Cloud Anwendungen gehören heute zum Alltag. Bei der täglichen Arbeit und im privaten Gebrauch sind Dropbox, iCloud & Co. nicht mehr weg zu denken. Nicht zuletzt durch seine vielfältigen Einsatzformen stellt das sogenannte Cloud Computing die IT-Landschaften auf den Kopf.
Gerade bei einem Datentransfer außerhalb des Europäischen Wirtschaftsraums (EWR) stellt sich aber die Frage, ob und wie die behördlichen und gesetzlichen Vorgaben in der Praxis umsetzbar sind. Cloud-Anwender stehen in der rechtlichen Verantwortung und müssen vor jeder Auftragserteilung prüfen, ob die gesetzlichen Anforderungen
eingehalten werden.
In dem Booklet wurden die wichtigsten Fragen und Antworten zum Thema insgesamt 30 Seiten für Unternehmen zusammen gestellt. In der kleinen informativen Broschüre geben wir kurz und knapp Antworten auf die wichtigsten Fragen. Themen sind u.a.:
- Cloud Computing und Datenschutz
- Die Auftragsdatenverarbeitung
- Grenzüberschreitende Datenverarbeitung
- Cloud Anbieter in den USA
- Checkliste für rechtssicheres Cloud Computing
2. 2
Inhalt
Editorial ....................................................................
Was ist “Cloud Computing”? ....................................
Vor- und Nachteile von Cloud Computing? ..............
Cloud Computing und Datenschutz ..........................
Die Auftragsdatenverarbeitung ...............................
Kontrollpflichten des Cloud-Anwenders ...................
Grenzüberschreitende Datenverarbeitung ...............
Cloud Anbieter in den USA ......................................
Checkliste für rechtssicheres Cloud Computing .......
Was wir für Sie tun können ......................................
3
5
6
7
12
15
17
20
25
26
3. 3
Cloud Anwendungen gehören heute zum Alltag. Bei der täglichen
Arbeit und im privaten Gebrauch sind Dropbox, iCloud & Co.
nicht mehr weg zu denken. Nicht zuletzt durch seine vielfältigen
Einsatzformen stellt das sogenannte Cloud Computing die IT-
Landschaften auf den Kopf.
Gerade bei einem Datentransfer außerhalb des Europäischen
Wirtschaftsraums (EWR) stellt sich die Frage,
Editorial
ob die behördlichen und gesetzlichen
Vorgaben in der Praxis umsetzbar
sind. Cloud-Anwender stehen in
der rechtlichen Verantwortung
und müssen vor jeder Auftrags-
erteilung prüfen, ob die
gesetzlichen Anforderungen
eingehalten werden.
4. 4
Darüber, was Cloud-Anwender im Unternehmen aus rechtlicher
Sicht zu beachten haben, informiert das vorliegende Booklet.
Wir freuen uns über Ihr Feedback - oder auch über Themen-
vorschläge für weitere Booklets. Schreiben Sie uns an die
Mailadresse mainz@res-media.net.
Ihr Team von
RESMEDIA
5. 5
Cloud Computing ist keine neue Technik. Der Begriff steht
synonym für den flexibel abrechenbaren Einsatz bestehender
Technikoptionen aus einer Hand. Dies können etwa Ressourcen
in Form von Anwenderprogrammen, die Zurverfügungstellung
von IT-Infrastruktur oder Entwicklungsplattformen sein. Die
nachfolgenden Ausführungen beziehen sich dabei ausschließlich
auf den Bereich des Cloud Computings, bei dem ein Anbieter
Software zur Nutzung bereitstellt (Software as a Service (SaaS).
Unter “Cloud Computing” (deutsch etwa Rechnen in der Wolke)
versteht man das Speichern von Daten in einem entfernten Re-
chenzentrum, aber auch die Ausführung von Programmen, die
nicht auf dem lokalen Arbeitsplatzcomputer oder Server instal-
liert sind, sondern eben entfernt in der (metaphorischen) Wolke
(englisch cloud).
Quelle: Wikipedia
Was ist “Cloud Computing”?
