Das herstellerunabhängige Branchentreffen "UC Expert Talk" vom 13.-15. Juni 2016 widmete sich ganz dem Thema Conferencing aus der Cloud und wie einfach es sein kann per Videokonferenz an wichtigen Besprechungen und Konferenzen teilzunehmen. Das spart Kosten, schont Umwelt und Nerven – und dennoch kann man seinem Gesprächspartner in die Augen blicken. Die Besucher des Events konnten dabei in spannende Fachdiskussionen, Live-Demos und Praxistipps von hochkarätigen IT-Experten eintauchen.
6. Wissensarbeiter heute
• ... checken ihre Smartphones
bis zu 150 Mal proTag
• ... verbringen 28% ihrer Zeit mit
der Bearbeitung von E-Mails
• ... brauchen 67 Sekunden, um
sich nach einer Email wieder
auf etwas anderes zu
konzentrieren
• ... praktizieren zu 75% Multi-
Tasking während ihrer Meetings
20. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
20
Gelten für die Provider auch Anforderungen aus Übersee?
„Objektive Anknüpfung“: Sitz der Vertragsparteien bzw. des
Providers, Ort der Vertragsunterzeichnung, Ort / Schwerpunkt der
Leistungserbringung (wo ist dieser bei virtueller Infrastruktur?)
Freie (?) Rechtswahl in den Grenzen des IPR vs. „Standard Terms
and Conditions“
Nur für Vertragsrecht (Servicepflichten, Zahlungsbedingungen
etc.) möglich, Datenschutzniveau nicht frei wählbar
Rechtsnatur von Cloud-Verträgen
Kein Vertragstypus „IT“, sondern typengemischte Verträge
Qualifikation abhängig von Schwerpunkt
IaaS = Dienst-/Werkvertragsrecht?
PaaS = Dienst-/Werkvertragsrecht?
SaaS = Mietvertrag (wie ASP)? -> verschuldensunabhängige
Haftung
SLA
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz
21. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
21
§ 1 Abs. 5 BDSG: Deutsches Recht anwendbar,
Territorialitätsprinzip
Aber: der lange Arm des CIA („Patriot Act“) erreicht auch
„europäische Clouds“ US amerikanischer Anbieter
Übermittlung von Daten außerhalb EU (§ 4b BDSG)
„angemessenes Datenschutzniveau“?
Binding Corporate Rules, EU Vertragsklauseln oder Safe Harbor
§ 11 BDSG, ADV: Sorgfältige Auswahl und Überwachung des
Anbieters
Überwachung des ordnungsgemäßen Cloud-Betriebes wegen
Virtualisierungstechniken / Grids schwierig
Mindestinhalte des ADV Vertrages nach BDSG?
Kenntnis über alle Speicherorte und Subunternehmer
zwingend?
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz
22. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
22
IT-Sicherheit, als Aspekt des Datenschutzes
Verfügbarkeit, Prozessstabilität und (physische) Sicherheit der
Prozesse
Anforderungen Datenaufbewahrung und -archivierung
Schutzmaßnahmen nach § 9 BDSG – auch bei Virtualisierung?
Zertifizierung des Providers als Ruhekissen des Kunden
§§ 4d, 4e, 4g BDSG: Aufgaben des Datenschutzbeauftragten,
Integration der Cloud ins Verfahrensverzeichnis?
Benachrichtigungspflichten bei Feststellung eines Datenlecks,
soweit besonders sensible Daten betroffen sind (§ 42a BDSG)
Sachliche (Fach) Hinweise: „Orientierungshilfe – Cloud
Computing“ der Datenschutzbehörden
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz
23. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
23
Zusätzlich: Datenschutzempfehlung der EU-Datenschutzbehörden (Stellungnahme
der Art. 29 Datenschutzgruppe – WP 196):
Strenge zusätzliche Vorgaben für Auftragsdatenverarbeitungs-verträge (z.B.
Angaben über sämtliche Verarbeitungsorte, Versicherung der Einhaltung
rechtlicher Standards)
EU Kommission schlägt Mustervertrag vor
Weitere detaillierte Empfehlungen und Vorgaben
01 Die Wolke eingrenzen – Rechtswahl und Datenschutz
24. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
24
Bei Cloud Computing wird die Verbindung von Software und
Hardware gelöst, damit ist auch das Modell der
Softwareüberlassung neu:
Installation vom Datenträger vs. Online Zugriff ohne Installation
Der Software-/Datenbankanbieter als Service Provider
Installationsort der Software liegt beim Cloud-Anbieter
(Unbestimmbarkeit in virtualisierter Cloud-Umgebung
problematisch z.B. für Archivierungspflichten)
Was bedeutet das rechtlich?
