„Meine Daten in der Wolke“ - networker NRW: Startseite · Datenschutz in der Cloud...

Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht

rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016

1

„Meine Daten in der Wolke“

rechtliche Aspekte der Cloud-Nutzung



2

Ihr Referent• Heiko Schöning, LL.M. (Informationsrecht)

Rechtsanwalt Fachanwalt für Informationstechnologierecht (IT-Recht)

• Wesentliche Schwerpunkte in der Beratungspraxis

Vertragsrecht im Kontext der IT-, Kommunikations- und

Medienbranche

Datenschutzrecht

Vergaberecht im Kontext der IT-Branche (EVB-IT)

Gesellschafts-, Vertriebs- und Insolvenzrecht, insbesondere

mit Bezug zu IT-Themen



3

Agenda

• Einführung

• Cloud-Services

• Datenschutzrechtliche Aspekte

• Praxistipps



4

Einführung

• Was ist Cloud-Computing?

Möglichkeit des Zugriffs auf

• Server• Speicher• Datenbanken• Anwendungsservices („Software“)

i.d.R. über das Internet mit einem internetfähigen Endgerät (PC, Tablet, Mobiltelefon usw.) von überall auf der Welt



5

Einführung

• Private Cloud vs. Public Cloud

• Private Cloud• Server steht im Unternehmen (hoffentlich im Serverraum)

• Hard- und Softwareressourcen sind begrenzt

• Public Cloud• „Server“ wird im Rechenzentrum des Cloud-Computing Anbieters oder eines Dritten

betrieben (z.B. Amazon Web Service, Microsoft Azure, Google Cloud Platform oder anderen Anbietern)

• Leistungen sind skalierbar

• Abrechnung nach Inanspruchnahme der Leistungen möglich („pay-per-use“)



6

Einführung

• Arten von Cloud-ComputingUnterscheidung anhand der Cloud-Computing-Architektur

• Infrastructure-as-a-Service (IaaS)

• Platform-as-a-Service (PaaS)

• Software-as-a-Service (SaaS)

• Anything-as-a-Service (XaaS)

Bildquelle: „Technik der Cloud“ - Prof. Dr. Hannes Federrath, in: ZUM 2014, 1 ff.



7

Einführung• Arten von Cloud-Computing

• Infrastructure-as-a-Service (IaaS)

• Lediglich die Bereitstellung der Hardware für bestimmte Anwendungen

• Zugriff auf virtualisierte Komponenten zur

Datenverarbeitung

Datentransport

Datenspeicherung

• man kann beliebige Betriebssysteme und Anwendungen installieren

Fazit: man mietet sich IT-Infrastruktur und deren Wartung („Admin“)



8


• Platform-as-a-Service (PaaS)

• Bereitstellung von Hardware und bestimmte Anwendungen / Umgebungen

• ermöglicht Entwicklern mittels Schnittstellen (API´s), eigene Programme zu entwickeln und auszuführen

• keine Möglichkeit auf die zur Verfügung gestellte Infrastruktur administrativ oder kontrollierend einzuwirken

Fazit: man mietet sich eine Entwicklungsumgebung („Softwareentwickler“)



9


• Software-as-a-Service / Storage-as-a-Service (SaaS)

• baut logisch auf den vorgehenden Schichten auf

• Miete einer Software, die der Kunde nicht mehr selbst betreibt

• erforderliche Hard- und Software wird von Anbieter (betriebs-)bereit gehalten

• idR nur ein internetfähiges Gerät sowie ein Internetbrowser erforderlich

Fazit: Miete von Software inkl. Rechenleistung und/oder Speicherplatz („Anwender“)



10

Einführung• Vor- und Nachteile von Cloud-Computing

• Vorteile• keine hohen Investitionen in IT-Infrastruktur und Personal

• Flexibilität, um auf neue Geschäftsprozesse und Möglichkeiten reagieren zu können (Skalierbarkeit der Leistungen des Anbieters)

• Miete statt Kauf und Pflege / Wartung der Soft- und Hardware

• Nachteile

• Abhängig von der Art der Cloud-Lösung: kein „physischer“ Zugriff mehr möglich (Betriebs- und

Geschäftsgeheimnisse / Know-How)

• Abhängigkeit von Dienstleistern (too big to fail?)

