RESMEDIA - Anwälte für IT-IP-Medien, profile picture
Hochgeladen vonRESMEDIA - Anwälte für IT-IP-Medien
653 aufrufe

Cloud Computing

Das Dokument behandelt die rechtlichen Herausforderungen des Datenschutzes beim Einsatz von Cloud Computing in Unternehmen. Es erläutert die Anforderungen an die Auftragsdatenverarbeitung, die Verantwortung des Cloud-Anwenders sowie die Problematik der grenzüberschreitenden Datenverarbeitung, insbesondere in Bezug auf Cloud-Anbieter in den USA. Zudem wird ein Überblick über wichtige Aspekte und Checklisten für rechtssicheres Cloud Computing gegeben.

Präsentation einbetten

Downloaden Sie, um offline zu lesen
Rechtliche Herausforderung für den Datenschutz im Unternehmen Kanzlei für IT-Recht Cloud Computing
2 Inhalt Editorial .................................................................... Was ist “Cloud Computing”? .................................... Vor- und Nachteile von Cloud Computing? .............. Cloud Computing und Datenschutz .......................... Die Auftragsdatenverarbeitung ............................... Kontrollpflichten des Cloud-Anwenders ................... Grenzüberschreitende Datenverarbeitung ............... Cloud Anbieter in den USA ...................................... Checkliste für rechtssicheres Cloud Computing ....... Was wir für Sie tun können ...................................... 3 5 6 7 12 15 17 20 25 26
3 Cloud Anwendungen gehören heute zum Alltag. Bei der täglichen Arbeit und im privaten Gebrauch sind Dropbox, iCloud & Co. nicht mehr weg zu denken. Nicht zuletzt durch seine vielfältigen Einsatzformen stellt das sogenannte Cloud Computing die IT- Landschaften auf den Kopf. Gerade bei einem Datentransfer außerhalb des Europäischen Wirtschaftsraums (EWR) stellt sich die Frage, Editorial ob die behördlichen und gesetzlichen Vorgaben in der Praxis umsetzbar sind. Cloud-Anwender stehen in der rechtlichen Verantwortung und müssen vor jeder Auftrags- erteilung prüfen, ob die gesetzlichen Anforderungen eingehalten werden.
4 Darüber, was Cloud-Anwender im Unternehmen aus rechtlicher Sicht zu beachten haben, informiert das vorliegende Booklet. Wir freuen uns über Ihr Feedback - oder auch über Themen- vorschläge für weitere Booklets. Schreiben Sie uns an die Mailadresse mainz@res-media.net. Ihr Team von RESMEDIA
5 Cloud Computing ist keine neue Technik. Der Begriff steht synonym für den flexibel abrechenbaren Einsatz bestehender Technikoptionen aus einer Hand. Dies können etwa Ressourcen in Form von Anwenderprogrammen, die Zurverfügungstellung von IT-Infrastruktur oder Entwicklungsplattformen sein. Die nachfolgenden Ausführungen beziehen sich dabei ausschließlich auf den Bereich des Cloud Computings, bei dem ein Anbieter Software zur Nutzung bereitstellt (Software as a Service (SaaS). Unter “Cloud Computing” (deutsch etwa Rechnen in der Wolke) versteht man das Speichern von Daten in einem entfernten Re- chenzentrum, aber auch die Ausführung von Programmen, die nicht auf dem lokalen Arbeitsplatzcomputer oder Server instal- liert sind, sondern eben entfernt in der (metaphorischen) Wolke (englisch cloud). Quelle: Wikipedia Was ist “Cloud Computing”?
6 Vor- und Nachteile von Cloud Computing Besonders für Unternehmer liegen die Vorteile von Cloud Com- puting auf der Hand: Datenaktualität Datenverfügbarkeit verringertet Komplexität finanzielles Einsparungspotential / / / / Nachteilig können sich vor allem die zum Teil komplexen, rechtlichen Aspekte bei dem Einsatz von Cloud- Lösungen auswirken: komplizierte Fragen der Vertragsgestaltung komplizierte urheberrechtliche Fragen Gesetzliche Anforderungen an den Datenschutz Fragen bei grenzüberschreitender Rechtsanwendung / / / /
7 Cloud Computing und Datenschutz Grundsatz: Sind “personenbezogene Daten” im Spiel, gilt Datenschutzrecht! Für den Cloudanwender stellen sich Probleme immer dann, wenn der Diensteanbieter, also der Cloud-Anbieter, Zugang zu personenbezogenen Daten erhält. Dann sind speziell die Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu beachten.
8 Personenbezogene Daten = Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person Ein relevanter Bezug kann dabei schon in der Speicherung einer IP-Adresse durch den Anbieter liegen, aber auch Zugangsdaten oder sonstige Daten, die in der Cloud abgespeichert werden, können einen Personenbezug herstellen. Dafür reicht es schon aus, dass den Daten eine natürliche Person direkt oder indirekt zugeordnet werden kann. Ausnahmsweise liegt aber dann keine Nutzung von personen- bezogenen Daten vor, wenn die Bestimmbarkeit einer natürlichen Person verhindert wird. Das ist z.B. bei der Anonymisierung der Daten der Fall. Dann wäre Datenschutzrecht nicht anwendbar.
9 Folge: Die Datenverarbeitung erfordert eine gesetzliche Erlaubnis oder eine Einwilligung! Werden personenbezogene Daten erhoben, verarbeitet oder genutzt, ist dazu entweder ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung des jeweils Betroffenen erforderlich. Der Cloud-Anwender - und nicht der Dienste-Anbieter - haftet dafür, dass eine dieser Voraussetzungen erfüllt ist, wenn Daten mit Personenbezug in der Cloud verarbeitet werden. Ein gesetzlicher Erlaubnistatbestand greift in der Praxis meist nicht: So regelt § 28 Abs. 1 Nr. 1 BDSG etwa, dass das Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäfts- zwecke zulässig ist, wenn dies für die Durchführung eins rechts-
