenschutz Abhängigkeit vom Cloud-Provider Haftungsrisiken, Imageverlust
Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Zusammenfassung
Cloud Computing & Datenschutz Ausgangsfall Unternehmer (Verantwortliche Stelle) Erhebung, Verarbeitung, Nutzung Personenbezogener Daten Kunde (Betroffener)
Cloud Computing & Datenschutz Cloud-Anbieter als Auftragsdatenverarbeiter CSP Unternehmer (Verantwortliche Stelle) Personenbezogene Daten Kunde (Betroffener)
Cloud Computing & Datenschutz Auftragsdatenverarbeitung, 11 BDSG Auftragsdatenverarbeitung = Erhebung, Verarbeitung und Nutzung personenbezogener Daten durch eine andere Stelle Auftraggeber bleibt verantwortliche Stelle! Sorgfältige Auswahl des Auftragnehmers erforderlich!
Cloud Computing & Datenschutz Regelungen Auftragsdatenverarbeitung Weisungsrechte des Auftraggebers - Leistungsgegenstand, Datenverwendung, Exitregelungen mit Rückgaberegelungen von Daten Subunternehmerverhältnisse - Benennung der Beteiligten, Sicherung des Datenschutz- und Sicherheitsniveaus Kontrollrechte und -pflichten des Auftraggebers - Kontrolle der Datenverarbeitung, ggf. auch vor Ort - Kontrolle der Einhaltung der technischen und organisatorischen Maßnahmen - Praktisch: Zertifizierungsnachweise, Sicherheitskonzepte, Testate etc. IT-Sicherheit durch Festlegung der TOMs nach 9 BDSG - Sicherheitskonzepte; Zertifizierungen, s.o. Löschungspflichten
Cloud Computing & Datenschutz TOMs - Anlage zu 9 S. 1 BDSG 1. Zutrittskontrolle 2. Zugangskontrolle 3. Zugriffskontrolle 4. Weitergabekontrolle 5. Eingabekontrolle 6. Auftragskontrolle 7. Verfügbarkeitskontrolle 8. Trennungskontrolle
Cloud Computing und Datenschutz Abgrenzung ADV und Funktionsübertragung Auftragsdatenverarbeitung - Keine Übertragung der Aufgabe, zu der die Datenverarbeitung (DV) erforderlich ist - Fehlende Entscheidungsbefugnis - Weisungsgebunden bzgl. Auswahl, Verarbeitung der Daten Funktionsübertragung - Entscheidungsbefugnisse, eigene Pflichten bzgl. Daten (Ob und Wie) / ggü. Betroffenen - Erbringt materielle Leistungen Keine Privilegierung der Funktionsübertragung!
Cloud Computing & Datenschutz Problem: Clouds ohne Grenzen Problem: Übermittlung personenbezogenen Daten ins Ausland? - Innerhalb des EWR - Sicheres Drittland (Bsp. Schweiz, Kanada) - Unsicheres Drittland außerhalb EWR - Einwilligung des Betroffenen, Erlaubnistatbestand - Absicherung des datenschutzrechtlichen Schutzniveaus EU Standardvertragsklauseln Safe Harbor Regelungen Binding Corporate Rules
Themen 1. Überblick Grundlagen Cloud Computing 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Zusammenfassung
Aspekte bei der Vertragsgestaltung Vertragsverhältnisse Cloud- Subunte rnehmer CSP Unternehmer Kunden
Aspekte der Vertragsgestaltung Rechtsnatur von Cloud Angeboten Grds. typengemischte Verträge falls kein prägender Teil für Gesamtvertrag Schwerpunkt des jeweiligen Leistungsteils maßgeblich BGH - Internetsystemvertrag : - Softwarenutzung (SaaS): Mietrecht - Softwarepflege, Supportleistungen: Dienstleistung oder Werkvertrag - Installation, Implementierung, Anpassungsleistungen: Werkrecht - Bereitstellen bestimmte Rechenleistung: Dienstleistung - Zur-Verfügung-Stellen Speicherkapazität: Mietvertrag - Hosting: je nach Schwerpunkt der Leistung Mietvertrag oder Werkvertrag Bedeutung insbesondere für Gewährleistung, Haftung, AGB-Recht!
Aspekte der Vertragsgestaltung Vertragsinhalte Detaillierte Festlegung des Vertragsinhaltes - Konkrete, möglichst abschließende Leistungsbeschreibung - Exit-Klauseln - Rechtswahl; Gerichtsstand - Service-Level-Agreement (SLA) - Lizenzrechtliche Fragestellungen Einhaltung der datenschutzrechtlichen Erfordernisse Verträge mit Subunternehmern Regelungen zur IT-Sicherheit
Aspekte der Vertragsgestaltung Vereinbarung von SLAs Vereinbarung Leistungsqualität, -quantität - Verfügbarkeit, Reaktions- und Wiederherstellungszeiten etc. Regelung Durchführung Gewährleistung / Fehlerbeseitigung Sanktionsregime Beachtlich: AGB-rechtliche Kontrolle!
Aspekte der Vertragsgestaltung Softwarelizenzierung Lizenzierung von Software in der Cloud? Softwareschutz, 2 I Nr. 2, 69 a ff. UrhG Schutzgegenstand? Wer benötigt welche Nutzungsrechte? - Cloud-Anbieter - Cloud-Anwender - Vervielfältigung, Vermietung, öffentliche Zugänglichmachung?
Fazit - Bewußtsein für Risiken und Chancen - Auswahl des richtigen Anbieters - Nutzung vertraglicher Gestaltungsmöglichkeiten - Beachtung datenschutzrechtliche Anforderungen - Beachtung IT-Sicherheitsanforderungen unter Berücksichtigung der erforderlichen Schutzniveaus - Hilfreiche Leitfäden - BSI, Bitkom, GDD, eurocloud
Vielen Dank! Jee-Un Kim Rechtsanwältin BARTELS KIM WOLLENHAUPT Rechtsanwälte Invalidenstr. 115, 10115 Berlin Telefon +49 30 24 08 30 5-0 E-Mail mail@allmedialaw.de Internet www.allmedialaw.de