Das Dokument behandelt die Grundlagen des Datenschutzrechts, insbesondere die Verantwortlichkeiten und Haftungen im Zusammenhang mit Cloud Computing sowie spezifische Datenschutzgesetze. Es wird auf wichtige Begriffe wie personenbezogene Daten, Datenschutzgrundsätze und die rechtliche Zulässigkeit von Datenverarbeitung eingegangen, einschließlich der Herausforderungen durch Gesetze wie den USA PATRIOT Act. Zudem werden die Anforderungen an Dienstleisterverträge und die rechtlichen Rahmenbedingungen für den Datentransfer innerhalb und außerhalb des Europäischen Wirtschaftsraums behandelt.

2. Agenda
Basics+des+Datenschutzrechts+– Grundlagen
Wichtigste+Begriffe
Wer+haftet+für+die+Daten?
2
Zulässigkeit+von+Cloud Computing+/+USA+Patriot+Act,+etc.

3. Agenda
Basics&des&Datenschutzrechts&– Grundlagen
Wichtigste+Begriffe
Wer+haftet+für+die+Daten?
3
Zulässigkeit+von+Cloud Computing+/+USA+Patriot+Act,+etc.

4. − Jedermann&hat+Anspruch+auf+Geheimhaltung&seiner&Daten!
− Ursprung:+Grundrecht+auf+Achtung+des+Privat9 und+Familienlebens
− Geheimhaltung+gegenüber+Staat+und+Privaten
− Schutz+vor+Ermittlung&und+Weitergabe
− Voraussetzung:+
− Personenbezogene+Daten
− Schutzwürdiges+Interesse
Rechtsgrundlage+Datenschutzgesetz+2000
Daten+öffentlich+/+anonym?
4
Bild:+www.lebensraumSbonn.com/datenschutz.html

5. Bild:+www.lebensraumSbonn.com/datenschutz.html
Wichtigste+Begriffe+des+Datenschutzgesetzes
5
Definitionen&in&§ 4&DSG&2000
− Personenbezogene&Daten:
− Identität+bestimmt(Name)+oder+bestimmbar&(Verschlüsselung)
− Wenn+nicht&feststellbar&! DSG+nicht+anzuwenden
− Auftraggeber:&Trifft+Entscheidung,+Daten+zu+verwenden
− ...+verwendet+selbst+oder+setzt+dafür+Dienstleister+ein
− Dienstleister:&Verwendet+Daten+
(nur)+für+Durchführung+des+Auftrags
Auskunfts9,&Richtigstellungs9 und&Löschungsverpflichtungen
treffen&immer&den&Auftraggeber! !

6. Rechtsgrundlage+Datenschutzgesetz+2000+
6
§ 6&– § 8&DSG
Ausnahme&von&diesem&Verbot?
− Zweck&und+Inhalt von
− gesetzlichen&Zuständigkeiten&/&rechtlichen&Befugnissen&gedeckt+und
− schutzwürdige&Geheimhaltungsinteressen&gewahrt
Verarbeitung
von&Daten&ist
grundsätzlich
verboten!

7. Agenda
Basics+des+Datenschutzrechts+– Grundlagen
Wichtigste&Begriffe
Wer+haftet+für+die+Daten?
7
Zulässigkeit+von+Cloud Computing+/+USA+Patriot+Act,+etc.

8. Wichtigste+Begriffe+des+Datenschutzgesetzes
8
Definitionen&in&§ 4&DSG&2000
− Personenbezogene&Daten:
− Identität+bestimmt(Name)+oder+bestimmbar&(Verschlüsselung)
− Wenn+nicht&feststellbar&! DSG+nicht+anzuwenden
− Auftraggeber:&Trifft+Entscheidung,+Daten+zu+verwenden
− ...+verwendet+selbst+oder+setzt+dafür+Dienstleister+ein
− Dienstleister:&Verwendet+Daten+
(nur)+für+Durchführung+des+Auftrags
Bild:+www.lebensraumSbonn.com/datenschutz.html

