SlideShare ist ein Scribd-Unternehmen logo

Trust in Cloud - Ihre Rechte und Pflichten beim Cloud-Computing

Als PPTX, PDF herunterladen
Microsoft Österreich
Microsoft Österreich

In a mobile-first, cloud-first world, trust is more important than ever. Today, Microsoft supports more than 200 online and cloud services, a billion customers, and 20 million businesses in more than 76 markets worldwide. We know that our customers want to use technology they trust. That is why we want to lead our customer cloud conversations with "A Cloud You Can Trust" and show the market that among cloud service providers, Microsoft is the easiest and most reliable for customers to work with to achieve the trust they expect.

Technologie
1 von 36
10:34 Mittwoch, 07. Oktober 2015 Trust in Microsoft Cloud Ihre Rechte und Pflichten beim Cloud Computing Dr. Winklbauer, LL.M. Partner Rechtsanwalt aringer herbst winklbauer rechtsanwälte Harald Leitenmüller, CTO, Microsoft Österreich
A Cloud You Can Trust
Compliance sorgfältige MicrosoftAuftraggeber
Aktuelle Zertifizierungen… GFS WW Services CJIS Yes (GCC) No No No N/A N/A No EU Model Clauses Yes Yes Yes Yes Yes Yes No EU Safe Harbor Yes Yes Yes Yes Yes Yes Yes FedRAMP (Moderate) Yes No Yes No Yes No No FERPA Yes N/A Yes N/A N/A N/A – Agreement signed by services Yes HIPPA/BAA Yes Yes Yes Yes Yes Yes No UK G-Cloud Yes Yes Yes No N/A No No IPv6 Yes No No No N/A N/A No ISO 27001:2013 +27018:2014 Yes Yes Yes Yes Yes Yes Yes (27001:2013) PCI DSS N/A N/A Yes N/A Yes N/A N/A Section 508 Yes Yes Yes Yes N/A N/A Yes SOC 1 Type 2 (SSAE 16 / ISAE 3402) Yes Yes Yes No, Type 1 only Yes No No SOC 2 Type 2 (AT Section 101) Yes No Yes No, Type 1 only Yes No No
Your data is safe Your data is yours You are in control  Encryption of all data at rest  Encryption of all data in transit  Enhanced event and admin / service access logging  Advanced security monitoring and threat management  Clear guidelines on data location  Greater transparency and simplicity of data use policies and choices  Data accessed only to improve customer experience  Law enforcement requests redirected to the customer  Notification of customers of lawful requests for information; challenging of gag orders  Ability of customers to hold encryption key and revoke Microsoft copy  Complete deletion of data on customer request and on contract termination  Customer choice of data location  Customer option to limit Microsoft access to data Microsoft Trusted Cloud
6 Online Services Terms = Lizenz Vereinfachung UND bessere Bedingungen für alle Cloud Kunden Online Services Use Rights (OLSUR) OLS Amendments
Ressourcen Trust Centers O365 Trust Center Azure Trust Center Dynamics CRM Trust Center Microsoft Intune Trust Center Microsoft on the Issues Microsoft On the Issues Challenging governments on behalf of our customers Success in challenging an NSA Letter – protecting customers’ rights Responding to government demands for customer data CyberTrust Blog US/Ireland E-Mail Search Warrant Case www.DigitalConstitution.com Law Enforcement Requests and U.S. National Security Orders reports Law Enforcement Requests Report US National Security Orders Reports Microsoft Online Services Terms Online Services Terms Microsoft Enterprise Cloud http://www.Microsoft.com/cloud
Microsoft Executive Forum 30.09.2015 Patriot Act, Datenschutz und Compliance - alles neu? Dr. Stephan Winklbauer, LL.M. Partner, Rechtsanwalt
Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 9 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 10 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
 Jedermann hat Anspruch auf Geheimhaltung seiner Daten!  Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens  Geheimhaltung gegenüber Staat und Privaten  Schutz vor Ermittlung und Weitergabe  Voraussetzung:  Personenbezogene Daten  Schutzwürdiges Interesse Rechtsgrundlage Datenschutzgesetz 2000 Daten öffentlich / anonym? 11 Bild: www.lebensraum-bonn.com/datenschutz.html
Wichtigste Begriffe des Datenschutzgesetzes 12 Definitionen in § 4 DSG 2000 Personenbezogene Daten: DSG voll anwendbar  Identität bestimmt (Name) oder  Identität bestimmbar Anonymisierte Daten: DSG nicht anwendbar  Herstellung eines Personenbezugs verlässlich ausgeschlossen?  Praxistipp: Aggregierte Datensätze (Gruppe von mind. 5 Betroffenen1) Indirekt personenbezogene (= pseudonymisierte) Daten:  Identifikationsmerkmal durch Pseudonym/Code ersetzt  für jeweiligen User Personenbezug verhindert 1 Empfehlung DSK, 22.5.2013, K213.180/0021-DSK/2013 Beispiele Personenbezug: • E-Mail Adresse • IP-Adresse • Kundennummer, etc... !
