Rechtliche Herausforderung für den Datenschutz im Unternehmen

Kanzlei für IT-Recht

Cloud Computing

2

InhaltEditorial ....................................................................

Was ist “Cloud Computing”? ....................................

Vor- und Nachteile von Cloud Computing? ..............

Cloud Computing und Datenschutz ..........................

Die Auftragsdatenverarbeitung ...............................

Kontrollpflichten des Cloud-Anwenders ...................

Grenzüberschreitende Datenverarbeitung ...............

Cloud Anbieter in den USA ......................................

Checkliste für rechtssicheres Cloud Computing .......

Was wir für Sie tun können ......................................

3

5

6

7

12

15

17

20

25

26

3

Cloud Anwendungen gehören heute zum Alltag. Bei der täglichen Arbeit und im privaten Gebrauch sind Dropbox, iCloud & Co. nicht mehr weg zu denken. Nicht zuletzt durch seine vielfältigen Einsatzformen stellt das sogenannte Cloud Computing die IT-Landschaften auf den Kopf.

Gerade bei einem Datentransfer außerhalb des Europäischen Wirtschaftsraums (EWR) stellt sich die Frage,

Editorial

ob die behördlichen und gesetzlichen Vorgaben in der Praxis umsetzbar sind. Cloud-Anwender stehen in der rechtlichen Verantwortung und müssen vor jeder Auftrags-erteilung prüfen, ob die gesetzlichen Anforderungen eingehalten werden.

4

Darüber, was Cloud-Anwender im Unternehmen aus rechtlicher Sicht zu beachten haben, informiert das vorliegende Booklet.

Wir freuen uns über Ihr Feedback - oder auch über Themen-vorschläge für weitere Booklets. Schreiben Sie uns an die Mailadresse mainz@res-media.net.

Ihr Team von

RESMEDIA

5

Cloud Computing ist keine neue Technik. Der Begriff steht synonym für den flexibel abrechenbaren Einsatz bestehender Technikoptionen aus einer Hand. Dies können etwa Ressourcen in Form von Anwenderprogrammen, die Zurverfügungstellung von IT-Infrastruktur oder Entwicklungsplattformen sein. Die nachfolgenden Ausführungen beziehen sich dabei ausschließlich auf den Bereich des Cloud Computings, bei dem ein Anbieter Software zur Nutzung bereitstellt (Software as a Service (SaaS).

Unter “Cloud Computing” (deutsch etwa Rechnen in der Wolke) versteht man das Speichern von Daten in einem entfernten Re-chenzentrum, aber auch die Ausführung von Programmen, die nicht auf dem lokalen Arbeitsplatzcomputer oder Server instal-liert sind, sondern eben entfernt in der (metaphorischen) Wolke (englisch cloud). Quelle: Wikipedia

Was ist “Cloud Computing”?

6

Vor- und Nachteile von Cloud Computing

Besonders für Unternehmer liegen die Vorteile von Cloud Com-puting auf der Hand:

DatenaktualitätDatenverfügbarkeitverringertet Komplexität finanzielles Einsparungspotential

////

Nachteilig können sich vor allem die zum Teil komplexen, rechtlichen Aspekte bei dem Einsatz von Cloud- Lösungen auswirken:

komplizierte Fragen der Vertragsgestaltungkomplizierte urheberrechtliche FragenGesetzliche Anforderungen an den DatenschutzFragen bei grenzüberschreitender Rechtsanwendung

////

7

Cloud Computing und Datenschutz

Grundsatz: Sind “personenbezogene Daten” im Spiel, gilt Datenschutzrecht!

Für den Cloudanwender stellen sich Probleme immer dann, wenn der Diensteanbieter, also der Cloud-Anbieter, Zugang zu personenbezogenen Daten erhält. Dann sind speziell die Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu beachten.

8

Personenbezogene Daten = Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person

Ein relevanter Bezug kann dabei schon in der Speicherung einer IP-Adresse durch den Anbieter liegen, aber auch Zugangsdaten oder sonstige Daten, die in der Cloud abgespeichert werden, können einen Personenbezug herstellen. Dafür reicht es schon aus, dass den Daten eine natürliche Person direkt oder indirekt zugeordnet werden kann.

Ausnahmsweise liegt aber dann keine Nutzung von personen- bezogenen Daten vor, wenn die Bestimmbarkeit einer natürlichen Person verhindert wird. Das ist z.B. bei der Anonymisierung der Daten der Fall. Dann wäre Datenschutzrecht nicht anwendbar.

9

Folge: Die Datenverarbeitung erfordert eine gesetzliche Erlaubnis oder eine Einwilligung!

