03:30Mittwoch, 03. Mai 2023

Trust in Microsoft CloudIhre Rechte und Pflichten beim Cloud Computing

Dr. Winklbauer, LL.M. Partner Rechtsanwaltaringer herbst winklbauer rechtsanwälte

Harald Leitenmüller, CTO, Microsoft Österreich

A Cloud You Can Trust

Security Privacy & Control

Transparency Compliance

Compliance

Globale Compliance• Unterstützung von globalen compliance standards wie

ISO 27001, ISO 27018, Safe Harbor, EUMC, HIPAA, FISMA

• Vertraglichen Zusicherung von Privacy, Security und sorgfältige Verarbeitung von Kundendaten durch Data Processing Agreements

Customer Controls:Admin Kontrollfunktionen wie Data Loss Prevention, Archiving, RMS, E-Discover

Interne Compliance- Interne Regeln & Architektur

Externe Compliance- Gesetze, Verordungen, Regulierung

Customer Controls:Admin Kontrollfunktionen wie RBAC, Archiving, RMS, E-Discover, Encryption

Micr

osof

tAu

ftrag

gebe

r

Aktuelle Zertifizierungen…GFS WW

ServicesCJIS Yes

(GCC) No No No N/A N/A No

EU Model Clauses Yes Yes Yes Yes Yes Yes No

EU Safe Harbor Yes Yes Yes Yes Yes Yes Yes

FedRAMP (Moderate) Yes No Yes No Yes No No

FERPA Yes N/A Yes N/A N/AN/A – Agreement signed by services

Yes

HIPPA/BAA Yes Yes Yes Yes Yes Yes No

UK G-Cloud Yes Yes Yes No N/A No No

IPv6 Yes No No No N/A N/A No

ISO 27001:2013+27018:2014 Yes Yes Yes Yes Yes Yes Yes

(27001:2013)

PCI DSS N/A N/A Yes N/A Yes N/A N/A

Section 508 Yes Yes Yes Yes N/A N/A Yes

SOC 1 Type 2 (SSAE 16 / ISAE 3402) Yes Yes Yes No, Type 1 only Yes No No

SOC 2 Type 2 (AT Section 101) Yes No Yes No, Type 1 only Yes No No

Your data is safe Your data is yours You are in control

Encryption of all data at rest

Encryption of all data in transit

Enhanced event and admin / service access logging

Advanced security monitoring and threat management

Clear guidelines on data location

Greater transparency and simplicity of data use policies and choices

Data accessed only to improve customer experience

Law enforcement requests redirected to the customer

Notification of customers of lawful requests for information; challenging of gag orders

Ability of customers to hold encryption key and revoke Microsoft copy

Complete deletion of data on customer request and on contract termination

Customer choice of data location

Customer option to limit Microsoft access to data

Microsoft Trusted Cloud

6

Online Services Terms = Lizenz VereinfachungUND bessere Bedingungen für alle Cloud Kunden

Online Services Use Rights (OLSUR)

OLS AmendmentsB115/B116 O365, CRM, Intune DPA

M137 Azure DPA

M100 Model Clauses

M181 Third Party Requests

M168 Customer Data

Location

B126 O365 Core Features

General Terms Privacy & Security Service Specific

VORHER

JETZT

Ressourcen Trust Centers O365 Trust CenterAzure Trust CenterDynamics CRM Trust CenterMicrosoft Intune Trust Center

Microsoft on the Issues Microsoft On the IssuesChallenging governments on behalf of our customersSuccess in challenging an NSA Letter – protecting customers’ rightsResponding to government demands for customer dataCyberTrust Blog

US/Ireland E-Mail Search Warrant Case www.DigitalConstitution.comLaw Enforcement Requests and U.S. National Security Orders reports

Law Enforcement Requests Report

US National Security Orders ReportsMicrosoft Online Services Terms

Online Services TermsMicrosoft Enterprise Cloud http://www.Microsoft.com/cloud

Microsoft Executive Forum 30.09.2015

Patriot Act, Datenschutz und Compliance - alles neu?Dr. Stephan Winklbauer, LL.M.Partner, Rechtsanwalt

Agenda

Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe

Nutzung von Cloud Services - was passiert rechtlich?