10 geschäftlichen oder rechtsgeschäftsähnlichen Schuldverhält- nisses mit dem Betroffenen erforderlich ist. Diese Erforder- lichkeit ist jedoch in den meisten Fällen nicht gegeben. Nach § 28 Abs. 1 Nr. BDSG ist das Übermitteln personenbezo- gener Daten oder ihre Nutzung zulässig, wenn dies zur Wah- rung berechtigter Interessen der “verantwortlichen Stelle”, also hier des Cloud-Nutzers, erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betrof- fenen an dem Ausschluss der Verarbeitung oder Nutzung über- wiegt. Das Merkmal der Erforderlichkeit ist auch hier im Einzel- fall eher streng auszulegen und liegt zumeist nicht vor.
11 Cloud-Nutzer benötigen für die Nutzung der Dienste daher in den überwiegenden Fällen die Einwilligung des Betroffenen, also der Kunden, Lieferanten, Partner usw. (vgl. § 4 a BDSG). Die Einwilligung muss freiwillig und schriftlich erteilt werden. Der Betroffene ist dabei darüber aufzuklären, dass seine Daten in der Cloud gespeichert, verarbeitet und genutzt werden sol- len. In der Praxis stellt sich dieser Part als schwer bis gar nicht umsetzbar dar.
12 Die Auftragsdatenverarbeitung (ADV) Da der Cloud-Anbieter für den Anwender, also in dessen Auftrag und auf dessen Weisung personenbezogene Daten verarbeitet, müssen außerdem die gesetzlichen Vorgaben einer Auftrags- datenverarbeitung (§ 11 BDSG) erfüllt werden. Schriftlicher Vertrag Der Cloud-Anwender hat mit seinem Dienstanbieter dazu einen schriftlichen Vertrag abzuschließen. Er muss als verantwortli- che Stelle dafür sorgen, dass die Mindestanforderungen gemäß § 11 Abs. 2 BDSG erfüllt werden. Gleichzeitig muss er damit einhergehende Kontrollpflichten gegenüber dem Cloud- Anbi- eter hinsichtlich der Datenverarbeitung wahrnehmen. In einem Vertrag zur ADV sind dabei mindestens die folgenden Punkte zu regeln:
13 Gegenstand und Dauer des Auftrags, Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung der Daten, Art der Daten und Kreis der Betroffenen, die nach § 9 BDSG zu treffenden technischen und organisa- torischen Maßnahmen (“TOMs”), Berichtigung, Löschung und Sperrung von Daten, Pflichten des Auftragnehmers nach § 11 Absatz 4 BDSG, insbesondere die vorzunehmenden Kontrollen, etwaige Berechtigung zur Begründung von Unterauftrags- verhältnissen, Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Datenschutzvorschriften oder gegen vertragliche Vereinbarungen, Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer, Rückgabe überlassener Datenträger und Datenlöschung nach Beendigung des Auftrags. / / / / / / / / / / / Mindestinhalte im ADV:
14 Was drohen für Konsequenzen, wenn der Vertrag fehlt oder nicht vollständig ist? Wenn ein schriftlicher ADV fehlt oder auch nur unvollständig ist, stellt das eine Ordnungswidrigkeit dar. Es drohen dann Bußgelder bis 50.000 € bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils (§ 43 Absatz 1 Nr. 2 BDSG).
15 Der Cloud-Anwender hat neben dem Abschluss eines schrift- lichen Vertrages mit dem Cloud-Anbieter dafür zu sorgen, dass dieser die vertraglichen Vorgaben auch umsetzt. In diesem Zusammenhang hat er zu gewährleisten, dass die technischen organisatorischen Maßnahmen des Anbieters zur Datenverarbei- tung zumindest die folgenden Vorgaben erfüllen: Kontrollpflichten des Cloud-Anwenders Der Cloud-Anwender hat sich von der Einhaltung der Vorgaben regelmäßig vor Ort zu überzeugen. Ist eine Kontrolle vor Ort beim Cloud- Anbieter nicht möglich, muss der Anwender Datenverfügbarkeit Datenvertraulichkeit Datenintegrität Revisionssicherheit Transparenz / / / / /
16 zumindest darauf achten, dass der Cloud-Anbieter sich bestimmten Zertifizierungs- und Gütesiegelverfahren zu Fragen des Datenschutzes unterworfen hat. Hierbei darf er sich nicht allein auf die Angaben des Cloud-Anbieters verlassen, sondern muss die entsprechenden Zertifikate auch überprüfen. Auch hier gilt: Wer seine Kontrollpflichte verletzt oder nicht wahrnimmt, kann mit Bußgeldern bis 50.000 € bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils belegt werden (§ 43 Absatz 1 Nr. 2 b in Verbindung mit § 43 Abs. 3 BDSG).
17 Grenzüberschreitende Datenverarbeitung Die grenzüberschreitende Datenverarbeitung ist bei Cloud Com- puting eher die Regel, als die Ausnahme. Auch hier bleibt der Cloud-Anwender “verantwortliche Stelle” im Sinne des BDSG und hat für die Einhaltung des Datenschutzrechts zu sorgen. In jedem Fall muss sich der Cloud- Anwender über sämtliche möglichen Verbreitungsorte informieren, d.h. er muss wissen, “wo die Server stehen” und im ADV ggf. eine Vereinbarung über den Ort der technischen Datenverarbeitung treffen. Findet die Datenverarbeitung innerhalb des Europäischen Wirtschaftsraums (EWR) statt, muss der Anwender über den ADV dafür sorgen, dass die technische Verarbeitung tatsächlich physisch auf dem Gebiet des EWR stattfindet.
18 Außerhalb des EWR gelten für den Datentransfer strenge An- forderungen. Der Cloud-Anwender muss dafür sorgen, dass ein angemessenes Datenschutzniveau im Drittland, wo die Daten- verarbeitung stattfindet, sichergestellt ist. Für manche Länder wird seitens der Europäischen Union ein angemessenes Datens- chutzniveau anerkannt. Zu diesen Ländern gehören derzeit An- dorra, Argentinien, die Farör Inseln, Guersey, Israel, Isle of Man, Jersey, Kanda, Neuseeland und die Schweiz. Die USA gehören ausdrücklich nicht dazu. Liste der seitens der Europäischen Union http://ec.europa.eu/justice/data-protection/document/ anerkannten Drittländer international-transfers/adequacy/index_en.htm
19 Besteht kein anerkanntes Datenschutzniveau im Drittstaat, ist der Cloud-Anwender als verantwortliche Stelle verpflichtet, sich ausreichende Garantien, beispielsweise aus Standardver- tragsklauseln (gemäß Kommissionsbeschluss 2010/87/EU für Auftragsverarbeitung vom 05.05.2010), zum Schutz des allge- meinen Persönlichkeitsrechts und der Ausübung damit verbundener Rechte einräumen zu lassen.
