In a mobile-first, cloud-first world, trust is more important than ever. Today, Microsoft supports more than 200 online and cloud services, a billion customers, and 20 million businesses in more than 76 markets worldwide. We know that our customers want to use technology they trust. That is why we want to lead our customer cloud conversations with "A Cloud You Can Trust" and show the market that among cloud service providers, Microsoft is the easiest and most reliable for customers to work with to achieve the trust they expect.
Trust in Cloud - Ihre Rechte und Pflichten beim Cloud-Computing
1. 10:34
Mittwoch, 07. Oktober 2015
Trust in Microsoft Cloud
Ihre Rechte und Pflichten beim Cloud Computing
Dr. Winklbauer, LL.M. Partner Rechtsanwalt
aringer herbst winklbauer rechtsanwälte
Harald Leitenmüller, CTO, Microsoft Österreich
4. Aktuelle Zertifizierungen…
GFS WW Services
CJIS
Yes
(GCC)
No No No N/A N/A No
EU Model Clauses Yes Yes Yes Yes Yes Yes No
EU Safe Harbor Yes Yes Yes Yes Yes Yes Yes
FedRAMP
(Moderate)
Yes No Yes No Yes No No
FERPA Yes N/A Yes N/A N/A
N/A – Agreement
signed by services
Yes
HIPPA/BAA Yes Yes Yes Yes Yes Yes No
UK G-Cloud Yes Yes Yes No N/A No No
IPv6 Yes No No No N/A N/A No
ISO 27001:2013
+27018:2014
Yes Yes Yes Yes Yes Yes Yes (27001:2013)
PCI DSS N/A N/A Yes N/A Yes N/A N/A
Section 508 Yes Yes Yes Yes N/A N/A Yes
SOC 1 Type 2
(SSAE 16 / ISAE 3402)
Yes Yes Yes No, Type 1 only Yes No No
SOC 2 Type 2
(AT Section 101)
Yes No Yes No, Type 1 only Yes No No
5. Your data is safe Your data is yours You are in control
Encryption of all data at rest
Encryption of all data in transit
Enhanced event and admin /
service access logging
Advanced security monitoring
and threat management
Clear guidelines on data
location
Greater transparency and
simplicity of data use policies
and choices
Data accessed only to improve
customer experience
Law enforcement requests
redirected to the customer
Notification of customers of
lawful requests for information;
challenging of gag orders
Ability of customers to hold
encryption key and revoke
Microsoft copy
Complete deletion of data on
customer request and on
contract termination
Customer choice of data
location
Customer option to limit
Microsoft access to data
Microsoft Trusted Cloud
6. 6
Online Services Terms = Lizenz Vereinfachung
UND bessere Bedingungen für alle Cloud Kunden
Online Services Use Rights
(OLSUR)
OLS Amendments
7. Ressourcen Trust Centers O365 Trust Center
Azure Trust Center
Dynamics CRM Trust Center
Microsoft Intune Trust Center
Microsoft on the Issues Microsoft On the Issues
Challenging governments on behalf of our
customers
Success in challenging an NSA Letter –
protecting customers’ rights
Responding to government demands for
customer data
CyberTrust Blog
US/Ireland E-Mail Search Warrant
Case www.DigitalConstitution.com
Law Enforcement Requests and U.S.
National Security Orders reports Law Enforcement Requests Report
US National Security Orders Reports
Microsoft Online Services Terms
Online Services Terms
Microsoft Enterprise Cloud http://www.Microsoft.com/cloud
8. Microsoft Executive Forum 30.09.2015
Patriot Act, Datenschutz
und Compliance - alles neu?
Dr. Stephan Winklbauer, LL.M.
Partner, Rechtsanwalt
9. Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
Wer haftet für die Daten?
9
Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
10. Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
Wer haftet für die Daten?
10
Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
11. Jedermann hat Anspruch auf Geheimhaltung seiner Daten!
Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens
Geheimhaltung gegenüber Staat und Privaten
Schutz vor Ermittlung und Weitergabe
Voraussetzung:
Personenbezogene Daten
Schutzwürdiges Interesse
Rechtsgrundlage Datenschutzgesetz 2000
Daten öffentlich / anonym?
11
Bild: www.lebensraum-bonn.com/datenschutz.html
12. Wichtigste Begriffe des Datenschutzgesetzes
12
Definitionen in § 4 DSG 2000
Personenbezogene Daten: DSG voll anwendbar
Identität bestimmt (Name) oder
Identität bestimmbar
Anonymisierte Daten: DSG nicht anwendbar
Herstellung eines Personenbezugs verlässlich ausgeschlossen?
Praxistipp: Aggregierte Datensätze (Gruppe von mind. 5 Betroffenen1)
Indirekt personenbezogene (= pseudonymisierte) Daten:
Identifikationsmerkmal durch Pseudonym/Code ersetzt
für jeweiligen User Personenbezug verhindert
1 Empfehlung DSK, 22.5.2013, K213.180/0021-DSK/2013
Beispiele Personenbezug:
• E-Mail Adresse
• IP-Adresse
• Kundennummer, etc...