Werden personenbezogene Daten erhoben, verarbeitet oder genutzt, ist dazu entweder ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung des jeweils Betroffenen erforderlich. Der Cloud-Anwender - und nicht der Dienste-Anbieter - haftet dafür, dass eine dieser Voraussetzungen erfüllt ist, wenn Daten mit Personenbezug in der Cloud verarbeitet werden.

Ein gesetzlicher Erlaubnistatbestand greift in der Praxis meist nicht:

So regelt § 28 Abs. 1 Nr. 1 BDSG etwa, dass das Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäfts-zwecke zulässig ist, wenn dies für die Durchführung eins rechts-

10

geschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält-nisses mit dem Betroffenen erforderlich ist. Diese Erforder-lichkeit ist jedoch in den meisten Fällen nicht gegeben.

Nach § 28 Abs. 1 Nr. BDSG ist das Übermitteln personenbezo-gener Daten oder ihre Nutzung zulässig, wenn dies zur Wah-rung berechtigter Interessen der “verantwortlichen Stelle”, also hier des Cloud-Nutzers, erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betrof-fenen an dem Ausschluss der Verarbeitung oder Nutzung über-wiegt. Das Merkmal der Erforderlichkeit ist auch hier im Einzel-fall eher streng auszulegen und liegt zumeist nicht vor.

11

Cloud-Nutzer benötigen für die Nutzung der Dienste daher in den überwiegenden Fällen die Einwilligung des Betroffenen, also der Kunden, Lieferanten, Partner usw. (vgl. § 4 a BDSG).

Die Einwilligung muss freiwillig und schriftlich erteilt werden. Der Betroffene ist dabei darüber aufzuklären, dass seine Daten in der Cloud gespeichert, verarbeitet und genutzt werden sol-len. In der Praxis stellt sich dieser Part als schwer bis gar nicht umsetzbar dar.

12

Die Auftragsdatenverarbeitung (ADV)

Da der Cloud-Anbieter für den Anwender, also in dessen Auftrag und auf dessen Weisung personenbezogene Daten verarbeitet, müssen außerdem die gesetzlichen Vorgaben einer Auftrags-datenverarbeitung (§ 11 BDSG) erfüllt werden.

Schriftlicher Vertrag

Der Cloud-Anwender hat mit seinem Dienstanbieter dazu einen schriftlichen Vertrag abzuschließen. Er muss als verantwortli-che Stelle dafür sorgen, dass die Mindestanforderungen gemäß § 11 Abs. 2 BDSG erfüllt werden. Gleichzeitig muss er damit einhergehende Kontrollpflichten gegenüber dem Cloud- Anbi-eter hinsichtlich der Datenverarbeitung wahrnehmen. In einem Vertrag zur ADV sind dabei mindestens die folgenden Punkte zu regeln:

13

Gegenstand und Dauer des Auftrags,Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung der Daten, Art der Daten und Kreis der Betroffenen,die nach § 9 BDSG zu treffenden technischen und organisa-torischen Maßnahmen (“TOMs”),Berichtigung, Löschung und Sperrung von Daten,Pflichten des Auftragnehmers nach § 11 Absatz 4 BDSG, insbesondere die vorzunehmenden Kontrollen,etwaige Berechtigung zur Begründung von Unterauftrags-verhältnissen,Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers,mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Datenschutzvorschriften oder gegen vertragliche Vereinbarungen,Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer,Rückgabe überlassener Datenträger und Datenlöschung nach Beendigung des Auftrags.

//

//

//

/

/

/

/

/

Mindestinhalte im ADV:

14

Was drohen für Konsequenzen, wenn der Vertrag fehlt oder nicht vollständig ist?

Wenn ein schriftlicher ADV fehlt oder auch nur unvollständig ist, stellt das eine Ordnungswidrigkeit dar. Es drohen dann Bußgelder bis 50.000 € bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils (§ 43 Absatz 1 Nr. 2 BDSG).

15

Der Cloud-Anwender hat neben dem Abschluss eines schrift-lichen Vertrages mit dem Cloud-Anbieter dafür zu sorgen, dass dieser die vertraglichen Vorgaben auch umsetzt. In diesem Zusammenhang hat er zu gewährleisten, dass die technischen organisatorischen Maßnahmen des Anbieters zur Datenverarbei-tung zumindest die folgenden Vorgaben erfüllen:

Kontrollpflichten des Cloud-Anwenders

Der Cloud-Anwender hat sich von der Einhaltung der Vorgaben regelmäßig vor Ort zu überzeugen. Ist eine Kontrolle vor Ort beim Cloud- Anbieter nicht möglich, muss der Anwender

Datenverfügbarkeit DatenvertraulichkeitDatenintegritätRevisionssicherheitTransparenz

/////

16

zumindest darauf achten, dass der Cloud-Anbieter sich bestimmten Zertifizierungs- und Gütesiegelverfahren zu Fragen des Datenschutzes unterworfen hat. Hierbei darf er sich nicht allein auf die Angaben des Cloud-Anbieters verlassen, sondern muss die entsprechenden Zertifikate auch überprüfen.