Wer haftet für die Daten?

9

Zulässigkeit von Cloud Computing / USA Patriot Act, etc.

Agenda

Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe

Nutzung von Cloud Services - was passiert rechtlich?

Wer haftet für die Daten?

10

Zulässigkeit von Cloud Computing / USA Patriot Act, etc.

- Jedermann hat Anspruch auf Geheimhaltung seiner Daten!- Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens

- Geheimhaltung gegenüber Staat und Privaten

- Schutz vor Ermittlung und Weitergabe

- Voraussetzung: - Personenbezogene Daten- Schutzwürdiges Interesse

Rechtsgrundlage Datenschutzgesetz 2000

Daten öffentlich / anonym?

11

Bild: www.lebensraum-bonn.com/datenschutz.html

Wichtigste Begriffe des Datenschutzgesetzes

12

Definitionen in § 4 DSG 2000

Personenbezogene Daten: DSG voll anwendbar- Identität bestimmt (Name) oder - Identität bestimmbar

Anonymisierte Daten: DSG nicht anwendbar- Herstellung eines Personenbezugs verlässlich ausgeschlossen?- Praxistipp: Aggregierte Datensätze (Gruppe von mind. 5 Betroffenen1)

Indirekt personenbezogene (= pseudonymisierte) Daten:- Identifikationsmerkmal durch Pseudonym/Code ersetzt- für jeweiligen User Personenbezug verhindert

1 Empfehlung DSK, 22.5.2013, K213.180/0021-DSK/2013

Beispiele Personenbezug:• E-Mail Adresse• IP-Adresse• Kundennummer, etc...

!

Wichtigste Begriffe des Datenschutzgesetzes

13

Definitionen in § 4 DSG 2000

Auftraggeber: Trifft Entscheidung, Daten zu verwenden... verwendet selbst oder setzt dafür Dienstleister ein

Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags

Auskunfts-, Richtigstellungs- und Löschungsverpflichtungentreffen immer den Auftraggeber! !

Rechtsgrundlage Datenschutzgesetz 2000

14

§ 6 – § 8 DSG

Ausnahme von diesem Verbot?- Zweck und Inhalt von

- gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und

- schutzwürdige Geheimhaltungsinteressen gewahrt

Verarbeitungvon Daten istgrundsätzlichverboten!

Agenda

Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe

Nutzung von Cloud Services - was passiert rechtlich?

Wer haftet für die Daten?

15

Zulässigkeit von Cloud Computing / USA Patriot Act, etc.

Nutzung von Cloud Services

16

Definitionen in § 4 DSG 2000

Auftraggeber: Trifft Entscheidung, Daten zu verwenden... verwendet selbst oder setzt dafür Dienstleister ein

Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags

Auftrag-geber Betroffener

Dienstleister

Dienstleister-vertrag

Rechtschutzbehelfe

Welcher „Akteur” ist Cloud-Provider?

17

- Entscheidung über Datenverwendung

- Datenschutzrechtliche Verantwortung - Verwendet überlassene

Daten...- zur Durchführung des

Auftrags

Welcher „Akteur” ist Cloud-Provider?

18

Auftrag-geber Betroffener

Dienstleister

Dienstleister-vertrag

Rechtschutzbehelfe

- Entscheidung über Datenverwendung

- Datenschutzrechtliche Verantwortung - Verwendet überlassene

Daten...- zur Durchführung des

Auftrags

Nutzung Office 365 – Was passiert rechtlich?

19

Datentransfer

- Cloud-Benützer von MS Office 365 (Bank, Unternehmen, Arzt, etc.) ist Auftraggeber im Sinne des Datenschutzgesetzes

- Kunde des Cloud-Benützers ist Betroffener

- Überlassung von Daten an Dienstleister (= Microsoft = Cloud-Anbieter)

- Microsoft trifft keine eigene Entscheidung zur Datenverwendung

Bild: www.slankerzonderdieet.nl/programma/paragraph-kopie/

Data Breach Notification – Pflicht des Cloud-Benützers

20

(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren.

