Cloud-ComputingRechtliche Stolperfallen in der Cloud
Person       • Martin Kuhr, LL.M.       •   Rechtsanwalt       •   Fachanwalt für Informationstechnologierecht       •   D...
Agenda       • „Wolke“ oder „Cloud-Computing“       • Verträge       • Urheberrecht       • Datenschutz       • IT-Complia...
„Wolke“ oder „Cloud Computing“       • Idee:           - Computernutzer kauft künftig IT              wie Strom aus Steckd...
„Wolke“ oder „Cloud Computing“       • verstreuter Kreis von Kunden       • internetbasierte IT- Leistungen unterschiedlic...
„Wolke“ oder „Cloud Computing“       • Übermittlung z. B. von:           - Namen, Adressen, Bankverbindungen           - G...
„Wolke“ oder „Cloud Computing“       • Mitteilung Nr. 15/10 vom 12.03.2010           wissenschaftlicher Dienst des Deutsch...
„Wolke“ oder „Cloud Computing“       • NIST (National Institute of Standards and Technology),           auch ENISA (Europe...
„Wolke“ oder „Cloud Computing“       • Arten von Cloud Computing           - private Cloud: (geschlossene Nutzergruppe)   ...
„Wolke“ oder „Cloud Computing“       • „3-Stufen-Modell“                         “           - SaaS           - PaaS      ...
Verträge       • Verträge           1. Kunde/ Cloud-Provider           2. Cloud-Provider/ Subunternehmen (Back-To-        ...
Verträge       • Verträge           Anwendbares Vertragsrecht           - Rechtswahlklausel (AGB)? Art. 3 I Rom I-VO      ...
Verträge       • Verträge           Anwendbares Deliktsrecht           - z. B. Zerstörung/Manipulation der           Daten...
Urheberrecht       • Urheberrecht           - aus Nutzersicht zu regeln:            Skalierbarkeit, Rechteeinräumung,     ...
Datenschutz       • Datenschutz           Übermittlung personenbezogener Daten           Personenbezogene Daten § 3 I BDSG...
Datenschutz       • Datenschutz           Weitergabe von personenbezogenen Daten           erfordert Rechtfertigung (Geset...
Datenschutz       • Datenschutz           - Auftragsdatenverarbeitung nur, wenn:              - Verarbeiter der Daten stre...
Datenschutz       • Datenschutz           - Auftragsdatenverarbeitung              - Auftraggeber bleibt verantwortliche S...
Datenschutz       • Datenschutz: § 11 BDSG schriftlicher Auftrag           - Gegenstand und Dauer des Auftrags           -...
Datenschutz       • Datenschutz: § 11 BDSG schriftlicher Auftrag           - Pflichten nicht abschließend geregelt        ...
Datenschutz       • Datenschutz: § 11 BDSG schriftlicher Auftrag           - Wenn keine Auftragsdatenverarbeitung:        ...
Datenschutz       • EU-Cloud Anbieter: Datenschutz gem. Sitzland des         Anbieters (Niederlassung)       • Anbieter vo...
Datenschutz       • Cloud-Anbieter außerhalb der EU/EWR           - P: Geringeres Datenschutzniveau im Drittland          ...
Datenschutz       • Cloud-Anbieter außerhalb der EU/EWR           - alternativ zu den Vertragsklauseln:            verbind...
Datenschutz       • Cloud-Anbieter außerhalb der EU/EWR           - alternativ zu den Vertragsklauseln:           - USA: S...
IT-Compliance       • Haftung gem. § 91 Abs. 2 AktG       „Der Vorstand hat geeignete Maßnahmen zu treffen,         insbes...
IT-Compliance       • Haftung gem. § 9 BDSG       „die technischen und organisatorischen Maßnahmen zu         treffen, die...
IT-Compliance       • § 146 Abs. 2 AO       „Bücher und die sonst erforderlichen Aufzeichnungen         sind im Geltungsbe...
IT-Compliance       • §§ 239, 257 HGB           - Grundsätze ordnungsgem. Buchführung (GoB)              und Grundsätze or...
IT-Compliance       • Ziffer II. 1 GDPdU Grundsätze zum Datenzugriff         und zur Prüfbarkeit digitaler Unterlagen:    ...
Zusammenfassung       • Risiken (1)           - fehlende Transparenz           - fehlende Kontrolle über Daten und Prozess...
Zusammenfassung       • Risiken (2)           - SLAs           - Insolvenz des Providers           - sichere Datenlöschung...
Zusammenfassung       • Checkliste für den Kunden:           - Vertragspartner (in D/EU/EWR)           - Anzahl Vertragspa...
Schlussinfos:       • EU-Kommission: Cloud-Strategie (bis 2020 ca. 3,8           Millionen neue Arbeitsplätze in Europa; S...
Schlussinfos:       • BSI: Eckpunktepapier Cloud-Computing         (Sicherheitsempfehlungen für Anbieter)       • Verband ...
Vielen Dank für Ihre Aufmerksamkeit!                                              36iusec Datenschutz, 2012               ...
Kontakt      Martin Kuhr, LL.M.      iusec Datenschutz      Batschkastr. 18      67117 Limburgerhof      Tel.: 06236/46082...
Nächste SlideShare
Wird geladen in …5
×

