Diese Präsentation wurde erfolgreich gemeldet.
Wir verwenden Ihre LinkedIn Profilangaben und Informationen zu Ihren Aktivitäten, um Anzeigen zu personalisieren und Ihnen relevantere Inhalte anzuzeigen. Sie können Ihre Anzeigeneinstellungen jederzeit ändern.
Agenda
Basics+des+Datenschutzrechts+– Grundlagen
Wichtigste+Begriffe
Wer+haftet+für+die+Daten?
2
Zulässigkeit+von+Cloud Co...
Agenda
Basics&des&Datenschutzrechts&– Grundlagen
Wichtigste+Begriffe
Wer+haftet+für+die+Daten?
3
Zulässigkeit+von+Cloud Co...
− Jedermann&hat+Anspruch+auf+Geheimhaltung&seiner&Daten!
− Ursprung:+Grundrecht+auf+Achtung+des+Privat9 und+Familienlebens...
Bild:+www.lebensraumSbonn.com/datenschutz.html
Wichtigste+Begriffe+des+Datenschutzgesetzes
5
Definitionen&in&§ 4&DSG&2000
...
Rechtsgrundlage+Datenschutzgesetz+2000+
6
§ 6&– § 8&DSG
Ausnahme&von&diesem&Verbot?
− Zweck&und+Inhalt von
− gesetzlichen&...
Agenda
Basics+des+Datenschutzrechts+– Grundlagen
Wichtigste&Begriffe
Wer+haftet+für+die+Daten?
7
Zulässigkeit+von+Cloud Co...
Wichtigste+Begriffe+des+Datenschutzgesetzes
8
Definitionen&in&§ 4&DSG&2000
− Personenbezogene&Daten:
− Identität+bestimmt(...
Auftrag9
geber
Betroffener
Dienstleister
Dienstleister/
vertrag
Rechtschutzbehelfe
Wichtigste+Begriffe+des+Datenschutzgese...
Wichtigste Begriffe des+Datenschutzgesetzes
10
Auftrag9
geber
Betroffener
Dienstleister
Dienstleister)
vertrag
Rechtschutz...
Nutzung+Office+365+– Was+passiert+rechtlich?
11
Datentransfer
− Cloud9Benützer&von+MS+Office+365+(Bank,+Unternehmen,+Arzt,...
Agenda
Basics+des+Datenschutzrechts+– Grundlagen
Wichtigste+Begriffe
Wer&haftet&für&die&Daten?
12
Zulässigkeit+von+Cloud C...
Haftungsfragen in+der+Cloud
13
Cloud9Benützer: Prüfpflicht&für+ausreichenden+Datenschutz+beim+CloudSAnbieter
− Genauer+Umf...
Agenda
Basics+des+Datenschutzrechts+– Grundlagen
Wichtigste+Begriffe
Wer+haftet+für+die+Daten?
14
Zulässigkeit&von&Cloud C...
Datenschutzrechtliche+Zulässigkeit+des+Cloud+Computing
15
Zulässige&Datenverarbeitung:&
Zweck+und+Inhalt+gedeckt,+keine+sc...
Datenschutzrechtliche+Zulässigkeit+innerhalb des+EWR
16
− Keine&Genehmigungspflicht&des+Datentransfers+durch+Datenschutzbe...
Datenschutzrechtliche+Zulässigkeit+außerhalb des+EWR
17
− Keine&Genehmigungspflicht&des+Datentransfers+in gleichgestellte&...
1+http://safeharbor.export.gov/list.aspx
Datenschutzrechtliche+Zulässigkeit+außerhalb des+EWR
18
Eintrag&in&&Safe&Harbor9L...
http://safeharbor.export.gov/list.aspx
Safe+Harbor+Liste
19
!
Rechtsfolge:
Genehmigungsfreie
Datenübermittlung+in+USA
1 „Europe+vs Facebook“+(Maximilian+Schrems):+Entscheidung+ vom+18.+Juni+2014,+ GZ:+2013+No.+765JR
Exkurs:+Facebook+vs.+Max...
Datenschutzrechtliche+Zulässigkeit+außerhalb&des+EWR
21
− Keine&Genehmigungspflicht&des+Datentransfers+in gleichgestellte&...
1 Inkl.+Standardvertragsklauseln:+Enterprise+Enrollment Addendum+ Microsoft+Online+Services+Data+Processing+Agreement+&+An...
1 Bspw § 54+ÄrzteG,+ § 38+BWG,+§ 9+RAO,+§ 37+NO+
2 § 14+DSG
Verschwiegenheitspflichten+&+branchenspezifische+
Zulässigkeit...
1 Electronic+ Communications+ Privacy+Act (1986)+
2 Foreign Intelligence Surveillance Act (1978)
3 Microsoft+Law+Enforceme...
− Schutzniveau&vergleichbar&zu+EUSStaaten+(Bilaterale+Verträge!)
− Strenge&Rechtsfertigungsgründe&für+Datenzugriff+auf+Clo...
1 GZ:+13SMAGS2814;+M9S150
2 Brief+for Appellant,+ 08.12.2014;+Volltext:+http://digitalconstitution.com/wpScontent/uploads/...
Key+Points+to Remember
− Ist+eine+Datenanwendung+zulässig,+kann+der+Kunde+die+Daten
auch+in+die+Cloud geben+(innerhalb+des...
Vielen+Dank+für+Ihre+Aufmerksamkeit!
Dr.&Stephan&Winklbauer,&LL.&M.
Partner,+Rechtsanwalt
aringer herbst winklbauer rechts...
So sicher ist die Cloud! Patriot Act, Datenschutz und Compliance – Alles neu?
Nächste SlideShare
Wird geladen in …5
×