6. 6
Vor- und Nachteile von
Cloud Computing
Besonders für Unternehmer liegen die Vorteile von Cloud Com-
puting auf der Hand:
Datenaktualität
Datenverfügbarkeit
verringertet Komplexität
finanzielles Einsparungspotential
/
/
/
/
Nachteilig können sich vor allem die zum Teil komplexen,
rechtlichen Aspekte bei dem Einsatz von Cloud- Lösungen
auswirken:
komplizierte Fragen der Vertragsgestaltung
komplizierte urheberrechtliche Fragen
Gesetzliche Anforderungen an den Datenschutz
Fragen bei grenzüberschreitender Rechtsanwendung
/
/
/
/
7. 7
Cloud Computing und Datenschutz
Grundsatz: Sind “personenbezogene Daten” im Spiel, gilt
Datenschutzrecht!
Für den Cloudanwender stellen sich Probleme immer dann,
wenn der Diensteanbieter, also der Cloud-Anbieter, Zugang
zu personenbezogenen Daten erhält. Dann sind speziell die
Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu
beachten.
8. 8
Personenbezogene Daten = Einzelangaben über persönliche oder
sachliche Verhältnisse einer bestimmten oder bestimmbaren
Person
Ein relevanter Bezug kann dabei schon in der Speicherung einer
IP-Adresse durch den Anbieter liegen, aber auch Zugangsdaten
oder sonstige Daten, die in der Cloud abgespeichert werden,
können einen Personenbezug herstellen. Dafür reicht es schon
aus, dass den Daten eine natürliche Person direkt oder indirekt
zugeordnet werden kann.
Ausnahmsweise liegt aber dann keine Nutzung von personen-
bezogenen Daten vor, wenn die Bestimmbarkeit einer natürlichen
Person verhindert wird. Das ist z.B. bei der Anonymisierung der
Daten der Fall. Dann wäre Datenschutzrecht nicht anwendbar.
9. 9
Folge: Die Datenverarbeitung erfordert eine gesetzliche
Erlaubnis oder eine Einwilligung!
Werden personenbezogene Daten erhoben, verarbeitet oder
genutzt, ist dazu entweder ein gesetzlicher Erlaubnistatbestand
oder eine Einwilligung des jeweils Betroffenen erforderlich.
Der Cloud-Anwender - und nicht der Dienste-Anbieter - haftet
dafür, dass eine dieser Voraussetzungen erfüllt ist, wenn Daten
mit Personenbezug in der Cloud verarbeitet werden.
Ein gesetzlicher Erlaubnistatbestand
greift in der Praxis meist nicht:
So regelt § 28 Abs. 1 Nr. 1 BDSG etwa,
dass das Übermitteln personenbezogener
Daten oder ihre Nutzung als Mittel
für die Erfüllung eigener Geschäfts-
zwecke zulässig ist, wenn dies für
die Durchführung eins rechts-
10. 10
geschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält-
nisses mit dem Betroffenen erforderlich ist. Diese Erforder-
lichkeit ist jedoch in den meisten Fällen nicht gegeben.
Nach § 28 Abs. 1 Nr. BDSG ist das Übermitteln personenbezo-
gener Daten oder ihre Nutzung zulässig, wenn dies zur Wah-
rung berechtigter Interessen der “verantwortlichen Stelle”, also
hier des Cloud-Nutzers, erforderlich ist und kein Grund zu der
Annahme besteht, dass das schutzwürdige Interesse des Betrof-
fenen an dem Ausschluss der Verarbeitung oder Nutzung über-
wiegt. Das Merkmal der Erforderlichkeit ist auch hier im Einzel-
fall eher streng auszulegen und liegt zumeist nicht vor.
11. 11
Cloud-Nutzer benötigen für die Nutzung der Dienste daher in
den überwiegenden Fällen die Einwilligung des Betroffenen,
also der Kunden, Lieferanten, Partner usw. (vgl. § 4 a BDSG).
Die Einwilligung muss freiwillig und schriftlich erteilt werden.