20 Die Nutzung von Cloud-Diensten in den USA ist nicht unzulässig, aber datenschutzrechtlich schwierig. Die Anforderungen sind unklar: Cloud-Anbieter mit Sitz in den USA können sich auf freiwilliger Basis gegenüber dem US-Handelsministerium selbst unter die sog. Safeharbour-Principles zertifizieren. Dazu ist eine Bei- trittserklärung zu unterzeichnen und eine datenschutzerklärung zu veröffentlichen. Die hiesigen Aufsichtsbehörden verlangen jedoch zusätz- lich, dass deutsche Unternehmen sich verpflichten, bevor sie personenbezogene Daten an einen auf der Safe – Harbor -Liste geführten US-Cloud-Anbieter übermitteln, sich von der Gültigkeit des Zertifikats des Anbieters zu überzeugen. Das Zertifikat muss sich dabei auf die betroffenen Daten beziehen. Außerdem ist ein schriftlicher ADV nach § 11 BDSG zu schließen und der Cloud- Cloud Anbieter in den USA
21 Anwender muss seinen entsprechenden Kontrollpflichten nachkommen. Die Artikel-29-Datenschutzgruppe, das Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, geht ebenfalls davon aus, dass es nicht ausreicht, sich auf die Safe Habour Principles und deren Einhaltung zu verlassen. Vielmehr müsse der Cloud-Anwender zusätzliche Garantien einsetzen, um die Datensicherheit zu gewährleisten. Dies umfasse den Einsatz von Prüfungs-, Standardisierungs- und Zertifizierungssystemen. Model Contracts for the transfer of personal http://ec.europa.eu/justice/data-protection/document/ data to third countries international-transfers/transfer/index_en.htm
22 Die Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie die Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises halten es bei einem Datentransfer in die USA datensicherheitsrechtlichen für erforderlich, dass / / / der Cloud-Anbieter dem Cloud- Anwender zu Prüfzweck- en einen Zugriff auf die Protokolldaten ermöglicht; dem Cloud-Anwender eine auswertbare Protokollierung zur Verfügung gestellt wird; die Aufbewahrungszeit der Protokolldaten durch den Cloud- Anwender konfigurierbar ist Orientierungshilfe Cloud Computing Version 2.0 der AK Technik und Medien und der AG Internationaler Datenverkehr des Düsseldorfer Kreises Stand 09.10.2014 https://www.datenschutz.hessen.de/download.php?download_ID=318
23 Inwiefern sich Cloud-Anwender, die nach deutschem Recht die “verantwortliche Stelle” sind, auf das zuvor genannte Procedere verlassen können, erscheint angesichts der aktuellen, beste- henden Praxis US-Amerikanischer Geheimdienste fraglich. Geheimdienste wie das Federal Bureau of Investigation (FBI), die National Security Agency (NSA) oder die Central Intelligence Agency (CIA) sind nach US-amerikanischem Recht ermächtigt, auf personenbezogene Daten aller Cloud-Anbieter zuzugreifen. Dies bezieht sich ebenfalls auf eine Daten- verarbeitung in Europa, wenn ein Cloud- Anbieter zumindest auch in den USA geschäftlich tätig ist. Es ist daher unklar, ob ein Datentransfer in die die USA überhaupt den Anforder- ungen der europäischen Aufsichts- behörden entsprechen kann.
24 Insgesamt ist nicht davon auszugehen, dass US-Amerikanische Cloud-Anbieter kooperieren und die für den Anwender von Gesetzes wegen geforderten Kontrollen und Sicherheitsmaß- nahmen ermöglichen. Im Zweifel muss der Anwender von einer solchen Beauftragung Abstand nehmen, will er nicht das bußgeldbewährte Risiko ge- genüber den eigenen Aufsichtsbehörden tragen.
25 Checkliste für rechtssicheres Cloud-Computing Abschluss eines schriftlicher Auftragsdatenver- arbeitungsvertrag nach § 11 BDSG mit dem Cloud-Anbieter Bei ausländischen Cloud-Anbietern: Welche Rechts- ordnung gilt und welcher Gerichtsstand ist vereinbart? Hat der Cloud-Anbieter seine Serverstandorte inner- halb des EWR? Anforderung und Überprüfung der Zertifikate des Cloud-Anbieters Will der Cloud-Anbieter Subunternehmer einsetzen?
26 Was wir für Sie tun können / Beratung im Datenschutz / Erstellung von - SEO-/SEA-Verträgen - IT-Projektverträgen - LOIs (Letter of intent) - NDAs, Geheimhaltungsvereinbarungen - Softwarelizenz- und Softwareerstellungsverträgen / Begleitende Beratung bei der Konzeption Ihrer E-Commerce-Plattform, Shopprüfungen, AGB-Erstellung, Beratung bei Abmahnungen / Beratung im Markenrecht - Markenanmeldungen, Markenrecherchen - Durchsetzung Ihrer Markenrechte gegenüber Dritten
27 Unsere Kanzlei verfügt über fünf spezialisierte Rechtsanwälte, darunter drei Fachanwälte für IT-Recht und eine Fachanwältin für gewerblichen Rechtsschutz. Wir beraten Sie persönlich zu allen Fragen des E-Commerce Rechts, des IT-Rechts und des gewerblichen Rechtsschutzes. RESMEDIA Wir beraten Unternehmen im IT-Recht. Bildnachweise: Titel: © Anna - Fotolia.com Seite 3: © Vladislav Kochelaevs - Fotolia.com Seite 7: © Thorsten Schuh - Fotolia.com Seite 9: © reeel - Fotolia.com Seiite 11: © Denys Rudyi - Fotolia Seite 14: © Ingo Bartussek - Fotolia.com Seite 23: © Alex White - Fotolia.com Seite 25: © Soulsisz - Fotolia.com Seite 29: © vector_master - Fotolia.com
28 http://www.res-media.net/app Booklets bequem auf Ihrem Handy oder Tablet! Entdecken Sie unsere Infothek-App und lesen Sie unsere RESMEDIA Infothek-App
29 http://www.youtube.com/resmediamainz Abonnieren Sie uns auf You Tube! Aktuelle Videos zu Themen des IT-Rechts unter RESMEDIA You Tube - Channel
Kanzlei RESMEDIA Mainz RESMEDIA - Kanzlei für IT-Recht, E-Commerce und gewerblichen Rechtsschutz Am Winterhafen 78 55131 Mainz Telefon: 06131.144 560 Telefax: 06131.144 56 20 E-Mail: mainz@res-media.net Web: www.res-media.net

