Datenschutz in der Cloud

So geht's richtig!

Dr. Marc StöringSecTXL'11, Hamburg11. August 2011

Bedeutung der Auftragsdatenverarbeitung

osborneclarke.de

Übermittlung an DritteFunktionsübertragung

Erhebung AnbieterDatensubjekt

Übermitt-lung

DatenverarbeiterVerarbei-

tung

osborneclarke.de

Übermittlung an DritteRechtfertigung?

• Einwilligung des Kunden

• Gesetzliche Rechtfertigung

– zur Vertragserfüllung

– Interessenabwägung

– Listenprivileg …

– …

liegen häufig nicht vor oder sind unzweckmäßig

osborneclarke.de

DatenschutzAuftragsdatenverarbeitung und § 9 BDSG

§ 3 Abs. 8 S. 3 BDSG

"Dritte sind nicht … Stellen, die … personenbezogene Daten im Auftrag

erheben, verarbeiten oder nutzen"

osborneclarke.de

Übermittlung an DritteAuftragsdatenverarbeitung

Weisungsfreiheit des Dienstleisters

Eigenverantwortlichkeit des Dienstleisters

Handeln des Dienstleisters im eigenen Namen gegenüber dem Betroffenen

Weisungsgebundenheit des Auftragnehmers

Fehlende Entscheidungsbe-fugnis des Auftragnehmers

Auftragnehmer tritt (gegenüber dem Betroffenen) nicht in eigenem Namen auf

FunktionsübertragungAuftragsdatenverarbeitung

osborneclarke.de

AnbieterErhebungDatensubjekt

Auftragnehmer

Auftrags-datenver-arbeitung

Übermittlung an DritteAuftragsdatenverarbeitung

Verarbei-tung

Die rechtlichen Herausforderungen

osborneclarke.de

Internationaler AspektBeschränkung auf EU/EWR

§ 3 Abs. 8 S. 3 BDSG

"Dritte sind nicht … Stellen, die …"

• im Inland,

• in der EU oder

• im EWR (EU zusammen mit Island, Liechtenstein, Norwegen)

"personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen"

osborneclarke.de

KontrollpflichtenAuftragsdatenverarbeitung und § 9 BDSG

§ 9 S. 1 BDSG

"Stellen, die .. im Auftrag personenbezogene Daten erheben, verarbeiten oder

nutzen, haben … insbesondere die in der Anlage … genannten Anforderungen

zu gewährleisten"

§ 11 Abs. 2 BDSG

"Der Auftraggeber hat sich … regelmäßig von der Einhaltung der beim

Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu

überzeugen"

osborneclarke.de

KontrollpflichtenTechnische und organisatorische Maßnahmen

Aus der Anlage zu § 9 S.1 BDSG

• "Zutrittskontrolle"

• "Zugangskontrolle"

• "Zugriffskontrolle"

• "Weitergabekontrolle"

• "Eingabekontrolle"

• "Auftragskontrolle"

• "Verfügbarkeitskontrolle"

• Gebot der Trennung nach Zweck

osborneclarke.de

Die rechtlichen Herausforderungen Fazit für das Cloud Computing

• Faktische Beschränkung auf Anbieter aus EU, EWR

• Zumindest im Falle des Public Cloud Computings Kontrollpflichten kaum wahrzunehmen

• In der (Virtual) Private Cloud jedoch lösbar (solange der Anbieter wirklich nur Datenverarbeiter bleibt)

So geht's richtig – technische Lösung

osborneclarke.de

Klassisches RZ

• Die WAN-Verbindung ist verschlüsselt

• Im RZ liegen die Daten im Klartext – Das RZ ist auditierbar geschützt

Technische Lösung Sicherheit im klassischen RZ

osborneclarke.de

Could Computing

• Keine physischen Barrieren – Sicherheit durch Verschlüsselung

Technische Lösung Sicherheit in der Cloud

osborneclarke.de

Dank Verschlüsselung erfolgt eine technisch beschlagnahmesichereSpeicherung der Daten

• Niemand ist technisch in der Lage, die Vertraulichkeit global aufzuheben

• Einziger Sicherheitsanker: Das Geheimnis des Teilnehmers

Technische Lösung Resultat der Verschlüsselung

osborneclarke.de

• Anonymisierte Daten sind für den die Daten erhaltenden Anbieter keine personenbezogenen Daten i. S. v. § 3 Abs. 1 BDSG, Vorschriften des BDSG sind nicht anwendbar.

• Einzelheiten zwar umstritten, Konzept trägt aber in der Praxis

• Verschlüsselung erleichtert in jedem Fall die Interessensabwägung nach § 28 BDSG und vor allem die Auftragsdatenverarbeitung (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle)!

Technische Lösung Bedeutung der Verschlüsselung

So geht's richtig – rechtliche Lösungen

osborneclarke.de

Cloud Computing ist ohne Auftragsdatenverarbeitung verwendbar bei Daten ohne Personenbezug und ohne Personenbeziehbarkeit

Prüfen Sie dennoch, welche Daten Sie wie in die Cloud geben. Auch nicht dem Bundesdatenschutzgesetz unterfallene Daten können etwa als Geschäftsgeheimnis kritisch sein

Verschlüsselung trägt als Lösung für beide Aspekte

Erforderlichkeit der ADV vermeidenFehlende Personenbeziehbarkeit

osborneclarke.de

EU-Standardvertragsklauseln

• Übermittlung an Dritten liegt vor

• Lücken mit Wertungen von § 11 BDSG ausfüllen

• Rechtfertigung der Übermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG

• § 28 Abs. 6 BDSG als Grenze

– Nicht in die Cloud dürfen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (§ 3 Abs. 9 BDSG)

Erforderlichkeit der ADV vermeidenEU-Standardvertragsklauseln als Alternative

osborneclarke.de

In der Praxis teilweise als Erlaubnistatbestand missverstanden

• Übermittlung an sichere Drittstaaten; oder

• Safe-Harbor

Diese Mechanismen erfüllen lediglich die zusätzlichen Anforderungen nach § 4b BDSG, rechtfertigen aber nicht die eigentliche Übermittlung

Erforderlichkeit der ADV vermeidenVermeintliche Alternativen

osborneclarke.de

Anbieter in EU/EWR auswählen

• Entscheidend ist der Serverstandort

• Komplexe Kettenvertragsverhältnisse mit Anbietern aus verschiedenen Ländern sind möglich

So geht's richtigTerritoriale Beschränkung

osborneclarke.de

• Suchen Sie den Anbieter sorgfältig aus

• Verschlüsseln Sie Daten nach Möglichkeit

• Sorgen Sie für eine Auditierbarkeit – idealerweise der Daten, sonst der Technologien und Prozesse

• Achten Sie auf Transparenz! Können Sie die Aussagen der Anbieter prüfen?

So geht's richtigBest Practices

osborneclarke.de

Ansprechpartner

Dr. Marc StöringRechtsanwaltT +49 (0) 221 5108 4206F +49 (0) 221 5108 4267

marc.stoering@osborneclarke.de