Der Betroffene ist dabei darüber aufzuklären, dass seine Daten
in der Cloud gespeichert, verarbeitet und genutzt werden sol-
len. In der Praxis stellt sich dieser Part als schwer bis gar nicht
umsetzbar dar.
12. 12
Die Auftragsdatenverarbeitung (ADV)
Da der Cloud-Anbieter für den Anwender, also in dessen Auftrag
und auf dessen Weisung personenbezogene Daten verarbeitet,
müssen außerdem die gesetzlichen Vorgaben einer Auftrags-
datenverarbeitung (§ 11 BDSG) erfüllt werden.
Schriftlicher Vertrag
Der Cloud-Anwender hat mit seinem Dienstanbieter dazu einen
schriftlichen Vertrag abzuschließen. Er muss als verantwortli-
che Stelle dafür sorgen, dass die Mindestanforderungen gemäß
§ 11 Abs. 2 BDSG erfüllt werden. Gleichzeitig muss er damit
einhergehende Kontrollpflichten gegenüber dem Cloud- Anbi-
eter hinsichtlich der Datenverarbeitung wahrnehmen. In einem
Vertrag zur ADV sind dabei mindestens die folgenden Punkte zu
regeln:
13. 13
Gegenstand und Dauer des Auftrags,
Umfang, Art und Zweck der vorgesehenen Erhebung,
Verarbeitung oder Nutzung der Daten,
Art der Daten und Kreis der Betroffenen,
die nach § 9 BDSG zu treffenden technischen und organisa-
torischen Maßnahmen (“TOMs”),
Berichtigung, Löschung und Sperrung von Daten,
Pflichten des Auftragnehmers nach § 11 Absatz 4 BDSG,
insbesondere die vorzunehmenden Kontrollen,
etwaige Berechtigung zur Begründung von Unterauftrags-
verhältnissen,
Kontrollrechte des Auftraggebers sowie Duldungs- und
Mitwirkungspflichten des Auftragnehmers,
mitzuteilende Verstöße des Auftragnehmers oder der bei ihm
beschäftigten Personen gegen Datenschutzvorschriften oder
gegen vertragliche Vereinbarungen,
Umfang der Weisungsbefugnisse des Auftraggebers gegenüber
dem Auftragnehmer,
Rückgabe überlassener Datenträger und Datenlöschung nach
Beendigung des Auftrags.
/
/
/
/
/
/
/
/
/
/
/
Mindestinhalte im ADV:
14. 14
Was drohen für Konsequenzen, wenn der Vertrag fehlt oder nicht
vollständig ist?
Wenn ein schriftlicher ADV fehlt oder auch nur unvollständig
ist, stellt das eine Ordnungswidrigkeit dar. Es drohen dann
Bußgelder bis 50.000 € bzw. bis zur Höhe des aus dem Verstoß
resultierenden wirtschaftlichen Vorteils (§ 43 Absatz 1 Nr. 2
BDSG).
15. 15
Der Cloud-Anwender hat neben dem Abschluss eines schrift-
lichen Vertrages mit dem Cloud-Anbieter dafür zu sorgen, dass
dieser die vertraglichen Vorgaben auch umsetzt. In diesem
Zusammenhang hat er zu gewährleisten, dass die technischen
organisatorischen Maßnahmen des Anbieters zur Datenverarbei-
tung zumindest die folgenden Vorgaben erfüllen:
Kontrollpflichten des
Cloud-Anwenders
Der Cloud-Anwender hat sich von der Einhaltung der Vorgaben
regelmäßig vor Ort zu überzeugen. Ist eine Kontrolle vor Ort
beim Cloud- Anbieter nicht möglich, muss der Anwender
Datenverfügbarkeit
Datenvertraulichkeit
Datenintegrität
Revisionssicherheit
Transparenz
/
/
/
/
/
16. 16
zumindest darauf achten, dass der Cloud-Anbieter sich
bestimmten Zertifizierungs- und Gütesiegelverfahren zu Fragen
des Datenschutzes unterworfen hat. Hierbei darf er sich nicht
allein auf die Angaben des Cloud-Anbieters verlassen, sondern
muss die entsprechenden Zertifikate auch überprüfen.