Cloud-Computing - Rechtliche Stolperfallen in der Cloud

547 Aufrufe

Veröffentlicht am

Voice + IP 2012
Cloud-Computing - Rechtliche Stolperfallen in der Cloud

Martin Kuhr, LL.M., iusec Datenschutz
Das Blog der Messe Frankfurt zur Digitalisierung des Geschäftslebens:
http://connected.messefrankfurt.com/de/

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
547
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
6
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Cloud-Computing - Rechtliche Stolperfallen in der Cloud

  1. 1. Cloud-ComputingRechtliche Stolperfallen in der Cloud
  2. 2. Person • Martin Kuhr, LL.M. • Rechtsanwalt • Fachanwalt für Informationstechnologierecht • Dozent für Telemedienrecht u. Urheberrecht • Externer Datenschutzbeauftragter 2iusec Datenschutz, 2012 2
  3. 3. Agenda • „Wolke“ oder „Cloud-Computing“ • Verträge • Urheberrecht • Datenschutz • IT-Compliance 3iusec Datenschutz, 2012 3
  4. 4. „Wolke“ oder „Cloud Computing“ • Idee: - Computernutzer kauft künftig IT wie Strom aus Steckdose - ohne eigenen PC mit Software - nur mit einfachem Computer mit Browser - IT-Dienste über Netzwerke zur Verfügung - Daten auf Rechnern im Internet speichern 4iusec Datenschutz, 2012 4
  5. 5. „Wolke“ oder „Cloud Computing“ • verstreuter Kreis von Kunden • internetbasierte IT- Leistungen unterschiedlichster Art – z.B.: - Bereitstellung von Speicherplatz oder - Betrieb von Standardanwendung 5iusec Datenschutz, 2012 5
  6. 6. „Wolke“ oder „Cloud Computing“ • Übermittlung z. B. von: - Namen, Adressen, Bankverbindungen - Geschäftsinterna 6iusec Datenschutz, 2012 6
  7. 7. „Wolke“ oder „Cloud Computing“ • Mitteilung Nr. 15/10 vom 12.03.2010 wissenschaftlicher Dienst des Deutschen Bundestages „Auslagern von Software- oder sogar Hardwarefunktionen der Anwender“ “ 7iusec Datenschutz, 2012 7
  8. 8. „Wolke“ oder „Cloud Computing“ • NIST (National Institute of Standards and Technology), auch ENISA (European Network and Information Security Agency) - On-demand Self Service - Broad Network Access - Resource Pooling - Rapid Elasticity - Measured Services 8iusec Datenschutz, 2012 8
  9. 9. „Wolke“ oder „Cloud Computing“ • Arten von Cloud Computing - private Cloud: (geschlossene Nutzergruppe) - public Cloud: (große Anzahl verschiedener Nutzer) - hybrid Clouds 9iusec Datenschutz, 2012 9
  10. 10. „Wolke“ oder „Cloud Computing“ • „3-Stufen-Modell“ “ - SaaS - PaaS - IaaS 10iusec Datenschutz, 2012 10
  11. 11. Verträge • Verträge 1. Kunde/ Cloud-Provider 2. Cloud-Provider/ Subunternehmen (Back-To- Back-Verträge) 11iusec Datenschutz, 2012 11
  12. 12. Verträge • Verträge Anwendbares Vertragsrecht - Rechtswahlklausel (AGB)? Art. 3 I Rom I-VO - ansonsten: Ort des gewöhnlichen Aufenthaltes des Anbieters 12iusec Datenschutz, 2012 12
  13. 13. Verträge • Verträge Anwendbares Deliktsrecht - z. B. Zerstörung/Manipulation der Datenbestände - Rechte des Lageortes des Zielrechners? - besser: entsprechend Vertragsrecht 13iusec Datenschutz, 2012 13