9. Auftrag9
geber
Betroffener
Dienstleister
Dienstleister/
vertrag
Rechtschutzbehelfe
Wichtigste+Begriffe+des+Datenschutzgesetzes
9
− Entscheidung über+
Datenverwendung
− Datenschutzrechtliche+
Verantwortung − Verwendet+überlassene+
Daten...
− zur+Durchführung des+
Auftrags

10. Wichtigste Begriffe des+Datenschutzgesetzes
10
Auftrag9
geber
Betroffener
Dienstleister
Dienstleister)
vertrag
Rechtschutzbehelfe
− Entscheidung über+
Datenverwendung
− Datenschutzrechtliche+
Verantwortung − Verwendet+überlassene+
Daten...
− zur+Durchführung des+
Auftrags

11. Nutzung+Office+365+– Was+passiert+rechtlich?
11
Datentransfer
− Cloud9Benützer&von+MS+Office+365+(Bank,+Unternehmen,+Arzt,+etc.)+ist+
Auftraggeber&im+Sinne+des+Datenschutzgesetzes
− Kunde+des+CloudSBenützers+ist+Betroffener
− Überlassung&von+Daten+an+Dienstleister&(=+Microsoft+=+CloudSAnbieter)
− Microsoft+trifft+keine+eigene+Entscheidung+zur+Datenverwendung
Bild:+www.slankerzonderdieet.nl/programma/paragraphSkopie/+

12. Agenda
Basics+des+Datenschutzrechts+– Grundlagen
Wichtigste+Begriffe
Wer&haftet&für&die&Daten?
12
Zulässigkeit+von+Cloud Computing+/+USA+Patriot+Act,+etc.

13. Haftungsfragen in+der+Cloud
13
Cloud9Benützer: Prüfpflicht&für+ausreichenden+Datenschutz+beim+CloudSAnbieter
− Genauer+Umfang+unklar
− Kombination+ratsam:+Vorlage+Sicherheitskonzept,+Kontrollpflicht+
Bedeutung+des+Dienstleistervertrages&
− v.a.+Regelung+Datensicherheitsmaßnahmen+(MS:+Office+365STrust+Center1 S
detaillierte+Informationen)
Allgemein:+CloudSBenützer+muss+mangelndes&Verschulden&beweisen
− MS:+Ersatzweise+Haftung+von+Microsoft+bei+Insolvenz+des+CloudSBenützers!
Sorgfaltspflichten&/&Haftungsregelung
1+http://office.microsoft.com/deSat/business/officeS365StrustScenterSdatensicherheitSinSderScloudSFX103030390.aspx

14. Agenda
Basics+des+Datenschutzrechts+– Grundlagen
Wichtigste+Begriffe
Wer+haftet+für+die+Daten?
14
Zulässigkeit&von&Cloud Computing&/&USA&Patriot&Act,&etc.

15. Datenschutzrechtliche+Zulässigkeit+des+Cloud+Computing
15
Zulässige&Datenverarbeitung:&
Zweck+und+Inhalt+gedeckt,+keine+schutzwürdigen+Interessen+verletzt
Innerhalb&EWR Außerhalb&EWR
− Nur+Abschluss+Dienstleistervertrag+nötig+
(hier:+Vertrag+mit+Microsoft)
− Keine+Genehmigungspflicht+durch+
Datenschutzbehörde
− Grundsätzlich+Genehmigung+durch+
Datenschutzbehörde+erforderlich
− Außer+Ausnahmetatbestand+erfüllt+
(zB Zustimmung,+SafeSHarbor,+StandardS
vertragsklauseln)

16. Datenschutzrechtliche+Zulässigkeit+innerhalb des+EWR
16
− Keine&Genehmigungspflicht&des+Datentransfers+durch+Datenschutzbehörde!
− Abschluss+eines+schriftlichen+Dienstleistervertrags erforderlich
− Gilt+für+Datenüberlassung+innerhalb:
− des+(inländischen)+Unternehmens+++
− Österreichs
− des+EWR

17. Datenschutzrechtliche+Zulässigkeit+außerhalb des+EWR
17
− Keine&Genehmigungspflicht&des+Datentransfers+in gleichgestellte&Drittstaaten
− Schweiz,+Argentinien,+Uruguay,+Neuseeland,+Kanada,+Israel+...