So sicher ist die Cloud! Patriot Act, Datenschutz und Compliance – Alles neu?

731 Aufrufe

Veröffentlicht am

Dr. Stephan Winklbauer, Rechtsanwalt: So sicher ist die Cloud! Patriot Act, Datenschutz und Compliance – Alles neu?

Executive Briefing Graz am 29.4. zum Thema: ‚So sicher ist die Cloud! Datenschutz - & Sicherheit in der Microsoft Cloud‘.

Veröffentlicht in: Technologie
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

So sicher ist die Cloud! Patriot Act, Datenschutz und Compliance – Alles neu?

  1. 1. Agenda Basics+des+Datenschutzrechts+– Grundlagen Wichtigste+Begriffe Wer+haftet+für+die+Daten? 2 Zulässigkeit+von+Cloud Computing+/+USA+Patriot+Act,+etc.
  2. 2. Agenda Basics&des&Datenschutzrechts&– Grundlagen Wichtigste+Begriffe Wer+haftet+für+die+Daten? 3 Zulässigkeit+von+Cloud Computing+/+USA+Patriot+Act,+etc.
  3. 3. − Jedermann&hat+Anspruch+auf+Geheimhaltung&seiner&Daten! − Ursprung:+Grundrecht+auf+Achtung+des+Privat9 und+Familienlebens − Geheimhaltung+gegenüber+Staat+und+Privaten − Schutz+vor+Ermittlung&und+Weitergabe − Voraussetzung:+ − Personenbezogene+Daten − Schutzwürdiges+Interesse Rechtsgrundlage+Datenschutzgesetz+2000 Daten+öffentlich+/+anonym? 4 Bild:+www.lebensraumSbonn.com/datenschutz.html
  4. 4. Bild:+www.lebensraumSbonn.com/datenschutz.html Wichtigste+Begriffe+des+Datenschutzgesetzes 5 Definitionen&in&§ 4&DSG&2000 − Personenbezogene&Daten: − Identität+bestimmt(Name)+oder+bestimmbar&(Verschlüsselung) − Wenn+nicht&feststellbar&! DSG+nicht+anzuwenden − Auftraggeber:&Trifft+Entscheidung,+Daten+zu+verwenden − ...+verwendet+selbst+oder+setzt+dafür+Dienstleister+ein − Dienstleister:&Verwendet+Daten+ (nur)+für+Durchführung+des+Auftrags Auskunfts9,&Richtigstellungs9 und&Löschungsverpflichtungen treffen&immer&den&Auftraggeber! !
  5. 5. Rechtsgrundlage+Datenschutzgesetz+2000+ 6 § 6&– § 8&DSG Ausnahme&von&diesem&Verbot? − Zweck&und+Inhalt von − gesetzlichen&Zuständigkeiten&/&rechtlichen&Befugnissen&gedeckt+und − schutzwürdige&Geheimhaltungsinteressen&gewahrt Verarbeitung von&Daten&ist grundsätzlich verboten!
  6. 6. Agenda Basics+des+Datenschutzrechts+– Grundlagen Wichtigste&Begriffe Wer+haftet+für+die+Daten? 7 Zulässigkeit+von+Cloud Computing+/+USA+Patriot+Act,+etc.
  7. 7. Wichtigste+Begriffe+des+Datenschutzgesetzes 8 Definitionen&in&§ 4&DSG&2000 − Personenbezogene&Daten: − Identität+bestimmt(Name)+oder+bestimmbar&(Verschlüsselung) − Wenn+nicht&feststellbar&! DSG+nicht+anzuwenden − Auftraggeber:&Trifft+Entscheidung,+Daten+zu+verwenden − ...+verwendet+selbst+oder+setzt+dafür+Dienstleister+ein − Dienstleister:&Verwendet+Daten+ (nur)+für+Durchführung+des+Auftrags Bild:+www.lebensraumSbonn.com/datenschutz.html
