10:34
Mittwoch, 07. Oktober 2015
Trust in Microsoft Cloud
Ihre Rechte und Pflichten beim Cloud Computing
Dr. Winklbauer, L...
A Cloud You Can Trust
Compliance
sorgfältige
MicrosoftAuftraggeber
Aktuelle Zertifizierungen…
GFS WW Services
CJIS
Yes
(GCC)
No No No N/A N/A No
EU Model Clauses Yes Yes Yes Yes Yes Yes No
...
Your data is safe Your data is yours You are in control
 Encryption of all data at rest
 Encryption of all data in trans...
6
Online Services Terms = Lizenz Vereinfachung
UND bessere Bedingungen für alle Cloud Kunden
Online Services Use Rights
(O...
Ressourcen Trust Centers O365 Trust Center
Azure Trust Center
Dynamics CRM Trust Center
Microsoft Intune Trust Center
Micr...
Microsoft Executive Forum 30.09.2015
Patriot Act, Datenschutz
und Compliance - alles neu?
Dr. Stephan Winklbauer, LL.M.
Pa...
Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
W...
Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
W...
 Jedermann hat Anspruch auf Geheimhaltung seiner Daten!
 Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens...
Wichtigste Begriffe des Datenschutzgesetzes
12
Definitionen in § 4 DSG 2000
Personenbezogene Daten: DSG voll anwendbar
 I...
Wichtigste Begriffe des Datenschutzgesetzes
13
Definitionen in § 4 DSG 2000
Auftraggeber: Trifft Entscheidung, Daten zu ve...
Rechtsgrundlage Datenschutzgesetz 2000
14
§ 6 – § 8 DSG
Ausnahme von diesem Verbot?
 Zweck und Inhalt von
 gesetzlichen ...
Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
W...
Nutzung von Cloud Services
16
Definitionen in § 4 DSG 2000
Auftraggeber: Trifft Entscheidung, Daten zu verwenden
... verwe...
Auftrag-
geber
Betroffener
Dienstleister
Dienstleister-
vertrag
Rechtschutzbehelfe
Welcher „Akteur” ist Cloud-Provider?
17...
Welcher „Akteur” ist Cloud-Provider?
18
Auftrag-
geber
Betroffener
Dienstleister
Dienstleister-
vertrag
Rechtschutzbehelfe...
Nutzung Office 365 – Was passiert rechtlich?
19
Datentransfer
 Cloud-Benützer von MS Office 365 (Bank, Unternehmen, Arzt,...
Data Breach Notification – Pflicht des Cloud-Benützers
20
(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner
...
Agenda
Basics des Datenschutzrechts – Grundlagen
Wichtigste Begriffe
Wer haftet für die Daten?
21
Zulässigkeit von Cloud C...
Datenschutzrechtliche Zulässigkeit des Cloud Computing
22
Zulässige Datenverarbeitung:
Zweck und Inhalt gedeckt, keine sch...
Datenschutzrechtliche Zulässigkeit innerhalb des EWR
23
 Keine Genehmigungspflicht des Datentransfers durch Datenschutzbe...
Datenschutzrechtliche Zulässigkeit außerhalb des EWR
24
 Keine Genehmigungspflicht des Datentransfers in gleichgestellte ...
1 http://safeharbor.export.gov/list.aspx
Datenschutzrechtliche Zulässigkeit außerhalb des EWR
25
Eintrag in Safe Harbor-Li...
http://safeharbor.export.gov/list.aspx
Safe Harbor Liste
26
!
Rechtsfolge:
Genehmigungsfreie
Datenübermittlung in USA
1 „Europe vs Facebook“ (Maximilian Schrems): EuGH C-362/14; Nächster Verfahrensschritt: Gutachten Generalanwalt
Exkurs: Fa...
Datenschutzrechtliche Zulässigkeit außerhalb des EWR
28
 Keine Genehmigungspflicht des Datentransfers in gleichgestellte ...
1 Inkl. Standardvertragsklauseln: Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement & Ann...
1 Bspw § 54 ÄrzteG, § 38 BWG, § 9 RAO, § 37 NO
2 § 14 DSG
Verschwiegenheitspflichten & branchenspezifische
Zulässigkeit
30...