Weitere ähnliche Inhalte

PPTX
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
vonSascha Kremer
 
PDF
Datenschutz bei Mobile Banking und Mobile Device Management
vonSascha Kremer
 
PPTX
Datenschutz bei Multifunktionsdruckern
vonSascha Kremer
 
PDF
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
voneBusiness-Lotse Potsdam
 
PPT
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
vonSymposia 360°
 
PDF
Cloud-Computing - Rechtliche Stolperfallen in der Cloud
vonConnected-Blog
 
PDF
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
vonCloudOps Summit
 
PPTX
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
vonSascha Kremer
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
vonSascha Kremer
 
Datenschutz bei Mobile Banking und Mobile Device Management
vonSascha Kremer
 
Datenschutz bei Multifunktionsdruckern
vonSascha Kremer
 
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
voneBusiness-Lotse Potsdam
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
vonSymposia 360°
 
Cloud-Computing - Rechtliche Stolperfallen in der Cloud
vonConnected-Blog
 
WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing
vonCloudOps Summit
 
Datenschutz-Grundverordnung (DS-GVO): Anwaltliche Beratung heute und morgen
vonSascha Kremer
 

Was ist angesagt?

PPTX
Datenschutz Update Juli 2021
vonMichael Rohrlich
 
PDF
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
vonCloudCamp Hamburg
 
PPTX
DSGVO - Das müssen Sie bei Ihrer Website beachten
vonMichael Rohrlich
 
PPTX
Datenschutz-Vortrag im Axis Linz
vonMichael Lanzinger
 
PPTX
Was tun bei einer Datenpanne? Das verlangt die DSGVO
vonMichael Rohrlich
 
PPTX
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
vonSascha Kremer
 
PDF
UC Expert Talk 2016 - Conferencing aus der Cloud
vonViktoria Dethlefsen
 
PDF
GDPR Implications Customer Identity Management - German
vonGigya
 
PDF
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
vonInxmail GmbH
 
PPTX
Sichere Datenübermittlung ins Ausland
vonMichael Rohrlich
 
PDF
Daten in der Cloud – Datenschutz trotz Cloud
vonPraetor Intermedia
 
PDF
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
vonSascha Kremer
 
PDF
Augen auf bei Cloud-Verträgen
vonOliver_Staffelbach
 
Datenschutz Update Juli 2021
vonMichael Rohrlich
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
vonCloudCamp Hamburg
 
DSGVO - Das müssen Sie bei Ihrer Website beachten
vonMichael Rohrlich
 
Datenschutz-Vortrag im Axis Linz
vonMichael Lanzinger
 
Was tun bei einer Datenpanne? Das verlangt die DSGVO
vonMichael Rohrlich
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
vonSascha Kremer
 
UC Expert Talk 2016 - Conferencing aus der Cloud
vonViktoria Dethlefsen
 
GDPR Implications Customer Identity Management - German
vonGigya
 
Einstieg in die EU-Datenschutz-Grundverordnung (DSGVO)
vonInxmail GmbH
 
Sichere Datenübermittlung ins Ausland
vonMichael Rohrlich
 
Daten in der Cloud – Datenschutz trotz Cloud
vonPraetor Intermedia
 
Social Media, der Datenschutz und das Urheberrecht - 8.4.2014 - marketing for...
vonSascha Kremer
 
Augen auf bei Cloud-Verträgen
vonOliver_Staffelbach
 

Andere mochten auch

PDF
Via 02 2015 martin suter
vonGaston Haas
 
PDF
Dusseldorf und Hamburg Partner: Aer Lingus
vonmeetinireland
 
PDF
eLecture Der gläserne Mensch
vonaquarana
 
PDF
SNA – theories put into practice: Data Mining in Sozialen Netzwerken
vonTwittwoch e.V.
 
PPTX
Mit Kurz-Gutachten zum Alleinauftrag
vonzimmer_h
 
PPTX
So einfach erstellen Sie Kurz-Gutachten mit SmartValue
vonzimmer_h
 
PDF
jovoto: Möglichkeiten für die Kreativwirtschaft durch Social Media - und vi...
vonTwittwoch e.V.
 
PDF
iOS Publish Mobile App
vonantrunner
 
PPTX
MICE Workshop am 23.03.2015 in Köln
vonmeetinireland
 
PDF
Marktplatz 2.0 | Leistungskatalog | lokal-radar
vontopQ1 GmbH
 
PDF
MA: IP Audio, der Weg zur Radiokonvergenzwährung
vonLokalrundfunktage
 
PDF
10 schritte für eine erfolgreiche social media strategie
vonRoger Meili
 
PDF
news-n-cast Radioberatung, Norbert Linke, Lokalrundfunktage 2014
vonLokalrundfunktage
 
PPS
Swiss Halley Geschäftspräsentation
vonSwissHalleyOfficial
 
PDF
Lisbon
vonfrasaint
 
PDF
Web 2.0
vonlorenadiptic
 
PPT
Adam von trott jfk
vonmarnett
 
PDF
Social Media Marketing für die gute Sache | WWF Deutschland, Paula Hannemann ...
vonTwittwoch e.V.
 
PDF
Broschüre wiki stories
vonAhmet Emre Acar
 
PDF
Sammelan karyakram
vonMumbai Hiker
 
Via 02 2015 martin suter
vonGaston Haas
 
Dusseldorf und Hamburg Partner: Aer Lingus
vonmeetinireland
 
eLecture Der gläserne Mensch
vonaquarana
 
SNA – theories put into practice: Data Mining in Sozialen Netzwerken
vonTwittwoch e.V.
 
Mit Kurz-Gutachten zum Alleinauftrag
vonzimmer_h
 
So einfach erstellen Sie Kurz-Gutachten mit SmartValue
vonzimmer_h
 
jovoto: Möglichkeiten für die Kreativwirtschaft durch Social Media - und vi...
vonTwittwoch e.V.
 
iOS Publish Mobile App
vonantrunner
 
MICE Workshop am 23.03.2015 in Köln
vonmeetinireland
 
Marktplatz 2.0 | Leistungskatalog | lokal-radar
vontopQ1 GmbH
 
MA: IP Audio, der Weg zur Radiokonvergenzwährung
vonLokalrundfunktage
 
10 schritte für eine erfolgreiche social media strategie
vonRoger Meili
 
news-n-cast Radioberatung, Norbert Linke, Lokalrundfunktage 2014
vonLokalrundfunktage
 
Swiss Halley Geschäftspräsentation
vonSwissHalleyOfficial
 
Lisbon
vonfrasaint
 
Web 2.0
vonlorenadiptic
 
Adam von trott jfk
vonmarnett
 
Social Media Marketing für die gute Sache | WWF Deutschland, Paula Hannemann ...
vonTwittwoch e.V.
 
