[ Rechtliche Rahmenbedingungen des Cloud Computing Persönliche Beratung für den Unternehmer DR....

[

Rechtliche Rahmenbedingungen des Cloud Computing

Persönliche Beratung für den Unternehmer

DR. PUPLICK & PARTNER GbR

Dr. Thorsten Olav LauRechtsanwaltFachanwalt für gewerblichen Rechtsschutz

Dortmund, 16.05.2013

16. Mai 2013

http://ebusiness-lotse-ruhr.de/


2© Copyright Dr. Puplick & Partner GbR, Stand 05/2013

[email protected]


„With the cloud, you don't own anything. You already signed it away. I want to feel that I own things [...] A lot of people feel, 'Oh, everything is really on my computer,' but I say: the more we transfer everything onto the web, onto the cloud, the less we're going to have control over it.“

Steve Wozniak, 05. August 2012

Rechtssicherheit in der Cloud? – Ein Problem?



[email protected]


1. Cloud Computing – Leistungsfelder und Erscheinungsformen

2. Rechtliche Rahmenbedingungen für deutsche Unternehmen

3. Gestaltungshinweise und Vermeidung von Haftungsrisiken

Agenda



[email protected]


Definition: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.Bsp. Rechenleistung, Speicherplatz), Plattformen und Software.

Definition nach: Bundesamt für Sicherheit in der Informationstechnik

1. Leistungsfelder und Erscheinungsformen

Cloud Computing - was ist das?



[email protected]


Quelle: Wikipedia/Michael Schöndorfer

Die Leistungsfelder des Cloud Computing in grafischer Darstellung:



[email protected]


Infrastruktur – Infrastructure as a Service (IaaS)

• Angebot von IT-Ressourcen (Datenspeicher, Rechenleistung)

• in hohem Maße standardisierte Services zum Aufbau von eigenen Services der Kunden (Betriebssystem und Anwendungen)

• Beispiele: Dropbox, Amazon EC2, Amazon S3

Leistungsfelder des Cloud Computing



[email protected]


Plattform – Platform as a Service (PaaS)

• Angebot der kompletten Infrastruktur zur Nutzung über standardisierte Schnittstellen

• Betrieb eigener Anwendungen

• kein Zugriff auf Betriebssystem und Hardware

• Beispiele: Google Cloud Platform, Windows Azure




[email protected]


Anwendung – Software as a Service (SaaS)

• Angebot von „fertigen“ Anwendungen

• kein Zugriff auf Anwendung, Betriebssystem und Hardware

• Beispiele: Google Docs, Office 365, Facebook, Twitter, Gmail, Streetview, iTunes, Siri, Spotify, Napster …




[email protected]


Private Cloud

• Cloud Infrastruktur wird für eine Institution/Unternehmen betrieben

• Betrieb durch die Institution/Unternehmen oder durch Dritten

• Betrieb im eigenen Rechenzentrum oder im Rechenzentrum eines Dritten

Erscheinungsformen „der“ Cloud:



[email protected]


Community Cloud

• mehrere Institutionen/Unternehmen mit gleichen Interessen teilen sich die Cloud Infrastruktur

• Betrieb durch eine der Institutionen/Unternehmen oder durch Dritten




[email protected]


Public Cloud

• Service wird von einem Anbieter für• die Allgemeinheit oder eine große Gruppe zur

Verfügung gestellt

Hybrid Cloud

• mehrere eigenständige Cloud Infrastrukturen werden über standardisierte Schnittstellen miteinander kombiniert

Definitionen nach: Bundesamt für Sicherheit in der Informationstechnik




[email protected]





Agenda



[email protected]


Übersicht: 1. Verhältnis Unternehmen – Cloud Diensteanbieter 2. Gesetzliche Anforderungen – Datenschutz




[email protected]


Fallbeispiel: Ein in Deutschland ansässiges Start-Up-Unternehmen aus der Gesundheitsbranche möchte für den deutschen Markt ein Abrechnungsprogramm für Anbieter von Krankengymnastik auf den Markt bringen. Die Abrechnung mit den Krankenkassen soll möglichst kostengünstig über das Produkt Windows Azure erfolgen und zwar als • Platform as a Service (PaaS)über eine • Private Cloud Lösung oder eine Community Cloud Lösung Anmerkung: Das Produkt Windows Azure dient hier lediglich als Beispiel. Die besprochenen Punkte tauchen vergleichbar bei allen Anbietern von Cloud Dienstleistungen auf.