  14. 14. Urheberrecht • Urheberrecht - aus Nutzersicht zu regeln: Skalierbarkeit, Rechteeinräumung, Nutzungsentgelt - aus Anbietersicht zu regeln: wenn Leistung von Dritten: Back-To-Back (§§ 69c I, 19a UrhG, 69c Nr. 2 UrhG) §§ 14iusec Datenschutz, 2012 14
  15. 15. Datenschutz • Datenschutz Übermittlung personenbezogener Daten Personenbezogene Daten § 3 I BDSG: „Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person“ 15iusec Datenschutz, 2012 15
  16. 16. Datenschutz • Datenschutz Weitergabe von personenbezogenen Daten erfordert Rechtfertigung (Gesetz/Einwilligung) gemäß § 4 BDSG oder Auftragsdatenverarbeitung § 11 BDSG (hier wird keine Weitergabe angenommen) 16iusec Datenschutz, 2012 16
  17. 17. Datenschutz • Datenschutz - Auftragsdatenverarbeitung nur, wenn: - Verarbeiter der Daten streng weisungsgebunden - keinen eigenen Bewertungs- u. Entscheidungs- spielraum 17iusec Datenschutz, 2012 17
  18. 18. Datenschutz • Datenschutz - Auftragsdatenverarbeitung - Auftraggeber bleibt verantwortliche Stelle - P: Auftraggeber hat oft keine genaue Kenntnis, wo sich seine Daten befinden 18iusec Datenschutz, 2012 18
  19. 19. Datenschutz • Datenschutz: § 11 BDSG schriftlicher Auftrag - Gegenstand und Dauer des Auftrags - Umfang, Art und Zweck der geplanten DV - erforderliche techn. u. organisatorische Maßnahmen - Kontrollrechte/Weisungsrechte des AG - Mitwirkungspflichten des AN 19iusec Datenschutz, 2012 19
  20. 20. Datenschutz • Datenschutz: § 11 BDSG schriftlicher Auftrag - Pflichten nicht abschließend geregelt - unbestimmt formuliert „die von ihm vorzunehmenden Kontrollen“ - ordnungswidrig handelt, wer: „einen Auftrag nicht vollständig erteilt“ 20iusec Datenschutz, 2012 20
  21. 21. Datenschutz • Datenschutz: § 11 BDSG schriftlicher Auftrag - Wenn keine Auftragsdatenverarbeitung: - Rechtfertigung gem. § 28 I 1 Nr. 2 BDSG möglich: wie Outsourcing: Interessenabwägung 21iusec Datenschutz, 2012 21
  22. 22. Datenschutz • EU-Cloud Anbieter: Datenschutz gem. Sitzland des Anbieters (Niederlassung) • Anbieter von außerhalb EU/EWR: - wenn Daten in D erhoben/verarbeitet/genutzt: Territorialitätsprinzip: BDSG anwendbar 22iusec Datenschutz, 2012 22
  23. 23. Datenschutz • Cloud-Anbieter außerhalb der EU/EWR - P: Geringeres Datenschutzniveau im Drittland - Ausnahmegenehmigung der Aufsichtsbehörde - EU-Kommission kann Klauseln zur Gewährung des Datenschutzes anerkennen, Art. 26 IV RL 95/46/EG. - Standardvertragsklauseln, erlauben auch Unterauftrags-Datenverarbeitung 23iusec Datenschutz, 2012 23
  24. 24. Datenschutz • Cloud-Anbieter außerhalb der EU/EWR - alternativ zu den Vertragsklauseln: verbindliche Unternehmensregelungen § 4c II BDSG, Codes of Conduct, Binding Corporate Rules (i.d.R. multinationale Konzerne, Genehmigung durch Aufsichtsbehörde erst, wenn Richtlinie verbindlich) 24iusec Datenschutz, 2012 24
  25. 25. Datenschutz • Cloud-Anbieter außerhalb der EU/EWR - alternativ zu den Vertragsklauseln: - USA: Safe-Harbor-Programm (Information, Wahlmöglichkeit, Weitergabe, Datensicherheit, Datenintegrität, Auskunft, Durchsetzung) - § 4b V BDSG: Absender bleibt verantwortlich für Zulässigkeit der Übermittlung 25iusec Datenschutz, 2012 25