Auch hier gilt: Wer seine Kontrollpflichte verletzt oder nicht
wahrnimmt, kann mit Bußgeldern bis 50.000 € bzw. bis zur
Höhe des aus dem Verstoß resultierenden wirtschaftlichen
Vorteils belegt werden (§ 43 Absatz 1 Nr. 2 b in Verbindung
mit § 43 Abs. 3 BDSG).
17. 17
Grenzüberschreitende
Datenverarbeitung
Die grenzüberschreitende Datenverarbeitung ist bei Cloud Com-
puting eher die Regel, als die Ausnahme. Auch hier bleibt der
Cloud-Anwender “verantwortliche Stelle” im Sinne des BDSG
und hat für die Einhaltung des Datenschutzrechts zu sorgen.
In jedem Fall muss sich der Cloud- Anwender über sämtliche
möglichen Verbreitungsorte informieren, d.h. er muss wissen,
“wo die Server stehen” und im ADV ggf. eine Vereinbarung über
den Ort der technischen Datenverarbeitung treffen.
Findet die Datenverarbeitung innerhalb des Europäischen
Wirtschaftsraums (EWR) statt, muss der Anwender über den
ADV dafür sorgen, dass die technische Verarbeitung tatsächlich
physisch auf dem Gebiet des EWR stattfindet.
18. 18
Außerhalb des EWR gelten für den Datentransfer strenge An-
forderungen. Der Cloud-Anwender muss dafür sorgen, dass ein
angemessenes Datenschutzniveau im Drittland, wo die Daten-
verarbeitung stattfindet, sichergestellt ist. Für manche Länder
wird seitens der Europäischen Union ein angemessenes Datens-
chutzniveau anerkannt. Zu diesen Ländern gehören derzeit An-
dorra, Argentinien, die Farör Inseln, Guersey, Israel, Isle of Man,
Jersey, Kanda, Neuseeland und die Schweiz. Die USA gehören
ausdrücklich nicht dazu.
Liste der seitens der Europäischen Union
http://ec.europa.eu/justice/data-protection/document/
anerkannten Drittländer
international-transfers/adequacy/index_en.htm
19. 19
Besteht kein anerkanntes Datenschutzniveau im Drittstaat,
ist der Cloud-Anwender als verantwortliche Stelle verpflichtet,
sich ausreichende Garantien, beispielsweise aus Standardver-
tragsklauseln (gemäß Kommissionsbeschluss 2010/87/EU für
Auftragsverarbeitung vom 05.05.2010), zum Schutz des allge-
meinen Persönlichkeitsrechts und der Ausübung damit
verbundener Rechte einräumen zu lassen.
20. 20
Die Nutzung von Cloud-Diensten in den USA ist nicht unzulässig,
aber datenschutzrechtlich schwierig. Die Anforderungen
sind unklar:
Cloud-Anbieter mit Sitz in den USA können sich auf freiwilliger
Basis gegenüber dem US-Handelsministerium selbst unter die
sog. Safeharbour-Principles zertifizieren. Dazu ist eine Bei-
trittserklärung zu unterzeichnen und eine datenschutzerklärung
zu veröffentlichen.
Die hiesigen Aufsichtsbehörden verlangen jedoch zusätz-
lich, dass deutsche Unternehmen sich verpflichten, bevor sie
personenbezogene Daten an einen auf der Safe – Harbor -Liste
geführten US-Cloud-Anbieter übermitteln, sich von der Gültigkeit
des Zertifikats des Anbieters zu überzeugen. Das Zertifikat muss
sich dabei auf die betroffenen Daten beziehen. Außerdem ist ein
schriftlicher ADV nach § 11 BDSG zu schließen und der Cloud-
Cloud Anbieter in den USA
21. 21
Anwender muss seinen entsprechenden Kontrollpflichten
nachkommen.
Die Artikel-29-Datenschutzgruppe, das Beratungsgremium
der Europäischen Kommission in Fragen des Datenschutzes,
geht ebenfalls davon aus, dass es nicht ausreicht, sich auf die
Safe Habour Principles und deren Einhaltung zu verlassen.