Verhältnis Unternehmen – Cloud Diensteanbieter



[email protected]


Plattform – Platform as a Service (PaaS)• Angebot der kompletten Infrastruktur zur Nutzung über

standardisierte Schnittstellen• Betrieb eigener Anwendungen• kein Zugriff auf Betriebssystem und Hardware• Beispiele: Google Cloud Platform, Windows Azure

Private Cloud

• Cloud Infrastruktur wird für eine Institution/Unternehmen betrieben

• Betrieb durch die Institution/Unternehmen oder durch Dritten

• Betrieb im eigenen Rechenzentrum oder im Rechenzentrum eines Dritten

Community Cloud• mehrere Institutionen/Unternehmen mit gleichen Interessen teilen

sich die Cloud Infrastruktur• Betrieb durch eine der Institutionen/Unternehmen oder durch

Dritten

Zur Erinnerung:



[email protected]


• Wer ist überhaupt mein Vertragspartner?

• Welches Recht ist anwendbar?

• Was ist Vertragsinhalt?

• Wie sicher sind die Daten?

• Wo werden die Daten gespeichert?

• Darf ich die Daten überhaupt in der Cloud speichern?

Zunächst stellen sich viele Fragen:



[email protected]


• Wer ist überhaupt mein Vertragspartner?• Welches Recht ist anwendbar?

Im Einzelnen:

weitreichende Folgen im Streitfall:• Klage muss unter Umständen im Ausland erhoben werden • Anwendung eines ausländischen Rechts führt zu • unkalkulierbaren Kosten

Warum sind diese Fragen überhaupt wichtig?



[email protected]


Bei einer Forderung in Höhe von 100.000,00 € betragen die Anwalts- und Gerichtskosten (ohne etwaige Sachverständigenkosten):

Prozesskosten

in Deutschland:

rd. 20.000,00 € netto

Kostenerstattung durch die unterlegene Partei

in den USA, England oder Irland: ? Gerichtskosten sind vergleichsweise gering

Anwaltskosten sind deutlich höher und werden nahezu ausschließlich stundenweise abgerechnet – regelmäßig ohne Kostenerstattung durch die unterlegene Partei

• USA: zwischen 400,00-600,00 US-$ pro Stunde

• London /Irland: Rechtsanwalt/Solicitor ab 200,00 £ pro Stunde aufwärts und zusätzlich Prozeßanwalt/Barrister ab 300,00 £ pro Stunde aufwärts



[email protected]


Wer ist Vertragspartner?

ImpressumAlle Dienstleistungen, die über das Kundenportal bezogen werden können, werden durch Microsoft Ireland Operations Limited angeboten [...]

Die Website Microsoft Online Services-Kundenportal und ihre Inhalte werden von der Microsoft Corporation zur Verfügung gestellt [...]

Quelle: http://www.windowsazure.com/de-de/support/legal/ (Stand: 09.05.2013)

Zurück zum Beispielsfall – verwendet werden soll die Plattform Windows Azure



[email protected]


• Anwendung irischen Rechts, Gerichtsstand ist Dublin

• überaus komplexes Vertragswerk mit diversen Verweisen auf weitere Dokumente

• umfassende Abwälzung von Verantwortlichkeiten

• umfassender Gewährleistungsausschluss

• umfassender Haftungsausschluss

Regelungen aus dem Windows Azure-Vertrag:



[email protected]


• Sicherheit gegen Datenverluste• Sicherheit gegen unbefugte Zugriffe Dritter auf die Daten

Wie sicher sind die Daten?