1 Electronic Communications Privacy Act (1986)
2 Foreign Intelligence Surveillance Act (1978)
3 Microsoft Law Enforcement ...
 Schutzniveau vergleichbar zu EU-Staaten (Bilaterale Verträge!)
 Strenge Rechtsfertigungsgründe für Datenzugriff auf Clo...
Vereinbarkeit Datenschutzrecht von EU & USA
USA FREEDOM ACT
 USA Freedom Act of 2015
 „Uniting and Strengthening America...
Vereinbarkeit Datenschutzrecht von EU & USA
34
US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU
 Aktuelles Verf...
Key Points to Remember
 Ist eine Datenanwendung zulässig, kann der Kunde die Daten
auch in die Cloud geben (innerhalb des...
Vielen Dank für Ihre Aufmerksamkeit!
36
Dr. Stephan Winklbauer, LL. M.
Partner, Rechtsanwalt
aringer herbst winklbauer rec...
Nächste SlideShare
Wird geladen in …5
×

Trust in Cloud - Ihre Rechte und Pflichten beim Cloud-Computing

427 Aufrufe

Veröffentlicht am

In a mobile-first, cloud-first world, trust is more important than ever. Today, Microsoft supports more than 200 online and cloud services, a billion customers, and 20 million businesses in more than 76 markets worldwide. We know that our customers want to use technology they trust. That is why we want to lead our customer cloud conversations with "A Cloud You Can Trust" and show the market that among cloud service providers, Microsoft is the easiest and most reliable for customers to work with to achieve the trust they expect.

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
427
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
5
Aktionen
Geteilt
0
Downloads
13
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Trust in Cloud - Ihre Rechte und Pflichten beim Cloud-Computing

  1. 1. 10:34 Mittwoch, 07. Oktober 2015 Trust in Microsoft Cloud Ihre Rechte und Pflichten beim Cloud Computing Dr. Winklbauer, LL.M. Partner Rechtsanwalt aringer herbst winklbauer rechtsanwälte Harald Leitenmüller, CTO, Microsoft Österreich
  2. 2. A Cloud You Can Trust
  3. 3. Compliance sorgfältige MicrosoftAuftraggeber
  4. 4. Aktuelle Zertifizierungen… GFS WW Services CJIS Yes (GCC) No No No N/A N/A No EU Model Clauses Yes Yes Yes Yes Yes Yes No EU Safe Harbor Yes Yes Yes Yes Yes Yes Yes FedRAMP (Moderate) Yes No Yes No Yes No No FERPA Yes N/A Yes N/A N/A N/A – Agreement signed by services Yes HIPPA/BAA Yes Yes Yes Yes Yes Yes No UK G-Cloud Yes Yes Yes No N/A No No IPv6 Yes No No No N/A N/A No ISO 27001:2013 +27018:2014 Yes Yes Yes Yes Yes Yes Yes (27001:2013) PCI DSS N/A N/A Yes N/A Yes N/A N/A Section 508 Yes Yes Yes Yes N/A N/A Yes SOC 1 Type 2 (SSAE 16 / ISAE 3402) Yes Yes Yes No, Type 1 only Yes No No SOC 2 Type 2 (AT Section 101) Yes No Yes No, Type 1 only Yes No No
  5. 5. Your data is safe Your data is yours You are in control  Encryption of all data at rest  Encryption of all data in transit  Enhanced event and admin / service access logging  Advanced security monitoring and threat management  Clear guidelines on data location  Greater transparency and simplicity of data use policies and choices  Data accessed only to improve customer experience  Law enforcement requests redirected to the customer  Notification of customers of lawful requests for information; challenging of gag orders  Ability of customers to hold encryption key and revoke Microsoft copy  Complete deletion of data on customer request and on contract termination  Customer choice of data location  Customer option to limit Microsoft access to data Microsoft Trusted Cloud
  6. 6. 6 Online Services Terms = Lizenz Vereinfachung UND bessere Bedingungen für alle Cloud Kunden Online Services Use Rights (OLSUR) OLS Amendments
  7. 7. Ressourcen Trust Centers O365 Trust Center Azure Trust Center Dynamics CRM Trust Center Microsoft Intune Trust Center Microsoft on the Issues Microsoft On the Issues Challenging governments on behalf of our customers Success in challenging an NSA Letter – protecting customers’ rights Responding to government demands for customer data CyberTrust Blog US/Ireland E-Mail Search Warrant Case www.DigitalConstitution.com Law Enforcement Requests and U.S. National Security Orders reports Law Enforcement Requests Report US National Security Orders Reports Microsoft Online Services Terms Online Services Terms Microsoft Enterprise Cloud http://www.Microsoft.com/cloud
