„Meine Daten in der Wolke“ - networker NRW: Startseite · Datenschutz in der Cloud...
Transcript of „Meine Daten in der Wolke“ - networker NRW: Startseite · Datenschutz in der Cloud...
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
1
„Meine Daten in der Wolke“
rechtliche Aspekte der Cloud-Nutzung
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
2
Ihr Referent• Heiko Schöning, LL.M. (Informationsrecht)
Rechtsanwalt Fachanwalt für Informationstechnologierecht (IT-Recht)
• Wesentliche Schwerpunkte in der Beratungspraxis
Vertragsrecht im Kontext der IT-, Kommunikations- und
Medienbranche
Datenschutzrecht
Vergaberecht im Kontext der IT-Branche (EVB-IT)
Gesellschafts-, Vertriebs- und Insolvenzrecht, insbesondere
mit Bezug zu IT-Themen
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
3
Agenda
• Einführung
• Cloud-Services
• Datenschutzrechtliche Aspekte
• Praxistipps
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
4
Einführung
• Was ist Cloud-Computing?
Möglichkeit des Zugriffs auf
• Server• Speicher• Datenbanken• Anwendungsservices („Software“)
i.d.R. über das Internet mit einem internetfähigen Endgerät (PC, Tablet, Mobiltelefon usw.) von überall auf der Welt
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
5
Einführung
• Private Cloud vs. Public Cloud
• Private Cloud• Server steht im Unternehmen (hoffentlich im Serverraum)
• Hard- und Softwareressourcen sind begrenzt
• Public Cloud• „Server“ wird im Rechenzentrum des Cloud-Computing Anbieters oder eines Dritten
betrieben (z.B. Amazon Web Service, Microsoft Azure, Google Cloud Platform oder anderen Anbietern)
• Leistungen sind skalierbar
• Abrechnung nach Inanspruchnahme der Leistungen möglich („pay-per-use“)
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
6
Einführung
• Arten von Cloud-ComputingUnterscheidung anhand der Cloud-Computing-Architektur
• Infrastructure-as-a-Service (IaaS)
• Platform-as-a-Service (PaaS)
• Software-as-a-Service (SaaS)
• Anything-as-a-Service (XaaS)
Bildquelle: „Technik der Cloud“ - Prof. Dr. Hannes Federrath, in: ZUM 2014, 1 ff.
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
7
Einführung• Arten von Cloud-Computing
• Infrastructure-as-a-Service (IaaS)
• Lediglich die Bereitstellung der Hardware für bestimmte Anwendungen
• Zugriff auf virtualisierte Komponenten zur
Datenverarbeitung
Datentransport
Datenspeicherung
• man kann beliebige Betriebssysteme und Anwendungen installieren
Fazit: man mietet sich IT-Infrastruktur und deren Wartung („Admin“)
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
8
Einführung• Arten von Cloud-Computing
• Platform-as-a-Service (PaaS)
• Bereitstellung von Hardware und bestimmte Anwendungen / Umgebungen
• ermöglicht Entwicklern mittels Schnittstellen (API´s), eigene Programme zu entwickeln und auszuführen
• keine Möglichkeit auf die zur Verfügung gestellte Infrastruktur administrativ oder kontrollierend einzuwirken
Fazit: man mietet sich eine Entwicklungsumgebung („Softwareentwickler“)
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
9
Einführung• Arten von Cloud-Computing
• Software-as-a-Service / Storage-as-a-Service (SaaS)
• baut logisch auf den vorgehenden Schichten auf
• Miete einer Software, die der Kunde nicht mehr selbst betreibt
• erforderliche Hard- und Software wird von Anbieter (betriebs-)bereit gehalten
• idR nur ein internetfähiges Gerät sowie ein Internetbrowser erforderlich
Fazit: Miete von Software inkl. Rechenleistung und/oder Speicherplatz („Anwender“)
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
10
Einführung• Vor- und Nachteile von Cloud-Computing
• Vorteile• keine hohen Investitionen in IT-Infrastruktur und Personal
• Flexibilität, um auf neue Geschäftsprozesse und Möglichkeiten reagieren zu können (Skalierbarkeit der Leistungen des Anbieters)
• Miete statt Kauf und Pflege / Wartung der Soft- und Hardware
• Nachteile
• Abhängig von der Art der Cloud-Lösung: kein „physischer“ Zugriff mehr möglich (Betriebs- und
Geschäftsgeheimnisse / Know-How)
• Abhängigkeit von Dienstleistern (too big to fail?)