  26. 26. IT-Compliance • Haftung gem. § 91 Abs. 2 AktG „Der Vorstand hat geeignete Maßnahmen zu treffen, insbesondere ein Überwachungssystem einzurichten, damit den Fortbestand der Gesellschaft gefährdende Entwicklungen früh erkannt werden.“ 26iusec Datenschutz, 2012 26
  27. 27. IT-Compliance • Haftung gem. § 9 BDSG „die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht.“ 27iusec Datenschutz, 2012 27
  28. 28. IT-Compliance • § 146 Abs. 2 AO „Bücher und die sonst erforderlichen Aufzeichnungen sind im Geltungsbereich dieses Gesetzes zu führen und aufzubewahren.“ • § 146 Abs. 2 S. 1 AO Buchführung im Inland • § 146 Abs. 2a AO Buchführung und Aufbewahrung mit Bewilligung in EU-Ausland • § 148 AO Erleichterungen können bewilligt werden, nur EU-Cloud 28iusec Datenschutz, 2012 28
  29. 29. IT-Compliance • §§ 239, 257 HGB - Grundsätze ordnungsgem. Buchführung (GoB) und Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme (GoBS) - Ziffer 5.3 Satz 2 GoBS: „Über die Anforderungen der GoBS hinaus sind die sensiblen Informationen des Unternehmens auch gegen unberechtigte Kenntnisnahme zu schützen“ 29iusec Datenschutz, 2012 29
  30. 30. IT-Compliance • Ziffer II. 1 GDPdU Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen: - zur Sicherstellung der Prüfbarkeit digitaler Unterlagen sind beim Einsatz von Kryptographietechniken - die verschlüsselte und entschlüsselte Abrechnung sowie der - Schlüssel zur Entschlüsselung aufzubewahren. 30iusec Datenschutz, 2012 30
  31. 31. Zusammenfassung • Risiken (1) - fehlende Transparenz - fehlende Kontrolle über Daten und Prozesse - Schwierigkeiten bei Migration - zentraler Angriffspunkt - Multi Vendor Modelle: Rechtswahl? 31iusec Datenschutz, 2012 31
  32. 32. Zusammenfassung • Risiken (2) - SLAs - Insolvenz des Providers - sichere Datenlöschung nach Beendigung - § 203 StGB - Lizenzverträge Cloud-Anbieter und App-Anbieter 32iusec Datenschutz, 2012 32
  33. 33. Zusammenfassung • Checkliste für den Kunden: - Vertragspartner (in D/EU/EWR) - Anzahl Vertragspartner - Nutzungsbedingungen der Cloud-Angebote - Support - Zugriff auf eigene Daten (Format) - Auditierungsrechte 33iusec Datenschutz, 2012 33
  34. 34. Schlussinfos: • EU-Kommission: Cloud-Strategie (bis 2020 ca. 3,8 Millionen neue Arbeitsplätze in Europa; Steigerung BIP der EU jährlich um 160 Milliarden Euro) - Muster-Vertragsbedingungen - Zertifizierungsprogramme unterstützen - „Normen-Dschungel“ lichten, um Interoperabilität, Datenübertragbarkeit und -umkehrbarkeit zu nutzen - Koordinierung durch ETSI (Europäische Institut für Telekommunikationsnormen), für Datenschutz ENISA 34iusec Datenschutz, 2012 34
  35. 35. Schlussinfos: • BSI: Eckpunktepapier Cloud-Computing (Sicherheitsempfehlungen für Anbieter) • Verband Eurocloud • Düsseldorfer Kreis 29.4.2010: Safe-Harbor Zertifikate allein genügen nicht für USA • BMWi: Aktionsprogramm Trusted Cloud • Bitkom 35iusec Datenschutz, 2012 35
  36. 36. Vielen Dank für Ihre Aufmerksamkeit! 36iusec Datenschutz, 2012 36
  37. 37. Kontakt Martin Kuhr, LL.M. iusec Datenschutz Batschkastr. 18 67117 Limburgerhof Tel.: 06236/46082 www.iusec.de twitter.com/iusec 37iusec Datenschutz, 2012 37

×