Compliance und Recht im Cloud Computing

Ähnliche Dokumente
Cloud Computing. Dr. Marcus Dittmann

Rechtliche Aspekte des Cloud Computing

Cloud Computing & Datenschutz

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Risiken für den Servicenehmer. Fabian Laucken Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Fachanwalt für gewerblichen Rechtsschutz

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Systemsicherheit

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz-Vereinbarung

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Rechtlicher Rahmen für Lernplattformen

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Leseprobe zum Download

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing und Datenschutz

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

BYOD Bring Your Own Device

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

IT-Compliance und Datenschutz. 16. März 2007

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

1. bvh-datenschutztag 2013

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Drei Fragen zum Datenschutz im. Nico Reiners

Technische und organisatorische Maßnahmen der

Vorgehensweise Auftragsdatenverarbeitungsvertrag

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz-Unterweisung

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Aktuelle rechtliche Herausforderungen beim Einsatz von Apps

Datenschutzvereinbarung

Gesetzliche Grundlagen des Datenschutzes

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Checkliste: Technische und organisatorische Maßnahmen

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

Datenschutz und Schule

CRM und Datenschutz. Thomas Spaeing ds² - Unternehmensberatung für Datenschutz und Datensicherheit

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Gewährleistung und SoftwaremieteVortrag im Rahmen der Veranstaltung IT-Recht - Grundlagen für Informatiker

Grundlagen des Datenschutzes und der IT-Sicherheit

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in Frankfurt am Main ("Auftragnehmer") stellt

Jahresbericht Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Datenschutz im Spendenwesen

Datenverwendung und Datenweitergabe - was ist noch legal?

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Datenschutz ist Persönlichkeitsschutz

Facebook und Datenschutz Geht das überhaupt?

Aufstellung der techn. und organ. Maßnahmen

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Cloud Computing für den Mittelstand rechtliche Risiken erkennen und vermeiden

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Rechtliche Aspekte des Cloud Computing

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Einführung in die Datenerfassung und in den Datenschutz

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

Was ein Administrator über Datenschutz wissen muss

Rechtssicher in die Cloud

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Rechtssicher in die Cloud so geht s!

Checkliste: Technische und organisatorische Maßnahmen

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Anlage zur Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Öffentliches Verfahrensverzeichnis

Überblick. Einführung IT- Vertragsrecht Begriffsklärung. So<wareentwicklungsprakAkum WS 2014/15 DBS/PMS

Transkript:

Compliance und Recht im Cloud Computing Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Cloud Computing Praktische Anwendungen für Unternehmen IHK Cottbus 20.5.2013

Beteiligte App-Shop-Betreiber (z.b. Apple, Google) Z.B. ios Developer Program License Agreement (idpla) Anbieter der App Allgem. Nutzungs- und Lizenzbedingungen des Shops - Kaufvertrag über App? - Kaufvertrag bei z.b. bei Shop-App - In-App-Purchase SW-Entwicklungsvertrag Nutzer, Kunde Entwickler Thomas Jansa - Fotolia

Was bedeutet Cloud Computing? IT-Infrastruktur dynamisch an den Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen Rechenkapazität Datenspeicher Softwareanwendungen

Rechtliche Aspekte Datenschutz Vertragsrecht Urheberrecht Lizenzen

Mit freundlicher Genehmigung von Brainstuck.com - Anshul Maheshwari

Pressespiegel: Quelle: www.focus.de 14.04.2012 Quelle: www.zeit.de 15.05.2012 Quelle: www.bild.de 37.07.2012

Auffassung der Aufsichtsbehörden Cloud Computing ist (generell) datenschutzrechtlich unzulässig 26.9.2011: Orientierungshilfe Cloud Computing (Arbeitskreis Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder) 28./29.9.2011: Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder zur Datenschutzkonforme Gestaltung und Nutzung von Cloud Computing 1.7.2012: Stellungnahme der Artikel 29 Gruppe zum Cloud Computing 13.7.2012: Pressemitteilung des Unabhängigen Landeszentrums für Datenschutz Schleswig-Holstein: ULD: Datenschutzkonformes Cloud Computing ist möglich

