Workshop Management: Georg Meyer-Spasche, Osborne Clarke - Rechtssicheres Cloud Computing
---
Please contact us for a downloadable copy of the slides at CloudOps.Summit@googlemail.com .
Follow us on Twitter @CloudOps_Summit and
Facebook http://www.facebook.com/CloudOps
8. osborneclarke.com
Virtual
Private Public
Private
Cloud Cloud
Cloud
Remote
DC
Remote
Hybrid
|
Cloud
Local
"Stan-
On Site
ford"-
DC
DC
Private -- Public
7
10. osborneclarke.com
Datenschutz
Die Grundsätze
Jede Erhebung oder Verarbeitung von personenbezogenen
Daten unterliegt den Einschränkungen des Datenschutzes,
§ 4 Abs. 1 Bundesdatenschutzgesetz ("BDSG").
Personenbezogene Daten sind Informationen, die auf einzelne
Personen bezogen werden können, § 3 Abs. 1 BDSG.
Als Verarbeitung von solchen personenbezogenen Daten gilt auch
die Übermittlung an Dritte, § 3 Abs. 4 Nr. 3 BDSG.
è Jede Übermittlung personenbezogener an Dritte unterfällt den
Einschränkungen des Datenschutzrechtes.
9
11. osborneclarke.com
Datenschutz
Wann darf wohin übermittelt werden?
Eine Übermittlung ist innerhalb von EU oder EWR zulässig, soweit
ein Gesetz dies erlaubt oder der Betroffene einwilligt.
• Als gesetzliche Erlaubnis kommt § 28 I BDSG in Betracht.
Jedoch sind die Voraussetzungen der Vorschrift für die
einzelne Übermittlung gerade beim kostenmotivierten Cloud
Computing schwer zu erfüllen:
– Reine Kostenerwägungen machen die Datenübermittlung
noch nicht erforderlich, auch
– können die Interessen des Betroffenen überwiegen.
10
12. osborneclarke.com
Datenschutz
Wann darf wohin übermittelt werden?
• Die Einwilligung ist kaum praktikabel, denn sie bedarf einer
eingehenden Information und kann jederzeit widerrufen
werden.
In Gebiete außerhalb von EU bzw. EWR ist eine Übermittlung nur
erlaubt, wenn es sich um sichere Drittstaaten (z.B. Schweiz,
Kanada) handelt oder besondere Regelungen greifen (EU-
Musterklauseln oder Safe Harbour).
11
14. osborneclarke.com
Datenschutz
Lösung: Auftragsdatenverarbeitung?
èIn rechtlicher Hinsicht liegt also keine Übermittlung vor und
der Datenverarbeiter wird quasi behandelt, wie die interne IT
des Auftraggebers.
èEine Auftragsdatenverarbeitung ist jedoch nur wirksam, wenn
eine bestimmte Struktur realisiert wird.
èDie Auftragsdatenverarbeitung funktioniert nur innerhalb der EU
/ des EWR.
13
15. osborneclarke.com
Datenschutz
Auftragsdatenverarbeitung
Übermittlung
Dienstleister Ihr Unternehmen
Verarbeitung
Bedarf einer
Erfordert die
Erhebung
gesetzlichen
Einwilligung der
Erlaubnis (i.d.R.
Betroffenen oder eine
gegeben durch §§
gesetzliche Erlaubnis
28, 32 BDSG) oder
der Einwilligung der
Betroffenen
Personenbezogene Daten der
Betroffenen (Angestellte, Kunden,
etc.)
14
16. osborneclarke.com
Datenschutz
Auftragsdatenverarbeitung
Dienstleister Ihr Unternehmen
Datenverarbeitung
ausschließlich
nach Weisung
Bedarf einer
Verarbeitung
Erhebung
gesetzlichen Erlaubnis
Auftragsdatenverarbeit (i.d.R. gegeben durch §§
ung 28, 32 BDSG) oder der
Einwilligung der
Betroffenen
Personenbezogene Daten der
Betroffenen (Angestellte, Kunden,
etc.)