Ausnahmen:

- Geringfügiger Schaden droht

- oder Informationskosten unverhältnismäßig hoch

Schadensminderungsobliegenheit des Cloud-Benützers!

§ 24 Abs 2a DSG

Bild: securityaffairs.co/wordpress/4110/cyber-crime/medicaid-incident-how-much-cost-a-data-breach.html

Selbstbeurteilung des AuftraggebersNotfallplan ratsam !

Agenda

Basics des Datenschutzrechts – Grundlagen

Wichtigste Begriffe

Wer haftet für die Daten?

21

Zulässigkeit von Cloud Computing / USA Patriot Act, etc.

Datenschutzrechtliche Zulässigkeit des Cloud Computing

22

Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt

Innerhalb EWR Außerhalb EWR

- Nur Abschluss Dienstleistervertrag nötig (hier: Vertrag mit Microsoft)

- Keine Genehmigungspflicht durch Datenschutzbehörde

- Grundsätzlich Genehmigung durch Datenschutzbehörde erforderlich

- Außer Ausnahmetatbestand erfüllt (zB Zustimmung, Safe-Harbor, Standard-vertragsklauseln)

Datenschutzrechtliche Zulässigkeit innerhalb des EWR

23

- Keine Genehmigungspflicht des Datentransfers durch Datenschutzbehörde!

- Abschluss eines schriftlichen Dienstleistervertrags erforderlich

- Gilt für Datenüberlassung innerhalb:- des (inländischen) Unternehmens - Österreichs- des EWR

Datenschutzrechtliche Zulässigkeit außerhalb des EWR

24

- Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten- Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...

1 http://safeharbor.export.gov/list.aspx

Datenschutzrechtliche Zulässigkeit außerhalb des EWR

25

Eintrag in Safe Harbor-Liste1 prüfen! !

- Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten- Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...

- ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten

http://safeharbor.export.gov/list.aspx

Safe Harbor Liste

26

!Rechtsfolge:GenehmigungsfreieDatenübermittlung in USA

1 „Europe vs Facebook“ (Maximilian Schrems): EuGH C-362/14; Nächster Verfahrensschritt: Gutachten Generalanwalt

Exkurs: Facebook vs. Max Schrems: EuGH zu Safe Harbor

27

Safe Harbor Abkommen – Irisches Höchstgericht legt EuGH Fragen zu Rechtmäßigkeit vor

- Aktuelles Verfahren1 - Ausgangslage: - Basierend auf Entscheidung der EU Kommission im Jahr 2000:

Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor

- Snowden Affäre zeigt: NSA greift anscheinend umfassend auf personenbezogene Daten von EU-Bürgern zu

- EuGH: Prüfung ob Safe Harbor Abkommens (immer noch) mit EU-Grund- & Datenschutzrechten vereinbar

Derzeit keine Änderung – „Safe Harbor is still safe!“ !

Datenschutzrechtliche Zulässigkeit außerhalb des EWR

28

- Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten- Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...

- ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten

- (...oder Verwendung von EU-Standardvertragsklauseln)

1 Inkl. Standardvertragsklauseln: Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement & Annex 1

Verwendung von EU-Standardvertragsklauseln

29

- Rechtsfolge: Angemessenes Datenschutzniveau gilt als nachgewiesen- In Zukunft: Bloße Anzeige- statt Genehmigungspflicht durch DSB- Aber: Bisher keine nationale Umsetzung

- Artikel 29 Gruppe: MS Datenverarbeitungsklauseln1 geprüft

Unabhängige EU-Datenschutzgruppe bestätigt Datenschutzkonformität von MS Office 365

!Derzeit weiterhin Genehmigungspflicht!