Schutzgegenstand des Datenschutzes Schutzgegenstand sind personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person ( 3 Abs. 1 BDSG), d.h. eines Menschen Nicht umfasst sind Daten über ein Unternehmen. Fabian Laucken und Dr. Marcus Dittmann Ihde & Partner Rechtsanwälte -

Beispiele personenbezogener Daten Name, Geburtsdatum, aber auch Anschrift, E- Mail-Adresse, Telefonnummer, wenn sie einem Menschen zugeordnet werden können Fabian.laucken@ihde.de info@ihde.de Durchwahl Zentrale Rufnummer Mitarbeiter Unternehmensanschrift Besonderheiten bei Einzelunternehmen und e.k. -

Grundregel im Datenschutzrecht: Verbot mit Erlaubnisvorbehalt: Die Erhebung und Verwendung personenbezogener Daten ist grundsätzlich verboten, es sei denn: Der Betroffene hat wirksam eingewilligt oder es greift ein gesetzlicher Erlaubnistatbestand. ( 4 Abs. 1 BDSG, 12 TMG) Fabian Laucken und Dr. Marcus Dittmann Ihde & Partner Rechtsanwälte -

Datenschutz Dürfen personenbezogene Daten beim SaaS-/Cloud- Computing-Anbieter gespeichert und dort verarbeitet werden? Ausgangspunkt: Es handelt sich zunächst um eine Übermittlung von Daten. Übermittlung ist nur zulässig mit (1.) Einwilligung des Betroffenen ( 4a BDSG) oder wenn (2.) die Übermittlung zur Wahrung berechtigter Interessen der verantwortlichen Stelle erforderlich ist und kein Grund zu der Annahme, dass schutzwürdiges Interesse des Betroffenen an dem Ausschluss der Verarbeitung oder Nutzung überwiegt ( 28 BDSG). Reine Kostenersparnis beim SaaS-/Cloud-Computing-Kunden reicht in der Regel nicht aus.

Datenschutz Ausweg - Auftragsdatenverarbeitung Stellen, die im Inland, in einem EU-Staat oder EWR-Staat personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen, gelten nicht als Dritte ( 3 Abs. 8 S. 2 BDSG) Also dann: keine Übermittlung personenbezogener Daten an Dritte im Sinne des Datenschutzrechts Der Auftraggeber wird weiter als verantwortlicher Herr der Daten angesehen. Er ist und bleibt verantwortlich ( 11 Abs. 1 BDSG). (Innerhalb der EU/EWR.)

Datenschutz Voraussetzungen für eine rechtmäßige Auftragsdatenverarbeitung: Eine Vereinbarung zur Auftragsdatenverarbeitung, die schriftlich abgeschlossen werden muss und den in 11 Abs. 2 BDSG vorgeschriebenen Mindestinhalt (hierzu sogleich) aufweist. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Standards und Zertifizierung?

Datenschutz Mindestinhalt einer ADVV: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Datenschutz Anlage zu 9 Abs. 1 BDSG: Werden personenbezogene Daten automatisiert verarbeitet oder genutzt, ist die innerbehördliche oder innerbetriebliche Organisation so zu gestalten, dass sie den besonderen Anforderungen des Datenschutzes gerecht wird. Dabei sind insbesondere Maßnahmen zu treffen, die je nach der Art der zu schützenden personenbezogenen Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle), 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle),

Datenschutz Anlage zu 9 Abs. 1 BDSG (Fortsetzung): 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können.

Datenschutz Abschließende Hinweise zur Auftragsdatenverarbeitung: Probleme beim Cloud-Storage Auftragsdatenverarbeitung außerhalb der EU und des EWR Anerkanntes sicheres Drittland (Schweiz, Kanada (nur teilweise), Argentinien, Vogtei Guernsey und die Insel Man) Standardvertragsklauseln Binding Corporate Rules im Konzern Safe-Habour (USA), soweit sich das betr. Unternehmen den Safe-Harbour-Prinzipien unterworfen hat: Liste des US- Handelsministeriums, u. a. Microsoft, Google, Facebook (!)