  8. 8. Auftrag9 geber Betroffener Dienstleister Dienstleister/ vertrag Rechtschutzbehelfe Wichtigste+Begriffe+des+Datenschutzgesetzes 9 − Entscheidung über+ Datenverwendung − Datenschutzrechtliche+ Verantwortung − Verwendet+überlassene+ Daten... − zur+Durchführung des+ Auftrags
  9. 9. Wichtigste Begriffe des+Datenschutzgesetzes 10 Auftrag9 geber Betroffener Dienstleister Dienstleister) vertrag Rechtschutzbehelfe − Entscheidung über+ Datenverwendung − Datenschutzrechtliche+ Verantwortung − Verwendet+überlassene+ Daten... − zur+Durchführung des+ Auftrags
  10. 10. Nutzung+Office+365+– Was+passiert+rechtlich? 11 Datentransfer − Cloud9Benützer&von+MS+Office+365+(Bank,+Unternehmen,+Arzt,+etc.)+ist+ Auftraggeber&im+Sinne+des+Datenschutzgesetzes − Kunde+des+CloudSBenützers+ist+Betroffener − Überlassung&von+Daten+an+Dienstleister&(=+Microsoft+=+CloudSAnbieter) − Microsoft+trifft+keine+eigene+Entscheidung+zur+Datenverwendung Bild:+www.slankerzonderdieet.nl/programma/paragraphSkopie/+
  11. 11. Agenda Basics+des+Datenschutzrechts+– Grundlagen Wichtigste+Begriffe Wer&haftet&für&die&Daten? 12 Zulässigkeit+von+Cloud Computing+/+USA+Patriot+Act,+etc.
  12. 12. Haftungsfragen in+der+Cloud 13 Cloud9Benützer: Prüfpflicht&für+ausreichenden+Datenschutz+beim+CloudSAnbieter − Genauer+Umfang+unklar − Kombination+ratsam:+Vorlage+Sicherheitskonzept,+Kontrollpflicht+ Bedeutung+des+Dienstleistervertrages& − v.a.+Regelung+Datensicherheitsmaßnahmen+(MS:+Office+365STrust+Center1 S detaillierte+Informationen) Allgemein:+CloudSBenützer+muss+mangelndes&Verschulden&beweisen − MS:+Ersatzweise+Haftung+von+Microsoft+bei+Insolvenz+des+CloudSBenützers! Sorgfaltspflichten&/&Haftungsregelung 1+http://office.microsoft.com/deSat/business/officeS365StrustScenterSdatensicherheitSinSderScloudSFX103030390.aspx
  13. 13. Agenda Basics+des+Datenschutzrechts+– Grundlagen Wichtigste+Begriffe Wer+haftet+für+die+Daten? 14 Zulässigkeit&von&Cloud Computing&/&USA&Patriot&Act,&etc.
  14. 14. Datenschutzrechtliche+Zulässigkeit+des+Cloud+Computing 15 Zulässige&Datenverarbeitung:& Zweck+und+Inhalt+gedeckt,+keine+schutzwürdigen+Interessen+verletzt Innerhalb&EWR Außerhalb&EWR − Nur+Abschluss+Dienstleistervertrag+nötig+ (hier:+Vertrag+mit+Microsoft) − Keine+Genehmigungspflicht+durch+ Datenschutzbehörde − Grundsätzlich+Genehmigung+durch+ Datenschutzbehörde+erforderlich − Außer+Ausnahmetatbestand+erfüllt+ (zB Zustimmung,+SafeSHarbor,+StandardS vertragsklauseln)
  15. 15. Datenschutzrechtliche+Zulässigkeit+innerhalb des+EWR 16 − Keine&Genehmigungspflicht&des+Datentransfers+durch+Datenschutzbehörde! − Abschluss+eines+schriftlichen+Dienstleistervertrags erforderlich − Gilt+für+Datenüberlassung+innerhalb: − des+(inländischen)+Unternehmens+++ − Österreichs − des+EWR
