Voice + IP 2012
Cloud-Computing - Rechtliche Stolperfallen in der Cloud
Martin Kuhr, LL.M., iusec Datenschutz
Das Blog der Messe Frankfurt zur Digitalisierung des Geschäftslebens:
http://connected.messefrankfurt.com/de/
4. „Wolke“ oder „Cloud Computing“
• Idee:
- Computernutzer kauft künftig IT
wie Strom aus Steckdose
- ohne eigenen PC mit Software
- nur mit einfachem Computer mit Browser
- IT-Dienste über Netzwerke zur Verfügung
- Daten auf Rechnern im Internet speichern
4
iusec Datenschutz, 2012 4
5. „Wolke“ oder „Cloud Computing“
• verstreuter Kreis von Kunden
• internetbasierte IT- Leistungen unterschiedlichster
Art
– z.B.:
- Bereitstellung von Speicherplatz
oder
- Betrieb von Standardanwendung
5
iusec Datenschutz, 2012 5
6. „Wolke“ oder „Cloud Computing“
• Übermittlung z. B. von:
- Namen, Adressen, Bankverbindungen
- Geschäftsinterna
6
iusec Datenschutz, 2012 6
7. „Wolke“ oder „Cloud Computing“
• Mitteilung Nr. 15/10 vom 12.03.2010
wissenschaftlicher Dienst des Deutschen
Bundestages
„Auslagern von Software- oder sogar
Hardwarefunktionen der Anwender“ “
7
iusec Datenschutz, 2012 7
8. „Wolke“ oder „Cloud Computing“
• NIST (National Institute of Standards and Technology),
auch ENISA (European Network and Information
Security Agency)
- On-demand Self Service
- Broad Network Access
- Resource Pooling
- Rapid Elasticity
- Measured Services
8
iusec Datenschutz, 2012 8
9. „Wolke“ oder „Cloud Computing“
• Arten von Cloud Computing
- private Cloud: (geschlossene Nutzergruppe)
- public Cloud: (große Anzahl verschiedener
Nutzer)
- hybrid Clouds
9
iusec Datenschutz, 2012 9
12. Verträge
• Verträge
Anwendbares Vertragsrecht
- Rechtswahlklausel (AGB)? Art. 3 I Rom I-VO
- ansonsten: Ort des gewöhnlichen Aufenthaltes
des Anbieters
12
iusec Datenschutz, 2012 12
13. Verträge
• Verträge
Anwendbares Deliktsrecht
- z. B. Zerstörung/Manipulation der
Datenbestände
- Rechte des Lageortes des Zielrechners?
- besser: entsprechend Vertragsrecht
13
iusec Datenschutz, 2012 13
14. Urheberrecht
• Urheberrecht
- aus Nutzersicht zu regeln:
Skalierbarkeit, Rechteeinräumung,
Nutzungsentgelt
- aus Anbietersicht zu regeln:
wenn Leistung von Dritten: Back-To-Back
(§§ 69c I, 19a UrhG, 69c Nr. 2 UrhG)
§§
14
iusec Datenschutz, 2012 14
15. Datenschutz
• Datenschutz
Übermittlung personenbezogener Daten
Personenbezogene Daten § 3 I BDSG:
„Einzelangaben über persönliche oder sachliche
Verhältnisse einer bestimmten oder bestimmbaren
natürlichen Person“
15
iusec Datenschutz, 2012 15
16. Datenschutz
• Datenschutz
Weitergabe von personenbezogenen Daten
erfordert Rechtfertigung (Gesetz/Einwilligung) gemäß
§ 4 BDSG
oder
Auftragsdatenverarbeitung § 11 BDSG (hier wird
keine Weitergabe angenommen)
16
iusec Datenschutz, 2012 16
17. Datenschutz
• Datenschutz
- Auftragsdatenverarbeitung nur, wenn:
- Verarbeiter der Daten streng weisungsgebunden