Auch hier gilt: Wer seine Kontrollpflichte verletzt oder nicht wahrnimmt, kann mit Bußgeldern bis 50.000 € bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils belegt werden (§ 43 Absatz 1 Nr. 2 b in Verbindung mit § 43 Abs. 3 BDSG).

17

Grenzüberschreitende Datenverarbeitung

Die grenzüberschreitende Datenverarbeitung ist bei Cloud Com-puting eher die Regel, als die Ausnahme. Auch hier bleibt der Cloud-Anwender “verantwortliche Stelle” im Sinne des BDSG und hat für die Einhaltung des Datenschutzrechts zu sorgen.

In jedem Fall muss sich der Cloud- Anwender über sämtliche möglichen Verbreitungsorte informieren, d.h. er muss wissen, “wo die Server stehen” und im ADV ggf. eine Vereinbarung über den Ort der technischen Datenverarbeitung treffen.

Findet die Datenverarbeitung innerhalb des Europäischen Wirtschaftsraums (EWR) statt, muss der Anwender über den ADV dafür sorgen, dass die technische Verarbeitung tatsächlich physisch auf dem Gebiet des EWR stattfindet.

18

Außerhalb des EWR gelten für den Datentransfer strenge An-forderungen. Der Cloud-Anwender muss dafür sorgen, dass ein angemessenes Datenschutzniveau im Drittland, wo die Daten-verarbeitung stattfindet, sichergestellt ist. Für manche Länder wird seitens der Europäischen Union ein angemessenes Datens-chutzniveau anerkannt. Zu diesen Ländern gehören derzeit An-dorra, Argentinien, die Farör Inseln, Guersey, Israel, Isle of Man, Jersey, Kanda, Neuseeland und die Schweiz. Die USA gehören ausdrücklich nicht dazu.

Liste der seitens der Europäischen Union

http://ec.europa.eu/justice/data-protection/document/

anerkannten Drittländer

international-transfers/adequacy/index_en.htm

19

Besteht kein anerkanntes Datenschutzniveau im Drittstaat, ist der Cloud-Anwender als verantwortliche Stelle verpflichtet, sich ausreichende Garantien, beispielsweise aus Standardver-tragsklauseln (gemäß Kommissionsbeschluss 2010/87/EU für Auftragsverarbeitung vom 05.05.2010), zum Schutz des allge-meinen Persönlichkeitsrechts und der Ausübung damit verbundener Rechte einräumen zu lassen.

20

Die Nutzung von Cloud-Diensten in den USA ist nicht unzulässig, aber datenschutzrechtlich schwierig. Die Anforderungen sind unklar:

Cloud-Anbieter mit Sitz in den USA können sich auf freiwilliger Basis gegenüber dem US-Handelsministerium selbst unter die sog. Safeharbour-Principles zertifizieren. Dazu ist eine Bei-trittserklärung zu unterzeichnen und eine datenschutzerklärung zu veröffentlichen.

Die hiesigen Aufsichtsbehörden verlangen jedoch zusätz-lich, dass deutsche Unternehmen sich verpflichten, bevor sie personenbezogene Daten an einen auf der Safe – Harbor -Liste geführten US-Cloud-Anbieter übermitteln, sich von der Gültigkeit des Zertifikats des Anbieters zu überzeugen. Das Zertifikat muss sich dabei auf die betroffenen Daten beziehen. Außerdem ist ein schriftlicher ADV nach § 11 BDSG zu schließen und der Cloud-

Cloud Anbieter in den USA

21

Anwender muss seinen entsprechenden Kontrollpflichten nachkommen.

Die Artikel-29-Datenschutzgruppe, das Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, geht ebenfalls davon aus, dass es nicht ausreicht, sich auf die Safe Habour Principles und deren Einhaltung zu verlassen. Vielmehr müsse der Cloud-Anwender zusätzliche Garantien einsetzen, um die Datensicherheit zu gewährleisten. Dies umfasse den Einsatz von Prüfungs-, Standardisierungs- und Zertifizierungssystemen.

