Karsten U. Bartels LL.M.

Verträge für die Cloud Rechtliche Besonderheiten und praktische Relevanz

1 Vereinbarung zum Datenschutz

2 Leistungsvereinbarung

3 Praktischer Umgang

Subunternehmer

des CSP

Anbieter / Cloud-Nutzer

Endkunde

Cloud Service

Provider

Datenschutzrecht

Personenbezogene Daten

Subunternehmer

des CSP

Verantwortliche Stelle

Betroffener

Cloud Service

Provider

ADV

Personenbezogene Daten

Service Provider

Verantwortliche Stelle

Betroffener

Auch bei Nutzung von:

Rechenzentrum/ Hosting

E-Mail-Dienste

Callcenter

Dokumentenvernichtung/ RESISCAN

Externe Lohnrechnung

Web-Tracking

Ähnlich bei:

Fernwartung

Vor-Ort-Support

Erforderliche Regelungen in Schriftform

Gegenstand und die Dauer des Auftrags

Umfang, Art und Zweck der vorgesehenen

Datenverwendung

Weisungsrechte des Auftraggebers

Kontrollrechte und Kontrollpflichten des Auftraggebers

Regelungen von Subunternehmerverhältnissen

Festlegung der „TOM“ gemäß § 9 BDSG

Datenrückgabe, Löschungspflichten

Zusätzliche Regelungen

Vertragsstrafen

Auftragsdatenverarbeitung, § 11 BDSG

ADV

Zutrittskontrolle

Zugangskontrolle

Zugriffskontrolle

Weitergabekontrolle

Eingabekontrolle

Auftragskontrolle

Verfügbarkeitskontrolle

„Trennungskontrolle“

Technische und organisatorische

Maßnahmen, § 9 BDSG

ADV TOM

Prüfpflichten

Sorgfältige Auswahl des CSP

Regelmäßige Kontrolle

Dokumentation der Kontrollen

Problem: Umsetzung dieser Pflichten

Lösung: Prüfung durch Dritte

Weitere Pflichten nach § 11 BDSG

Testierung

Auditoren, Sachverständige, Rechtsanwälte, IT-

Sicherheitsbeauftragte, Wirtschaftsprüfer, etc.

Auditierung / Zertifizierung

BSI IT-Grundschutz, ISO 27001

datenschutz cert, DEKRA, TÜV

EuroCloud Star Audit

Europrise

ULD Schleswig-Holstein

Lösung: Prüfung durch Dritte

ADV TOM Zert.

Transparenz + Information

Ansprechpartner

IT-Sicherheitskonzept

Muster-ADV-Vereinbarung (CSP)

Workflow für Änderungen des Musters durch Kunden

Workflow für ADV-V des Kunden

Strategie für Vertragsverhandlungen

Tipps zum Datenschutz

Cloud und der Ausspähskandal

Anforderungen an die Datenübermittlung aus EU-

Mitgliedstaat in Nicht-Mitglied der EU/ des EWR

1. Kein bereichsspezifisches Verbot

2. Gesetzlicher Erlaubnistatbestand oder Einwilligung des Betroffenen

3. Angemessenes Schutzniveau

Sicheres Drittland (z.B. Kanada, Schweiz)

EU Standardvertragsklauseln (EU-Model Clauses)

Binding Corporate Rules (BCRs, „Safe Haven“)

„Safe Harbor“ (nur USA)

Cloud - grenzüberschreitend

… und nun?!

Düsseldorfer Kreis

Entschließungen, insbes. vom 28./29. September 2011

Kontrollierbarkeit, Transparenz, Beeinflussbarkeit der Datenverarbeitung

International Working Group on Data Protection in Telecommunications (IWGDPT), sog. Berlin Group

„Datenschutz darf nicht in der Wolke „verdunsten“ ! Sopot Memorandum zum Cloud Computing“, 27.04.2012

Cloud-Nutzung darf DS nicht mindern

Folgenabschätzung vor Nutzung

Größtmögliche Transparenz und Kontrolle für Nutzer

Anstrengungen im Bereich von Zertifizierungen und Geschäftsmodellen

Rechtlicher Rahmen zu überprüfen

Datenschutzbehörden

Mitbewerber, kein Anspruch nach § 4 Nr. 11 UWG

Datenschutz regelt nicht das Marktverhalten

Betroffener

Vertragliche Ansprüche

§ 6 BDSG

Datenschutzbehörden

§ 42a BDSG Informationspflicht

§ 43 BDSG Ordnungswidrigkeit

§ 44 BDSG Straftat

Imageverlust

Folgen eines Verstoßes

Leistungsvereinbarung

Subunternehmer

des CSP

Cloud-Nutzer Endkunde

Cloud Service

Provider

AGB

AGB

SaaS = Miete

Softwarepflege = Dienstvertrag/ Werkvertrag

Installationen/

Anpassung = Werkvertrag

Hosting = Miete/ Werkvertrag

typengemischte Verträge (Schwerpunkt)

Unterschiedliche Rechtsfolgen z.B. bei

Gewährleistung, Haftung, AGB!

Übersetzung ins Recht

Konkrete, möglichst abschließende

Leistungsbeschreibung

Einbindung von Subunternehmer

Eindeutige Nutzungsrechteeinräumung

Kündigungsregelungen

Eskalationsregime

Rechtswahl

Gerichtsstand

Allgemeines

Valide Regelungen zur Skalierbarkeit

SLA Fehlerklassen

Verfügbarkeit: Messung, Verstöße, Folgen

Anwender-Support + Fehlersupport

Datensicherung

Exit-Klauseln Löschen von Daten + Accounts

Herausgabe von Daten, Formate, Medien

Übertragen von Accounts Fristen

Unternehmensveräußerung/ Ausscheiden von Mitarbeitern

Besonderheiten

AUSBLICK

EU Datenschutzgrundverordnung

EU Verbraucherrechterichtlinie

EU Cookie-Richtlinie

DE IT-Sicherheitsgesetz

DE Beschäftigtendatenschutzgesetz

Ihre Punkte

Karsten U. Bartels LL.M.

Rechtsanwalt

Zertifizierter Datenschutzbeauftragter (TÜV)

Externer Auditor für Managementsysteme IT Security und

Datenschutz (TÜV SÜD Management Service GmbH)

Auditor der datenschutz cert GmbH

Datenschutz-Gütesiegel ips - internet privacy standards

Zertifikat zur Auftragsdatenverarbeitung

Zertifikat für Datenschutz-Management priventum

Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-

Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich)

Stellv. Vorsitzender Arge Informationstechnologie, Deutscher

Anwaltverein e.V.

Leiter AG Recht, Bundesverband IT-Sicherheit e.V. – TeleTrusT

Schlichter IT-Recht der IHK Berlin Schlichtungsstelle

Lehrbeauftragter der TH Wildau zum IT-Recht, Fachbereich

Betriebswirtschaft / Wirtschaftsinformatik

bartels@hk2.eu

about.me/KarstenUBartels