Broschüre wiki stories
vonAhmet Emre Acar
 
Sammelan karyakram
vonMumbai Hiker
 

Ähnlich wie Cloud Computing

PDF
UC Expert Talk 2016 - Conferencing aus der Cloud
vonUCExpertTalk
 
PPT
Datenschutz in der Cloud
vondatenschutzbeauftragter
 
PDF
Cloud Computing Verträge
vonOliver_Staffelbach
 
PDF
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
vonSymposia 360°
 
PDF
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
vonMarcus Beckmann
 
PDF
Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014
vonMarcus Beckmann
 
PDF
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
vonRene Buest
 
PDF
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
vonSymposia Media
 
PDF
Cloud-Sicherheit entmystifiziert
vonAlexander Junk
 
PDF
Cloud meets On-premises - Guidelines and Best practices
vonSven Bernhardt
 
PDF
Cloud meets On-prem - Guidelines & Best Practices
vonOPITZ CONSULTING Deutschland
 
PDF
Cloud Computing ­- eine Revolution? by Hartmut Streppel
vonMedien Meeting Mannheim
 
PDF
Cloud Computing.Status, Herausforderungen, Optionen.
vonDietmar Georg Wiedemann
 
PDF
BSA Cloud Scorecard 2016: Deutsche Ergebnisse im Detail
vonvibrio. Kommunikationsmanagement Dr. Kausch GmbH
 
PDF
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
vonSymposia 360°
 
PPT
2011 EurCcloud Austria Brunch #4 Microsoft
vonEuroCloud.Austria
 
PPT
2011 euroCloud Austria Brunch 4 Microsoft
vonEuroCloud.Austria
 
PDF
Cloud-Leitstand CeBIT 2012
vonFraunhofer AISEC
 
PDF
Der Einfluss des Cloud Computing auf den Mittelstand.
vonRene Buest
 
UC Expert Talk 2016 - Conferencing aus der Cloud
vonUCExpertTalk
 
Datenschutz in der Cloud
vondatenschutzbeauftragter
 
Cloud Computing Verträge
vonOliver_Staffelbach
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
vonSymposia 360°
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
vonMarcus Beckmann
 
Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014
vonMarcus Beckmann
 
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
vonRene Buest
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
vonSymposia Media
 
Cloud-Sicherheit entmystifiziert
vonAlexander Junk
 
Cloud meets On-premises - Guidelines and Best practices
vonSven Bernhardt
 
Cloud meets On-prem - Guidelines & Best Practices
vonOPITZ CONSULTING Deutschland
 
Cloud Computing ­- eine Revolution? by Hartmut Streppel
vonMedien Meeting Mannheim
 
Cloud Computing.Status, Herausforderungen, Optionen.
vonDietmar Georg Wiedemann
 
BSA Cloud Scorecard 2016: Deutsche Ergebnisse im Detail
vonvibrio. Kommunikationsmanagement Dr. Kausch GmbH
 
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nu...
vonSymposia 360°
 
2011 EurCcloud Austria Brunch #4 Microsoft
vonEuroCloud.Austria
 
2011 euroCloud Austria Brunch 4 Microsoft
vonEuroCloud.Austria
 
Cloud-Leitstand CeBIT 2012
vonFraunhofer AISEC
 
Der Einfluss des Cloud Computing auf den Mittelstand.
vonRene Buest
 

Mehr von RESMEDIA - Anwälte für IT-IP-Medien

PDF
Keyfacts Vertragsrecht in IT-Projekten
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Die 26 wichtigsten Urteile im Onlinehandel
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
FAQ zur Umsatzsteuer im internationalen Handel – Was Onlinehändler in Cross B...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
FAQ zum Markenrecht - Die wichtigsten Fragen und Antworten zur Anmeldung von ...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Harmonisierte Kennzeichnung und Artikelbeschreibungen - Diese EU- Kennzeichn...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Das Anbieten von Apps für Smartphone und Tablet
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Onlineshops und Abmahnungen - Die 10 wichtigsten Tipps für Onlinehändler, um ...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Die aktuellen und neuesten Rechtstipps im E-Commerce
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Absatzkanal Marktplatz - Was für Onlinehändler beim Verkauf über eBay, Amazo...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Rechtssichere b2c-Onlineshops - Was Onlinehändler beim Verkauf an Verbraucher...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Ask me anything - ecommerce conference Hamburg 14.11.2016
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Cross Border Shops - Die 4 wichtigsten Tipps aus rechtlicher Sicht
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
EU-Cookie-Richtlinie - Der aktuelle Handlungsbedarf
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Websites und Abmahnungen - Die 10 wichtigsten Tipps für Websitebetreiber und ...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
SEM & Recht - Die neuesten Rechtstipps zum Suchmaschinenmarketing
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
E-Mail-Marketing, Leadgenerierung und Datenschutz
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
B2B-Geschäft international - Die wichtigsten Punkte aus rechtlicher Sicht
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Die neue Geoblockingverordnung
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Social Media mit Recht - 7 Tipps für Sie als Unternehmer damit Sie nicht in d...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
PDF
Online-Marketing & Recht - Die 3 wichtigsten Tipps im B2B-Marketing
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Keyfacts Vertragsrecht in IT-Projekten
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Die 26 wichtigsten Urteile im Onlinehandel
vonRESMEDIA - Anwälte für IT-IP-Medien
 
FAQ zur Umsatzsteuer im internationalen Handel – Was Onlinehändler in Cross B...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
FAQ zum Markenrecht - Die wichtigsten Fragen und Antworten zur Anmeldung von ...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Harmonisierte Kennzeichnung und Artikelbeschreibungen - Diese EU- Kennzeichn...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Das Anbieten von Apps für Smartphone und Tablet
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Onlineshops und Abmahnungen - Die 10 wichtigsten Tipps für Onlinehändler, um ...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Die aktuellen und neuesten Rechtstipps im E-Commerce
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Absatzkanal Marktplatz - Was für Onlinehändler beim Verkauf über eBay, Amazo...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Rechtssichere b2c-Onlineshops - Was Onlinehändler beim Verkauf an Verbraucher...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Ask me anything - ecommerce conference Hamburg 14.11.2016
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Cross Border Shops - Die 4 wichtigsten Tipps aus rechtlicher Sicht
vonRESMEDIA - Anwälte für IT-IP-Medien
 
EU-Cookie-Richtlinie - Der aktuelle Handlungsbedarf
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Websites und Abmahnungen - Die 10 wichtigsten Tipps für Websitebetreiber und ...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
SEM & Recht - Die neuesten Rechtstipps zum Suchmaschinenmarketing
vonRESMEDIA - Anwälte für IT-IP-Medien
 
E-Mail-Marketing, Leadgenerierung und Datenschutz
vonRESMEDIA - Anwälte für IT-IP-Medien
 
B2B-Geschäft international - Die wichtigsten Punkte aus rechtlicher Sicht
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Die neue Geoblockingverordnung
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Social Media mit Recht - 7 Tipps für Sie als Unternehmer damit Sie nicht in d...
vonRESMEDIA - Anwälte für IT-IP-Medien
 