- Ergebnis: Entspricht Dienstleister-Standardvertragsklauseln (2010/87/EG)

1 Bspw § 54 ÄrzteG, § 38 BWG, § 9 RAO, § 37 NO 2 § 14 DSG

Verschwiegenheitspflichten & branchenspezifische Zulässigkeit

30

Exkurs

- Daten nur im Rahmen der Aufträge des Cloud-Benutzers verwenden- Verschwiegenheits- & Geheimhaltungspflichten:

- Kein allgemeines Verbot der Überlassung von Daten- Auftraggeber muss Sondergesetze1 beachten – „Was darf ich?“

- Einhaltung der Datensicherheitsmaßnahmen2, uA:- Muss Mitarbeiter zur Einhaltung des Datengeheimnisses verpflichten- Cloud-Nutzer muss eigene Verschwiegenheitspflichten auf Dienstleister überbinden!

1 Electronic Communications Privacy Act (1986) 2 Foreign Intelligence Surveillance Act (1978)3 Microsoft Law Enforcement Requests Report 2014 (Zeitraum Kalenderjahr 2014); angefragte Accounts: 111

Vereinbarkeit Datenschutzrecht von EU & USAPatriot Act & PRISM - Ermittlungsmethoden zur Terrorbekämpfung

- USA Patriot Act of 2001

- „Uniting and Strengthening America by Providingg Appropriate Tools Required to Intercept and Obstruct Terrorism Act“

- PRISM - Digitales Überwachungsprogramm

- Rechtsgrundlagen: USA Patriot Act, ECPA1, FISA2

- Auf Antrag offengelegte Inhaltsdaten österreichischer Microsoft-User3: Null

- Vergleichbare Überwachungsprogramme existieren... auch in Europa (zB §§ 134 österr. Strafprozessordnung) ... uzw seit Jahrzehnten

- Schutzniveau vergleichbar zu EU-Staaten (Bilaterale Verträge!)

- Strenge Rechtsfertigungsgründe für Datenzugriff auf Cloud: - Betrifft nur Strafsachen & Terror-/Spionagebekämpfung- Nur als Ausnahme von konventionellen Methoden- Gerichtsbeschluss/Durchsuchungsbefehl- Hinreichender Tatverdacht - Verbot freiwilliger Herausgabe - Benachrichtigungspflicht

des Kunden

Vereinbarkeit Datenschutzrecht von EU & USA

zwingende Voraussetzung

Patriot Act & PRISM

!Fazit:Datenzugriff nur in AusnahmefällenInternationaler Standard

Vereinbarkeit Datenschutzrecht von EU & USAUSA FREEDOM ACT

- USA Freedom Act of 2015- „Uniting and Strengthening America by Fulfilling Rights and Ending

Eavesdropping, Dragnet-collection and Online Monitoring Act. “

- Reform & Verlängerung des USA Patriot Act

- Datenspeicherung von Telefon-Metadaten durch Unternehmen, nicht NSA

- Jährliche Reports

Vereinbarkeit Datenschutzrecht von EU & USA

34

US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU

- Aktuelles Verfahren1 gegen Microsoft – Ausgangslage:- US-Behörden verlangen Zugriff auf in EU gespeicherte Daten- Grundlage: Durchsuchungsbefehl in US-Strafverfahren

- Microsoft in 2 Instanzen zur Herausgabe verurteilt

- Sanktionen vorerst ausgesetzt (keine Datenherausgabe)

- Neuester Stand2: Berufungsverfahren in 3. Instanz

!Top aktuell:Microsoft Presseseite http://digitalconstitution.com

1 US Court of Appeals for the Second Circuit, 14-2985-cv2 Reply Brief for Appellant, 08.04.2015; http://mscorp.blob.core.windows.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf

Key Points to Remember

- Ist eine Datenanwendung zulässig, kann der Kunde die Datenauch in die Cloud geben (innerhalb des EWR)

- Cloud-Speicherung in EWR & Safe Harbor grds. genehmigungsfrei

- Patriot Act/PRISM: Schreckgespenst! Möglichkeit des Datenzugriffsdurch Behörden nicht höher als bei uns

Vielen Dank für Ihre Aufmerksamkeit!

36

Dr. Stephan Winklbauer, LL. M.Partner, Rechtsanwalt

aringer herbst winklbauer rechtsanwälte1010 Wien, Grillparzerstraße 5+43 1 890 90 17winklbauer@ahwlaw.at