Das Dokument behandelt die rechtlichen Aspekte des Cloud Computing im Kontext von Datenschutz, insbesondere nach den Enthüllungen des NSA-Skandals. Es wird erläutert, wie cloudbasierte Dienste rechtlichen Herausforderungen gegenüberstehen, einschließlich der Notwendigkeit schriftlicher Vereinbarungen und der Verantwortung des Auftraggebers für den Datenschutz. Zudem wird auf die Problematik des Datenexports in Drittländer und die Ungültigkeit von Datenschutzabkommen wie Safe Harbor eingegangen.

1. © Rechtsanwalt Marcus Beckmann
Cloud Computing nach dem NSA-
Skandal, Prism & Co. - CeBit 2014
Rechtsanwalt Marcus Beckmann
Beckmann und Norda - Rechtsanwälte

2. ©Rechtsanwalt Marcus Beckmann 2
Referent
Rechtsanwalt Marcus Beckmann
BECKMANN UND NORDA – RECHTSANWÄLTE
Welle 9 - 33602 Bielefeld
web: www.beckmannundnorda.de
email: info@beckmannundnorda.de
fon 0521/98628-0
fax 0521/98628-28

3. ©Rechtsanwalt Marcus Beckmann 3
Referent
twitter http://twitter.com/marcusbeckmann
facebook http://www.facebook.com/marcus.beckmann.1973
google+ https://plus.google.com/+MarcusBeckmann/
linkedin http://de.linkedin.com/in/marcusbeckmann/
xing https://www.xing.com/profile/Marcus_Beckmann

4. ©Rechtsanwalt Marcus Beckmann 4
Cloud Computing
NIST-Definition
(National Institute of Standards and Technology)
Cloud Computing umschreibt den Ansatz, abstrahierte IT-
Infrastrukturen (z. B. Rechenkapazität, Datenspeicher,
Netzwerkkapazitäten oder auch fertige Software) dynamisch an den
Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen

5. ©Rechtsanwalt Marcus Beckmann 5
Cloud Computing
IaaS – Infrastructure as a Service
PaaS – Platform as a Service
SaaS – Software as a Service

6. ©Rechtsanwalt Marcus Beckmann 6
Rechtliche Ausgangslage
Vielzahl unterschiedlicher Dienste
= Vielzahl rechtlicher Problemfelder
Grenzüberschreitende Angebote
= verschiedene Rechtsordnungen mit verschiedenen
Vorschriften und Anforderungen
Antiquierte rechtliche Regelungen und uneinheitliche Standards

7. ©Rechtsanwalt Marcus Beckmann 7
Vertragliche Regelung
Leistungsumfang
Verfügbarkeit
Sicherheit
Haftung
Nachhaltigkeit

8. ©Rechtsanwalt Marcus Beckmann 8
Folgen der Nutzung cloudbasierter Dienste
Neben zahlreichen bekannten Vorteilen:
Abhängigkeit
Kontrollverlust

9. ©Rechtsanwalt Marcus Beckmann 9
Prism, Tempora & Co.
Prism: Spähprogramm der NSA
Tempora: Spähprogramm des GCHQ
Abschöpfung personenbezogener Daten und
Geschäftsgeheimnisse
(Vermutlich) Zugriff der NSA auf die Server von Microsoft, Google,
Facebook, Apple, Yahoo, Skype und anderer IT-Firmen.

10. ©Rechtsanwalt Marcus Beckmann 10
Datenschutz vs. Cloud
Relevanz der datenschutzrechtlichen Bestimmungen
betrifft personenbezogene Daten
(auch IP-Daten sind nach EuGH-Rechtsprechung
personenbezogene Daten)
Gilt auch, wenn Zugriff auf personenbezogene Daten nicht
ausgeschlossen werden kann

11. ©Rechtsanwalt Marcus Beckmann 11
Datenschutz vs. Cloud
Auftragsdatenverarbeitung
Werden personenbezogene Daten im Auftrag durch andere Stellen
erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die
Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich
Dem Wortlaut nach nur innerhalb Deutschlands

12. ©Rechtsanwalt Marcus Beckmann 12
Datenschutz vs. Cloud
Schriftliche Vereinbarung mit Cloud-Anbieter erforderlich
Der Auftrag ist schriftlich zu erteilen

13. ©Rechtsanwalt Marcus Beckmann 13
Datenschutz vs. Cloud
Regelungsbedürftige Punkte
1.der Gegenstand und die Dauer des Auftrags
2.der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der
Daten und der Kreis der Betroffenen
3.die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,
4.die Berichtigung, Löschung und Sperrung von Daten,
5.die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,
6.die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,
7.die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,
8.mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz
personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,
9.der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,
10.die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach
Beendigung des Auftrags.

14. ©Rechtsanwalt Marcus Beckmann 14
Datenschutz vs. Cloud
Kontrolle der Einhaltung der datenschutzrechtlichen Vorgaben
Dokumentationspflicht
Weisungsrecht des Auftraggeber

15. ©Rechtsanwalt Marcus Beckmann 15
Datenschutz vs. Cloud
Funktionsübertragung:
Übermittlung personenbezogener Daten ins Ausland
Unterscheidung EU/EWR und Länder außerhalb der EU
Drittländer mit vergleichbarem Datenschutzniveau
Daneben: Datenexport mit EU-Standardvertragsklauseln

16. ©Rechtsanwalt Marcus Beckmann 16
Datenschutz vs. Cloud
Safe Harbor
Datenschutz-Vereinbarung zwischen der Europäischen Union und
den USA
Europäischen Unternehmen soll ermöglicht werden,
personenbezogene Daten legal in die USA zu übermitteln.

17. ©Rechtsanwalt Marcus Beckmann 17
Datenschutz vs. Cloud
Safe Harbor-Zertifizierung reicht allein nicht aus
Zertifizierung des Cloud Anbieters und etwaiger Subunternehmer
Überprüfung des Zertifikats während der Nutzungsdauer
Dokumentation
Nachweispflicht

18. ©Rechtsanwalt Marcus Beckmann 18
Datenschutz vs. Cloud
Problem:
Massenhafte Abschöpfung von Daten durch staatliche Stellen
Abkommen, EU-Standardvertragsklauseln und sonstige vertragliche
Vereinbarungen sind wirkungslos.

19. ©Rechtsanwalt Marcus Beckmann 19
Datenschutz vs. Cloud
Safe Harbor nach dem NSA-Skandal im Grunde nicht mehr haltbar
Forderungen nach Kündigung des Safe Harbor-Abkommens
Problem: Großbritannien als EWR-Mitglied
EU-Anbieter / Deutsche Anbieter nutzen

20. ©Rechtsanwalt Marcus Beckmann 20
FRAGEN ?
Vielen Dank für Ihre Aufmerksamkeit !
Aktuelle Entscheidungen und Beiträge
www.beckmannundnorda.de/serendipity/