Wichtigste Begriffe des Datenschutzgesetzes 13 Definitionen in § 4 DSG 2000 Auftraggeber: Trifft Entscheidung, Daten zu verwenden ... verwendet selbst oder setzt dafür Dienstleister ein Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags Auskunfts-, Richtigstellungs- und Löschungsverpflichtungen treffen immer den Auftraggeber! !
Rechtsgrundlage Datenschutzgesetz 2000 14 § 6 – § 8 DSG Ausnahme von diesem Verbot?  Zweck und Inhalt von  gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und  schutzwürdige Geheimhaltungsinteressen gewahrt Verarbeitung von Daten ist grundsätzlich verboten!
Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 15 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
Nutzung von Cloud Services 16 Definitionen in § 4 DSG 2000 Auftraggeber: Trifft Entscheidung, Daten zu verwenden ... verwendet selbst oder setzt dafür Dienstleister ein Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags
Auftrag- geber Betroffener Dienstleister Dienstleister- vertrag Rechtschutzbehelfe Welcher „Akteur” ist Cloud-Provider? 17  Entscheidung über Datenverwendung  Datenschutzrechtliche Verantwortung  Verwendet überlassene Daten...  zur Durchführung des Auftrags
Welcher „Akteur” ist Cloud-Provider? 18 Auftrag- geber Betroffener Dienstleister Dienstleister- vertrag Rechtschutzbehelfe  Entscheidung über Datenverwendung  Datenschutzrechtliche Verantwortung  Verwendet überlassene Daten...  zur Durchführung des Auftrags
Nutzung Office 365 – Was passiert rechtlich? 19 Datentransfer  Cloud-Benützer von MS Office 365 (Bank, Unternehmen, Arzt, etc.) ist Auftraggeber im Sinne des Datenschutzgesetzes  Kunde des Cloud-Benützers ist Betroffener  Überlassung von Daten an Dienstleister (= Microsoft = Cloud-Anbieter)  Microsoft trifft keine eigene Entscheidung zur Datenverwendung Bild: www.slankerzonderdieet.nl/programma/paragraph-kopie/
Data Breach Notification – Pflicht des Cloud-Benützers 20 (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Ausnahmen:  Geringfügiger Schaden droht  oder Informationskosten unverhältnismäßig hoch Schadensminderungsobliegenheit des Cloud-Benützers! § 24 Abs 2a DSG Bild: securityaffairs.co/wordpress/4110/cyber-crime/medicaid-incident-how-much-cost-a-data-breach.html Selbstbeurteilung des Auftraggebers Notfallplan ratsam !
Agenda Basics des Datenschutzrechts – Grundlagen Wichtigste Begriffe Wer haftet für die Daten? 21 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
Datenschutzrechtliche Zulässigkeit des Cloud Computing 22 Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt Innerhalb EWR Außerhalb EWR  Nur Abschluss Dienstleistervertrag nötig (hier: Vertrag mit Microsoft)  Keine Genehmigungspflicht durch Datenschutzbehörde  Grundsätzlich Genehmigung durch Datenschutzbehörde erforderlich  Außer Ausnahmetatbestand erfüllt (zB Zustimmung, Safe-Harbor, Standard- vertragsklauseln)
Datenschutzrechtliche Zulässigkeit innerhalb des EWR 23  Keine Genehmigungspflicht des Datentransfers durch Datenschutzbehörde!  Abschluss eines schriftlichen Dienstleistervertrags erforderlich  Gilt für Datenüberlassung innerhalb:  des (inländischen) Unternehmens  Österreichs  des EWR
Datenschutzrechtliche Zulässigkeit außerhalb des EWR 24  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
1 http://safeharbor.export.gov/list.aspx Datenschutzrechtliche Zulässigkeit außerhalb des EWR 25 Eintrag in Safe Harbor-Liste1 prüfen! !  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...  ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten
http://safeharbor.export.gov/list.aspx Safe Harbor Liste 26 ! Rechtsfolge: Genehmigungsfreie Datenübermittlung in USA
1 „Europe vs Facebook“ (Maximilian Schrems): EuGH C-362/14; Nächster Verfahrensschritt: Gutachten Generalanwalt Exkurs: Facebook vs. Max Schrems: EuGH zu Safe Harbor 27 Safe Harbor Abkommen – Irisches Höchstgericht legt EuGH Fragen zu Rechtmäßigkeit vor  Aktuelles Verfahren1 - Ausgangslage:  Basierend auf Entscheidung der EU Kommission im Jahr 2000: Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor  Snowden Affäre zeigt: NSA greift anscheinend umfassend auf personenbezogene Daten von EU-Bürgern zu  EuGH: Prüfung ob Safe Harbor Abkommens (immer noch) mit EU-Grund- & Datenschutzrechten vereinbar Derzeit keine Änderung – „Safe Harbor is still safe!“ !