  16. 16. Datenschutzrechtliche+Zulässigkeit+außerhalb des+EWR 17 − Keine&Genehmigungspflicht&des+Datentransfers+in gleichgestellte&Drittstaaten − Schweiz,+Argentinien,+Uruguay,+Neuseeland,+Kanada,+Israel+...
  17. 17. 1+http://safeharbor.export.gov/list.aspx Datenschutzrechtliche+Zulässigkeit+außerhalb des+EWR 18 Eintrag&in&&Safe&Harbor9Liste1 prüfen! ! − Keine&Genehmigungspflicht&des+Datentransfers+in gleichgestellte&Drittstaaten − Schweiz,+Argentinien,+Uruguay,+Neuseeland,+Kanada,+Israel+... − ...+und+Unternehmen+der+USA,+die+sich+zur+Einhaltung+des+„Safe&Harbor“9Abkommens&verpflichten
  18. 18. http://safeharbor.export.gov/list.aspx Safe+Harbor+Liste 19 ! Rechtsfolge: Genehmigungsfreie Datenübermittlung+in+USA
  19. 19. 1 „Europe+vs Facebook“+(Maximilian+Schrems):+Entscheidung+ vom+18.+Juni+2014,+ GZ:+2013+No.+765JR Exkurs:+Facebook+vs.+Max+Schrems:+EuGH zu+Safe+Harbor 20 Safe&Harbor&Abkommen&–Irisches&Höchstgericht&legt&EuGH&Fragen&zu&Rechtmäßigkeit&vor − Aktuelles&Verfahren1 9 Ausgangslage:& − Basierend+auf+Entscheidung&der&EU&Kommission&im+Jahr+2000:++++ Datenübermittlung+in+USA+zulässig+bei+Unterwerfung+unter+Safe+Harbor − Snowden Affäre&zeigt:+NSA+greift+anscheinend+umfassend+auf+ personenbezogene+Daten+von+EUSBürgern+zu − EuGH:&Prüfung&ob+Safe+Harbor+Abkommens+(immer+noch)+ mit+EUSGrundS &+Datenschutzrechten+vereinbar Derzeit&keine&Änderung&–„Safe&Harbor&is still&safe!“ !
  20. 20. Datenschutzrechtliche+Zulässigkeit+außerhalb&des+EWR 21 − Keine&Genehmigungspflicht&des+Datentransfers+in gleichgestellte&Drittstaaten − Schweiz,+Argentinien,+Uruguay,+Neuseeland,+Kanada,+Israel+... − ...+und+Unternehmen+der+USA,+die+sich+zur+Einhaltung+des+„Safe&Harbor“9Abkommens&verpflichten − (...oder+Verwendung+von+EU9Standardvertragsklauseln)
  21. 21. 1 Inkl.+Standardvertragsklauseln:+Enterprise+Enrollment Addendum+ Microsoft+Online+Services+Data+Processing+Agreement+&+Annex+1 Verwendung von+EUSStandardvertragsklauseln 22 − Rechtsfolge:&Angemessenes&Datenschutzniveau&gilt+als+nachgewiesen − In+Zukunft:+Bloße+Anzeige9 statt&Genehmigungspflicht&durch+DSB − Aber:&Bisher+keine+nationale+Umsetzung − Artikel&29&Gruppe:&MS&Datenverarbeitungsklauseln1 geprüft Unabhängige&EU9Datenschutzgruppe&bestätigt&Datenschutzkonformität&von&MS&Office&365 !Derzeit+weiterhin+ Genehmigungspflicht! 9 Ergebnis:&Entspricht+DienstleisterSStandardvertragsklauseln+ (2010/87/EG)