Online-Marketing & Recht - Die 3 wichtigsten Tipps im B2B-Marketing
vonRESMEDIA - Anwälte für IT-IP-Medien
 

Cloud Computing

  • 1.
    Rechtliche Herausforderung fürden Datenschutz im Unternehmen Kanzlei für IT-Recht Cloud Computing
  • 2.
    2 Inhalt Editorial .................................................................... Was ist“Cloud Computing”? .................................... Vor- und Nachteile von Cloud Computing? .............. Cloud Computing und Datenschutz .......................... Die Auftragsdatenverarbeitung ............................... Kontrollpflichten des Cloud-Anwenders ................... Grenzüberschreitende Datenverarbeitung ............... Cloud Anbieter in den USA ...................................... Checkliste für rechtssicheres Cloud Computing ....... Was wir für Sie tun können ...................................... 3 5 6 7 12 15 17 20 25 26
  • 3.
    3 Cloud Anwendungen gehörenheute zum Alltag. Bei der täglichen Arbeit und im privaten Gebrauch sind Dropbox, iCloud & Co. nicht mehr weg zu denken. Nicht zuletzt durch seine vielfältigen Einsatzformen stellt das sogenannte Cloud Computing die IT- Landschaften auf den Kopf. Gerade bei einem Datentransfer außerhalb des Europäischen Wirtschaftsraums (EWR) stellt sich die Frage, Editorial ob die behördlichen und gesetzlichen Vorgaben in der Praxis umsetzbar sind. Cloud-Anwender stehen in der rechtlichen Verantwortung und müssen vor jeder Auftrags- erteilung prüfen, ob die gesetzlichen Anforderungen eingehalten werden.
  • 4.
    4 Darüber, was Cloud-Anwenderim Unternehmen aus rechtlicher Sicht zu beachten haben, informiert das vorliegende Booklet. Wir freuen uns über Ihr Feedback - oder auch über Themen- vorschläge für weitere Booklets. Schreiben Sie uns an die Mailadresse mainz@res-media.net. Ihr Team von RESMEDIA
  • 5.
    5 Cloud Computing istkeine neue Technik. Der Begriff steht synonym für den flexibel abrechenbaren Einsatz bestehender Technikoptionen aus einer Hand. Dies können etwa Ressourcen in Form von Anwenderprogrammen, die Zurverfügungstellung von IT-Infrastruktur oder Entwicklungsplattformen sein. Die nachfolgenden Ausführungen beziehen sich dabei ausschließlich auf den Bereich des Cloud Computings, bei dem ein Anbieter Software zur Nutzung bereitstellt (Software as a Service (SaaS). Unter “Cloud Computing” (deutsch etwa Rechnen in der Wolke) versteht man das Speichern von Daten in einem entfernten Re- chenzentrum, aber auch die Ausführung von Programmen, die nicht auf dem lokalen Arbeitsplatzcomputer oder Server instal- liert sind, sondern eben entfernt in der (metaphorischen) Wolke (englisch cloud). Quelle: Wikipedia Was ist “Cloud Computing”?
  • 6.
    6 Vor- und Nachteilevon Cloud Computing Besonders für Unternehmer liegen die Vorteile von Cloud Com- puting auf der Hand: Datenaktualität Datenverfügbarkeit verringertet Komplexität finanzielles Einsparungspotential / / / / Nachteilig können sich vor allem die zum Teil komplexen, rechtlichen Aspekte bei dem Einsatz von Cloud- Lösungen auswirken: komplizierte Fragen der Vertragsgestaltung komplizierte urheberrechtliche Fragen Gesetzliche Anforderungen an den Datenschutz Fragen bei grenzüberschreitender Rechtsanwendung / / / /
  • 7.
    7 Cloud Computing undDatenschutz Grundsatz: Sind “personenbezogene Daten” im Spiel, gilt Datenschutzrecht! Für den Cloudanwender stellen sich Probleme immer dann, wenn der Diensteanbieter, also der Cloud-Anbieter, Zugang zu personenbezogenen Daten erhält. Dann sind speziell die Vorschriften des Bundesdatenschutzgesetzes (BDSG) zu beachten.
  • 8.
    8 Personenbezogene Daten =Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren Person Ein relevanter Bezug kann dabei schon in der Speicherung einer IP-Adresse durch den Anbieter liegen, aber auch Zugangsdaten oder sonstige Daten, die in der Cloud abgespeichert werden, können einen Personenbezug herstellen. Dafür reicht es schon aus, dass den Daten eine natürliche Person direkt oder indirekt zugeordnet werden kann. Ausnahmsweise liegt aber dann keine Nutzung von personen- bezogenen Daten vor, wenn die Bestimmbarkeit einer natürlichen Person verhindert wird. Das ist z.B. bei der Anonymisierung der Daten der Fall. Dann wäre Datenschutzrecht nicht anwendbar.
  • 9.
    9 Folge: Die Datenverarbeitungerfordert eine gesetzliche Erlaubnis oder eine Einwilligung! Werden personenbezogene Daten erhoben, verarbeitet oder genutzt, ist dazu entweder ein gesetzlicher Erlaubnistatbestand oder eine Einwilligung des jeweils Betroffenen erforderlich. Der Cloud-Anwender - und nicht der Dienste-Anbieter - haftet dafür, dass eine dieser Voraussetzungen erfüllt ist, wenn Daten mit Personenbezug in der Cloud verarbeitet werden. Ein gesetzlicher Erlaubnistatbestand greift in der Praxis meist nicht: So regelt § 28 Abs. 1 Nr. 1 BDSG etwa, dass das Übermitteln personenbezogener Daten oder ihre Nutzung als Mittel für die Erfüllung eigener Geschäfts- zwecke zulässig ist, wenn dies für die Durchführung eins rechts-
  • 10.
    10 geschäftlichen oder rechtsgeschäftsähnlichenSchuldverhält- nisses mit dem Betroffenen erforderlich ist. Diese Erforder- lichkeit ist jedoch in den meisten Fällen nicht gegeben. Nach § 28 Abs. 1 Nr. BDSG ist das Übermitteln personenbezo- gener Daten oder ihre Nutzung zulässig, wenn dies zur Wah- rung berechtigter Interessen der “verantwortlichen Stelle”, also hier des Cloud-Nutzers, erforderlich ist und kein Grund zu der Annahme besteht, dass das schutzwürdige Interesse des Betrof- fenen an dem Ausschluss der Verarbeitung oder Nutzung über- wiegt. Das Merkmal der Erforderlichkeit ist auch hier im Einzel- fall eher streng auszulegen und liegt zumeist nicht vor.
