SlideShare ist ein Scribd-Unternehmen logo

Daten in der Cloud – Datenschutz trotz Cloud

Abschlusskeynote zum Launch Event von ownCloud X

1 von 26
Downloaden Sie, um offline zu lesen
Daten in der Cloud -
Datenschutz trotz Cloud
Udo Meisen
23. Mai 2017
Köln
2
Datenschutz in der Cloud - Übersicht
Datensicherung in Datenhaltung in der Cloud ist praktisch.
Datenhaltung in der Cloud wird immer einfacher.
Datenhaltung in der Cloud hat eigene datenschutzrechtliche Probleme.
1) Grundlagen des Datenschutzes
2) Geschützte Daten
3) Datenschutz in der Cloud – Einzelfragen
a) Nutzungsbedinungen (AGB) der Cloud-Anbieter
b) Auftragsdatenverarbeitung
c) Datentransfer in Drittstaaten
3
Problemfelder in den AGB der Cloud-Anbieter I
●
Übertragung von Nutzungsrechten:
– Eingeschränkte Übertragung auf den Cloud-Anbieter notwendig
– In den AGB großer Cloud-Anbieter:
●
weltweite, zeitlich unbeschränkte Übertragung von Nutzungsrechten
●
Recht auf öffentliche Zugänglichmachung, Vertriebsrecht
●
keine Kontrollrechte
●
keine Transparenz → Compliance-Audits i.d.R. nicht möglich
●
oftmals keine Festlegung hinsichtlich des Orts der Datenspeicherung
●
keine kontrollierbare physische Datenlöschung
●
ungenügende Mandantentrennung
Datenschutz
Grundlagen
5
Datenschutz - Herleitung
• Allgemeines Persönlichkeitsrecht – daraus abgeleitet:
– Grundrecht auf informationelle Selbstbestimmung.
– Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität
informationstechnischer Systeme.
• Zweck des Datenschutzes:
– Schutz des Einzelnen
– vor einer Beeinträchtigung in seinem Persönlichkeitsrecht
– durch den Umgang mit seinen personenbezogenen Daten.
6
Datenschutz – Gesetzliche Grundlagen
EU Deutschland
Verfassung Art. 7,8 GrundrechteCharta
Art. 16 Abs. 1 AEUV
Grundrechte
● auf informationelle Selbstbestimmung
● auf Gewährleistung der Vertraulichkeit und
Integrität informationstechnischer Systeme
Derzeit EU-Datenschutzrichtlinie
95/46/EG
...
Bundesdatenschutzgesetz
Telemediengesetz (§§ 12-14 TMG)
IT-Sicherheitsgesetz
...
Ab 25. Mai
2018
Datenschutz-
Grundverordnung
2016/679
Datenschutz-Anpassungs- und
-Umsetzungsgesetz EU

Recomendados

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
[2018-02-25] epicenter.works Koordinationstreffen: Regierungsprogramm und Übe...
[2018-02-25] epicenter.works Koordinationstreffen: Regierungsprogramm und Übe...[2018-02-25] epicenter.works Koordinationstreffen: Regierungsprogramm und Übe...
[2018-02-25] epicenter.works Koordinationstreffen: Regierungsprogramm und Übe...Daniel Lohninger
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...Symposia 360°
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...CloudCamp Hamburg
 
Cloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der CloudCloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der CloudConnected-Blog
 
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCOnlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMC
Onlinemarketing on the Edge - 100.000 Euro Bußgeld für ein Cookie? #AFBMCAllFacebook.de
 

Más contenido relacionado

Ähnlich wie Daten in der Cloud – Datenschutz trotz Cloud

Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Österreich
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Webinar "Darf ich Google Analytics noch verwenden?"
Webinar "Darf ich Google Analytics noch verwenden?"Webinar "Darf ich Google Analytics noch verwenden?"
Webinar "Darf ich Google Analytics noch verwenden?"Advance Metrics
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slidesDigicomp Academy AG
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Symposia Media
 
Typische Datenschutzprobleme bei Websites
Typische Datenschutzprobleme bei WebsitesTypische Datenschutzprobleme bei Websites
Typische Datenschutzprobleme bei WebsitesPraetor Intermedia
 
Einführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerEinführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerPraetor Intermedia
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesSven Bernhardt
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & DatenschutzrechtMichael Rohrlich
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenICT Economic Impact
 

Ähnlich wie Daten in der Cloud – Datenschutz trotz Cloud (16)

Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, TransparencyMicrosoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
Microsoft Trusted Cloud - Security Privacy & Control, Compliance, Transparency
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Webinar "Darf ich Google Analytics noch verwenden?"
Webinar "Darf ich Google Analytics noch verwenden?"Webinar "Darf ich Google Analytics noch verwenden?"
Webinar "Darf ich Google Analytics noch verwenden?"
 