  8. 8. Microsoft Executive Forum 30.09.2015 Patriot Act, Datenschutz und Compliance - alles neu? Dr. Stephan Winklbauer, LL.M. Partner, Rechtsanwalt
  9. 9. Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 9 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
  10. 10. Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 10 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
  11. 11.  Jedermann hat Anspruch auf Geheimhaltung seiner Daten!  Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens  Geheimhaltung gegenüber Staat und Privaten  Schutz vor Ermittlung und Weitergabe  Voraussetzung:  Personenbezogene Daten  Schutzwürdiges Interesse Rechtsgrundlage Datenschutzgesetz 2000 Daten öffentlich / anonym? 11 Bild: www.lebensraum-bonn.com/datenschutz.html
  12. 12. Wichtigste Begriffe des Datenschutzgesetzes 12 Definitionen in § 4 DSG 2000 Personenbezogene Daten: DSG voll anwendbar  Identität bestimmt (Name) oder  Identität bestimmbar Anonymisierte Daten: DSG nicht anwendbar  Herstellung eines Personenbezugs verlässlich ausgeschlossen?  Praxistipp: Aggregierte Datensätze (Gruppe von mind. 5 Betroffenen1) Indirekt personenbezogene (= pseudonymisierte) Daten:  Identifikationsmerkmal durch Pseudonym/Code ersetzt  für jeweiligen User Personenbezug verhindert 1 Empfehlung DSK, 22.5.2013, K213.180/0021-DSK/2013 Beispiele Personenbezug: • E-Mail Adresse • IP-Adresse • Kundennummer, etc... !
  13. 13. Wichtigste Begriffe des Datenschutzgesetzes 13 Definitionen in § 4 DSG 2000 Auftraggeber: Trifft Entscheidung, Daten zu verwenden ... verwendet selbst oder setzt dafür Dienstleister ein Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags Auskunfts-, Richtigstellungs- und Löschungsverpflichtungen treffen immer den Auftraggeber! !
  14. 14. Rechtsgrundlage Datenschutzgesetz 2000 14 § 6 – § 8 DSG Ausnahme von diesem Verbot?  Zweck und Inhalt von  gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und  schutzwürdige Geheimhaltungsinteressen gewahrt Verarbeitung von Daten ist grundsätzlich verboten!
  15. 15. Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 15 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
  16. 16. Nutzung von Cloud Services 16 Definitionen in § 4 DSG 2000 Auftraggeber: Trifft Entscheidung, Daten zu verwenden ... verwendet selbst oder setzt dafür Dienstleister ein Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags
  17. 17. Auftrag- geber Betroffener Dienstleister Dienstleister- vertrag Rechtschutzbehelfe Welcher „Akteur” ist Cloud-Provider? 17  Entscheidung über Datenverwendung  Datenschutzrechtliche Verantwortung  Verwendet überlassene Daten...  zur Durchführung des Auftrags
  18. 18. Welcher „Akteur” ist Cloud-Provider? 18 Auftrag- geber Betroffener Dienstleister Dienstleister- vertrag Rechtschutzbehelfe  Entscheidung über Datenverwendung  Datenschutzrechtliche Verantwortung  Verwendet überlassene Daten...  zur Durchführung des Auftrags
  19. 19. Nutzung Office 365 – Was passiert rechtlich? 19 Datentransfer  Cloud-Benützer von MS Office 365 (Bank, Unternehmen, Arzt, etc.) ist Auftraggeber im Sinne des Datenschutzgesetzes  Kunde des Cloud-Benützers ist Betroffener  Überlassung von Daten an Dienstleister (= Microsoft = Cloud-Anbieter)  Microsoft trifft keine eigene Entscheidung zur Datenverwendung Bild: www.slankerzonderdieet.nl/programma/paragraph-kopie/
  20. 20. Data Breach Notification – Pflicht des Cloud-Benützers 20 (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Ausnahmen:  Geringfügiger Schaden droht  oder Informationskosten unverhältnismäßig hoch Schadensminderungsobliegenheit des Cloud-Benützers! § 24 Abs 2a DSG Bild: securityaffairs.co/wordpress/4110/cyber-crime/medicaid-incident-how-much-cost-a-data-breach.html Selbstbeurteilung des Auftraggebers Notfallplan ratsam !