  • 11.
    11 Cloud-Nutzer benötigen fürdie Nutzung der Dienste daher in den überwiegenden Fällen die Einwilligung des Betroffenen, also der Kunden, Lieferanten, Partner usw. (vgl. § 4 a BDSG). Die Einwilligung muss freiwillig und schriftlich erteilt werden. Der Betroffene ist dabei darüber aufzuklären, dass seine Daten in der Cloud gespeichert, verarbeitet und genutzt werden sol- len. In der Praxis stellt sich dieser Part als schwer bis gar nicht umsetzbar dar.
  • 12.
    12 Die Auftragsdatenverarbeitung (ADV) Dader Cloud-Anbieter für den Anwender, also in dessen Auftrag und auf dessen Weisung personenbezogene Daten verarbeitet, müssen außerdem die gesetzlichen Vorgaben einer Auftrags- datenverarbeitung (§ 11 BDSG) erfüllt werden. Schriftlicher Vertrag Der Cloud-Anwender hat mit seinem Dienstanbieter dazu einen schriftlichen Vertrag abzuschließen. Er muss als verantwortli- che Stelle dafür sorgen, dass die Mindestanforderungen gemäß § 11 Abs. 2 BDSG erfüllt werden. Gleichzeitig muss er damit einhergehende Kontrollpflichten gegenüber dem Cloud- Anbi- eter hinsichtlich der Datenverarbeitung wahrnehmen. In einem Vertrag zur ADV sind dabei mindestens die folgenden Punkte zu regeln:
  • 13.
    13 Gegenstand und Dauerdes Auftrags, Umfang, Art und Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung der Daten, Art der Daten und Kreis der Betroffenen, die nach § 9 BDSG zu treffenden technischen und organisa- torischen Maßnahmen (“TOMs”), Berichtigung, Löschung und Sperrung von Daten, Pflichten des Auftragnehmers nach § 11 Absatz 4 BDSG, insbesondere die vorzunehmenden Kontrollen, etwaige Berechtigung zur Begründung von Unterauftrags- verhältnissen, Kontrollrechte des Auftraggebers sowie Duldungs- und Mitwirkungspflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Datenschutzvorschriften oder gegen vertragliche Vereinbarungen, Umfang der Weisungsbefugnisse des Auftraggebers gegenüber dem Auftragnehmer, Rückgabe überlassener Datenträger und Datenlöschung nach Beendigung des Auftrags. / / / / / / / / / / / Mindestinhalte im ADV:
  • 14.
    14 Was drohen fürKonsequenzen, wenn der Vertrag fehlt oder nicht vollständig ist? Wenn ein schriftlicher ADV fehlt oder auch nur unvollständig ist, stellt das eine Ordnungswidrigkeit dar. Es drohen dann Bußgelder bis 50.000 € bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils (§ 43 Absatz 1 Nr. 2 BDSG).
  • 15.
    15 Der Cloud-Anwender hatneben dem Abschluss eines schrift- lichen Vertrages mit dem Cloud-Anbieter dafür zu sorgen, dass dieser die vertraglichen Vorgaben auch umsetzt. In diesem Zusammenhang hat er zu gewährleisten, dass die technischen organisatorischen Maßnahmen des Anbieters zur Datenverarbei- tung zumindest die folgenden Vorgaben erfüllen: Kontrollpflichten des Cloud-Anwenders Der Cloud-Anwender hat sich von der Einhaltung der Vorgaben regelmäßig vor Ort zu überzeugen. Ist eine Kontrolle vor Ort beim Cloud- Anbieter nicht möglich, muss der Anwender Datenverfügbarkeit Datenvertraulichkeit Datenintegrität Revisionssicherheit Transparenz / / / / /
  • 16.
    16 zumindest darauf achten,dass der Cloud-Anbieter sich bestimmten Zertifizierungs- und Gütesiegelverfahren zu Fragen des Datenschutzes unterworfen hat. Hierbei darf er sich nicht allein auf die Angaben des Cloud-Anbieters verlassen, sondern muss die entsprechenden Zertifikate auch überprüfen. Auch hier gilt: Wer seine Kontrollpflichte verletzt oder nicht wahrnimmt, kann mit Bußgeldern bis 50.000 € bzw. bis zur Höhe des aus dem Verstoß resultierenden wirtschaftlichen Vorteils belegt werden (§ 43 Absatz 1 Nr. 2 b in Verbindung mit § 43 Abs. 3 BDSG).
  • 17.
    17 Grenzüberschreitende Datenverarbeitung Die grenzüberschreitende Datenverarbeitungist bei Cloud Com- puting eher die Regel, als die Ausnahme. Auch hier bleibt der Cloud-Anwender “verantwortliche Stelle” im Sinne des BDSG und hat für die Einhaltung des Datenschutzrechts zu sorgen. In jedem Fall muss sich der Cloud- Anwender über sämtliche möglichen Verbreitungsorte informieren, d.h. er muss wissen, “wo die Server stehen” und im ADV ggf. eine Vereinbarung über den Ort der technischen Datenverarbeitung treffen. Findet die Datenverarbeitung innerhalb des Europäischen Wirtschaftsraums (EWR) statt, muss der Anwender über den ADV dafür sorgen, dass die technische Verarbeitung tatsächlich physisch auf dem Gebiet des EWR stattfindet.
  • 18.
    18 Außerhalb des EWRgelten für den Datentransfer strenge An- forderungen. Der Cloud-Anwender muss dafür sorgen, dass ein angemessenes Datenschutzniveau im Drittland, wo die Daten- verarbeitung stattfindet, sichergestellt ist. Für manche Länder wird seitens der Europäischen Union ein angemessenes Datens- chutzniveau anerkannt. Zu diesen Ländern gehören derzeit An- dorra, Argentinien, die Farör Inseln, Guersey, Israel, Isle of Man, Jersey, Kanda, Neuseeland und die Schweiz. Die USA gehören ausdrücklich nicht dazu. Liste der seitens der Europäischen Union http://ec.europa.eu/justice/data-protection/document/ anerkannten Drittländer international-transfers/adequacy/index_en.htm
  • 19.
    19 Besteht kein anerkanntesDatenschutzniveau im Drittstaat, ist der Cloud-Anwender als verantwortliche Stelle verpflichtet, sich ausreichende Garantien, beispielsweise aus Standardver- tragsklauseln (gemäß Kommissionsbeschluss 2010/87/EU für Auftragsverarbeitung vom 05.05.2010), zum Schutz des allge- meinen Persönlichkeitsrechts und der Ausübung damit verbundener Rechte einräumen zu lassen.
  • 20.