General data protection regulation-slides
General data protection regulation-slidesGeneral data protection regulation-slides
General data protection regulation-slides
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 
Typische Datenschutzprobleme bei Websites
Typische Datenschutzprobleme bei WebsitesTypische Datenschutzprobleme bei Websites
Typische Datenschutzprobleme bei Websites
 
Wpcgn dsgvo
Wpcgn dsgvoWpcgn dsgvo
Wpcgn dsgvo
 
Datenschutz in der Cloud
Datenschutz in der CloudDatenschutz in der Cloud
Datenschutz in der Cloud
 
Jugsauerland dsgvo
Jugsauerland dsgvoJugsauerland dsgvo
Jugsauerland dsgvo
 
Einführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für WebworkerEinführung in die Datenschutz-Grundverordnung für Webworker
Einführung in die Datenschutz-Grundverordnung für Webworker
 
Cloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best PracticesCloud meets On-prem - Guidelines & Best Practices
Cloud meets On-prem - Guidelines & Best Practices
 
Cloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practicesCloud meets On-premises - Guidelines and Best practices
Cloud meets On-premises - Guidelines and Best practices
 
Social Media & Datenschutzrecht
Social Media & DatenschutzrechtSocial Media & Datenschutzrecht
Social Media & Datenschutzrecht
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Regelkonformität durch neue Architekturen
Regelkonformität durch neue ArchitekturenRegelkonformität durch neue Architekturen
Regelkonformität durch neue Architekturen
 

Mehr von Praetor Intermedia

Open Source Lizenzen - Rechtsfragen der GPL
Open Source Lizenzen - Rechtsfragen der GPLOpen Source Lizenzen - Rechtsfragen der GPL
Open Source Lizenzen - Rechtsfragen der GPLPraetor Intermedia
 
Nach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VONach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VOPraetor Intermedia
 
Das neue Reiserecht - ein erster Überblick
Das neue Reiserecht - ein erster ÜberblickDas neue Reiserecht - ein erster Überblick
Das neue Reiserecht - ein erster ÜberblickPraetor Intermedia
 
Open Source-Lizenzen - Rechtsfragen der GNU General Public License
Open Source-Lizenzen - Rechtsfragen der GNU General Public LicenseOpen Source-Lizenzen - Rechtsfragen der GNU General Public License
Open Source-Lizenzen - Rechtsfragen der GNU General Public LicensePraetor Intermedia
 
DSGVO - Realität vs. Hysterie
DSGVO - Realität vs. HysterieDSGVO - Realität vs. Hysterie
DSGVO - Realität vs. HysteriePraetor Intermedia
 
Alles was Recht ist! - Veröffentlichungen im Internet
Alles was Recht ist! - Veröffentlichungen im InternetAlles was Recht ist! - Veröffentlichungen im Internet
Alles was Recht ist! - Veröffentlichungen im InternetPraetor Intermedia
 
Die Datenschutz-Grundverordnung - und meine Website
Die Datenschutz-Grundverordnung - und meine WebsiteDie Datenschutz-Grundverordnung - und meine Website
Die Datenschutz-Grundverordnung - und meine WebsitePraetor Intermedia
 
Einführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
Einführung in die Datenschutz-Grundverordnung für WebseitenbetreiberEinführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
Einführung in die Datenschutz-Grundverordnung für WebseitenbetreiberPraetor Intermedia
 
Recht und Datenschutz für Website-Betreiber
Recht und Datenschutz für Website-BetreiberRecht und Datenschutz für Website-Betreiber
Recht und Datenschutz für Website-BetreiberPraetor Intermedia
 
EU-ePrivacy-Verordnung - Der aktuelle Stand (November 2017)
EU-ePrivacy-Verordnung - Der aktuelle Stand (November 2017)EU-ePrivacy-Verordnung - Der aktuelle Stand (November 2017)
EU-ePrivacy-Verordnung - Der aktuelle Stand (November 2017)Praetor Intermedia
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVOPraetor Intermedia
 

Mehr von Praetor Intermedia (20)

Recht für Webworker
Recht für WebworkerRecht für Webworker
Recht für Webworker
 
Open Source Lizenzen - Rechtsfragen der GPL
Open Source Lizenzen - Rechtsfragen der GPLOpen Source Lizenzen - Rechtsfragen der GPL
Open Source Lizenzen - Rechtsfragen der GPL
 