15
17. osborneclarke.com
Datenschutz
Auftragsdatenverarbeitung
Voraussetzungen für eine Auftragsdatenverarbeitung:
• sorgfältig ausgewählter Provider als Auftragnehmer
• Provider verarbeitet die Daten ohne eigene
Entscheidungskompetenz
(in Abgrenzung zur Funktionsübertragung)
• umfassende Weisungs- und Kontrollrechte und -pflichten
des Auftraggebers – dies betrifft auch den Ort der Speicherung
16
18. osborneclarke.com
Datenschutz
Auftragsdatenverarbeitung
è Zumindest im Falle des Public Cloud Computing sind
Kontrollpflichten kaum wahrzunehmen! Cloud Computing
dann ohne Auftragsdatenverarbeitung nur verwendbar bei
Daten ohne Personenbezug oder Einwilligung des
Betroffenen
è In der (Virtual) Private Cloud jedoch gut lösbar…
è …solange der Anbieter wirklich nur Datenverarbeiter bleibt
17
19. osborneclarke.com
Datenschutz
Auftragsdatenverarbeitung und § 9 BDSG
Anlage zu § 9 Satz 1 fordert technisch-organisatorische
Maßnahmen, um
3. Zu gewährleisten, dass die zur Benutzung eines
Datenverarbeitungssystems Berechtigten ausschließlich auf die
ihrer Zugriffsberechtigung unterliegenden Daten zugreifen
können, und dass personenbezogene Daten bei der
Verarbeitung, Nutzung und nach der Speicherung nicht
unbefugt gelesen, kopiert, verändert oder entfernt werden
können (Zugriffskontrolle)
18
20. osborneclarke.com
Datenschutz
Auftragsdatenverarbeitung und § 9 BDSG
Anlage zu § 9 Satz 1 fordert technisch-organisatorische
Maßnahmen, um
5. Zu gewährleisten, dass nachträglich überprüft und festgestellt
werden kann, ob und von wem personenbezogene Daten in
Datenverarbeitungssysteme eingegeben, verändert oder
entfernt worden sind (Eingabekontrolle)
19
21. osborneclarke.com
Datenschutz
Auftragsdatenverarbeitung und § 9 BDSG
Anlage zu § 9 Satz 1 fordert technisch-organisatorische
Maßnahmen, um
6. Zu gewährleisten, dass personenbezogene Daten, die im
Auftrag verarbeitet werden, nur entsprechend den Weisungen
des Auftraggebers verarbeitet werden können
(Auftragskontrolle), …
à In
der Private Cloud möglich, in der Public Cloud eher
anspruchsvoll.
20
22. osborneclarke.com
Datenschutz
Auftragsdatenverarbeitung
Territoriale Grenzen der Auftragsdatenverarbeitung:
• Gebiet der EU / des EWR. Standort des Servers entscheidend!
Alternativen zur Auftragsdatenverarbeitung:
• EU-Standardvertragsklauseln;
• Übermittlung an so genannte sichere Drittstaaten; oder
• Safe-Harbor.
è Eine Weitergabe liegt vor (str.)! Eigener Erlaubnistatbestand
erforderlich. In der Praxis sehr häufig ignoriert.
21
23. osborneclarke.com
Datenschutz
Datenübermittlung ins Ausland
Safe Harbor:
• USA verfügen über kein zu EU / zum EWR vergleichbar hohes
Datenschutzniveau.
• US-amerikanische Firmen, die sich dem Safe Harbor-Prinzip
unterwerfen, garantieren sorgsamen Umgang mit
personenbezogenen Daten.
• Liste der teilnehmenden Unternehmen:
export.gov/safehrbr/list.aspx.
• Beschluss des Düsseldorfer Kreises zu Safe Harbor (29. April
2010)
22
25. osborneclarke.com
Datenschutz
Verschlüsselung als Lösung für die Public Cloud
Anonymisierung gem. § 3 Abs. 6 BDSG durch
Verschlüsselung?
• Anonymisierte Daten sind keine Personenbezogenen Daten
i.S.v. § 3 Abs. 1 BDSG, Vorschriften des BDSG sind nicht
anwendbar.
• Einzelheiten zwar umstritten, Konzept trägt aber in der Praxis
• Verschlüsselung erleichtert in jedem Fall die Abwägung nach §
28 BDSG und vor allem die ADV (Zugangskontrolle,
Zugriffskontrolle, Weitergabekontrolle)!
24
30. osborneclarke.com
Datenschutz
Verschlüsselung als Lösung
Resultat:
CGM praktiziert on-chip/on-client-Generierung von Credentials
• Verfügbarkeit über Super PIN
• Barrierefreiheit über TANs
• Revisionsfähigkeit des Quellcodes: Keine Geheimnisse im
Quellcode vergraben
• Kryptographische Authentisierung mit beliebigen Credentials
29
31. osborneclarke.com
Datenschutz
Best Practices
• Unterscheiden Sie genau, welche Daten Sie wie in die Cloud
geben
– Personenbezogene Daten unterliegen dem BDSG
– Nicht Personenbezogene Daten sind "frei", aber evtl. dennoch
kritisch:
• Geschäftskritische Daten (verschlüsselt?)
• Allgemeine Daten
30
32. osborneclarke.com
Datenschutz
Best Practices
• Verschlüsseln Sie Daten nach Möglichkeit
• Suchen Sie den Anbieter sorgfältig aus
• Halten Sie die Daten nach Möglichkeit in der EU/EWR
• Sorgen Sie für eine Auditierbarkeit – idealerweise der Daten,
sonst der Technologien und Prozesse
• Achten Sie auf Transparenz! Können Sie die Aussagen der
Anbieter prüfen?