Vielmehr müsse der Cloud-Anwender zusätzliche Garantien
einsetzen, um die Datensicherheit zu gewährleisten. Dies
umfasse den Einsatz von Prüfungs-, Standardisierungs- und
Zertifizierungssystemen.
Model Contracts for the transfer of personal
http://ec.europa.eu/justice/data-protection/document/
data to third countries
international-transfers/transfer/index_en.htm
22. 22
Die Arbeitskreise Technik und Medien der Konferenz der
Datenschutzbeauftragten des Bundes und der Länder
sowie die Arbeitsgruppe Internationaler Datenverkehr des
Düsseldorfer Kreises halten es bei einem Datentransfer in die
USA datensicherheitsrechtlichen für erforderlich, dass
/
/
/
der Cloud-Anbieter dem Cloud- Anwender zu Prüfzweck-
en einen Zugriff auf die Protokolldaten ermöglicht;
dem Cloud-Anwender eine auswertbare Protokollierung
zur Verfügung gestellt wird;
die Aufbewahrungszeit der Protokolldaten durch den
Cloud- Anwender konfigurierbar ist
Orientierungshilfe Cloud Computing Version 2.0
der AK Technik und Medien und der AG Internationaler
Datenverkehr des Düsseldorfer Kreises Stand 09.10.2014
https://www.datenschutz.hessen.de/download.php?download_ID=318
23. 23
Inwiefern sich Cloud-Anwender, die nach deutschem Recht die
“verantwortliche Stelle” sind, auf das zuvor genannte Procedere
verlassen können, erscheint angesichts der aktuellen, beste-
henden Praxis US-Amerikanischer Geheimdienste fraglich.
Geheimdienste wie das Federal Bureau of Investigation (FBI),
die National Security Agency (NSA) oder die Central Intelligence
Agency (CIA) sind nach US-amerikanischem Recht ermächtigt,
auf personenbezogene Daten aller Cloud-Anbieter zuzugreifen.
Dies bezieht sich ebenfalls auf eine Daten-
verarbeitung in Europa, wenn ein Cloud-
Anbieter zumindest auch in den USA
geschäftlich tätig ist. Es ist daher
unklar, ob ein Datentransfer in die
die USA überhaupt den Anforder-
ungen der europäischen Aufsichts-
behörden entsprechen kann.
24. 24
Insgesamt ist nicht davon auszugehen, dass US-Amerikanische
Cloud-Anbieter kooperieren und die für den Anwender von
Gesetzes wegen geforderten Kontrollen und Sicherheitsmaß-
nahmen ermöglichen.
Im Zweifel muss der Anwender von einer solchen Beauftragung
Abstand nehmen, will er nicht das bußgeldbewährte Risiko ge-
genüber den eigenen Aufsichtsbehörden tragen.
25. 25
Checkliste für rechtssicheres
Cloud-Computing
Abschluss eines schriftlicher Auftragsdatenver-
arbeitungsvertrag nach § 11 BDSG mit dem
Cloud-Anbieter
Bei ausländischen Cloud-Anbietern: Welche Rechts-
ordnung gilt und welcher Gerichtsstand ist vereinbart?
Hat der Cloud-Anbieter seine Serverstandorte inner-
halb des EWR?
Anforderung und Überprüfung der Zertifikate
des Cloud-Anbieters
Will der Cloud-Anbieter Subunternehmer einsetzen?
26. 26
Was wir für Sie tun können
/ Beratung im Datenschutz
/ Erstellung von
- SEO-/SEA-Verträgen
- IT-Projektverträgen
- LOIs (Letter of intent)
- NDAs, Geheimhaltungsvereinbarungen
- Softwarelizenz- und Softwareerstellungsverträgen
/ Begleitende Beratung bei der Konzeption Ihrer
E-Commerce-Plattform, Shopprüfungen, AGB-Erstellung,
Beratung bei Abmahnungen
/ Beratung im Markenrecht
- Markenanmeldungen, Markenrecherchen
- Durchsetzung Ihrer Markenrechte gegenüber Dritten