Die rechtssichere Website
Die rechtssichere WebsiteDie rechtssichere Website
Die rechtssichere Website
 
Nach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VONach der DSGVO ist vor der ePrivacy-VO
Nach der DSGVO ist vor der ePrivacy-VO
 
Das neue Reiserecht - ein erster Überblick
Das neue Reiserecht - ein erster ÜberblickDas neue Reiserecht - ein erster Überblick
Das neue Reiserecht - ein erster Überblick
 
Open Source-Lizenzen - Rechtsfragen der GNU General Public License
Open Source-Lizenzen - Rechtsfragen der GNU General Public LicenseOpen Source-Lizenzen - Rechtsfragen der GNU General Public License
Open Source-Lizenzen - Rechtsfragen der GNU General Public License
 
DSGVO - und jetzt?
DSGVO - und jetzt?DSGVO - und jetzt?
DSGVO - und jetzt?
 
DSGVO - Realität vs. Hysterie
DSGVO - Realität vs. HysterieDSGVO - Realität vs. Hysterie
DSGVO - Realität vs. Hysterie
 
Alles was Recht ist! - Veröffentlichungen im Internet
Alles was Recht ist! - Veröffentlichungen im InternetAlles was Recht ist! - Veröffentlichungen im Internet
Alles was Recht ist! - Veröffentlichungen im Internet
 
Impressum & Co.
Impressum & Co.Impressum & Co.
Impressum & Co.
 
Die Datenschutz-Grundverordnung - und meine Website
Die Datenschutz-Grundverordnung - und meine WebsiteDie Datenschutz-Grundverordnung - und meine Website
Die Datenschutz-Grundverordnung - und meine Website
 
DSGVO für Webworker
DSGVO für WebworkerDSGVO für Webworker
DSGVO für Webworker
 
Einführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
Einführung in die Datenschutz-Grundverordnung für WebseitenbetreiberEinführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
Einführung in die Datenschutz-Grundverordnung für Webseitenbetreiber
 
DSGVO - WP-Meetup Düsseldorf
DSGVO - WP-Meetup DüsseldorfDSGVO - WP-Meetup Düsseldorf
DSGVO - WP-Meetup Düsseldorf
 
Urheberrecht auf der Website
Urheberrecht auf der WebsiteUrheberrecht auf der Website
Urheberrecht auf der Website
 
Urheberrecht auf der Website
Urheberrecht auf der WebsiteUrheberrecht auf der Website
Urheberrecht auf der Website
 
Recht und Datenschutz für Website-Betreiber
Recht und Datenschutz für Website-BetreiberRecht und Datenschutz für Website-Betreiber
Recht und Datenschutz für Website-Betreiber
 
EU-ePrivacy-Verordnung - Der aktuelle Stand (November 2017)
EU-ePrivacy-Verordnung - Der aktuelle Stand (November 2017)EU-ePrivacy-Verordnung - Der aktuelle Stand (November 2017)
EU-ePrivacy-Verordnung - Der aktuelle Stand (November 2017)
 
Datenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVODatenschutz in Zeiten der EU-DSGVO
Datenschutz in Zeiten der EU-DSGVO
 
Freelancer und Finanzamt
Freelancer und FinanzamtFreelancer und Finanzamt
Freelancer und Finanzamt
 