• Datenschutz / IT-Sicherheit muss besonders beachtet werden (Zertifizierung?)
• i.d.R. kein Zugriff mehr auf die Software nach „Vertragsende“
• „Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff“ - GoDB
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
11
Datenschutz in der Cloud
• Datenschutzrechtliche Aspekte der Cloud
• Bei der Erhebung, Verarbeitung und Nutzung personenbezogener Daten im
Rahmen von Cloud-Services sind alle datenschutzrechtlichen Bestimmungen
einzuhalten
• personenbezogene Daten sind (nur) solche, die sich auf eine bestimmte oder
bestimmbare natürliche Person beziehen
• vermeintlich als anonymisiert angesehene Daten (vgl. § 3 Abs. 6 BDSG)
können durch ihre Verarbeitung in der Cloud reidentifizierbar werden, weil
verschiedene Beteiligte über Zusatzwissen verfügen, mit dem eine (Re-)
Identifizierung möglich ist (Verschlüsselung?)
• Aus technisch-organisatorischer Sicht müssen vor allem besondere
Vorkehrungen für die ordnungsgemäße Löschung und Trennung von Daten
sowie für die Sicherstellung von Transparenz, Integrität und
Revisionsfähigkeit der Datenverarbeitung getroffen werden.
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
12
Datenschutz in der Cloud
• Datenschutzrechtliche Aspekte der Cloud
• Cloud-Nutzer bleibt verantwortliche Stelle im Sinne des BDSG• Achtung: Art. 26 DS-GVO „Gemeinsame Verantwortliche“
• Privacy by Design / Privacy by Default Art. 25 DS-GVO (iVm Art. 83 IV DS-GVO Bußgeld)
• Erlaubnis für Übermittlung der Daten erforderlich
• Einwilligung des Betroffenen oder gesetzliche Erlaubnis („Verbot mit Erlaubnisvorbehalt“)
• Alt.: Vereinbarung einer Auftragsdatenverarbeitung (ADV) gem. § 11 BDSG
• Gesetz gibt Mindestinhalt vor
• Prüfung der Einhaltung der TOM´s gem. § 9 BDSG?
• klassische Modelle der Auftraggeberkontrolle helfen wenig weiter
• evtl. funktionale Ersetzung durch Drittkontrollen in Zertifizierungsprozessen?
• Weitere Erfordernisse bei Übermittlung in Drittstaaten außerhalb der EU/EWR
• „EU-US Privacy Shield“, Standardvertragsklauseln, BCR´s, Einwilligung
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
13
Datenschutz in der Cloud - Datenübermittlung in Drittländer (1)
Ja
Nein Nein
Nein
Ja
Ja
JaNein
Übermittlung „als solche“ rechtmäßig?
(„erste Stufe“)
1. Übermittlung im Rahmen eines Sachverhalts
i.S.v. Art. 26 Abs. 1 / § 4c Abs. 1?
2. Übermittlung genehmigt i.S.v. Art. 26
Abs. 2 / § 4c Abs. 1?
3. Verfügt Empfängerland über „angemessenes Schutzniveau“ i.S.v.
Art. 25 Abs. 1, 2 / § 4b Abs. 2, 3?
Übermittlung rechtswidrig
Übermittlung rechtmäßig
Übermittlungen in Drittländer unter der Richtlinie 95/46/EG (Art.) und dem BDSG (§)
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
14
Datenschutz in der Cloud - Datenübermittlung in Drittländer (2)
• Erläuterung vorherige Folie:
• 1. Alternative: Schutzniveau im Drittland als „angemessen“ von der EU-Kommission anerkannt?
• Fall zu behandeln wie Übermittlung in EU/EWR
• Derzeit: Andorra, Argentinien, Färöer-Inseln, Israel, Kanada, Schweiz, Isle of Man, Guernsey, Jersey, Neuseeland und Uruguay
14
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
15
Datenschutz in der Cloud - Datenübermittlung in Drittländer (3)
• Erläuterung vorherige Folie (Fortsetzung):
• 2. Alternative: Vorliegen einer Genehmigung durch zuständige Aufsichtsbehörde?
• Voraussetzung: Beibringung von „ausreichenden“ Garantien durch die verantwortliche Stelle für die Persönlichkeitsrechte der Betroffenen hinsichtlich des weiteren Umgangs mit den Daten durch den Dritten im Drittland
• Vertragliche Unterwerfung des Empfängers(EU-Standardvertragsklauseln, Individualvertrag, BCR)
• Kunstgriff: Safe-Harbor Abkommen mit den USA(Selbstzertifizierung des Empfängers als „sicherer Hafen“ in den unsicheren USA) ungültig! Jetzt: EU-US Privacy Shield(wird gerichtlich angegriffen)
15
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
16
Exkurs: Datenübermittlung unter der DS-GVO
Ja
Nein Nein
Nein
Ja
Ja
JaNein
Übermittlung „als solche“ rechtmäßig?