Nicht die Qualität und Lauffähigkeit der Installationsdatei
entscheidet über Mangel oder Mangelfrei, sondern die
ununterbrochene Verfügbarkeit der Software (via
Netzanbindung) für den Kunden
Statt Kauf-/Werkvertragsgewährleistung sind Mietrecht
(ununterbrochene Gebrauchsüberlassung) und
Dienstvertragsrecht (Service „mittlerer Art und Güte“)
anwendbar
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien
25. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
25
SLA als Instrument der Qualitätssicherung:
Für Dienstverträge gilt: „Leistungen mittlerer Art und Güte“
Fehlt eine individuelle vertragliche Regelung, hat der Anbieter
grundsätzlich für eine 100%ige Verfügbarkeit einzustehen
Im Mietrecht ist die ununterbrochene gebrauchsfertige
Überlassung die gesetzliche Zielvorgabe
Netzanbindung über Internet kann nicht zu 100% sichergestellt
werden, liegt auch in der Mitverantwortung des Kunden
SLA regeln daher individuelle Verfügbarkeitsvorgaben
Verfügbarkeitsanforderungen variieren je nach Art der
Applikation
Bei Mietmodell ist kein gesonderter Pflegevertrag mehr nötig
(fortlaufende „on demand“ Lizenzgebühren vs. Pflegegebühren)
Support, Upgrade und Update müssen aber weiterhin geregelt
werden
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien
26. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
26
Gesetzlich vorgesehene Mängelgewährleistung ist oft
nicht praxistauglich:
Was ist die vertraglich geschuldete „Soll-Leistung“?
Welche gesetzliche Gewährleistung gilt dafür?
Gewährleistungsrechte sind oft nicht umsetzbar
(Selbstabhilfe …) oder nicht zielführend (Minderung …).
Wie werden finanzielle Ansprüche berechnet?
Lösung: Regelung unzureichender Leistungen in SLA
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien
27. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
27
Service Level Agreement (SLA)
genaue Leistungsbeschreibung anhand KPI (Key Performance Indicator)
„Soll-Größen“ für KPI mit Messintervallen
Folgen von Unterschreitungen der Soll-Größen
(Malus, Gutschrift, Minderung, pauschaler Schadensersatz, etc.)
ggf. Folgen für Vertrag bei dauerhaften schwerwiegenden
Unterschreitungen bestimmter KPI (gesonderte „Schwellwerte“)
Verhältnis zu „Gewährleistung“ (abschließende Regelung: SLA, ggf. daneben noch
gesetzliche Mängelgewährleistungsrechte)
02 Auf die Wolke zugreifen – SLA und Verfügbarkeitsgarantien
28. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
28
Rechtliche Einordnung des Vertragstypus hat auch Konsequenzen
für Vergütungspflicht und deren grundsätzliche Fälligkeit
Gesetzliche Leitbilder:
Kaufvertrag: direkt mit Übergabe bzw. Download
Werkvertrag: nach erfolgter Abnahme
Dienstvertrag: im Nachhinein, „kein Geld ohne Arbeit“
Mietvertrag: fortlaufend im Voraus abhängig vom bestellten
Mietzeitraum
In der Praxis:
bei SaaS ist verbrauchsabhängige (z.B. pro genutzter
Rechnerstunde) Abrechnung im Nachhinein üblich
Bei vorbestellten Hostingkapazitäten ist fortlaufende
Mietzahlung im Vorhinein üblich (auch wenn gemietete
Serverkapazität physisch nicht bestimmbar, sondern nur
virtualisiert vorhanden)
03 Die Wolke bezahlen – Vergütungsmodelle rechtlich betrachtet
29. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
29
Wer Daten bei einem Dritten platziert, bleibt weiterhin für deren
Schutz und Sicherheit verantwortlich (datenschutzrechtlicher
Grundsatz)
Lediglich die Ausführung kann delegiert werden, nicht die
Verantwortung
Aber: Wie findet man den richtigen Service Provider, der einem das
garantiert?
Checklisten der wichtigsten Anforderungen können helfen, z.B.
BSI Richtlinie für Mindestsicherheitsanforderungen an Cloud
Computing-Anbieter
BITKOM Leitfaden „Cloud Computing“
„Orientierungshilfe – Cloud Computing“ der
Datenschutzbehörden
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden
30. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
30
Wirksames IT Sicherheitskonzept, idealerweise mit Zertifizierung belegt (z.B. ISO
27001)
Mandantenfähige Systemarchitektur, die wirksame Datentrennung garantiert
Wirksame physische Sicherung der Rechenzentren und virtuelle Sicherung der
Netzwerke
Gesetzeskonforme und reproduzierbare Datenarchivierung
Wirksame Verschlüsselung beim Provider und in der Kommunikation mit Kunden
Funktionierendes ID- und Rechtemanagement
Der Berechtigte bekommt nur die Daten zu sehen, die er sehen darf
Umfassendes Monitoring und zeitnahe, aussagekräftige Reports
24/7 erreichbares Incident Management und Troubleshooting
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden
31. www.skwschwarz.de
Berlin Düsseldorf Frankfurt/Main Hamburg München
Rechtliche Aspekte des Cloud Computing
UC Branchenevent München, 13. Juni 2016
31
Nachweis der Implementierung eines Standard Notfallkonzepts
einschließlich regelmäßiger Überprüfung und Tests
Regelmäßige Prüfung des IT Sicherheitszustands mit Nachweis
Vertrauenswürdiges, geschultes und verpflichtetes Personal
Transparenz schafft Vertrauen
Offenlegung der Speicherorte, staatlicher Einsichtsrechte, eingesetzte
Subunternehmer, gesellschaftsrechtliche Mehrheitsverhältnisse
Definierte Sicherheitsleistungen
Absicherung und Rückgabe der Daten bei Insolvenz
Gewährung von Auditrechten
Portabilität und Rückforderungsrecht bzgl. der Daten
Interoperabilität mit anderen Providern und Kundensystemen
Datenschutz und allgemeine Compliance
04 Die Wolke praktisch – Checkliste für Cloud Service Kunden