  22. 22. 1 Bspw § 54+ÄrzteG,+ § 38+BWG,+§ 9+RAO,+§ 37+NO+ 2 § 14+DSG Verschwiegenheitspflichten+&+branchenspezifische+ Zulässigkeit 23 Exkurs − Daten+nur+im&Rahmen&der&Aufträge&des+CloudSBenutzers+verwenden − Verschwiegenheits9 &&Geheimhaltungspflichten: − Kein&allgemeines&Verbot&der+Überlassung+von+Daten − Auftraggeber+muss+Sondergesetze1 beachten+–„Was+darf+ich?“ − Einhaltung+der+Datensicherheitsmaßnahmen2,+uA: − Muss+Mitarbeiter+zur+Einhaltung+des+Datengeheimnisses&verpflichten − CloudSNutzer+muss+eigene&Verschwiegenheitspflichten&auf&Dienstleister&überbinden!
  23. 23. 1 Electronic+ Communications+ Privacy+Act (1986)+ 2 Foreign Intelligence Surveillance Act (1978) 3 Microsoft+Law+Enforcement+Requests Report+ 2013,+2014+(Zeitraum+Juli+2013+S Juni+2014) Vereinbarkeit+Datenschutzrecht+von+EU+&+USA Patriot&Act&&&PRISM − USA&Patriot&Act of 2001 − „Uniting and Strengthening America by Providingg Appropriate Tools+ Required to Intercept and Obstruct TerrorismAct“+ − PRISM&9 Digitales&Überwachungsprogramm − Rechtsgrundlagen:+USA+Patriot+Act,+ECPA1,+FISA2 − Auf+Antrag+offengelegte+Inhaltsdaten+durch+MS3:+Null − Vergleichbare+Überwachungsprogramme+existieren ...+auch+in+Europa ...+uzw seit+Jahrzehnten
  24. 24. − Schutzniveau&vergleichbar&zu+EUSStaaten+(Bilaterale+Verträge!) − Strenge&Rechtsfertigungsgründe&für+Datenzugriff+auf+Cloud:+ − Betrifft+nur+Strafsachen&&&Terror9/Spionagebekämpfung − Nur+als+Ausnahme von+konventionellen+Methoden − Gerichtsbeschluss/Durchsuchungsbefehl − Hinreichender&Tatverdacht& − Verbot freiwilliger+Herausgabe+ − Benachrichtigungspflicht des+Kunden Vereinbarkeit+Datenschutzrecht+von+EU+&+USA zwingende+Voraussetzung Patriot&Act&&&PRISM ! Fazit: Datenzugriff+nur+in+Ausnahmefällen. Internationaler+Standard.
  25. 25. 1 GZ:+13SMAGS2814;+M9S150 2 Brief+for Appellant,+ 08.12.2014;+Volltext:+http://digitalconstitution.com/wpScontent/uploads/2014/12/MicrosoftSOpeningSBriefS120820141.pdf Vereinbarkeit+Datenschutzrecht+von+EU+&+USA 26 US9Strafverfahren:&Zugriff&von&US9Behörden&auf&Daten&in&EU − Aktuelles&Verfahren1 gegen&Microsoft&–Ausgangslage: − US9Behörden verlangen+Zugriff+auf+in&EU&gespeicherte&Daten − Grundlage:&Durchsuchungsbefehl+in+USSStrafverfahren+ − Microsoft+in+2+Instanzen+zur&Herausgabe&verurteilt& − Sanktionen+vorerst+ausgesetzt+(keine+Datenherausgabe) − Neuester&Stand: MicrosoftSRechtsmittel2 eingebracht ! Top+aktuell: Microsoft&Presseseite http://digitalconstitution.com
  26. 26. Key+Points+to Remember − Ist+eine+Datenanwendung+zulässig,+kann+der+Kunde+die+Daten auch+in+die+Cloud geben+(innerhalb+des+EWR) − CloudSSpeicherung+ in+EWR+&+Safe+Harbor+grds.+genehmigungsfrei − Patriot+Act/PRISM:+Schreckgespenst!&Möglichkeit+des+Datenzugriffs durch+Behörden+nicht+höher+als+bei+uns
  27. 27. Vielen+Dank+für+Ihre+Aufmerksamkeit! Dr.&Stephan&Winklbauer,&LL.&M. Partner,+Rechtsanwalt aringer herbst winklbauer rechtsanwälte 1010+Wien,+Grillparzerstraße 5 +43+1+890+90+17 winklbauer@ahwlaw.at 28

×