!
13. Wichtigste Begriffe des Datenschutzgesetzes
13
Definitionen in § 4 DSG 2000
Auftraggeber: Trifft Entscheidung, Daten zu verwenden
... verwendet selbst oder setzt dafür Dienstleister ein
Dienstleister: Verwendet Daten
... nur für Durchführung des Auftrags
Auskunfts-, Richtigstellungs- und Löschungsverpflichtungen
treffen immer den Auftraggeber! !
14. Rechtsgrundlage Datenschutzgesetz 2000
14
§ 6 – § 8 DSG
Ausnahme von diesem Verbot?
Zweck und Inhalt von
gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und
schutzwürdige Geheimhaltungsinteressen gewahrt
Verarbeitung
von Daten ist
grundsätzlich
verboten!
15. Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
Wer haftet für die Daten?
15
Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
16. Nutzung von Cloud Services
16
Definitionen in § 4 DSG 2000
Auftraggeber: Trifft Entscheidung, Daten zu verwenden
... verwendet selbst oder setzt dafür Dienstleister ein
Dienstleister: Verwendet Daten
... nur für Durchführung des Auftrags
18. Welcher „Akteur” ist Cloud-Provider?
18
Auftrag-
geber
Betroffener
Dienstleister
Dienstleister-
vertrag
Rechtschutzbehelfe
Entscheidung über
Datenverwendung
Datenschutzrechtliche
Verantwortung Verwendet überlassene
Daten...
zur Durchführung des
Auftrags
19. Nutzung Office 365 – Was passiert rechtlich?
19
Datentransfer
Cloud-Benützer von MS Office 365 (Bank, Unternehmen, Arzt, etc.) ist
Auftraggeber im Sinne des Datenschutzgesetzes
Kunde des Cloud-Benützers ist Betroffener
Überlassung von Daten an Dienstleister (= Microsoft = Cloud-Anbieter)
Microsoft trifft keine eigene Entscheidung zur Datenverwendung
Bild: www.slankerzonderdieet.nl/programma/paragraph-kopie/
20. Data Breach Notification – Pflicht des Cloud-Benützers
20
(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner
Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet
wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die
Betroffenen in geeigneter Form zu informieren.
Ausnahmen:
Geringfügiger Schaden droht
oder Informationskosten unverhältnismäßig hoch
Schadensminderungsobliegenheit des Cloud-Benützers!
§ 24 Abs 2a DSG
Bild: securityaffairs.co/wordpress/4110/cyber-crime/medicaid-incident-how-much-cost-a-data-breach.html
Selbstbeurteilung des Auftraggebers
Notfallplan ratsam !
21. Agenda
Basics des Datenschutzrechts – Grundlagen
Wichtigste Begriffe
Wer haftet für die Daten?
21
Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
22. Datenschutzrechtliche Zulässigkeit des Cloud Computing
22
Zulässige Datenverarbeitung:
Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt
Innerhalb EWR Außerhalb EWR
Nur Abschluss Dienstleistervertrag nötig
(hier: Vertrag mit Microsoft)
Keine Genehmigungspflicht durch
Datenschutzbehörde
Grundsätzlich Genehmigung durch
Datenschutzbehörde erforderlich
Außer Ausnahmetatbestand erfüllt
(zB Zustimmung, Safe-Harbor, Standard-
vertragsklauseln)
23. Datenschutzrechtliche Zulässigkeit innerhalb des EWR
23
Keine Genehmigungspflicht des Datentransfers durch Datenschutzbehörde!
Abschluss eines schriftlichen Dienstleistervertrags erforderlich
Gilt für Datenüberlassung innerhalb:
des (inländischen) Unternehmens
Österreichs
des EWR
24. Datenschutzrechtliche Zulässigkeit außerhalb des EWR
24
Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten
Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
25. 1 http://safeharbor.export.gov/list.aspx
Datenschutzrechtliche Zulässigkeit außerhalb des EWR
25
Eintrag in Safe Harbor-Liste1 prüfen! !
Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten
Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten
27. 1 „Europe vs Facebook“ (Maximilian Schrems): EuGH C-362/14; Nächster Verfahrensschritt: Gutachten Generalanwalt
Exkurs: Facebook vs. Max Schrems: EuGH zu Safe Harbor
27
Safe Harbor Abkommen – Irisches Höchstgericht legt EuGH Fragen zu Rechtmäßigkeit vor
Aktuelles Verfahren1 - Ausgangslage:
Basierend auf Entscheidung der EU Kommission im Jahr 2000:
Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor
Snowden Affäre zeigt: NSA greift anscheinend umfassend auf
personenbezogene Daten von EU-Bürgern zu
EuGH: Prüfung ob Safe Harbor Abkommens (immer noch)
mit EU-Grund- & Datenschutzrechten vereinbar
Derzeit keine Änderung – „Safe Harbor is still safe!“ !