- keinen eigenen Bewertungs- u. Entscheidungs-
spielraum
17
iusec Datenschutz, 2012 17
18. Datenschutz
• Datenschutz
- Auftragsdatenverarbeitung
- Auftraggeber bleibt verantwortliche Stelle
- P: Auftraggeber hat oft keine genaue Kenntnis, wo
sich seine Daten befinden
18
iusec Datenschutz, 2012 18
19. Datenschutz
• Datenschutz: § 11 BDSG schriftlicher Auftrag
- Gegenstand und Dauer des Auftrags
- Umfang, Art und Zweck der geplanten DV
- erforderliche techn. u. organisatorische
Maßnahmen
- Kontrollrechte/Weisungsrechte des AG
- Mitwirkungspflichten des AN
19
iusec Datenschutz, 2012 19
20. Datenschutz
• Datenschutz: § 11 BDSG schriftlicher Auftrag
- Pflichten nicht abschließend geregelt
- unbestimmt formuliert
„die von ihm vorzunehmenden Kontrollen“
- ordnungswidrig handelt, wer:
„einen Auftrag nicht vollständig erteilt“
20
iusec Datenschutz, 2012 20
21. Datenschutz
• Datenschutz: § 11 BDSG schriftlicher Auftrag
- Wenn keine Auftragsdatenverarbeitung:
- Rechtfertigung gem. § 28 I 1 Nr. 2 BDSG möglich:
wie Outsourcing: Interessenabwägung
21
iusec Datenschutz, 2012 21
22. Datenschutz
• EU-Cloud Anbieter: Datenschutz gem. Sitzland des
Anbieters (Niederlassung)
• Anbieter von außerhalb EU/EWR:
- wenn Daten in D erhoben/verarbeitet/genutzt:
Territorialitätsprinzip: BDSG anwendbar
22
iusec Datenschutz, 2012 22
23. Datenschutz
• Cloud-Anbieter außerhalb der EU/EWR
- P: Geringeres Datenschutzniveau im Drittland
- Ausnahmegenehmigung der Aufsichtsbehörde
- EU-Kommission kann Klauseln zur Gewährung des
Datenschutzes anerkennen, Art. 26 IV RL 95/46/EG.
- Standardvertragsklauseln, erlauben auch
Unterauftrags-Datenverarbeitung
23
iusec Datenschutz, 2012 23
24. Datenschutz
• Cloud-Anbieter außerhalb der EU/EWR
- alternativ zu den Vertragsklauseln:
verbindliche Unternehmensregelungen § 4c II
BDSG, Codes of Conduct, Binding Corporate
Rules (i.d.R. multinationale Konzerne, Genehmigung
durch Aufsichtsbehörde erst, wenn Richtlinie
verbindlich)
24
iusec Datenschutz, 2012 24
25. Datenschutz
• Cloud-Anbieter außerhalb der EU/EWR
- alternativ zu den Vertragsklauseln:
- USA: Safe-Harbor-Programm (Information,
Wahlmöglichkeit, Weitergabe, Datensicherheit,
Datenintegrität, Auskunft, Durchsetzung)
- § 4b V BDSG: Absender bleibt verantwortlich für
Zulässigkeit der Übermittlung
25
iusec Datenschutz, 2012 25
26. IT-Compliance
• Haftung gem. § 91 Abs. 2 AktG
„Der Vorstand hat geeignete Maßnahmen zu treffen,
insbesondere ein Überwachungssystem
einzurichten, damit den Fortbestand der
Gesellschaft gefährdende Entwicklungen früh
erkannt werden.“
26
iusec Datenschutz, 2012 26
27. IT-Compliance
• Haftung gem. § 9 BDSG
„die technischen und organisatorischen Maßnahmen zu
treffen, die erforderlich sind, um die Ausführung der
Vorschriften dieses Gesetzes, insbesondere die in
der Anlage zu diesem Gesetz genannten
Anforderungen, zu gewährleisten. Erforderlich sind