    20 Die Nutzung vonCloud-Diensten in den USA ist nicht unzulässig, aber datenschutzrechtlich schwierig. Die Anforderungen sind unklar: Cloud-Anbieter mit Sitz in den USA können sich auf freiwilliger Basis gegenüber dem US-Handelsministerium selbst unter die sog. Safeharbour-Principles zertifizieren. Dazu ist eine Bei- trittserklärung zu unterzeichnen und eine datenschutzerklärung zu veröffentlichen. Die hiesigen Aufsichtsbehörden verlangen jedoch zusätz- lich, dass deutsche Unternehmen sich verpflichten, bevor sie personenbezogene Daten an einen auf der Safe – Harbor -Liste geführten US-Cloud-Anbieter übermitteln, sich von der Gültigkeit des Zertifikats des Anbieters zu überzeugen. Das Zertifikat muss sich dabei auf die betroffenen Daten beziehen. Außerdem ist ein schriftlicher ADV nach § 11 BDSG zu schließen und der Cloud- Cloud Anbieter in den USA
  • 21.
    21 Anwender muss seinenentsprechenden Kontrollpflichten nachkommen. Die Artikel-29-Datenschutzgruppe, das Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes, geht ebenfalls davon aus, dass es nicht ausreicht, sich auf die Safe Habour Principles und deren Einhaltung zu verlassen. Vielmehr müsse der Cloud-Anwender zusätzliche Garantien einsetzen, um die Datensicherheit zu gewährleisten. Dies umfasse den Einsatz von Prüfungs-, Standardisierungs- und Zertifizierungssystemen. Model Contracts for the transfer of personal http://ec.europa.eu/justice/data-protection/document/ data to third countries international-transfers/transfer/index_en.htm
  • 22.
    22 Die Arbeitskreise Technikund Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie die Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises halten es bei einem Datentransfer in die USA datensicherheitsrechtlichen für erforderlich, dass / / / der Cloud-Anbieter dem Cloud- Anwender zu Prüfzweck- en einen Zugriff auf die Protokolldaten ermöglicht; dem Cloud-Anwender eine auswertbare Protokollierung zur Verfügung gestellt wird; die Aufbewahrungszeit der Protokolldaten durch den Cloud- Anwender konfigurierbar ist Orientierungshilfe Cloud Computing Version 2.0 der AK Technik und Medien und der AG Internationaler Datenverkehr des Düsseldorfer Kreises Stand 09.10.2014 https://www.datenschutz.hessen.de/download.php?download_ID=318
  • 23.
    23 Inwiefern sich Cloud-Anwender,die nach deutschem Recht die “verantwortliche Stelle” sind, auf das zuvor genannte Procedere verlassen können, erscheint angesichts der aktuellen, beste- henden Praxis US-Amerikanischer Geheimdienste fraglich. Geheimdienste wie das Federal Bureau of Investigation (FBI), die National Security Agency (NSA) oder die Central Intelligence Agency (CIA) sind nach US-amerikanischem Recht ermächtigt, auf personenbezogene Daten aller Cloud-Anbieter zuzugreifen. Dies bezieht sich ebenfalls auf eine Daten- verarbeitung in Europa, wenn ein Cloud- Anbieter zumindest auch in den USA geschäftlich tätig ist. Es ist daher unklar, ob ein Datentransfer in die die USA überhaupt den Anforder- ungen der europäischen Aufsichts- behörden entsprechen kann.
  • 24.
    24 Insgesamt ist nichtdavon auszugehen, dass US-Amerikanische Cloud-Anbieter kooperieren und die für den Anwender von Gesetzes wegen geforderten Kontrollen und Sicherheitsmaß- nahmen ermöglichen. Im Zweifel muss der Anwender von einer solchen Beauftragung Abstand nehmen, will er nicht das bußgeldbewährte Risiko ge- genüber den eigenen Aufsichtsbehörden tragen.
  • 25.
    25 Checkliste für rechtssicheres Cloud-Computing Abschlusseines schriftlicher Auftragsdatenver- arbeitungsvertrag nach § 11 BDSG mit dem Cloud-Anbieter Bei ausländischen Cloud-Anbietern: Welche Rechts- ordnung gilt und welcher Gerichtsstand ist vereinbart? Hat der Cloud-Anbieter seine Serverstandorte inner- halb des EWR? Anforderung und Überprüfung der Zertifikate des Cloud-Anbieters Will der Cloud-Anbieter Subunternehmer einsetzen?
  • 26.
    26 Was wir fürSie tun können / Beratung im Datenschutz / Erstellung von - SEO-/SEA-Verträgen - IT-Projektverträgen - LOIs (Letter of intent) - NDAs, Geheimhaltungsvereinbarungen - Softwarelizenz- und Softwareerstellungsverträgen / Begleitende Beratung bei der Konzeption Ihrer E-Commerce-Plattform, Shopprüfungen, AGB-Erstellung, Beratung bei Abmahnungen / Beratung im Markenrecht - Markenanmeldungen, Markenrecherchen - Durchsetzung Ihrer Markenrechte gegenüber Dritten
  • 27.
    27 Unsere Kanzlei verfügtüber fünf spezialisierte Rechtsanwälte, darunter drei Fachanwälte für IT-Recht und eine Fachanwältin für gewerblichen Rechtsschutz. Wir beraten Sie persönlich zu allen Fragen des E-Commerce Rechts, des IT-Rechts und des gewerblichen Rechtsschutzes. RESMEDIA Wir beraten Unternehmen im IT-Recht. Bildnachweise: Titel: © Anna - Fotolia.com Seite 3: © Vladislav Kochelaevs - Fotolia.com Seite 7: © Thorsten Schuh - Fotolia.com Seite 9: © reeel - Fotolia.com Seiite 11: © Denys Rudyi - Fotolia Seite 14: © Ingo Bartussek - Fotolia.com Seite 23: © Alex White - Fotolia.com Seite 25: © Soulsisz - Fotolia.com Seite 29: © vector_master - Fotolia.com
  • 28.
    28 http://www.res-media.net/app Booklets bequem aufIhrem Handy oder Tablet! Entdecken Sie unsere Infothek-App und lesen Sie unsere RESMEDIA Infothek-App
  • 29.
    29 http://www.youtube.com/resmediamainz Abonnieren Sie unsauf You Tube! Aktuelle Videos zu Themen des IT-Rechts unter RESMEDIA You Tube - Channel
  • 30.
    Kanzlei RESMEDIA Mainz RESMEDIA- Kanzlei für IT-Recht, E-Commerce und gewerblichen Rechtsschutz Am Winterhafen 78 55131 Mainz Telefon: 06131.144 560 Telefax: 06131.144 56 20 E-Mail: mainz@res-media.net Web: www.res-media.net