Problembereiche: Wirtschaftsspionage/kriminelle Angriffe

(z. Bsp. Erpressung) Zugriffe durch staatliche Stellen

• Polizei/Strafverfolgungsbehörden• Finanzbehörden• Geheimdienste



[email protected]


Quelle: http://www.cloudtweaks.com/2012/05/the-lighter-side-of-the-cloud-encryption/

Sicherheit gegen unbefugte Zugriffe Dritter auf die Daten



[email protected]


Wir behalten geeignete technische und organisatorische Maßnahmen, interne Kontrollen und Datensicherheitsverfahren bei, die dazu dienen, Kundendaten vor zufälligem Verlust oder zufälliger Änderung, vor unbefugter Offenlegung oder unbefugtem Zugriff sowie vor unrechtmäßiger Vernichtung zu schützen. Aktuelle Informationen zu unseren Sicherheitspraktiken finden Sie im Trust Center.

Quelle: http://www.windowsazure.com/de-de/support/legal/subscription-agreement/?country=de

Regelungen zur Datensicherheit am Beispiel des Windows Azure-Vertrages



[email protected]


• Keine konkreten Angaben

• Verweis auf Dokumente, die nicht Vertragsbestandteil sind

Fazit:



[email protected]


Übersicht: 1. Verhältnis Unternehmen – Cloud Diensteanbieter 2. Gesetzliche Anforderungen - Datenschutz

Darf ich die Daten überhaupt in der Cloud speichern?




[email protected]


wichtigste Gesetze: • Bundesdatenschutzgesetz • EU Datenschutzrichtlinie (Richtlinie 95/46/EG)

Gesetzliche Anforderungen - Datenschutz



[email protected]


§ 11 Abs. 1, S. 1 BDSG:

Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die

Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich.

Grundsatz:

Die Einhaltung des Bundesdatenschutzgesetzes lässt sich nicht delegieren!

Anforderungen des Bundesdatenschutzgesetzes



[email protected]


der Auftragnehmer (= Betreiber der Cloud) darf

personenbezogene Daten grundsätzlich nur innerhalb der EU oder des Europäischen Wirtschaftsraums erheben, verarbeiten oder nutzen

sollen personenbezogene Daten außerhalb der EU oder des Europäischen Wirtschaftsraums verarbeitet oder genutzt werden, muss• ein angemessenes Datenschutzniveau gewährleistet sein

(und überprüft werden)oder• die vorherige Einwilligung des Betroffenen vorliegen

Auftragsdatenverarbeitung beim Cloud Computing



[email protected]


Damit wir die Frage „Wo werden die Daten gespeichert?“ relevant.



[email protected]


Auszug aus dem Anhang Datenverarbeitungsvertrag zum Windows Azure-Vertrag:

Übertragung von Kundendaten, VertragspartnerVorbehaltlich etwaiger Beschränkungen, die in der Datenschutzerklärung dargelegt sind, sind wir berechtigt, Kundendaten in jedem beliebigen Land, in dem wir oder unsere verbundenen Unternehmen oder Vertragspartner über für die Dienste verwendete Einrichtungen verfügen, zu übertragen, zu speichern und zu verarbeiten. […]

http://www.windowsazure.com/de-de/support/legal/subscription-agreement/?country=de

Wo werden die Daten gespeichert?



[email protected]


Hiernach wäre im Beispielsfall eine Auftragsdatenverarbeitung unzulässig.

Fazit:



[email protected]


Auszug aus der Datenschutzerklärung zu Windows-Azure:

Speicherort der DatenSie können die geografische Region der Microsoft-Datencenter auswählen, in denen die Kundendaten gespeichert werden. Microsoft ist berechtigt, aus Gründen der Datenredundanz oder aus anderen Gründen Kundendaten an einen anderen Ort innerhalb einer größeren geografischen Region (z. B. innerhalb der USA oder innerhalb Europas) zu übertragen. Microsoft überträgt keine Kundendaten an Orte außerhalb der von Ihnen angegebenen geografischen Hauptregion (z. B. aus den USA nach Asien oder von Europa in die USA), […]

Quelle: http://www.windowsazure.com/de-de/support/legal/privacy-statement/

Wo werden die Daten gespeichert?