Daten in der Cloud – Datenschutz trotz Cloud

  • 1. Daten in der Cloud - Datenschutz trotz Cloud Udo Meisen 23. Mai 2017 Köln
  • 2. 2 Datenschutz in der Cloud - Übersicht Datensicherung in Datenhaltung in der Cloud ist praktisch. Datenhaltung in der Cloud wird immer einfacher. Datenhaltung in der Cloud hat eigene datenschutzrechtliche Probleme. 1) Grundlagen des Datenschutzes 2) Geschützte Daten 3) Datenschutz in der Cloud – Einzelfragen a) Nutzungsbedinungen (AGB) der Cloud-Anbieter b) Auftragsdatenverarbeitung c) Datentransfer in Drittstaaten
  • 3. 3 Problemfelder in den AGB der Cloud-Anbieter I ● Übertragung von Nutzungsrechten: – Eingeschränkte Übertragung auf den Cloud-Anbieter notwendig – In den AGB großer Cloud-Anbieter: ● weltweite, zeitlich unbeschränkte Übertragung von Nutzungsrechten ● Recht auf öffentliche Zugänglichmachung, Vertriebsrecht ● keine Kontrollrechte ● keine Transparenz → Compliance-Audits i.d.R. nicht möglich ● oftmals keine Festlegung hinsichtlich des Orts der Datenspeicherung ● keine kontrollierbare physische Datenlöschung ● ungenügende Mandantentrennung
  • 5. 5 Datenschutz - Herleitung • Allgemeines Persönlichkeitsrecht – daraus abgeleitet: – Grundrecht auf informationelle Selbstbestimmung. – Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme. • Zweck des Datenschutzes: – Schutz des Einzelnen – vor einer Beeinträchtigung in seinem Persönlichkeitsrecht – durch den Umgang mit seinen personenbezogenen Daten.
  • 6. 6 Datenschutz – Gesetzliche Grundlagen EU Deutschland Verfassung Art. 7,8 GrundrechteCharta Art. 16 Abs. 1 AEUV Grundrechte ● auf informationelle Selbstbestimmung ● auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Derzeit EU-Datenschutzrichtlinie 95/46/EG ... Bundesdatenschutzgesetz Telemediengesetz (§§ 12-14 TMG) IT-Sicherheitsgesetz ... Ab 25. Mai 2018 Datenschutz- Grundverordnung 2016/679 Datenschutz-Anpassungs- und -Umsetzungsgesetz EU
  • 7. 7 Datenschutz – Hauptprinzipien ● Verbot mit Erlaubnisvorbehalt – Datenverarbeitung ist verboten, solange sie nicht ausdrücklich erlaubt ist. Datensparsamkeit und Datenvermeidung Erforderlichkeit Zweckbindung
  • 9. 9 Daten Geschützt sind alle personenbezogenen Daten. Daten: – Einzelangaben über persönliche oder sachliche Verhältnisse – einer bestimmten oder bestimmbaren (natürlichen) Person. – Auch: pseudonomisierte Daten (Personenbezug kann hergestellt werden)
  • 10. 10 Personenbezogene Daten Geschützt sind alle personenbezogenen Daten. Personenbezogen: – Die Zuordnung zu einer natürlichen Person kann zumindest mittelbar erfolgen – Personenbeziehbarkeit reicht aus. – Auch Daten, über die sich ein Personenbezug herstellen lässt: ● Rentenversicherungsnummer, Kfz-Kennzeichen, Kontonummer, Matrikelnummer
  • 11. 11 Besondere Arten personenbezogener Daten Besonders schutzbedürftige “besondere Arten personenbezogener Daten” – Gesundheitsdaten, – Informationen zur rassischen oder ethnischen Herkunft, – Informationen zur religiösen oder weltanschaulichen Orientierung, – Informationen zur politischen oder gewerkschaftlichen Orientierung – Informationen zur sexuellen Orientierung.
  • 12. Datenschutz in der Cloud - Einzelfragen
  • 13. 13 Datenschutz in der Cloud - Einzelfragen a) Nutzungsbedingungen (AGB) der Cloud-Anbieter b) Auftragsdatenverarbeitung c) Datentransfer in Drittstaaten
  • 15. 15 Probleme der Cloud-AGB I - Nutzungsrechte ● Übertragung von Nutzungsrechten an den Cloud-Anbieter – eingeschränkte Übertragung auf den Cloud-Anbieter ist zur Diensteerbringung notwendig ● Backup ● Verfügbarkeitserfordernisse ● In den AGB großer Cloud-Anbieter zu finden: ● weltweite, zeitlich unbeschränkte Übertragung von Nutzungsrechten ● Recht auf öffentliche Zugänglichmachung ● Vertriebsrecht
  • 16. 16 Probleme der Cloud-AGB II ● keine Kontrollrechte ● keine Transparenz der Datenspeicherung → Compliance-Audits i.d.R. nicht möglich ● oftmals keine Festlegung hinsichtlich des Orts der Datenspeicherung ● keine kontrollierbare physische Datenlöschung ● ungenügende Mandantentrennung ● Haftung bei Datenverlust, -manipulation, Identitätsdiebstahl, Account-Missbrauch? ● Benachrichtigung über legale Zugriffe Dritter (Strafverfolgung, Geheimdienste) ● Verfügbarkeitszeiten, SLA