  21. 21. Agenda Basics des Datenschutzrechts – Grundlagen Wichtigste Begriffe Wer haftet für die Daten? 21 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
  22. 22. Datenschutzrechtliche Zulässigkeit des Cloud Computing 22 Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt Innerhalb EWR Außerhalb EWR  Nur Abschluss Dienstleistervertrag nötig (hier: Vertrag mit Microsoft)  Keine Genehmigungspflicht durch Datenschutzbehörde  Grundsätzlich Genehmigung durch Datenschutzbehörde erforderlich  Außer Ausnahmetatbestand erfüllt (zB Zustimmung, Safe-Harbor, Standard- vertragsklauseln)
  23. 23. Datenschutzrechtliche Zulässigkeit innerhalb des EWR 23  Keine Genehmigungspflicht des Datentransfers durch Datenschutzbehörde!  Abschluss eines schriftlichen Dienstleistervertrags erforderlich  Gilt für Datenüberlassung innerhalb:  des (inländischen) Unternehmens  Österreichs  des EWR
  24. 24. Datenschutzrechtliche Zulässigkeit außerhalb des EWR 24  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
  25. 25. 1 http://safeharbor.export.gov/list.aspx Datenschutzrechtliche Zulässigkeit außerhalb des EWR 25 Eintrag in Safe Harbor-Liste1 prüfen! !  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...  ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten
  26. 26. http://safeharbor.export.gov/list.aspx Safe Harbor Liste 26 ! Rechtsfolge: Genehmigungsfreie Datenübermittlung in USA
  27. 27. 1 „Europe vs Facebook“ (Maximilian Schrems): EuGH C-362/14; Nächster Verfahrensschritt: Gutachten Generalanwalt Exkurs: Facebook vs. Max Schrems: EuGH zu Safe Harbor 27 Safe Harbor Abkommen – Irisches Höchstgericht legt EuGH Fragen zu Rechtmäßigkeit vor  Aktuelles Verfahren1 - Ausgangslage:  Basierend auf Entscheidung der EU Kommission im Jahr 2000: Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor  Snowden Affäre zeigt: NSA greift anscheinend umfassend auf personenbezogene Daten von EU-Bürgern zu  EuGH: Prüfung ob Safe Harbor Abkommens (immer noch) mit EU-Grund- & Datenschutzrechten vereinbar Derzeit keine Änderung – „Safe Harbor is still safe!“ !
  28. 28. Datenschutzrechtliche Zulässigkeit außerhalb des EWR 28  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...  ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten  (...oder Verwendung von EU-Standardvertragsklauseln)
  29. 29. 1 Inkl. Standardvertragsklauseln: Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement & Annex 1 Verwendung von EU-Standardvertragsklauseln 29  Rechtsfolge: Angemessenes Datenschutzniveau gilt als nachgewiesen  In Zukunft: Bloße Anzeige- statt Genehmigungspflicht durch DSB  Aber: Bisher keine nationale Umsetzung  Artikel 29 Gruppe: MS Datenverarbeitungsklauseln1 geprüft Unabhängige EU-Datenschutzgruppe bestätigt Datenschutzkonformität von MS Office 365 !Derzeit weiterhin Genehmigungspflicht! - Ergebnis: Entspricht Dienstleister-Standardvertragsklauseln (2010/87/EG)
  30. 30. 1 Bspw § 54 ÄrzteG, § 38 BWG, § 9 RAO, § 37 NO 2 § 14 DSG Verschwiegenheitspflichten & branchenspezifische Zulässigkeit 30 Exkurs  Daten nur im Rahmen der Aufträge des Cloud-Benutzers verwenden  Verschwiegenheits- & Geheimhaltungspflichten:  Kein allgemeines Verbot der Überlassung von Daten  Auftraggeber muss Sondergesetze1 beachten – „Was darf ich?“  Einhaltung der Datensicherheitsmaßnahmen2, uA:  Muss Mitarbeiter zur Einhaltung des Datengeheimnisses verpflichten  Cloud-Nutzer muss eigene Verschwiegenheitspflichten auf Dienstleister überbinden!