Datenschutzrechtliche Zulässigkeit außerhalb des EWR 28  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...  ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten  (...oder Verwendung von EU-Standardvertragsklauseln)
1 Inkl. Standardvertragsklauseln: Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement & Annex 1 Verwendung von EU-Standardvertragsklauseln 29  Rechtsfolge: Angemessenes Datenschutzniveau gilt als nachgewiesen  In Zukunft: Bloße Anzeige- statt Genehmigungspflicht durch DSB  Aber: Bisher keine nationale Umsetzung  Artikel 29 Gruppe: MS Datenverarbeitungsklauseln1 geprüft Unabhängige EU-Datenschutzgruppe bestätigt Datenschutzkonformität von MS Office 365 !Derzeit weiterhin Genehmigungspflicht! - Ergebnis: Entspricht Dienstleister-Standardvertragsklauseln (2010/87/EG)
1 Bspw § 54 ÄrzteG, § 38 BWG, § 9 RAO, § 37 NO 2 § 14 DSG Verschwiegenheitspflichten & branchenspezifische Zulässigkeit 30 Exkurs  Daten nur im Rahmen der Aufträge des Cloud-Benutzers verwenden  Verschwiegenheits- & Geheimhaltungspflichten:  Kein allgemeines Verbot der Überlassung von Daten  Auftraggeber muss Sondergesetze1 beachten – „Was darf ich?“  Einhaltung der Datensicherheitsmaßnahmen2, uA:  Muss Mitarbeiter zur Einhaltung des Datengeheimnisses verpflichten  Cloud-Nutzer muss eigene Verschwiegenheitspflichten auf Dienstleister überbinden!
1 Electronic Communications Privacy Act (1986) 2 Foreign Intelligence Surveillance Act (1978) 3 Microsoft Law Enforcement Requests Report 2014 (Zeitraum Kalenderjahr 2014); angefragte Accounts: 111 Vereinbarkeit Datenschutzrecht von EU & USA Patriot Act & PRISM - Ermittlungsmethoden zur Terrorbekämpfung  USA Patriot Act of 2001  „Uniting and Strengthening America by Providingg Appropriate Tools Required to Intercept and Obstruct Terrorism Act“  PRISM - Digitales Überwachungsprogramm  Rechtsgrundlagen: USA Patriot Act, ECPA1, FISA2  Auf Antrag offengelegte Inhaltsdaten österreichischer Microsoft-User3: Null  Vergleichbare Überwachungsprogramme existieren ... auch in Europa (zB §§ 134 österr. Strafprozessordnung) ... uzw seit Jahrzehnten
 Schutzniveau vergleichbar zu EU-Staaten (Bilaterale Verträge!)  Strenge Rechtsfertigungsgründe für Datenzugriff auf Cloud:  Betrifft nur Strafsachen & Terror-/Spionagebekämpfung  Nur als Ausnahme von konventionellen Methoden  Gerichtsbeschluss/Durchsuchungsbefehl  Hinreichender Tatverdacht  Verbot freiwilliger Herausgabe  Benachrichtigungspflicht des Kunden Vereinbarkeit Datenschutzrecht von EU & USA zwingende Voraussetzung Patriot Act & PRISM ! Fazit: Datenzugriff nur in Ausnahmefällen Internationaler Standard
Vereinbarkeit Datenschutzrecht von EU & USA USA FREEDOM ACT  USA Freedom Act of 2015  „Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Act. “  Reform & Verlängerung des USA Patriot Act  Datenspeicherung von Telefon-Metadaten durch Unternehmen, nicht NSA  Jährliche Reports
Vereinbarkeit Datenschutzrecht von EU & USA 34 US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU  Aktuelles Verfahren1 gegen Microsoft – Ausgangslage:  US-Behörden verlangen Zugriff auf in EU gespeicherte Daten  Grundlage: Durchsuchungsbefehl in US-Strafverfahren  Microsoft in 2 Instanzen zur Herausgabe verurteilt  Sanktionen vorerst ausgesetzt (keine Datenherausgabe)  Neuester Stand2: Berufungsverfahren in 3. Instanz ! Top aktuell: Microsoft Presseseite http://digitalconstitution.com 1 US Court of Appeals for the Second Circuit, 14-2985-cv 2 Reply Brief for Appellant, 08.04.2015; http://mscorp.blob.core.windows.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf
Key Points to Remember  Ist eine Datenanwendung zulässig, kann der Kunde die Daten auch in die Cloud geben (innerhalb des EWR)  Cloud-Speicherung in EWR & Safe Harbor grds. genehmigungsfrei  Patriot Act/PRISM: Schreckgespenst! Möglichkeit des Datenzugriffs durch Behörden nicht höher als bei uns
Vielen Dank für Ihre Aufmerksamkeit! 36 Dr. Stephan Winklbauer, LL. M. Partner, Rechtsanwalt aringer herbst winklbauer rechtsanwälte 1010 Wien, Grillparzerstraße 5 +43 1 890 90 17 winklbauer@ahwlaw.at

