Karsten U. Bartels LL.M.
Verträge für die Cloud
Rechtliche Besonderheiten und praktische Relevanz
1 Vereinbarung zum Datenschutz
2 Leistungsvereinbarung
3 Praktischer Umgang
Subunternehmer
des CSP
Anbieter /
Cloud-Nutzer
Endkunde
Cloud Service
Provider
Datenschutzrecht
Personenbezogene Daten
Subunternehmer
des CSP
Verantwortliche
Stelle
Betroffener
Cloud Service
Provider
ADV
Personenbezogene Daten
Service Provider
Verantwortliche
Stelle
Betroffener
Auch bei Nutzung von:
 Rechenzentrum/ Host...
 Erforderliche Regelungen in Schriftform
 Gegenstand und die Dauer des Auftrags
 Umfang, Art und Zweck der vorgesehenen...
 Zutrittskontrolle
 Zugangskontrolle
 Zugriffskontrolle
 Weitergabekontrolle
 Eingabekontrolle
 Auftragskontrolle
 ...
Prüfpflichten
 Sorgfältige Auswahl des CSP
 Regelmäßige Kontrolle
 Dokumentation der Kontrollen
 Problem: Umsetzung dieser Pflichten...
 Testierung
 Auditoren, Sachverständige, Rechtsanwälte, IT-
Sicherheitsbeauftragte, Wirtschaftsprüfer, etc.
 Auditierun...
 Transparenz + Information
 Ansprechpartner
 IT-Sicherheitskonzept
 Muster-ADV-Vereinbarung (CSP)
 Workflow für Änder...
Cloud und der Ausspähskandal
Anforderungen an die Datenübermittlung aus EU-
Mitgliedstaat in Nicht-Mitglied der EU/ des EWR
1. Kein bereichsspezifische...
… und nun?!
 Düsseldorfer Kreis
 Entschließungen, insbes. vom 28./29. September 2011
 Kontrollierbarkeit, Transparenz, Beeinflussba...
 Mitbewerber, kein Anspruch nach § 4 Nr. 11 UWG
 Datenschutz regelt nicht das Marktverhalten
 Betroffener
 Vertraglich...
Leistungsvereinbarung
Subunternehmer
des CSP
Cloud-Nutzer Endkunde
Cloud Service
Provider
AGB
AGB
SaaS = Miete
Softwarepflege = Dienstvertrag/ Werkvertrag
Installationen/
Anpassung = Werkvertrag
Hosting = Miete/ Werkvert...
 Konkrete, möglichst abschließende
Leistungsbeschreibung
 Einbindung von Subunternehmer
 Eindeutige Nutzungsrechteeinrä...
 Valide Regelungen zur Skalierbarkeit
 SLA
 Fehlerklassen
 Verfügbarkeit: Messung, Verstöße, Folgen
 Anwender-Support...
AUSBLICK
EU Datenschutzgrundverordnung
EU Verbraucherrechterichtlinie
EU Cookie-Richtlinie
DE IT-Sicherheitsgesetz
DE Beschäftigten...
Ihre Punkte
Karsten U. Bartels LL.M.
 Rechtsanwalt
 Zertifizierter Datenschutzbeauftragter (TÜV)
 Externer Auditor für Managementsy...
Nächste SlideShare
Wird geladen in …5
×

Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz

895 Aufrufe

Veröffentlicht am

Vortrag von RA Karsten U. Bartels von HK2 Rechtsanwälte auf der Veranstaltung "Cloud Computing - Impulse für die Wirtschaft" am 17. September 2013 in der IHK Potsdam

Veröffentlicht in: Technologie
0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
895
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
63
Aktionen
Geteilt
0
Downloads
7
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz

  1. 1. Karsten U. Bartels LL.M. Verträge für die Cloud Rechtliche Besonderheiten und praktische Relevanz
  2. 2. 1 Vereinbarung zum Datenschutz 2 Leistungsvereinbarung 3 Praktischer Umgang
  3. 3. Subunternehmer des CSP Anbieter / Cloud-Nutzer Endkunde Cloud Service Provider
  4. 4. Datenschutzrecht Personenbezogene Daten Subunternehmer des CSP Verantwortliche Stelle Betroffener Cloud Service Provider
  5. 5. ADV Personenbezogene Daten Service Provider Verantwortliche Stelle Betroffener Auch bei Nutzung von:  Rechenzentrum/ Hosting  E-Mail-Dienste  Callcenter  Dokumentenvernichtung/ RESISCAN  Externe Lohnrechnung  Web-Tracking Ähnlich bei:  Fernwartung  Vor-Ort-Support
  6. 6.  Erforderliche Regelungen in Schriftform  Gegenstand und die Dauer des Auftrags  Umfang, Art und Zweck der vorgesehenen Datenverwendung  Weisungsrechte des Auftraggebers  Kontrollrechte und Kontrollpflichten des Auftraggebers  Regelungen von Subunternehmerverhältnissen  Festlegung der „TOM“ gemäß § 9 BDSG  Datenrückgabe, Löschungspflichten  Zusätzliche Regelungen  Vertragsstrafen Auftragsdatenverarbeitung, § 11 BDSG ADV
  7. 7.  Zutrittskontrolle  Zugangskontrolle  Zugriffskontrolle  Weitergabekontrolle  Eingabekontrolle  Auftragskontrolle  Verfügbarkeitskontrolle  „Trennungskontrolle“ Technische und organisatorische Maßnahmen, § 9 BDSG ADV TOM
  8. 8. Prüfpflichten
  9. 9.  Sorgfältige Auswahl des CSP  Regelmäßige Kontrolle  Dokumentation der Kontrollen  Problem: Umsetzung dieser Pflichten  Lösung: Prüfung durch Dritte Weitere Pflichten nach § 11 BDSG
  10. 10.  Testierung  Auditoren, Sachverständige, Rechtsanwälte, IT- Sicherheitsbeauftragte, Wirtschaftsprüfer, etc.  Auditierung / Zertifizierung  BSI IT-Grundschutz, ISO 27001  datenschutz cert, DEKRA, TÜV  EuroCloud Star Audit  Europrise  ULD Schleswig-Holstein Lösung: Prüfung durch Dritte ADV TOM Zert.
  11. 11.  Transparenz + Information  Ansprechpartner  IT-Sicherheitskonzept  Muster-ADV-Vereinbarung (CSP)  Workflow für Änderungen des Musters durch Kunden  Workflow für ADV-V des Kunden  Strategie für Vertragsverhandlungen Tipps zum Datenschutz
  12. 12. Cloud und der Ausspähskandal
  13. 13. Anforderungen an die Datenübermittlung aus EU- Mitgliedstaat in Nicht-Mitglied der EU/ des EWR 1. Kein bereichsspezifisches Verbot 2. Gesetzlicher Erlaubnistatbestand oder Einwilligung des Betroffenen 3. Angemessenes Schutzniveau  Sicheres Drittland (z.B. Kanada, Schweiz)  EU Standardvertragsklauseln (EU-Model Clauses)  Binding Corporate Rules (BCRs, „Safe Haven“)  „Safe Harbor“ (nur USA) Cloud - grenzüberschreitend
  14. 14. … und nun?!
  15. 15.  Düsseldorfer Kreis  Entschließungen, insbes. vom 28./29. September 2011  Kontrollierbarkeit, Transparenz, Beeinflussbarkeit der Datenverarbeitung  International Working Group on Data Protection in Telecommunications (IWGDPT), sog. Berlin Group  „Datenschutz darf nicht in der Wolke „verdunsten“ ! Sopot Memorandum zum Cloud Computing“, 27.04.2012  Cloud-Nutzung darf DS nicht mindern  Folgenabschätzung vor Nutzung  Größtmögliche Transparenz und Kontrolle für Nutzer  Anstrengungen im Bereich von Zertifizierungen und Geschäftsmodellen  Rechtlicher Rahmen zu überprüfen Datenschutzbehörden
  16. 16.  Mitbewerber, kein Anspruch nach § 4 Nr. 11 UWG  Datenschutz regelt nicht das Marktverhalten  Betroffener  Vertragliche Ansprüche  § 6 BDSG  Datenschutzbehörden  § 42a BDSG Informationspflicht  § 43 BDSG Ordnungswidrigkeit  § 44 BDSG Straftat  Imageverlust Folgen eines Verstoßes
  17. 17. Leistungsvereinbarung Subunternehmer des CSP Cloud-Nutzer Endkunde Cloud Service Provider AGB AGB
  18. 18. SaaS = Miete Softwarepflege = Dienstvertrag/ Werkvertrag Installationen/ Anpassung = Werkvertrag Hosting = Miete/ Werkvertrag  typengemischte Verträge (Schwerpunkt)  Unterschiedliche Rechtsfolgen z.B. bei Gewährleistung, Haftung, AGB! Übersetzung ins Recht
  19. 19.  Konkrete, möglichst abschließende Leistungsbeschreibung  Einbindung von Subunternehmer  Eindeutige Nutzungsrechteeinräumung  Kündigungsregelungen  Eskalationsregime  Rechtswahl  Gerichtsstand Allgemeines
  20. 20.  Valide Regelungen zur Skalierbarkeit  SLA  Fehlerklassen  Verfügbarkeit: Messung, Verstöße, Folgen  Anwender-Support + Fehlersupport  Datensicherung  Exit-Klauseln  Löschen von Daten + Accounts  Herausgabe von Daten, Formate, Medien  Übertragen von Accounts  Fristen  Unternehmensveräußerung/ Ausscheiden von Mitarbeitern Besonderheiten
  21. 21. AUSBLICK
  22. 22. EU Datenschutzgrundverordnung EU Verbraucherrechterichtlinie EU Cookie-Richtlinie DE IT-Sicherheitsgesetz DE Beschäftigtendatenschutzgesetz
  23. 23. Ihre Punkte
  24. 24. Karsten U. Bartels LL.M.  Rechtsanwalt  Zertifizierter Datenschutzbeauftragter (TÜV)  Externer Auditor für Managementsysteme IT Security und Datenschutz (TÜV SÜD Management Service GmbH)  Auditor der datenschutz cert GmbH  Datenschutz-Gütesiegel ips - internet privacy standards  Zertifikat zur Auftragsdatenverarbeitung  Zertifikat für Datenschutz-Management priventum  Beim Unabhängigen Landeszentrum für Datenschutz Schleswig- Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich)  Stellv. Vorsitzender Arge Informationstechnologie, Deutscher Anwaltverein e.V.  Leiter AG Recht, Bundesverband IT-Sicherheit e.V. – TeleTrusT  Schlichter IT-Recht der IHK Berlin Schlichtungsstelle  Lehrbeauftragter der TH Wildau zum IT-Recht, Fachbereich Betriebswirtschaft / Wirtschaftsinformatik bartels@hk2.eu about.me/KarstenUBartels

×