  31. 31. 1 Electronic Communications Privacy Act (1986) 2 Foreign Intelligence Surveillance Act (1978) 3 Microsoft Law Enforcement Requests Report 2014 (Zeitraum Kalenderjahr 2014); angefragte Accounts: 111 Vereinbarkeit Datenschutzrecht von EU & USA Patriot Act & PRISM - Ermittlungsmethoden zur Terrorbekämpfung  USA Patriot Act of 2001  „Uniting and Strengthening America by Providingg Appropriate Tools Required to Intercept and Obstruct Terrorism Act“  PRISM - Digitales Überwachungsprogramm  Rechtsgrundlagen: USA Patriot Act, ECPA1, FISA2  Auf Antrag offengelegte Inhaltsdaten österreichischer Microsoft-User3: Null  Vergleichbare Überwachungsprogramme existieren ... auch in Europa (zB §§ 134 österr. Strafprozessordnung) ... uzw seit Jahrzehnten
  32. 32.  Schutzniveau vergleichbar zu EU-Staaten (Bilaterale Verträge!)  Strenge Rechtsfertigungsgründe für Datenzugriff auf Cloud:  Betrifft nur Strafsachen & Terror-/Spionagebekämpfung  Nur als Ausnahme von konventionellen Methoden  Gerichtsbeschluss/Durchsuchungsbefehl  Hinreichender Tatverdacht  Verbot freiwilliger Herausgabe  Benachrichtigungspflicht des Kunden Vereinbarkeit Datenschutzrecht von EU & USA zwingende Voraussetzung Patriot Act & PRISM ! Fazit: Datenzugriff nur in Ausnahmefällen Internationaler Standard
  33. 33. Vereinbarkeit Datenschutzrecht von EU & USA USA FREEDOM ACT  USA Freedom Act of 2015  „Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Act. “  Reform & Verlängerung des USA Patriot Act  Datenspeicherung von Telefon-Metadaten durch Unternehmen, nicht NSA  Jährliche Reports
  34. 34. Vereinbarkeit Datenschutzrecht von EU & USA 34 US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU  Aktuelles Verfahren1 gegen Microsoft – Ausgangslage:  US-Behörden verlangen Zugriff auf in EU gespeicherte Daten  Grundlage: Durchsuchungsbefehl in US-Strafverfahren  Microsoft in 2 Instanzen zur Herausgabe verurteilt  Sanktionen vorerst ausgesetzt (keine Datenherausgabe)  Neuester Stand2: Berufungsverfahren in 3. Instanz ! Top aktuell: Microsoft Presseseite http://digitalconstitution.com 1 US Court of Appeals for the Second Circuit, 14-2985-cv 2 Reply Brief for Appellant, 08.04.2015; http://mscorp.blob.core.windows.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf
  35. 35. Key Points to Remember  Ist eine Datenanwendung zulässig, kann der Kunde die Daten auch in die Cloud geben (innerhalb des EWR)  Cloud-Speicherung in EWR & Safe Harbor grds. genehmigungsfrei  Patriot Act/PRISM: Schreckgespenst! Möglichkeit des Datenzugriffs durch Behörden nicht höher als bei uns
  36. 36. Vielen Dank für Ihre Aufmerksamkeit! 36 Dr. Stephan Winklbauer, LL. M. Partner, Rechtsanwalt aringer herbst winklbauer rechtsanwälte 1010 Wien, Grillparzerstraße 5 +43 1 890 90 17 winklbauer@ahwlaw.at

×