28. Datenschutzrechtliche Zulässigkeit außerhalb des EWR
28
Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten
Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten
(...oder Verwendung von EU-Standardvertragsklauseln)
29. 1 Inkl. Standardvertragsklauseln: Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement & Annex 1
Verwendung von EU-Standardvertragsklauseln
29
Rechtsfolge: Angemessenes Datenschutzniveau gilt als nachgewiesen
In Zukunft: Bloße Anzeige- statt Genehmigungspflicht durch DSB
Aber: Bisher keine nationale Umsetzung
Artikel 29 Gruppe: MS Datenverarbeitungsklauseln1 geprüft
Unabhängige EU-Datenschutzgruppe bestätigt Datenschutzkonformität von MS Office 365
!Derzeit weiterhin
Genehmigungspflicht!
- Ergebnis: Entspricht Dienstleister-Standardvertragsklauseln (2010/87/EG)
30. 1 Bspw § 54 ÄrzteG, § 38 BWG, § 9 RAO, § 37 NO
2 § 14 DSG
Verschwiegenheitspflichten & branchenspezifische
Zulässigkeit
30
Exkurs
Daten nur im Rahmen der Aufträge des Cloud-Benutzers verwenden
Verschwiegenheits- & Geheimhaltungspflichten:
Kein allgemeines Verbot der Überlassung von Daten
Auftraggeber muss Sondergesetze1 beachten – „Was darf ich?“
Einhaltung der Datensicherheitsmaßnahmen2, uA:
Muss Mitarbeiter zur Einhaltung des Datengeheimnisses verpflichten
Cloud-Nutzer muss eigene Verschwiegenheitspflichten auf Dienstleister überbinden!
31. 1 Electronic Communications Privacy Act (1986)
2 Foreign Intelligence Surveillance Act (1978)
3 Microsoft Law Enforcement Requests Report 2014 (Zeitraum Kalenderjahr 2014); angefragte Accounts: 111
Vereinbarkeit Datenschutzrecht von EU & USA
Patriot Act & PRISM - Ermittlungsmethoden zur Terrorbekämpfung
USA Patriot Act of 2001
„Uniting and Strengthening America by Providingg Appropriate Tools
Required to Intercept and Obstruct Terrorism Act“
PRISM - Digitales Überwachungsprogramm
Rechtsgrundlagen: USA Patriot Act, ECPA1, FISA2
Auf Antrag offengelegte Inhaltsdaten österreichischer Microsoft-User3: Null
Vergleichbare Überwachungsprogramme existieren
... auch in Europa (zB §§ 134 österr. Strafprozessordnung)
... uzw seit Jahrzehnten
32. Schutzniveau vergleichbar zu EU-Staaten (Bilaterale Verträge!)
Strenge Rechtsfertigungsgründe für Datenzugriff auf Cloud:
Betrifft nur Strafsachen & Terror-/Spionagebekämpfung
Nur als Ausnahme von konventionellen Methoden
Gerichtsbeschluss/Durchsuchungsbefehl
Hinreichender Tatverdacht
Verbot freiwilliger Herausgabe
Benachrichtigungspflicht
des Kunden
Vereinbarkeit Datenschutzrecht von EU & USA
zwingende Voraussetzung
Patriot Act & PRISM
!
Fazit:
Datenzugriff nur in Ausnahmefällen
Internationaler Standard
33. Vereinbarkeit Datenschutzrecht von EU & USA
USA FREEDOM ACT
USA Freedom Act of 2015
„Uniting and Strengthening America by Fulfilling Rights and Ending
Eavesdropping, Dragnet-collection and Online Monitoring Act. “
Reform & Verlängerung des USA Patriot Act
Datenspeicherung von Telefon-Metadaten durch Unternehmen, nicht NSA
Jährliche Reports
34. Vereinbarkeit Datenschutzrecht von EU & USA
34
US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU
Aktuelles Verfahren1 gegen Microsoft – Ausgangslage:
US-Behörden verlangen Zugriff auf in EU gespeicherte Daten
Grundlage: Durchsuchungsbefehl in US-Strafverfahren
Microsoft in 2 Instanzen zur Herausgabe verurteilt
Sanktionen vorerst ausgesetzt (keine Datenherausgabe)
Neuester Stand2: Berufungsverfahren in 3. Instanz
!
Top aktuell:
Microsoft Presseseite
http://digitalconstitution.com
1 US Court of Appeals for the Second Circuit, 14-2985-cv
2 Reply Brief for Appellant, 08.04.2015; http://mscorp.blob.core.windows.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf
35. Key Points to Remember
Ist eine Datenanwendung zulässig, kann der Kunde die Daten
auch in die Cloud geben (innerhalb des EWR)
Cloud-Speicherung in EWR & Safe Harbor grds. genehmigungsfrei
Patriot Act/PRISM: Schreckgespenst! Möglichkeit des Datenzugriffs
durch Behörden nicht höher als bei uns
36. Vielen Dank für Ihre Aufmerksamkeit!
36
Dr. Stephan Winklbauer, LL. M.
Partner, Rechtsanwalt
aringer herbst winklbauer rechtsanwälte
1010 Wien, Grillparzerstraße 5
+43 1 890 90 17
winklbauer@ahwlaw.at