  • 18. 18 Auftragsdatenverarbeitung • Erhebung, Verarbeitung oder Nutzung personenbezogener Daten • durch einen Auftragnehmer • nach Weisung der verantwortlichen Stelle (Auftraggeber) • aufgrund eines schriftlichen Vertrages
  • 19. 19 Auftragsdatenverarbeitung - Vertrag • Vertragsschluss: BDSG: Schriftlicher Vertrag erforderlich EU-DSGVO: Vertragsschluss in elektronischer Form möglich • Vertragsdokumentation: BDSG: Verzeichnis durch Auftraggeber (ähnlich BDSG-Verfahrensverzeichnis) EU-DSGVO: Verzeichnis zusätzlich auch bei Auftragsverarbeiter • Erforderliche Regelungen: – Gegenstand, Dauer, Art und Zweck der Verarbeitung – Rückgabepflicht der Daten nach Abschluss der Auftragsbearbeitung – Art der personenbezogenen Daten, Kategorien der betroffenen Personen – Umfang der Weisungsbefugnis und Vertrauchlichkeitsverpflichtung – Kontrollrechte, Sicherstellung durch techn. + organis. Maßnahmen
  • 20. 20 Auftragsdatenverarbeitung Haftung und Verantwortlichkeit • Grundsatz: Haftung des Auftraggebers • EU-DSGVO: schärfere Haftung auch des Auftragsverarbeiters • Bei Verstoß gegen Weisung der verantwortlichen Stelle (Auftraggeber) – wird der Auftragsverarbeiter zum Verantwortlichen – Datenübermittlung → bedarf zusätzlicher datenschutzrechtlicher Absicherung • Kontrollrechte müssen effektiv wahrgenommen werden können → Zertifizierungen.
  • 22. 22 Datentransfer in Drittstaaten • Einheitliches Datenschutzniveau innerhalb von EU / EWR • Datentransfer in Staaten außerhalb von EU und EWR – bei angemessenem Schutzniveau (Beschluss EU-Kommission) ● Schweiz, Neuseeland, Andora, brit. Kanalinseln, Faröer, Argentinien, Uruguay ● Eingeschränkt: Kanada, Israel – übrige Drittstaaten: ● Binding Corporate Rules ● EU-Standardvertragsklauseln ● Einwilligung der Betroffenen (nach umfassender Information,widerrufbar) – Sonderfall: Datentransfer in die USA (“EU-US Privacy Shield”)
  • 23. 23 EU-US Privacy Shield • Ersatz für “Safe Harbour” (“Schrems”-Urteil des EuGH vom 06.10.2015) • Nur für Datenübermittlung an US-Firmen mit entsprechender Selbstzertifizierzung – Teilnehmende Firmen: www.privacyshield.gov • Probleme: – kein bindender Vertrag, nur “Absichtserklärung” von USA und EU – Forbestand der US-Zusagen derzeit zumindest zweifelhaft – Überprüfungsfrist für die EU-Kommission: Juli 2017 ● EU-Parlament forder Nachbesserung / Beendigung ● EU-Justizkommissarin droht ohne signifikante Änderungen mit Beendigung – Vereinbarkeit mit “Schrems”-Urteil des EuGH höchst zweifelhaft
  • 24. 24 EU-Standardvertragsklauseln • Standardmuster (Beschluss der EU-Kommission) • Vereinbarung zwischen datenübermittelndem und datenempfangenem Unternehmen – soll angemessenes Datenschutzniveau beim Datenempfänger schaffen • Genehmigungspraxis deutscher Datenschutzbehördern: – verzichten derzeit bei unveränderter Verwendung auf Vorlage – Einzelfallprüfung vorbehalten (insb. bei der Datenübermittlung in die USA!) – können Übermittlung im Einzelfall aussetzen • Bei Datenübermittlung in die USA vergleichbare Bedenken wie beim Privacy Shield!
  • 25. 25 Binding Corporate Rules • Binding Corporate Rules – Datenweiterleitung innerhalb Ihres Unternehmensverbundes • Processor Binding Corporate Rules – Weiterleitung durch Dienstleister innerhalb dessen Unternehmensverbundes • Erforderlich: – Umfassender Maßnahmenkatalog – Genehmigung durch die europäischen und nationalen Datenschutzbehörden – Umsetzung in allen beteiligten Unternehmen • Derzeit keine Genehmigungen durch deutsche Datenschutzbehörden!
  • 26. Thank You Sebastianstr. 38, 53115 Bonn +49 228 2862723 0 @rechtslupe Praetor Intermedia UG www.praetor.im · www.praetor.xyz Sebastianstr. 38, 53115 Bonn +49 228 2862723 0 @rechtslupe Praetor Intermedia UG www.praetor.im · www.praetor.xyz