Maßnahmen nur, wenn ihr Aufwand in einem
angemessenen Verhältnis zu dem angestrebten
Schutzzweck steht.“
27
iusec Datenschutz, 2012 27
28. IT-Compliance
• § 146 Abs. 2 AO
„Bücher und die sonst erforderlichen Aufzeichnungen
sind im Geltungsbereich dieses Gesetzes zu führen
und aufzubewahren.“
• § 146 Abs. 2 S. 1 AO Buchführung im Inland
• § 146 Abs. 2a AO Buchführung und Aufbewahrung
mit Bewilligung in EU-Ausland
• § 148 AO Erleichterungen können bewilligt werden,
nur EU-Cloud 28
iusec Datenschutz, 2012 28
29. IT-Compliance
• §§ 239, 257 HGB
- Grundsätze ordnungsgem. Buchführung (GoB)
und Grundsätze ordnungsgemäßer DV-gestützter
Buchführungssysteme (GoBS)
- Ziffer 5.3 Satz 2 GoBS: „Über die Anforderungen
der GoBS hinaus sind die sensiblen Informationen
des Unternehmens auch gegen unberechtigte
Kenntnisnahme zu schützen“
29
iusec Datenschutz, 2012 29
30. IT-Compliance
• Ziffer II. 1 GDPdU Grundsätze zum Datenzugriff
und zur Prüfbarkeit digitaler Unterlagen:
- zur Sicherstellung der Prüfbarkeit digitaler
Unterlagen sind beim Einsatz von
Kryptographietechniken
- die verschlüsselte und entschlüsselte Abrechnung
sowie der
- Schlüssel zur Entschlüsselung aufzubewahren.
30
iusec Datenschutz, 2012 30
31. Zusammenfassung
• Risiken (1)
- fehlende Transparenz
- fehlende Kontrolle über Daten und Prozesse
- Schwierigkeiten bei Migration
- zentraler Angriffspunkt
- Multi Vendor Modelle: Rechtswahl?
31
iusec Datenschutz, 2012 31
32. Zusammenfassung
• Risiken (2)
- SLAs
- Insolvenz des Providers
- sichere Datenlöschung nach Beendigung
- § 203 StGB
- Lizenzverträge Cloud-Anbieter und App-Anbieter
32
iusec Datenschutz, 2012 32
33. Zusammenfassung
• Checkliste für den Kunden:
- Vertragspartner (in D/EU/EWR)
- Anzahl Vertragspartner
- Nutzungsbedingungen der Cloud-Angebote
- Support
- Zugriff auf eigene Daten (Format)
- Auditierungsrechte
33
iusec Datenschutz, 2012 33
34. Schlussinfos:
• EU-Kommission: Cloud-Strategie (bis 2020 ca. 3,8
Millionen neue Arbeitsplätze in Europa; Steigerung BIP der EU
jährlich um 160 Milliarden Euro)
- Muster-Vertragsbedingungen
- Zertifizierungsprogramme unterstützen
- „Normen-Dschungel“ lichten, um Interoperabilität,
Datenübertragbarkeit und -umkehrbarkeit zu nutzen
- Koordinierung durch ETSI (Europäische Institut für
Telekommunikationsnormen), für Datenschutz ENISA
34
iusec Datenschutz, 2012 34
35. Schlussinfos:
• BSI: Eckpunktepapier Cloud-Computing
(Sicherheitsempfehlungen für Anbieter)
• Verband Eurocloud
• Düsseldorfer Kreis 29.4.2010: Safe-Harbor
Zertifikate allein genügen nicht für USA
• BMWi: Aktionsprogramm Trusted Cloud
• Bitkom
35
iusec Datenschutz, 2012 35
36. Vielen Dank für Ihre Aufmerksamkeit!
36
iusec Datenschutz, 2012 36
37. Kontakt
Martin Kuhr, LL.M.
iusec Datenschutz
Batschkastr. 18
67117 Limburgerhof
Tel.: 06236/46082
www.iusec.de
twitter.com/iusec
37
iusec Datenschutz, 2012 37