Empfohlen

Análisis electricidad y electrotecnia leyes ohm y kirchoff . tensión y corrie...
Análisis electricidad y electrotecnia leyes ohm y kirchoff . tensión y corrie...Análisis electricidad y electrotecnia leyes ohm y kirchoff . tensión y corrie...
Análisis electricidad y electrotecnia leyes ohm y kirchoff . tensión y corrie...IUT ANTONIO JOSE DE SUCRE
 
Presentacion Ley Ohm
Presentacion Ley OhmPresentacion Ley Ohm
Presentacion Ley OhmFernandobuendia
 
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzeBusiness-Lotse Potsdam
 
RESISTIVIDAD
RESISTIVIDADRESISTIVIDAD
RESISTIVIDADJose David Penagos Montealegre
 
Electrodinámica 2010
Electrodinámica 2010Electrodinámica 2010
Electrodinámica 2010jair abraham
 
Resistencia y resistividad
Resistencia y resistividadResistencia y resistividad
Resistencia y resistividadnachoHL
 
003 resistencia
003 resistencia003 resistencia
003 resistenciaenochmon99
 
Shape the Future
Shape the FutureShape the Future
Shape the FutureMicrosoft Österreich
 

Empfohlen

Análisis electricidad y electrotecnia leyes ohm y kirchoff . tensión y corrie...
Análisis electricidad y electrotecnia leyes ohm y kirchoff . tensión y corrie...Análisis electricidad y electrotecnia leyes ohm y kirchoff . tensión y corrie...
Análisis electricidad y electrotecnia leyes ohm y kirchoff . tensión y corrie...IUT ANTONIO JOSE DE SUCRE
 
Presentacion Ley Ohm
Presentacion Ley OhmPresentacion Ley Ohm
Presentacion Ley OhmFernandobuendia
 
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzeBusiness-Lotse Potsdam
 
RESISTIVIDAD
RESISTIVIDADRESISTIVIDAD
RESISTIVIDADJose David Penagos Montealegre
 
Electrodinámica 2010
Electrodinámica 2010Electrodinámica 2010
Electrodinámica 2010jair abraham
 
Resistencia y resistividad
Resistencia y resistividadResistencia y resistividad
Resistencia y resistividadnachoHL
 
003 resistencia
003 resistencia003 resistencia
003 resistenciaenochmon99
 
Shape the Future
Shape the FutureShape the Future
Shape the FutureMicrosoft Österreich
 
Information Security @ AVL
Information Security @ AVLInformation Security @ AVL
Information Security @ AVLMicrosoft Österreich
 
Secure the modern Enterprise
Secure the modern EnterpriseSecure the modern Enterprise
Secure the modern EnterpriseMicrosoft Österreich
 
Microsoft Digital Crimes Unit
Microsoft Digital Crimes UnitMicrosoft Digital Crimes Unit
Microsoft Digital Crimes UnitMicrosoft Österreich
 
Microsoft: #DigitaleHelden Symposium - Graphic Recording
Microsoft: #DigitaleHelden Symposium - Graphic RecordingMicrosoft: #DigitaleHelden Symposium - Graphic Recording
Microsoft: #DigitaleHelden Symposium - Graphic RecordingMicrosoft Österreich
 
Digitale Transformation: Technologie und Mensch - die nächsten 5 Jahre
Digitale Transformation: Technologie und Mensch - die nächsten 5 JahreDigitale Transformation: Technologie und Mensch - die nächsten 5 Jahre
Digitale Transformation: Technologie und Mensch - die nächsten 5 JahreMicrosoft Österreich
 
Digital Transformation "Book of Dreams"
Digital Transformation "Book of Dreams"Digital Transformation "Book of Dreams"
Digital Transformation "Book of Dreams"Microsoft Österreich
 
Smart Buildings & IoT
Smart Buildings & IoTSmart Buildings & IoT
Smart Buildings & IoTMicrosoft Österreich
 
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...Microsoft Österreich
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Microsoft Österreich
 
Modernes Rechenzentrum - Future Decoded
Modernes Rechenzentrum - Future DecodedModernes Rechenzentrum - Future Decoded
Modernes Rechenzentrum - Future DecodedMicrosoft Österreich
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Österreich
 
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)Microsoft Österreich
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&T
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&TEnable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&T
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&TMicrosoft Österreich
 
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOne
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOneIMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOne
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOneMicrosoft Österreich
 
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics Microsoft Österreich
 
New World of Work - Solvion
New World of Work - SolvionNew World of Work - Solvion
New World of Work - SolvionMicrosoft Österreich
 
Der Hund an der digitalen Leine - tractive
Der Hund an der digitalen Leine - tractiveDer Hund an der digitalen Leine - tractive
Der Hund an der digitalen Leine - tractiveMicrosoft Österreich
 
Der neue Office 365 Plan E5
Der neue Office 365 Plan E5Der neue Office 365 Plan E5
Der neue Office 365 Plan E5Microsoft Österreich
 
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...Microsoft Österreich
 
Microsoft Lizenzierung – Server
Microsoft Lizenzierung – ServerMicrosoft Lizenzierung – Server
Microsoft Lizenzierung – ServerMicrosoft Österreich
 

Weitere ähnliche Inhalte

Mehr von Microsoft Österreich

Microsoft: #DigitaleHelden Symposium - Graphic Recording
Microsoft: #DigitaleHelden Symposium - Graphic RecordingMicrosoft: #DigitaleHelden Symposium - Graphic Recording
Microsoft: #DigitaleHelden Symposium - Graphic RecordingMicrosoft Österreich
 
Digitale Transformation: Technologie und Mensch - die nächsten 5 Jahre
Digitale Transformation: Technologie und Mensch - die nächsten 5 JahreDigitale Transformation: Technologie und Mensch - die nächsten 5 Jahre
Digitale Transformation: Technologie und Mensch - die nächsten 5 JahreMicrosoft Österreich
 
Digital Transformation "Book of Dreams"
Digital Transformation "Book of Dreams"Digital Transformation "Book of Dreams"
Digital Transformation "Book of Dreams"Microsoft Österreich
 
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...Microsoft Österreich
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Microsoft Österreich
 
Modernes Rechenzentrum - Future Decoded
Modernes Rechenzentrum - Future DecodedModernes Rechenzentrum - Future Decoded
Modernes Rechenzentrum - Future DecodedMicrosoft Österreich
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Österreich
 
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)Microsoft Österreich
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&T
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&TEnable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&T
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&TMicrosoft Österreich
 
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOne
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOneIMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOne
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOneMicrosoft Österreich
 
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics Microsoft Österreich
 
Der Hund an der digitalen Leine - tractive
Der Hund an der digitalen Leine - tractiveDer Hund an der digitalen Leine - tractive
Der Hund an der digitalen Leine - tractiveMicrosoft Österreich
 
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...Microsoft Österreich
 

Mehr von Microsoft Österreich (20)

Information Security @ AVL
Information Security @ AVLInformation Security @ AVL
Information Security @ AVL
 
Secure the modern Enterprise
Secure the modern EnterpriseSecure the modern Enterprise
Secure the modern Enterprise
 
Microsoft Digital Crimes Unit
Microsoft Digital Crimes UnitMicrosoft Digital Crimes Unit
Microsoft Digital Crimes Unit
 
Microsoft: #DigitaleHelden Symposium - Graphic Recording
Microsoft: #DigitaleHelden Symposium - Graphic RecordingMicrosoft: #DigitaleHelden Symposium - Graphic Recording
Microsoft: #DigitaleHelden Symposium - Graphic Recording
 
Digitale Transformation: Technologie und Mensch - die nächsten 5 Jahre
Digitale Transformation: Technologie und Mensch - die nächsten 5 JahreDigitale Transformation: Technologie und Mensch - die nächsten 5 Jahre
Digitale Transformation: Technologie und Mensch - die nächsten 5 Jahre
 
Digital Transformation "Book of Dreams"
Digital Transformation "Book of Dreams"Digital Transformation "Book of Dreams"
Digital Transformation "Book of Dreams"
 
Smart Buildings & IoT
Smart Buildings & IoTSmart Buildings & IoT
Smart Buildings & IoT
 
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...
Mit Simplicity und Storytelling zum „Warum“: Motivation und Führung einer neu...
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - Futur...
 
Modernes Rechenzentrum - Future Decoded
Modernes Rechenzentrum - Future DecodedModernes Rechenzentrum - Future Decoded
Modernes Rechenzentrum - Future Decoded
 
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)
Microsoft Trusted Cloud - Harald Leitenmüller (Microsoft)
 
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&T
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&TEnable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&T
Enable Mobility and Improve Cost Efficiency within a Secure Ecosystem - S&T
 
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOne
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOneIMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOne
IMMERSIVE AND HYPER-INTELLIGENT WORLD 2025 - TrendOne
 
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics
ÖBB - Bahnstrombedarfsprognose- mit Advanced Analytics
 
New World of Work - Solvion
New World of Work - SolvionNew World of Work - Solvion
New World of Work - Solvion
 
Der Hund an der digitalen Leine - tractive
Der Hund an der digitalen Leine - tractiveDer Hund an der digitalen Leine - tractive
Der Hund an der digitalen Leine - tractive
 
Der neue Office 365 Plan E5
Der neue Office 365 Plan E5Der neue Office 365 Plan E5
Der neue Office 365 Plan E5
 
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...
Aufbau einer erfolgreichen Vertriebsabteilung – Neue Erkenntnisse aus der Ver...
 
Microsoft Lizenzierung – Server
Microsoft Lizenzierung – ServerMicrosoft Lizenzierung – Server
Microsoft Lizenzierung – Server
 

Trust in Cloud - Ihre Rechte und Pflichten beim Cloud-Computing

  • 1. 10:34 Mittwoch, 07. Oktober 2015 Trust in Microsoft Cloud Ihre Rechte und Pflichten beim Cloud Computing Dr. Winklbauer, LL.M. Partner Rechtsanwalt aringer herbst winklbauer rechtsanwälte Harald Leitenmüller, CTO, Microsoft Österreich
  • 2. A Cloud You Can Trust
  • 4. Aktuelle Zertifizierungen… GFS WW Services CJIS Yes (GCC) No No No N/A N/A No EU Model Clauses Yes Yes Yes Yes Yes Yes No EU Safe Harbor Yes Yes Yes Yes Yes Yes Yes FedRAMP (Moderate) Yes No Yes No Yes No No FERPA Yes N/A Yes N/A N/A N/A – Agreement signed by services Yes HIPPA/BAA Yes Yes Yes Yes Yes Yes No UK G-Cloud Yes Yes Yes No N/A No No IPv6 Yes No No No N/A N/A No ISO 27001:2013 +27018:2014 Yes Yes Yes Yes Yes Yes Yes (27001:2013) PCI DSS N/A N/A Yes N/A Yes N/A N/A Section 508 Yes Yes Yes Yes N/A N/A Yes SOC 1 Type 2 (SSAE 16 / ISAE 3402) Yes Yes Yes No, Type 1 only Yes No No SOC 2 Type 2 (AT Section 101) Yes No Yes No, Type 1 only Yes No No
  • 5. Your data is safe Your data is yours You are in control  Encryption of all data at rest  Encryption of all data in transit  Enhanced event and admin / service access logging  Advanced security monitoring and threat management  Clear guidelines on data location  Greater transparency and simplicity of data use policies and choices  Data accessed only to improve customer experience  Law enforcement requests redirected to the customer  Notification of customers of lawful requests for information; challenging of gag orders  Ability of customers to hold encryption key and revoke Microsoft copy  Complete deletion of data on customer request and on contract termination  Customer choice of data location  Customer option to limit Microsoft access to data Microsoft Trusted Cloud
  • 6. 6 Online Services Terms = Lizenz Vereinfachung UND bessere Bedingungen für alle Cloud Kunden Online Services Use Rights (OLSUR) OLS Amendments
  • 7. Ressourcen Trust Centers O365 Trust Center Azure Trust Center Dynamics CRM Trust Center Microsoft Intune Trust Center Microsoft on the Issues Microsoft On the Issues Challenging governments on behalf of our customers Success in challenging an NSA Letter – protecting customers’ rights Responding to government demands for customer data CyberTrust Blog US/Ireland E-Mail Search Warrant Case www.DigitalConstitution.com Law Enforcement Requests and U.S. National Security Orders reports Law Enforcement Requests Report US National Security Orders Reports Microsoft Online Services Terms Online Services Terms Microsoft Enterprise Cloud http://www.Microsoft.com/cloud
  • 8. Microsoft Executive Forum 30.09.2015 Patriot Act, Datenschutz und Compliance - alles neu? Dr. Stephan Winklbauer, LL.M. Partner, Rechtsanwalt
  • 9. Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 9 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
  • 10. Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 10 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
  • 11.  Jedermann hat Anspruch auf Geheimhaltung seiner Daten!  Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens  Geheimhaltung gegenüber Staat und Privaten  Schutz vor Ermittlung und Weitergabe  Voraussetzung:  Personenbezogene Daten  Schutzwürdiges Interesse Rechtsgrundlage Datenschutzgesetz 2000 Daten öffentlich / anonym? 11 Bild: www.lebensraum-bonn.com/datenschutz.html
  • 12. Wichtigste Begriffe des Datenschutzgesetzes 12 Definitionen in § 4 DSG 2000 Personenbezogene Daten: DSG voll anwendbar  Identität bestimmt (Name) oder  Identität bestimmbar Anonymisierte Daten: DSG nicht anwendbar  Herstellung eines Personenbezugs verlässlich ausgeschlossen?  Praxistipp: Aggregierte Datensätze (Gruppe von mind. 5 Betroffenen1) Indirekt personenbezogene (= pseudonymisierte) Daten:  Identifikationsmerkmal durch Pseudonym/Code ersetzt  für jeweiligen User Personenbezug verhindert 1 Empfehlung DSK, 22.5.2013, K213.180/0021-DSK/2013 Beispiele Personenbezug: • E-Mail Adresse • IP-Adresse • Kundennummer, etc... !
  • 13. Wichtigste Begriffe des Datenschutzgesetzes 13 Definitionen in § 4 DSG 2000 Auftraggeber: Trifft Entscheidung, Daten zu verwenden ... verwendet selbst oder setzt dafür Dienstleister ein Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags Auskunfts-, Richtigstellungs- und Löschungsverpflichtungen treffen immer den Auftraggeber! !
  • 14. Rechtsgrundlage Datenschutzgesetz 2000 14 § 6 – § 8 DSG Ausnahme von diesem Verbot?  Zweck und Inhalt von  gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und  schutzwürdige Geheimhaltungsinteressen gewahrt Verarbeitung von Daten ist grundsätzlich verboten!
  • 15. Agenda Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe Nutzung von Cloud Services - was passiert rechtlich? Wer haftet für die Daten? 15 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
  • 16. Nutzung von Cloud Services 16 Definitionen in § 4 DSG 2000 Auftraggeber: Trifft Entscheidung, Daten zu verwenden ... verwendet selbst oder setzt dafür Dienstleister ein Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags
  • 17. Auftrag- geber Betroffener Dienstleister Dienstleister- vertrag Rechtschutzbehelfe Welcher „Akteur” ist Cloud-Provider? 17  Entscheidung über Datenverwendung  Datenschutzrechtliche Verantwortung  Verwendet überlassene Daten...  zur Durchführung des Auftrags
  • 18. Welcher „Akteur” ist Cloud-Provider? 18 Auftrag- geber Betroffener Dienstleister Dienstleister- vertrag Rechtschutzbehelfe  Entscheidung über Datenverwendung  Datenschutzrechtliche Verantwortung  Verwendet überlassene Daten...  zur Durchführung des Auftrags
  • 19. Nutzung Office 365 – Was passiert rechtlich? 19 Datentransfer  Cloud-Benützer von MS Office 365 (Bank, Unternehmen, Arzt, etc.) ist Auftraggeber im Sinne des Datenschutzgesetzes  Kunde des Cloud-Benützers ist Betroffener  Überlassung von Daten an Dienstleister (= Microsoft = Cloud-Anbieter)  Microsoft trifft keine eigene Entscheidung zur Datenverwendung Bild: www.slankerzonderdieet.nl/programma/paragraph-kopie/
  • 20. Data Breach Notification – Pflicht des Cloud-Benützers 20 (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Ausnahmen:  Geringfügiger Schaden droht  oder Informationskosten unverhältnismäßig hoch Schadensminderungsobliegenheit des Cloud-Benützers! § 24 Abs 2a DSG Bild: securityaffairs.co/wordpress/4110/cyber-crime/medicaid-incident-how-much-cost-a-data-breach.html Selbstbeurteilung des Auftraggebers Notfallplan ratsam !
  • 21. Agenda Basics des Datenschutzrechts – Grundlagen Wichtigste Begriffe Wer haftet für die Daten? 21 Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
  • 22. Datenschutzrechtliche Zulässigkeit des Cloud Computing 22 Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt Innerhalb EWR Außerhalb EWR  Nur Abschluss Dienstleistervertrag nötig (hier: Vertrag mit Microsoft)  Keine Genehmigungspflicht durch Datenschutzbehörde  Grundsätzlich Genehmigung durch Datenschutzbehörde erforderlich  Außer Ausnahmetatbestand erfüllt (zB Zustimmung, Safe-Harbor, Standard- vertragsklauseln)
  • 23. Datenschutzrechtliche Zulässigkeit innerhalb des EWR 23  Keine Genehmigungspflicht des Datentransfers durch Datenschutzbehörde!  Abschluss eines schriftlichen Dienstleistervertrags erforderlich  Gilt für Datenüberlassung innerhalb:  des (inländischen) Unternehmens  Österreichs  des EWR
  • 24. Datenschutzrechtliche Zulässigkeit außerhalb des EWR 24  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
  • 25. 1 http://safeharbor.export.gov/list.aspx Datenschutzrechtliche Zulässigkeit außerhalb des EWR 25 Eintrag in Safe Harbor-Liste1 prüfen! !  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...  ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten
  • 27. 1 „Europe vs Facebook“ (Maximilian Schrems): EuGH C-362/14; Nächster Verfahrensschritt: Gutachten Generalanwalt Exkurs: Facebook vs. Max Schrems: EuGH zu Safe Harbor 27 Safe Harbor Abkommen – Irisches Höchstgericht legt EuGH Fragen zu Rechtmäßigkeit vor  Aktuelles Verfahren1 - Ausgangslage:  Basierend auf Entscheidung der EU Kommission im Jahr 2000: Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor  Snowden Affäre zeigt: NSA greift anscheinend umfassend auf personenbezogene Daten von EU-Bürgern zu  EuGH: Prüfung ob Safe Harbor Abkommens (immer noch) mit EU-Grund- & Datenschutzrechten vereinbar Derzeit keine Änderung – „Safe Harbor is still safe!“ !
  • 28. Datenschutzrechtliche Zulässigkeit außerhalb des EWR 28  Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten  Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...  ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten  (...oder Verwendung von EU-Standardvertragsklauseln)
  • 29. 1 Inkl. Standardvertragsklauseln: Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement & Annex 1 Verwendung von EU-Standardvertragsklauseln 29  Rechtsfolge: Angemessenes Datenschutzniveau gilt als nachgewiesen  In Zukunft: Bloße Anzeige- statt Genehmigungspflicht durch DSB  Aber: Bisher keine nationale Umsetzung  Artikel 29 Gruppe: MS Datenverarbeitungsklauseln1 geprüft Unabhängige EU-Datenschutzgruppe bestätigt Datenschutzkonformität von MS Office 365 !Derzeit weiterhin Genehmigungspflicht! - Ergebnis: Entspricht Dienstleister-Standardvertragsklauseln (2010/87/EG)
  • 30. 1 Bspw § 54 ÄrzteG, § 38 BWG, § 9 RAO, § 37 NO 2 § 14 DSG Verschwiegenheitspflichten & branchenspezifische Zulässigkeit 30 Exkurs  Daten nur im Rahmen der Aufträge des Cloud-Benutzers verwenden  Verschwiegenheits- & Geheimhaltungspflichten:  Kein allgemeines Verbot der Überlassung von Daten  Auftraggeber muss Sondergesetze1 beachten – „Was darf ich?“  Einhaltung der Datensicherheitsmaßnahmen2, uA:  Muss Mitarbeiter zur Einhaltung des Datengeheimnisses verpflichten  Cloud-Nutzer muss eigene Verschwiegenheitspflichten auf Dienstleister überbinden!
  • 31. 1 Electronic Communications Privacy Act (1986) 2 Foreign Intelligence Surveillance Act (1978) 3 Microsoft Law Enforcement Requests Report 2014 (Zeitraum Kalenderjahr 2014); angefragte Accounts: 111 Vereinbarkeit Datenschutzrecht von EU & USA Patriot Act & PRISM - Ermittlungsmethoden zur Terrorbekämpfung  USA Patriot Act of 2001  „Uniting and Strengthening America by Providingg Appropriate Tools Required to Intercept and Obstruct Terrorism Act“  PRISM - Digitales Überwachungsprogramm  Rechtsgrundlagen: USA Patriot Act, ECPA1, FISA2  Auf Antrag offengelegte Inhaltsdaten österreichischer Microsoft-User3: Null  Vergleichbare Überwachungsprogramme existieren ... auch in Europa (zB §§ 134 österr. Strafprozessordnung) ... uzw seit Jahrzehnten
  • 32.  Schutzniveau vergleichbar zu EU-Staaten (Bilaterale Verträge!)  Strenge Rechtsfertigungsgründe für Datenzugriff auf Cloud:  Betrifft nur Strafsachen & Terror-/Spionagebekämpfung  Nur als Ausnahme von konventionellen Methoden  Gerichtsbeschluss/Durchsuchungsbefehl  Hinreichender Tatverdacht  Verbot freiwilliger Herausgabe  Benachrichtigungspflicht des Kunden Vereinbarkeit Datenschutzrecht von EU & USA zwingende Voraussetzung Patriot Act & PRISM ! Fazit: Datenzugriff nur in Ausnahmefällen Internationaler Standard
  • 33. Vereinbarkeit Datenschutzrecht von EU & USA USA FREEDOM ACT  USA Freedom Act of 2015  „Uniting and Strengthening America by Fulfilling Rights and Ending Eavesdropping, Dragnet-collection and Online Monitoring Act. “  Reform & Verlängerung des USA Patriot Act  Datenspeicherung von Telefon-Metadaten durch Unternehmen, nicht NSA  Jährliche Reports
  • 34. Vereinbarkeit Datenschutzrecht von EU & USA 34 US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU  Aktuelles Verfahren1 gegen Microsoft – Ausgangslage:  US-Behörden verlangen Zugriff auf in EU gespeicherte Daten  Grundlage: Durchsuchungsbefehl in US-Strafverfahren  Microsoft in 2 Instanzen zur Herausgabe verurteilt  Sanktionen vorerst ausgesetzt (keine Datenherausgabe)  Neuester Stand2: Berufungsverfahren in 3. Instanz ! Top aktuell: Microsoft Presseseite http://digitalconstitution.com 1 US Court of Appeals for the Second Circuit, 14-2985-cv 2 Reply Brief for Appellant, 08.04.2015; http://mscorp.blob.core.windows.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf
  • 35. Key Points to Remember  Ist eine Datenanwendung zulässig, kann der Kunde die Daten auch in die Cloud geben (innerhalb des EWR)  Cloud-Speicherung in EWR & Safe Harbor grds. genehmigungsfrei  Patriot Act/PRISM: Schreckgespenst! Möglichkeit des Datenzugriffs durch Behörden nicht höher als bei uns
  • 36. Vielen Dank für Ihre Aufmerksamkeit! 36 Dr. Stephan Winklbauer, LL. M. Partner, Rechtsanwalt aringer herbst winklbauer rechtsanwälte 1010 Wien, Grillparzerstraße 5 +43 1 890 90 17 winklbauer@ahwlaw.at