• Datenschutz / IT-Sicherheit muss besonders beachtet werden (Zertifizierung?)

• i.d.R. kein Zugriff mehr auf die Software nach „Vertragsende“

• „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ - GoDB



11

Datenschutz in der Cloud

• Datenschutzrechtliche Aspekte der Cloud

• Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im

Rahmen von Cloud-Services sind alle datenschutzrechtlichen Bestimmungen

einzuhalten

• personenbezogene Daten sind (nur) solche, die sich auf eine bestimmte oder

bestimmbare natürliche Person beziehen

• vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG)

können durch ihre Verarbeitung in der Cloud reidentifizierbar werden, weil

verschiedene Beteiligte über Zusatzwissen verfügen, mit dem eine (Re-)

Identifizierung möglich ist (Verschlüsselung?)

• Aus technisch-organisatorischer Sicht müssen vor allem besondere

Vorkehrungen für die ordnungsgemäße Löschung und Trennung von Daten

sowie für die Sicherstellung von Transparenz, Integrität und

Revisionsfähigkeit der Datenverarbeitung getroffen werden.



12


• Datenschutzrechtliche Aspekte der Cloud

• Cloud-Nutzer bleibt verantwortliche Stelle im Sinne des BDSG• Achtung: Art. 26 DS-GVO „Gemeinsame Verantwortliche“

• Privacy by Design / Privacy by Default Art. 25 DS-GVO (iVm Art. 83 IV DS-GVO Bußgeld)

• Erlaubnis für Übermittlung der Daten erforderlich

• Einwilligung des Betroffenen oder gesetzliche Erlaubnis („Verbot mit Erlaubnisvorbehalt“)

• Alt.: Vereinbarung einer Auftragsdatenverarbeitung (ADV) gem. § 11 BDSG

• Gesetz gibt Mindestinhalt vor

• Prüfung der Einhaltung der TOM´s gem. § 9 BDSG?

• klassische Modelle der Auftraggeberkontrolle helfen wenig weiter

• evtl. funktionale Ersetzung durch Drittkontrollen in Zertifizierungsprozessen?

• Weitere Erfordernisse bei Übermittlung in Drittstaaten außerhalb der EU/EWR

• „EU-US Privacy Shield“, Standardvertragsklauseln, BCR´s, Einwilligung



13

Datenschutz in der Cloud - Datenübermittlung in Drittländer (1)

Ja

Nein Nein

Nein

Ja

Ja

JaNein

Übermittlung „als solche“ rechtmäßig?

(„erste Stufe“)

1. Übermittlung im Rahmen eines Sachverhalts

i.S.v. Art. 26 Abs. 1 / § 4c Abs. 1?

2. Übermittlung genehmigt i.S.v. Art. 26

Abs. 2 / § 4c Abs. 1?

3. Verfügt Empfängerland über „angemessenes Schutzniveau“ i.S.v.

Art. 25 Abs. 1, 2 / § 4b Abs. 2, 3?

Übermittlung rechtswidrig

Übermittlung rechtmäßig

Übermittlungen in Drittländer unter der Richtlinie 95/46/EG (Art.) und dem BDSG (§)



14


• Erläuterung vorherige Folie:

• 1. Alternative: Schutzniveau im Drittland als „angemessen“ von der EU-Kommission anerkannt?

• Fall zu behandeln wie Übermittlung in EU/EWR

• Derzeit: Andorra, Argentinien, Färöer-Inseln, Israel, Kanada, Schweiz, Isle of Man, Guernsey, Jersey, Neuseeland und Uruguay

14



15


• Erläuterung vorherige Folie (Fortsetzung):

• 2. Alternative: Vorliegen einer Genehmigung durch zuständige Aufsichtsbehörde?