Model Contracts for the transfer of personal

http://ec.europa.eu/justice/data-protection/document/

data to third countries

international-transfers/transfer/index_en.htm

22

Die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie die Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises halten es bei einem Datentransfer in die USA datensicherheitsrechtlichen für erforderlich, dass

/

/

/

der Cloud-Anbieter dem Cloud- Anwender zu Prüfzweck-en einen Zugriff auf die Protokolldaten ermöglicht; dem Cloud-Anwender eine auswertbare Protokollierung zur Verfügung gestellt wird;

die Aufbewahrungszeit der Protokolldaten durch den Cloud- Anwender konfigurierbar ist

Orientierungshilfe Cloud Computing Version 2.0der AK Technik und Medien und der AG InternationalerDatenverkehr des Düsseldorfer Kreises Stand 09.10.2014https://www.datenschutz.hessen.de/download.php?download_ID=318

23

Inwiefern sich Cloud-Anwender, die nach deutschem Recht die “verantwortliche Stelle” sind, auf das zuvor genannte Procedere verlassen können, erscheint angesichts der aktuellen, beste-henden Praxis US-Amerikanischer Geheimdienste fraglich. Geheimdienste wie das Federal Bureau of Investigation (FBI), die National Security Agency (NSA) oder die Central Intelligence Agency (CIA) sind nach US-amerikanischem Recht ermächtigt, auf personenbezogene Daten aller Cloud-Anbieter zuzugreifen. Dies bezieht sich ebenfalls auf eine Daten- verarbeitung in Europa, wenn ein Cloud-Anbieter zumindest auch in den USAgeschäftlich tätig ist. Es ist daher unklar, ob ein Datentransfer in die die USA überhaupt den Anforder-ungen der europäischen Aufsichts-behörden entsprechen kann.

24

Insgesamt ist nicht davon auszugehen, dass US-Amerikanische Cloud-Anbieter kooperieren und die für den Anwender von Gesetzes wegen geforderten Kontrollen und Sicherheitsmaß-nahmen ermöglichen.

Im Zweifel muss der Anwender von einer solchen Beauftragung Abstand nehmen, will er nicht das bußgeldbewährte Risiko ge-genüber den eigenen Aufsichtsbehörden tragen.

25

Checkliste für rechtssicheres Cloud-Computing

Abschluss eines schriftlicher Auftragsdatenver-arbeitungsvertrag nach § 11 BDSG mit dem Cloud-Anbieter

Bei ausländischen Cloud-Anbietern: Welche Rechts-ordnung gilt und welcher Gerichtsstand ist vereinbart?

Hat der Cloud-Anbieter seine Serverstandorte inner-halb des EWR?

Anforderung und Überprüfung der Zertifikate des Cloud-Anbieters

Will der Cloud-Anbieter Subunternehmer einsetzen?

26

Was wir für Sie tun können/ Beratung im Datenschutz

/ Erstellung von

- SEO-/SEA-Verträgen

- IT-Projektverträgen

- LOIs (Letter of intent)

- NDAs, Geheimhaltungsvereinbarungen

- Softwarelizenz- und Softwareerstellungsverträgen

/ Begleitende Beratung bei der Konzeption Ihrer E-Commerce-Plattform, Shopprüfungen, AGB-Erstellung, Beratung bei Abmahnungen

/ Beratung im Markenrecht

- Markenanmeldungen, Markenrecherchen

- Durchsetzung Ihrer Markenrechte gegenüber Dritten

27

Unsere Kanzlei verfügt über fünf spezialisierte Rechtsanwälte,darunter drei Fachanwälte für IT-Recht und eine Fachanwältinfür gewerblichen Rechtsschutz.

Wir beraten Sie persönlich zu allen Fragen des E-CommerceRechts, des IT-Rechts und des gewerblichen Rechtsschutzes.

RESMEDIA Wir beraten Unternehmen im IT-Recht.

Bildnachweise: Titel: © Anna - Fotolia.comSeite 3: © Vladislav Kochelaevs - Fotolia.comSeite 7: © Thorsten Schuh - Fotolia.comSeite 9: © reeel - Fotolia.comSeiite 11: © Denys Rudyi - FotoliaSeite 14: © Ingo Bartussek - Fotolia.comSeite 23: © Alex White - Fotolia.comSeite 25: © Soulsisz - Fotolia.comSeite 29: © vector_master - Fotolia.com

28

http://www.res-media.net/appBooklets bequem auf Ihrem Handy oder Tablet!Entdecken Sie unsere Infothek-App und lesen Sie unsere

RESMEDIA Infothek-App

29

http://www.youtube.com/resmediamainz

Abonnieren Sie uns auf You Tube!Aktuelle Videos zu Themen des IT-Rechts unter

RESMEDIA You Tube - Channel

Kanzlei RESMEDIA Mainz

RESMEDIA - Kanzlei für IT-Recht, E-Commerce und gewerblichen RechtsschutzAm Winterhafen 7855131 Mainz

Telefon: 06131.144 560 Telefax: 06131.144 56 20

E-Mail: mainz@res-media.net Web: www.res-media.net