18. 1+http://safeharbor.export.gov/list.aspx
Datenschutzrechtliche+Zulässigkeit+außerhalb des+EWR
18
Eintrag&in&&Safe&Harbor9Liste1 prüfen! !
− Keine&Genehmigungspflicht&des+Datentransfers+in gleichgestellte&Drittstaaten
− Schweiz,+Argentinien,+Uruguay,+Neuseeland,+Kanada,+Israel+...
− ...+und+Unternehmen+der+USA,+die+sich+zur+Einhaltung+des+„Safe&Harbor“9Abkommens&verpflichten

19. http://safeharbor.export.gov/list.aspx
Safe+Harbor+Liste
19
!
Rechtsfolge:
Genehmigungsfreie
Datenübermittlung+in+USA

20. 1 „Europe+vs Facebook“+(Maximilian+Schrems):+Entscheidung+ vom+18.+Juni+2014,+ GZ:+2013+No.+765JR
Exkurs:+Facebook+vs.+Max+Schrems:+EuGH zu+Safe+Harbor
20
Safe&Harbor&Abkommen&–Irisches&Höchstgericht&legt&EuGH&Fragen&zu&Rechtmäßigkeit&vor
− Aktuelles&Verfahren1 9 Ausgangslage:&
− Basierend+auf+Entscheidung&der&EU&Kommission&im+Jahr+2000:++++
Datenübermittlung+in+USA+zulässig+bei+Unterwerfung+unter+Safe+Harbor
− Snowden Affäre&zeigt:+NSA+greift+anscheinend+umfassend+auf+
personenbezogene+Daten+von+EUSBürgern+zu
− EuGH:&Prüfung&ob+Safe+Harbor+Abkommens+(immer+noch)+
mit+EUSGrundS &+Datenschutzrechten+vereinbar
Derzeit&keine&Änderung&–„Safe&Harbor&is still&safe!“ !

21. Datenschutzrechtliche+Zulässigkeit+außerhalb&des+EWR
21
− Keine&Genehmigungspflicht&des+Datentransfers+in gleichgestellte&Drittstaaten
− Schweiz,+Argentinien,+Uruguay,+Neuseeland,+Kanada,+Israel+...
− ...+und+Unternehmen+der+USA,+die+sich+zur+Einhaltung+des+„Safe&Harbor“9Abkommens&verpflichten
− (...oder+Verwendung+von+EU9Standardvertragsklauseln)

22. 1 Inkl.+Standardvertragsklauseln:+Enterprise+Enrollment Addendum+ Microsoft+Online+Services+Data+Processing+Agreement+&+Annex+1
Verwendung von+EUSStandardvertragsklauseln
22
− Rechtsfolge:&Angemessenes&Datenschutzniveau&gilt+als+nachgewiesen
− In+Zukunft:+Bloße+Anzeige9 statt&Genehmigungspflicht&durch+DSB
− Aber:&Bisher+keine+nationale+Umsetzung
− Artikel&29&Gruppe:&MS&Datenverarbeitungsklauseln1 geprüft
Unabhängige&EU9Datenschutzgruppe&bestätigt&Datenschutzkonformität&von&MS&Office&365
!Derzeit+weiterhin+
Genehmigungspflicht!
9 Ergebnis:&Entspricht+DienstleisterSStandardvertragsklauseln+ (2010/87/EG)

23. 1 Bspw § 54+ÄrzteG,+ § 38+BWG,+§ 9+RAO,+§ 37+NO+
2 § 14+DSG
Verschwiegenheitspflichten+&+branchenspezifische+
Zulässigkeit
23
Exkurs
− Daten+nur+im&Rahmen&der&Aufträge&des+CloudSBenutzers+verwenden
− Verschwiegenheits9 &&Geheimhaltungspflichten:
− Kein&allgemeines&Verbot&der+Überlassung+von+Daten
− Auftraggeber+muss+Sondergesetze1 beachten+–„Was+darf+ich?“
− Einhaltung+der+Datensicherheitsmaßnahmen2,+uA:
− Muss+Mitarbeiter+zur+Einhaltung+des+Datengeheimnisses&verpflichten
− CloudSNutzer+muss+eigene&Verschwiegenheitspflichten&auf&Dienstleister&überbinden!