31
35. osborneclarke.com
Compliance
GoBS: Buchführung in
elektronischer Form
• Keine bestimmte Technik vorgeschrieben (§ 147 Abs. 2 AO, §
239 Abs. 4 HGB)
• Zulässig unter folgenden Voraussetzungen
– Einhaltung der GoB bzw. GoBS
– Jederzeitige Verfügbarkeit während der
Aufbewahrungsfristen, jederzeitige Lesbarkeit und
maschinelle Auswertbarkeit
34
36. osborneclarke.com
Compliance
GoBS: Buchführung in
elektronischer Form
• Zulässig unter folgenden Voraussetzungen
– Bei Handels- und Geschäftsbriefen sowie Buchungsbelegen
bildliche Übereinstimmung mit den Originaldokumenten (§
147 Abs. 2 AO) - Unveränderlichkeit
– Bei sonstigen Unterlagen inhaltliche Übereinstimmung (§ 147
Abs. 2 AO)
35
38. osborneclarke.com
Compliance
GoBS: Aufbewahrungsfristen
• Was ist aufzubewahren?
(vgl. v. a. § 147 Abs. 1 AO, § 257 Abs. 1 HGB)
– Jahresabschluss*, Bücher und Inventare
– Lageberichte
– Eröffnungsbilanz*
– Buchungsbelege
– Handels- und Geschäftsbriefe
– Technische Dokumentation der Hersteller
* Nicht digital nach GoBS möglich
37
39. osborneclarke.com
Compliance
GoBS: Aufbewahrungsfristen
• Dauer der Aufbewahrung
(§ 147 Abs. 3 AO, § 257 Abs. 4 HGB, § 14 b Abs. 1 UStG)
– Regelmäßig 10 Jahre
– 6 Jahre
• Handels- und Geschäftsbriefe
– Abgrenzung praktisch oft schwierig: Im Zweifel 10 Jahre
– Grenze: Datenschutzrechtliche Löschungspflichten
• Beginn der Aufbewahrungsfrist
(§ 147 Abs. 4 AO, § 257 Abs. 5 HGB)
– Schluss des Kalenderjahres
38
40. osborneclarke.com
Compliance
GoBS: Konsequenzen einer Verletzung der
Buchführungspflicht
• Steuerlich z. B.
– Versagung von Steuervergünstigungen
– Schätzung von Besteuerungsgrundlagen
– Erzwingung einer ordnungsgemäßen Buchführung durch
Zwangsgeld
• Zivilrechtlich z. B.
– Schadenersatzhaftung von Geschäftsführer oder Vorstand
gegenüber der Gesellschaft (§ 93 Abs. 2 AktG, § 43 Abs. 2
GmbH)
39
41. osborneclarke.com
Compliance
GoBS: Konsequenzen einer Verletzung der
Buchführungspflicht
• Strafrechtlich z. B.
–Verletzung der Buchführungspflicht (§ 283 StGB)
–Steuerhinterziehung (§ 370 AO)
–Urkundenunterdrückung (§ 274 StGB)
40
42. osborneclarke.com
Compliance
Steuer– und Finanzrecht
§ 146 AO: Ordnungsvorschriften für die Buchführung und für
Aufzeichnungen:
• Grundsatz: Buchführung im Inland, § 146 Abs. 2 AO
• Auf Antrag Erlaubnis, Bücher im Ausland zu führen,
§ 146 Abs. 2a AO. Voraussetzungen (kumulativ):
– Standort der genutzten Systeme und Anbieter mit Anschrift
mitgeteilt (à funktioniert bei Public Cloud nicht)
– Steuerliche Mitwirkung bislang beanstandungsfrei
– Volle Zugriffsmöglichkeiten der deutschen Finanzbehörden
– Besteuerung wird nicht beeinträchtigt
41
43. osborneclarke.com
Compliance
GDPdU
• GDPdU = Grundsätze zum Datenzugriff und zur Prüfbarkeit
digitaler Unterlagen
• Digitaler Zugriff der Finanzbehören auf elektronisch gespeicherte
steuerlich relevante Unterlagen bei Außenprüfungen (§§ 193 ff.
AO)
• Gegenstand des Zugriffs: "Steuerlich relevante Daten"
• Konflikt: Datenschutzrecht, TK-Geheimnis und von
Berufsgeheimnissen erfassten Daten
42
44. osborneclarke.com
Compliance
Best Practices
• Prüfen Sie genau, welche Daten in die Cloud gehen
• Sofern die Archivierung auf Papier abgelöst werden soll,
klassifizieren Sie die Dokumentenarten nach
Aufbewahrungszeiten und Zugriffserfordernissen
• Regeln Sie mit dem Anbieter, wie ein langfristiger Zugriff auf die
Dokumente möglich ist – auch bei Anbieterwechsel!
