Der Vortrag von Dr. Hans M. Wulf bietet einen Überblick über die rechtlichen Rahmenbedingungen von Cloud Computing und Datenschutz, behandelt dabei anwendbare Vorschriften, Grundpflichten der Unternehmer sowie die Bedingungen für Datentransfers innerhalb und außerhalb der EU. Wichtige Punkte umfassen die Anforderungen des Bundesdatenschutzgesetzes (BDSG) und die Notwendigkeit schriftlicher Verträge bei Auftragsdatenverarbeitung. Zudem werden Vorgehensweisen für Unternehmen zur Einhaltung dieser rechtlichen Anforderungen skizziert.

1. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
Cloud Computing & Datenschutz
Ein Überblick zur Rechtslage
Kurzvortrag von
Dr. Hans M. Wulf
Rechtsanwalt
Fachanwalt für IT-Recht

2. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
Inhalt dieses Kurzvortrages
A. Welche Rechtsvorschriften sind anwendbar?
B. Welche Grundpflichten treffen den Unternehmer?
C. Wann ist der Datentransfer innerhalb der EU zulässig?
D. Wann ist der Datentransfer außerhalb der EU zulässig?
E. Welche Anforderungen enthält § 11 BDSG?
F. Welche weiteren Inhalte muss ein § 11-Vertrag aufweisen?
G. Wie gehe ich nun als Unternehmen vor?
2

3. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
A. Welche Rechtsvorschriften sind anwendbar?
EU-Datenschutzrichtlinie 95/46/EG
 Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr
 Anweisung für Mitgliedsstaaten zur Umsetzung in nationales Recht
 Unterschiedliche Auslegung in den Mitgliedsstaaten möglich
Bundesdatenschutzgesetz (BDSG)
 Umsetzung von EU-Richtlinie 95/46/EG
 nur anwendbar auf personenbezogene Daten
3

4. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
B. Welche Grundpflichten treffen jeden Empfänger?
I. Technische und organisat. Sicherheitsmaßnahmen § 9 BDSG
Zutrittskontrolle, Zugangskontrolle, Zugriffskontrolle,
Weitergabekontrolle, Eingabekontrolle, Auftragskontrolle,
Verfügbarkeitskontrolle, Trennungskontrolle
II. Datenvermeidung, Datensparsamkeit, Anonymisierung § 3 BDSG
III. Zulässigkeit der Datenverarbeitung §§ 11, 28 ff. BDSG, z.B.
 Verarbeitung für Vertragsverhältnis mit Betroffenen erforderlich
 Verarbeitung unter Interessensabwägung erforderlich (berechtigtes Interesse)
 Daten ohnehin bereits öffentlich zugänglich
4

5. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
C. Wann ist der Datentransfer innerh. der EU zulässig?
I. Keine erweiterten Anforderungen zum Datentransfer § 4b I BDSG
II. Erlaubnisnorm für Übermittlung erforderlich
 § 28 BDSG nicht anwendbar, da Auslagerung nicht erforderlich
 § 11 BDSG Auftragsdatenverarbeitung
III. Zwischenergebnis
Datentransfer an Dienstleister innerhalb von EU nur zulässig, wenn
Voraussetzungen des § 11 BDSG erfüllt sind
5

6. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
D. Wann ist der Datentransfer außerh. der EU zulässig?
I. Transfer an sich zulässig
 Transfer an Empfänger außerhalb von EU nur erlaubt, wenn in
betreffendem Land ein angemessenes Datenschutzniveau herrscht,
§ 4b II BDSG; festgestellt von EU-Kommission für Guernsey, Isle of Man,
Argentinien, Kanada, Schweiz
 Transfer in die USA: Safe Habour Abkommen
 Transfer innerhalb von Konzern: Binding Corporate Rules (Zulassung Behörde)
 Transfer in übrigen Fällen: EU-Standardvertragsklauseln
II. Zusätzlich: Erlaubnisnorm für Übermittlung erforderlich
-> § 11 BDSG analog?
6

7. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
E. Welche Anforderungen enthält § 11 BDSG?
I. Sorgfältige Auswahl des Dienstleisters, insbes. Überprüfung der
technischen und organisatorischen Maßnahmen § 9 BDSG (s.o.)
II. Schriftlicher Vertrag mit mindestens folgenden Inhalten
Gegenstand/Dauer von Auftrag, Umfang/Art/Zweck der Datenverarbeitung,
Einzelmaßnahmen nach § 9 BDSG, Berichtigung/Löschung/Sperrung, Sicherstellung
von Kontrolle nach §§ 4f, 38 BDSG, Subunternehmer, Kontrollrechte des Kunden
(Duldung/Mitwirkung des Anbieters), Mitteilungspflichten, Umfang
Weisungsbefugnisse, Rückgabe von Datenträgern und Datenlöschung nach
Vertragsende
III. Dokumentierte, regelmäßige Überprüfung durch Kunden auf
Einhaltung obiger Maßnahmen (zumindest durch Sachverständigen mit Prüfbericht)
7

8. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
F. Welche weiteren Inhalte muss § 11-Vertrag aufweisen?
 Unverzügliche Meldepflicht gegenüber Aufsichtsbehörde und
Betroffenen bei unrechtmäßiger Übermittlung (§ 42a BDSG)
 Optionsangebote als Ausgleich für das eingeschränkte Weisungsrecht
(z.B. Auswahl bestimmter Ressourcen, Orte/Länder,
Sicherheitsniveaus sowie sonstiger Anbieter- und
Nutzungsmerkmale)
 Schadensersatzregelung (§ 7 BDSG)
 Rechtsfolgen der Insolvenz oder des Verkaufs des Cloud-Anbieters
 Umsetzung von Rechter der Betroffenen (§§ 33 ff. BDSG)
 Bestehen von dokumentiertem Datenschutzmanagement
8

9. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
G. Wie gehe ich nun als Unternehmen vor?
9

10. Cloud Computing & Datenschutz
- Ein Überblick zur Rechtslage -
Vielen Dank für die Aufmerksamkeit.
RA Dr. Hans M. Wulf
IT-Recht Kanzlei Praetoria
Kleine Reichenstraße 6, 20457 Hamburg
Telefon 040 / 73 444 21 70
wulf@praetoria-legal.com
10