• Voraussetzung: Beibringung von „ausreichenden“ Garantien durch die verantwortliche Stelle für die Persönlichkeitsrechte der Betroffenen hinsichtlich des weiteren Umgangs mit den Daten durch den Dritten im Drittland

• Vertragliche Unterwerfung des Empfängers(EU-Standardvertragsklauseln, Individualvertrag, BCR)

• Kunstgriff: Safe-Harbor Abkommen mit den USA(Selbstzertifizierung des Empfängers als „sicherer Hafen“ in den unsicheren USA) ungültig! Jetzt: EU-US Privacy Shield(wird gerichtlich angegriffen)

15



16

Exkurs: Datenübermittlung unter der DS-GVO

Ja

Nein Nein

Nein

Ja

Ja

JaNein

Übermittlung „als solche“ rechtmäßig?

(„erste Stufe“)

Übermittlung im Rahmen eines Sachverhalts

i.S.v. Art. 49 Abs. 1?

Verfügt das Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren im Drittland oder die betreffende internationale Organisation über ein

„angemessenes Schutzniveau“ i.S.v. Art. 45 Abs. 1, 2?

Übermittlung rechtswidrig

Übermittlung rechtmäßig

Übermittlungen in Drittländer gem. Art. 44 ff. DS-GVO, anwendbar ab 25.05.2018



17


• Datenschutzrechtliche Aspekte der Cloud - Sanktionen

Bei Nichteinhaltung der Datenschutzbestimmungen drohen der verantwortlichen Stelle

• haftungsrechtliche Konsequenzen, indem diese gegenüber den Betroffenen zum Schadensersatz verpflichtet ist und

• Bußgelder oder Anordnungen (§ 38 Abs. 5 BDSG).

Weiterhin entstehen bei unrechtmäßiger Kenntniserlangung von Daten gegenüber der zuständigen Aufsichtsbehörde und den Betroffenen Informationspflichten(§ 42a BDSG)

„walk of shame“



18


• Datenschutzrechtliche Aspekte der Cloud - Sanktionen

• Ab 25.05.2018 gem. Art. 83 DS-GVO deutlich höhere Bußgelder möglich

• Abs. 4: Bei Verstößen (…) werden (…) Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist

• Abs. 5: Bei Verstößen (…) werden (…) Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhäng, je nachdem, welcher der Beträge höher ist

• Art. 84 DS-GVO: (…) Sanktionen müssen (…) abschreckend sein.



19

IT-Sicherheit

Art. 32 Abs. 2 DSGVO: Belastbarkeit (Resilience) als weiteres Merkmal



20

IT-Sicherheit



21

DatenschutzGeheimnisschutz

Datensicherheit

IT-Sicherheit



22

IT-Sicherheit

• Haftung / Verantwortlichkeit der Organe (GF, Vorstände)

• § 43 GmbHG Haftung der Geschäftsführer

Abs. 1: Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.

• § 91 AktG Organisation

Abs. 2: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.

• § 93 AktG Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder

Abs.1: Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.



23

Praxistipps

Risikoanalyse vornehmen• Identifizierung von geschäftskritischen Prozessen• Schutz von Betriebsgeheimnissen

Verträge auf Vollständigkeit prüfen (insb. § 11 BDSG beachten)

• Wo sitzt der Diensteanbieter?• Kann ich meine Daten zu anderen Anbietern migrieren?

• Unterstützung vereinbaren!

• Wie werden meine Daten gesichert? • ggfs. zusätzliche Backups selbst oder durch Dritte anfertigen (lassen)

Betriebsrat vorab einbinden• ggfs. sogar erforderlich, § 87 Abs. 1 Nr. 6 BetrVG

(internen oder externen) Datenschutzbeauftragten oder zuständige Aufsichtsbehörde (LDI NRW) involvieren



24

Vielen Dank für Ihre Aufmerksamkeit

Fragen? Anmerkungen? … Diskussion!

Heiko Schöning, LL.M. Rechtsanwalt und

Fachanwalt für IT-Recht

0203 / 39 20 89 00

[email protected]

Harmoniestraße 2a, 47119 Duisburg

https://www.sds.ruhr

Diese Präsentation stellt keine Rechtsberatung dar und ist ohne Gewähr für die Richtigkeit der Angaben

„Meine Daten in der Wolke“ - networker NRW: Startseite · Datenschutz in der Cloud...

Documents

Transcript of „Meine Daten in der Wolke“ - networker NRW: Startseite · Datenschutz in der Cloud...