Vertragsrecht Wie ist ein Vertrag über Cloud-Computing-Services juristisch einzuordnen? BGH, Urteil vom 15.11.2006 - XII ZR 120/04 ASP-Vertrag: Vertragstyp Mietrecht Gilt wohl auch für SaaS: Gewährung der Onlinenutzung von Software für eine begrenzte Zeit. Andere (Neben-)Leistungen ggf. andere Vertragstypen, z.b. Parametrierung, Datenübernahme, Telefonsupport. Anbindung als Werkvertrag? Warum wichtig: Gewährleistung: permanente Erhaltung, Garantiehaftung für anfängliche Mängel, AGB-Kontrolle

Vertragsrecht Checkliste I Gegenstand und die Dauer des Auftrags Vergütung: Tarife, Flatrate, Sonderleistungen Leistungsstörungen: Verfügbarkeit Prozentuale Verfügbarkeit Messzeitraum beachten, selbst bei 99,7% im Jahresmittel kann eine Abschaltung von gut 26h am Stück erfolgen, besser im Monatsmittel Wie und durch wen erfolgt die Messung? Monatliche Reports, Messung durch Tools von Drittanbietern Einfluss Datenverbindung, Access-Provider Haftung, Gewährleistung

Vertragsrecht Checkliste II Service-Level-Agreement: Fehlerklassen, ggf. mit konkreten Beispielen Reaktions-, Report- und Beseitigungsfristen Rechtsfolgen bei Nichteinhaltung der Verfügbarkeit und der vorstehenden Fristen Service-Level-Credits, Ausgestaltung z.b. möglich als Vertragsstrafe, pauschalierter Schadensersatz oder Minderung Außerordentliche Kündigung? Mitwirkungspflichten des Kunden, z. B. Form, Inhalt und Frist von Mängelanzeigen, Unterstützung bei Fehlerbeseitigung und Suche, Bereitstellung von Testdaten

Vertragsrecht Checkliste III Vertragsbeendigung: Kündigungsfristen Vorankündigung bei Änderungen der Leistung oder Wechsel von Subunternehmern. Sonderkündigungsrechte? Wichtig: Regelung über Format und Form der Herausgabe von Daten und ggf. Löschung Wichtig: Unterstützung bei der Migration zu einem anderen Anbieter Zurückbehaltungsrecht des Anbieters betr. die Daten und die Löschung auch für den Streitfall? Ggf. Ausschluss vereinbaren.

Urheberrecht und Lizenzen Verwertungshandlungen der Beteiligten Auf Anbieterseite: Vervielfältigung der Software Vermietung (Verbreitung) der Software? (str.) Öffentliche Zugänglichmachung oder eigene Nutzungsart? Auf Kundenseite: Nutzung der Software selbst ist kein urheberrechtlich relevanter Vorgang U.U. finden aber Vervielfältigungen der Software statt, z.b. wenn Applets übertragen werden. (str., ob auch Vervielfältigungen beim Anbieter, die der Kunde veranlasst und die dann automatisiert vorgenommen werden, dem Kunden zuzurechnen sind)

Urheberrecht und Lizenzen Konsequenzen für die Vertragsgestaltung Rechteeinräumung vom Anbieter an den Kunden: Einfaches Beispiel: Der Anbieter räumt dem Kunden für die Vertragslaufzeit alle Nutzungsrechte ein, die erforderlich sind, um die Software im Rahmen des vereinbarten SaaS-Betriebes zu nutzen. Besser wäre aber eine detaillierte Regelung. Konzernlizenz? Due Dilligence beim Anbieter: Wenn die Software nicht vom Anbieter stammt, empfiehlt es sich, vom Anbieter einen Nachweis zu fordern, dass dieser die Software im SaaS- Betrieb anbieten darf, z.b. durch eine Bestätigung des Herstellers der Software Klausel für den Fall der Verletzung von Rechten Dritter Gefahren bedenken, für den Fall, dass dem Anbieter die Nutzung der Software untersagt wird und ggf. Vorkehrungen treffen

Fazit: Jakub Jirsák - Fotolia

Anmerkungen oder Fragen? Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für gewerblichen Rechtsschutz Ihde & Partner Rechtsanwälte Adresse: Schönhauser Allee 10-11, 10119 Berlin E-Mail: fabian.laucken@onlinelaw.de Tel: (+49) (0)30-44318660, Fax:(+49) (0)30-44318679

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback