1. Daten in der Cloud -
Datenschutz trotz Cloud
Udo Meisen
23. Mai 2017
Köln
2. 2
Datenschutz in der Cloud - Übersicht
Datensicherung in Datenhaltung in der Cloud ist praktisch.
Datenhaltung in der Cloud wird immer einfacher.
Datenhaltung in der Cloud hat eigene datenschutzrechtliche Probleme.
1) Grundlagen des Datenschutzes
2) Geschützte Daten
3) Datenschutz in der Cloud – Einzelfragen
a) Nutzungsbedinungen (AGB) der Cloud-Anbieter
b) Auftragsdatenverarbeitung
c) Datentransfer in Drittstaaten
3. 3
Problemfelder in den AGB der Cloud-Anbieter I
●
Übertragung von Nutzungsrechten:
– Eingeschränkte Übertragung auf den Cloud-Anbieter notwendig
– In den AGB großer Cloud-Anbieter:
●
weltweite, zeitlich unbeschränkte Übertragung von Nutzungsrechten
●
Recht auf öffentliche Zugänglichmachung, Vertriebsrecht
●
keine Kontrollrechte
●
keine Transparenz → Compliance-Audits i.d.R. nicht möglich
●
oftmals keine Festlegung hinsichtlich des Orts der Datenspeicherung
●
keine kontrollierbare physische Datenlöschung
●
ungenügende Mandantentrennung
5. 5
Datenschutz - Herleitung
• Allgemeines Persönlichkeitsrecht – daraus abgeleitet:
– Grundrecht auf informationelle Selbstbestimmung.
– Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme.
• Zweck des Datenschutzes:
– Schutz des Einzelnen
– vor einer Beeinträchtigung in seinem Persönlichkeitsrecht
– durch den Umgang mit seinen personenbezogenen Daten.
6. 6
Datenschutz – Gesetzliche Grundlagen
EU Deutschland
Verfassung Art. 7,8 GrundrechteCharta
Art. 16 Abs. 1 AEUV
Grundrechte
● auf informationelle Selbstbestimmung
● auf Gewährleistung der Vertraulichkeit und
Integrität informationstechnischer Systeme
Derzeit EU-Datenschutzrichtlinie
95/46/EG
...
Bundesdatenschutzgesetz
Telemediengesetz (§§ 12-14 TMG)
IT-Sicherheitsgesetz
...
Ab 25. Mai
2018
Datenschutz-
Grundverordnung
2016/679
Datenschutz-Anpassungs- und
-Umsetzungsgesetz EU
7. 7
Datenschutz – Hauptprinzipien
●
Verbot mit Erlaubnisvorbehalt
– Datenverarbeitung ist verboten, solange sie nicht ausdrücklich erlaubt ist.
Datensparsamkeit und Datenvermeidung
Erforderlichkeit
Zweckbindung
9. 9
Daten
Geschützt sind alle personenbezogenen Daten.
Daten:
– Einzelangaben über persönliche oder sachliche Verhältnisse
– einer bestimmten oder bestimmbaren (natürlichen) Person.
– Auch: pseudonomisierte Daten (Personenbezug kann hergestellt werden)
10. 10
Personenbezogene Daten
Geschützt sind alle personenbezogenen Daten.
Personenbezogen:
– Die Zuordnung zu einer natürlichen Person kann zumindest mittelbar erfolgen
– Personenbeziehbarkeit reicht aus.
– Auch Daten, über die sich ein Personenbezug herstellen lässt:
●
Rentenversicherungsnummer, Kfz-Kennzeichen, Kontonummer,
Matrikelnummer
11. 11
Besondere Arten personenbezogener Daten
Besonders schutzbedürftige “besondere Arten personenbezogener Daten”
– Gesundheitsdaten,
– Informationen zur rassischen oder ethnischen Herkunft,
– Informationen zur religiösen oder weltanschaulichen Orientierung,
– Informationen zur politischen oder gewerkschaftlichen Orientierung
– Informationen zur sexuellen Orientierung.
13. 13
Datenschutz in der Cloud - Einzelfragen
a) Nutzungsbedingungen (AGB) der Cloud-Anbieter
b) Auftragsdatenverarbeitung
c) Datentransfer in Drittstaaten
15. 15
Probleme der Cloud-AGB I - Nutzungsrechte
●
Übertragung von Nutzungsrechten an den Cloud-Anbieter
– eingeschränkte Übertragung auf den Cloud-Anbieter ist zur Diensteerbringung
notwendig
●
Backup
●
Verfügbarkeitserfordernisse
●
In den AGB großer Cloud-Anbieter zu finden:
●
weltweite, zeitlich unbeschränkte Übertragung von Nutzungsrechten
●
Recht auf öffentliche Zugänglichmachung
●
Vertriebsrecht
16. 16
Probleme der Cloud-AGB II
●
keine Kontrollrechte
●
keine Transparenz der Datenspeicherung → Compliance-Audits i.d.R. nicht möglich
●
oftmals keine Festlegung hinsichtlich des Orts der Datenspeicherung
●
keine kontrollierbare physische Datenlöschung
●
ungenügende Mandantentrennung
●
Haftung bei Datenverlust, -manipulation, Identitätsdiebstahl, Account-Missbrauch?
●
Benachrichtigung über legale Zugriffe Dritter (Strafverfolgung, Geheimdienste)
●
Verfügbarkeitszeiten, SLA
18. 18
Auftragsdatenverarbeitung
• Erhebung, Verarbeitung oder Nutzung personenbezogener Daten
• durch einen Auftragnehmer
• nach Weisung der verantwortlichen Stelle (Auftraggeber)
• aufgrund eines schriftlichen Vertrages
19. 19
Auftragsdatenverarbeitung - Vertrag
• Vertragsschluss:
BDSG: Schriftlicher Vertrag erforderlich
EU-DSGVO: Vertragsschluss in elektronischer Form möglich
• Vertragsdokumentation:
BDSG: Verzeichnis durch Auftraggeber (ähnlich BDSG-Verfahrensverzeichnis)
EU-DSGVO: Verzeichnis zusätzlich auch bei Auftragsverarbeiter
• Erforderliche Regelungen:
– Gegenstand, Dauer, Art und Zweck der Verarbeitung
– Rückgabepflicht der Daten nach Abschluss der Auftragsbearbeitung
– Art der personenbezogenen Daten, Kategorien der betroffenen Personen
– Umfang der Weisungsbefugnis und Vertrauchlichkeitsverpflichtung
– Kontrollrechte, Sicherstellung durch techn. + organis. Maßnahmen
20. 20
Auftragsdatenverarbeitung
Haftung und Verantwortlichkeit
• Grundsatz: Haftung des Auftraggebers
• EU-DSGVO: schärfere Haftung auch des Auftragsverarbeiters
• Bei Verstoß gegen Weisung der verantwortlichen Stelle (Auftraggeber)
– wird der Auftragsverarbeiter zum Verantwortlichen
– Datenübermittlung → bedarf zusätzlicher datenschutzrechtlicher Absicherung
• Kontrollrechte müssen effektiv wahrgenommen werden können → Zertifizierungen.
22. 22
Datentransfer in Drittstaaten
• Einheitliches Datenschutzniveau innerhalb von EU / EWR
• Datentransfer in Staaten außerhalb von EU und EWR
– bei angemessenem Schutzniveau (Beschluss EU-Kommission)
●
Schweiz, Neuseeland, Andora, brit. Kanalinseln, Faröer,
Argentinien, Uruguay
●
Eingeschränkt: Kanada, Israel
– übrige Drittstaaten:
●
Binding Corporate Rules
●
EU-Standardvertragsklauseln
●
Einwilligung der Betroffenen (nach umfassender Information,widerrufbar)
– Sonderfall: Datentransfer in die USA (“EU-US Privacy Shield”)
23. 23
EU-US Privacy Shield
• Ersatz für “Safe Harbour” (“Schrems”-Urteil des EuGH vom 06.10.2015)
• Nur für Datenübermittlung an US-Firmen mit entsprechender Selbstzertifizierzung
– Teilnehmende Firmen: www.privacyshield.gov
• Probleme:
– kein bindender Vertrag, nur “Absichtserklärung” von USA und EU
– Forbestand der US-Zusagen derzeit zumindest zweifelhaft
– Überprüfungsfrist für die EU-Kommission: Juli 2017
●
EU-Parlament forder Nachbesserung / Beendigung
●
EU-Justizkommissarin droht ohne signifikante Änderungen mit
Beendigung
– Vereinbarkeit mit “Schrems”-Urteil des EuGH höchst zweifelhaft
24. 24
EU-Standardvertragsklauseln
• Standardmuster (Beschluss der EU-Kommission)
• Vereinbarung zwischen datenübermittelndem und datenempfangenem Unternehmen
– soll angemessenes Datenschutzniveau beim Datenempfänger schaffen
• Genehmigungspraxis deutscher Datenschutzbehördern:
– verzichten derzeit bei unveränderter Verwendung auf Vorlage
– Einzelfallprüfung vorbehalten (insb. bei der Datenübermittlung in die USA!)
– können Übermittlung im Einzelfall aussetzen
• Bei Datenübermittlung in die USA vergleichbare Bedenken wie beim Privacy Shield!
25. 25
Binding Corporate Rules
• Binding Corporate Rules
– Datenweiterleitung innerhalb Ihres Unternehmensverbundes
• Processor Binding Corporate Rules
– Weiterleitung durch Dienstleister innerhalb dessen Unternehmensverbundes
• Erforderlich:
– Umfassender Maßnahmenkatalog
– Genehmigung durch die europäischen und nationalen Datenschutzbehörden
– Umsetzung in allen beteiligten Unternehmen
• Derzeit keine Genehmigungen durch deutsche Datenschutzbehörden!