Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax: 0511-6468055 info@beindorff-ipland.de www.beindorff-ipland.de 1
Welche Rechtsvorschriften sind anwendbar? EU-Datenschutzrichtlinie 95/46/EG Schutz bei Verarbeitung personenbezogener Daten Bundesdatenschutzgesetz (BDSG) Umsetzung der EU-Datenschutzrichtlinie in nationales Recht Anwendungsbereich: personenbezogene Daten Cloud Services = i. d. R. Auftragsdatenverarbeitung (ADV) ADV = Datenverarbeitung nach Weisung und im Auftrag Gegenbegriff ADV = Funktionsübertragung: Verarbeitung zu eigenen Zwecken / eigene Entscheidungsbefugnis. Übermittlung bedarf einer Erlaubnisnorm. 2
Wann ist Datentransfer zulässig? Innerhalb EU/EWR: keine erweiterten Anforderungen - 4b Abs. 1 BDSG 11 BDSG: Auftragsdatenverarbeitung Außerhalb der EU/EWR: nur erlaubt, wenn im betreffenden Land ein den Anforderungen der EU angemessenes Datenschutzniveau herrscht (festgestellt für Guernsey, Isle of Man, Argentinien, Kanada, Schweiz) Erlaubnisnorm für Übermittlung erforderlich - 11 BDSG analog USA: Safe Harbor EU-Standardvertragsklauseln (Problem: Patriot Act ) Innerhalb Konzern: Binding Corporate Rules Übrige Fälle: EU-Standardvertragsklauseln Achtung: Auftraggeber bleibt datenschutzrechtlich immer verantwortlich!!! 3
Voraussetzungen nach 11 BDSG Sorgfältige Auswahl des Auftragnehmers (Problem: Subunternehmer) Schriftlicher Vertrag mit mindestens folgenden Inhalten und regelmäßiger dokumentierter Überprüfung ( 11 BDSG): Gegenstand, Dauer des Auftrags Art, Zweck, Umfang Datenverarbeitung Technische / organisatorische Maßnahmen (BSI Mindestanforderungen) Berichtigung, Löschung, Sperrung Daten Sicherstellung von Kontrollen und Kontrollrechten Einschaltung von Subunternehmern Mitteilungspflichten bei Datenschutzverstößen Weisungsbefugnisse der Auftraggebers gegenüber Auftragnehmer Rückgabe und Löschung von Daten bei Vertragsbeendigung 4
Vorgehensweise des Unternehmens Personenbezog. Daten Auftraggeber Weitergabe Daten zulässig wenn -Sorgfältige Auswahl des Cloud-Anbieters - Vollständige Verantwortung und Weisungsrecht beim Auftraggeber -Schriftlicher Vertrag mit zwingenden Vorgaben des 11 BDSG Transfer innerhalb EU/EWR Transfer innerhalb EU/EWR - - Regelmäßige Regelmäßige Überprüfung Überprüfung der der Einhaltung Einhaltung von von technischen technischen / / organisatorischen Maßnahmen organisatorischen Maßnahmen Transfer außerhalb EU/EWR Transfer außerhalb EU/EWR -Serverstaat -Serverstaat besitzt besitzt angemessenes angemessenes Datenschutzniveau Datenschutzniveau -US- -US- Empfänger Empfänger Safe Safe Harbor Harbor -Corporate Binding Rules -Corporate Binding Rules -EU-Standardvertragsklauseln -EU-Standardvertragsklauseln 5
Fazit Datenschutz ernst nehmen! EU-Clouds: 11 BDSG beachten und umsetzen Internationale Clouds: zusätzlich Safe Harbor / EU Standardvertragsklauseln Subunternehmer nicht vergessen (auch im Konzern) 6
Herzlichen Dank für Ihre Aufmerksamkeit! Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax: 0511-6468055 info@beindorff-ipland.de www.beindorff-ipland.de 7