43
45. osborneclarke.com
Compliance
Best Practices
• Achten Sie auf mandantenfähige Systeme!
– Eine physikalische Trennung ist besser als eine logische
– In der Cloud ist aber nur eine logische Trennung möglich
– Klären Sie mit der Finanzverwaltung, ob die vorgenommene
logische Trennung ausreicht
– Im Zweifel verschlüsseln Sie (s. Anlage zu §9 BDSG!)
44
47. osborneclarke.com
Lizenzen
Die Kopie entscheidet über die Lizenzpflicht
1. Jede Vervielfältigung einer Software erfordert Zustimmung des
Rechteinhabers, § 69c Nr. 1 Urheberrechtsgesetz ("UrhG").
2. Bereits Ausführen von Software stellt zustimmungsbedürftige
Vervielfältigung dar.
3. Wer im Falle eines Cloud Computings diese Vervielfältigung
vornimmt, ist schwierige Abgrenzungsfrage.
46
48. osborneclarke.com
Lizenzen
Folgen dieser Ansicht
Sollte in rechtlicher Hinsicht der Nutzer die Kopie anfertigen:
è Der Nutzer eines Cloud Computings benötigt Nutzungsrechte
für die verwendete Software.
è Der Provider muss diese Rechte selbst besitzen.
è Der Provider muss auch rechtlich in der Lage sein, diese
Rechte auf seinen Kunden weiter zu übertragen.
47
49. osborneclarke.com
Lizenzen
Open Source und Cloud Computing
Open Source Software unter der GPL:
Wer Software unter der GPL verändert und verbreitet, muss die
Veränderungen einschließlich des Source Codes allen Dritten
ebenfalls unter der GPL zur Verfügung stellen ("Infektionswirkung"
der GPL).
Stellt der Einsatz einer angepassten Open Source Software
im Zuge von Cloud Computing eine Verbreitung dar?
Customizing-Leistungen müssten dann kostenlos und im Source
Code auch Dritten angeboten werden. Denn anderenfalls entfiele
nach der GPL die Nutzungsbefugnis. Die weitere Verwendung
stellte eine Urheberrechtsverletzung dar.
48
50. osborneclarke.com
Lizenzen
(A)GPLv3
Regelung der GPLv3:
"Reine Interaktion mit einem Benutzer über ein Computer-
Netzwerk ohne Übergabe einer Kopie ist keine Übertragung",
Ziffer 0 ("Definitionen") Abs. 7 GPLv3.
è Es wird kein Binärcode übertragen, ergo greift GPLv3
nicht
è Allenfalls die "Netzwerknutzung" greift – führt aber nicht
weiter
è Die für ASP geschaffene Variante (AGPLv3) passt
ebensowenig
49
51. osborneclarke.com
Anwendbares Recht bei Urheberrechtsverletzungen
Schutzland vs. Ursprungsland
• Ursprungsland: Die Urheberrechtsverletzung beurteilt sich nach
dem Recht des Landes, in dem das Werk zum ersten mal
veröffentlicht worden ist.
• Schutzland: Die Urheberrechtsverletzung beurteilt sich nach
dem Recht des Landes, in dem die Urheberrechtsverletzung
begangen worden ist.
50
52. osborneclarke.com
Lizenzen
Best Practices
• Stellen Sie sich auch als Anbieter darauf ein, dass die
klassische Softwarelizenz ausgedient hat
• Lassen Sie als Kunde den Anbieter garantieren, dass er Ihnen
die erforderlichen Nutzungsrechte an der Lösung verschafft
• Vereinbaren Sie mit dem Anbieter eine Freistellung von
eventuellen Schadensersatzforderungen Dritter wegen
Lizenzverletzungen
51
53. osborneclarke.com
Lizenzen
Best Practices
• Vereinbaren Sie mit dem Anbieter, dass auch Ihre Kontraktoren
auf Ihre Systeme zugreifen dürfen
• Vereinbaren Sie ein jederzeitiges Herausgaberecht Ihrer Daten
in einem Standardformat – um den Anbieter im Fall von
Problemen leichter wechseln zu können
• Wenn Sie Cloud Computing nutzen, standardisieren Sie Ihre
Prozesse entsprechend – auch das erleichtert einen späteren
Wechsel des Anbieters
52
54. osborneclarke.com
Fragen?
Georg Meyer-Spasche Priv.-Doz. Dr. Adrian Spalka
Partner, Rechtsanwalt Corporate Head of IT-Security
Osborne Clarke CompuGroup Medical AG
t +49 (0) 221 5108 4204 t +49 (0) 261 8000 1361
f +49 (0) 221 5108 4205 f +49 (0) 261 8000 1596
georg.meyer-spasche@osborneclarke.com ask@compugroup.com
53