(„erste Stufe“)
Übermittlung im Rahmen eines Sachverhalts
i.S.v. Art. 49 Abs. 1?
Verfügt das Drittland, ein Gebiet oder ein oder mehrere spezifische Sektoren im Drittland oder die betreffende internationale Organisation über ein
„angemessenes Schutzniveau“ i.S.v. Art. 45 Abs. 1, 2?
Übermittlung rechtswidrig
Übermittlung rechtmäßig
Übermittlungen in Drittländer gem. Art. 44 ff. DS-GVO, anwendbar ab 25.05.2018
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
17
Datenschutz in der Cloud
• Datenschutzrechtliche Aspekte der Cloud - Sanktionen
Bei Nichteinhaltung der Datenschutzbestimmungen drohen der verantwortlichen Stelle
• haftungsrechtliche Konsequenzen, indem diese gegenüber den Betroffenen zum Schadensersatz verpflichtet ist und
• Bußgelder oder Anordnungen (§ 38 Abs. 5 BDSG).
Weiterhin entstehen bei unrechtmäßiger Kenntniserlangung von Daten gegenüber der zuständigen Aufsichtsbehörde und den Betroffenen Informationspflichten(§ 42a BDSG)
„walk of shame“
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
18
Datenschutz in der Cloud
• Datenschutzrechtliche Aspekte der Cloud - Sanktionen
• Ab 25.05.2018 gem. Art. 83 DS-GVO deutlich höhere Bußgelder möglich
• Abs. 4: Bei Verstößen (…) werden (…) Geldbußen von bis zu 10.000.000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist
• Abs. 5: Bei Verstößen (…) werden (…) Geldbußen von bis zu 20.000.000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhäng, je nachdem, welcher der Beträge höher ist
• Art. 84 DS-GVO: (…) Sanktionen müssen (…) abschreckend sein.
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
19
IT-Sicherheit
Art. 32 Abs. 2 DSGVO: Belastbarkeit (Resilience) als weiteres Merkmal
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
20
IT-Sicherheit
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
21
DatenschutzGeheimnisschutz
Datensicherheit
IT-Sicherheit
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
22
IT-Sicherheit
• Haftung / Verantwortlichkeit der Organe (GF, Vorstände)
• § 43 GmbHG Haftung der Geschäftsführer
Abs. 1: Die Geschäftsführer haben in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden.
• § 91 AktG Organisation
Abs. 2: Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.
• § 93 AktG Sorgfaltspflicht und Verantwortlichkeit der Vorstandsmitglieder
Abs.1: Die Vorstandsmitglieder haben bei ihrer Geschäftsführung die Sorgfalt eines ordentlichen und gewissenhaften Geschäftsleiters anzuwenden.
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
23
Praxistipps
Risikoanalyse vornehmen• Identifizierung von geschäftskritischen Prozessen• Schutz von Betriebsgeheimnissen
Verträge auf Vollständigkeit prüfen (insb. § 11 BDSG beachten)
• Wo sitzt der Diensteanbieter?• Kann ich meine Daten zu anderen Anbietern migrieren?
• Unterstützung vereinbaren!
• Wie werden meine Daten gesichert? • ggfs. zusätzliche Backups selbst oder durch Dritte anfertigen (lassen)
Betriebsrat vorab einbinden• ggfs. sogar erforderlich, § 87 Abs. 1 Nr. 6 BetrVG
(internen oder externen) Datenschutzbeauftragten oder zuständige Aufsichtsbehörde (LDI NRW) involvieren
Heiko Schöning, LL.M.Rechtsanwalt, Fachanwalt für IT-Recht
rechtliche Aspekte der Cloud-NutzungIHK Niederrhein 30.11.2016
24
Vielen Dank für Ihre Aufmerksamkeit
Fragen? Anmerkungen? … Diskussion!
Heiko Schöning, LL.M. Rechtsanwalt und
Fachanwalt für IT-Recht
0203 / 39 20 89 00
Harmoniestraße 2a, 47119 Duisburg
https://www.sds.ruhr
Diese Präsentation stellt keine Rechtsberatung dar und ist ohne Gewähr für die Richtigkeit der Angaben