[email protected]


Auch diese Bestimmung ist datenschutzrechtlich problematisch, auch Serbien, Montenegro oder die Türkei gehören (teilweise) zu Europa, sind aber weder Mitglied der EU, noch des Europäischen Wirtschaftsraumes.

Fazit:



[email protected]





Agenda



[email protected]


umfassende Prozeßanalyse, für welche Prozesse bringt es

tatsächlich Vorteile, diese in eine Cloud auszulagern?

sorgfältige Auswahl des Cloud Computing Anbieters• anwendbares Recht und Gerichtsstand berücksichtigen• Verträge lesen (!)

Datensicherheit – Risikoanalyse• Betriebsgeheimnisse?• Was geschieht bei einem temporären Ausfall der Cloud Dienste?• Wie werden Daten gegen Verlust gesichert?

Gestaltungshinweise und Vermeidung von Haftungsrisiken



[email protected]


Berücksichtigung der datenschutzrechtlichen Vorschriften• die Nichteinhaltung kann empfindliche Bußgelder nach sich

ziehen oder sogar strafbewehrt (Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe) sein



[email protected]


Vielen Dank für Ihre Aufmerksamkeit!

DR.PUPLICK&PARTNERPartner für den Mittelstand

NotarFachanwälte Arbeitsrecht

Bau- und ArchitektenrechtErbrechtFamilienrechtGewerblicher Rechtsschutz Handels- und

GesellschaftsrechtVerwaltungsrechtWirtschaftsmediation

Rechtsanwälte

Kronenburgallee 144141 Dortmund

Telefon: +49 (0) 231-9095-0Telefax: +49 (0) 231-9095-100E-Mail: [email protected]: www.puplick-partner.de



[email protected]


Wir beraten mittelständische Unternehmen und Unternehmer

Handels-, Wirtschafts- und GesellschaftsrechtArbeitsrecht

ImmobilienrechtUnternehmensnachfolge

Sicherung der privaten Vermögenssphäre

In einem Team von Rechtsanwälten und Fachanwältenanalysieren wir Ihre individuelle Situation und zeigen

Ihnen Handlungsmöglichkeiten auf.

Wir begleiten Sie und nehmen uns Zeit für Sie.

DR.PUPLICK&PARTNERPartner für den Mittelstand



[email protected]


Haftungsausschluss

Die DR. PUPLICK & PARTNER GbR stellt in dieser Seminarunterlage ausgewählte Infor-mationen zu verschiedenen Rechtsgebieten bereit. Dabei verfolgen wir das Ziel, unseren Mandanten und der interessierten Öffentlichkeit aktuelle und exakte Informationen zur Verfügung zu stellen. Für Kritik und Anregungen sind wir jederzeit dankbar. Sollten wir von Fehlern erfahren, werden wir diese korrigieren.

Die DR. PUPLICK & PARTNER GbR übernimmt keine Haftung für die Angaben in dieser Seminarunterlage. Die Angaben sind nur Informationen allgemein-rechtlicher Art, die nicht auf die besonderen Bedürfnisse bestimmter Personen oder Einrichtungen im Einzelfall abgestimmt sind. Die Informationen sind nicht umfassend, vollständig oder verbindlich.

Diese Seminarunterlage dient insbesondere nicht der juristischen Beratung im Einzelfall. Sie ist nur für den persönlichen Gebrauch bestimmt.

Copyright-Vermerk

Die Vervielfältigung (Kopieren, Nachdruck) für eigene Zwecke ist unter Angabe der Quelle gestattet. Die Überlassung an private Dritte ist unter Angabe der Quelle gestattet. Die Vervielfältigung (Kopieren, Nachdruck) für gewerbliche oder berufliche Zwecke bedarf unserer ausdrücklichen Zustimmung.


[ Rechtliche Rahmenbedingungen des Cloud Computing Persönliche Beratung für den Unternehmer DR....

Documents

Transcript of [ Rechtliche Rahmenbedingungen des Cloud Computing Persönliche Beratung für den Unternehmer DR....