24. 1 Electronic+ Communications+ Privacy+Act (1986)+
2 Foreign Intelligence Surveillance Act (1978)
3 Microsoft+Law+Enforcement+Requests Report+ 2013,+2014+(Zeitraum+Juli+2013+S Juni+2014)
Vereinbarkeit+Datenschutzrecht+von+EU+&+USA
Patriot&Act&&&PRISM
− USA&Patriot&Act of 2001
− „Uniting and Strengthening America by Providingg Appropriate Tools+
Required to Intercept and Obstruct TerrorismAct“+
− PRISM&9 Digitales&Überwachungsprogramm
− Rechtsgrundlagen:+USA+Patriot+Act,+ECPA1,+FISA2
− Auf+Antrag+offengelegte+Inhaltsdaten+durch+MS3:+Null
− Vergleichbare+Überwachungsprogramme+existieren
...+auch+in+Europa
...+uzw seit+Jahrzehnten

25. − Schutzniveau&vergleichbar&zu+EUSStaaten+(Bilaterale+Verträge!)
− Strenge&Rechtsfertigungsgründe&für+Datenzugriff+auf+Cloud:+
− Betrifft+nur+Strafsachen&&&Terror9/Spionagebekämpfung
− Nur+als+Ausnahme von+konventionellen+Methoden
− Gerichtsbeschluss/Durchsuchungsbefehl
− Hinreichender&Tatverdacht&
− Verbot freiwilliger+Herausgabe+
− Benachrichtigungspflicht
des+Kunden
Vereinbarkeit+Datenschutzrecht+von+EU+&+USA
zwingende+Voraussetzung
Patriot&Act&&&PRISM
!
Fazit:
Datenzugriff+nur+in+Ausnahmefällen.
Internationaler+Standard.

26. 1 GZ:+13SMAGS2814;+M9S150
2 Brief+for Appellant,+ 08.12.2014;+Volltext:+http://digitalconstitution.com/wpScontent/uploads/2014/12/MicrosoftSOpeningSBriefS120820141.pdf
Vereinbarkeit+Datenschutzrecht+von+EU+&+USA
26
US9Strafverfahren:&Zugriff&von&US9Behörden&auf&Daten&in&EU
− Aktuelles&Verfahren1 gegen&Microsoft&–Ausgangslage:
− US9Behörden verlangen+Zugriff+auf+in&EU&gespeicherte&Daten
− Grundlage:&Durchsuchungsbefehl+in+USSStrafverfahren+
− Microsoft+in+2+Instanzen+zur&Herausgabe&verurteilt&
− Sanktionen+vorerst+ausgesetzt+(keine+Datenherausgabe)
− Neuester&Stand: MicrosoftSRechtsmittel2 eingebracht
!
Top+aktuell:
Microsoft&Presseseite
http://digitalconstitution.com

27. Key+Points+to Remember
− Ist+eine+Datenanwendung+zulässig,+kann+der+Kunde+die+Daten
auch+in+die+Cloud geben+(innerhalb+des+EWR)
− CloudSSpeicherung+ in+EWR+&+Safe+Harbor+grds.+genehmigungsfrei
− Patriot+Act/PRISM:+Schreckgespenst!&Möglichkeit+des+Datenzugriffs
durch+Behörden+nicht+höher+als+bei+uns

28. Vielen+Dank+für+Ihre+Aufmerksamkeit!
Dr.&Stephan&Winklbauer,&LL.&M.
Partner,+Rechtsanwalt
aringer herbst winklbauer rechtsanwälte
1010+Wien,+Grillparzerstraße 5
+43+1+890+90+17
winklbauer@ahwlaw.at
28