Cloud Computing Und Compliance - Vogel & Partner

vogel.partner.eu
  • Keine Tags gefunden...

Cloud Computing Und Compliance - Vogel & Partner

Cloud Computing und ComplianceVerträge, Urheberrecht, Datenschutz9. Karlsruher IT-Tagam 21.04.2012 in KarlsruheProf. Dr. Rupert VogelDr. Oliver Meyer-van RaayRechtsanwälte undFachanwälte für IT-Recht2


RA Prof. Dr. Rupert VogelRA Prof. Dr. Rupert Vogel ist seit 1994 Rechtsanwalt und seit 2011Partner der neu gegründeten, auf IT-Recht spezialisierten KanzleiVogel und Partner mit Sitz im Karlsruher Technologiepark. Er berätschwerpunktmäßig im Bereich des Urheber-, IT- und des deutschfranzösischenTitelmasterformatHandelsrechts.durch Klicken bearbeitenNach Studium und Referendariat in Heidelberg und Dijon war erAssistent an der Universität Montpellier, wo er zu einemurheberrechtlichen Thema promovierte.Er ist Fachanwalt für IT-Recht und Honorarprofessor an derUniversität Mannheim (IT-Recht, Urheberrecht, Französisches Recht).Bei der Deutschen Gesellschaft für Recht und Informatik e. V. (DGRI)ist er Geschäftsführer und Co-Leiter des FachausschussesSoftwarerecht.Cloud Computing| 21.04.2012 4


Cloud Computing und ComplianceAgendawirtschaftliche und technische Hintergründe, Arten von CloudsAbgrenzung zu ähnlichen Geschäftsmodellen und Praxisbeispieleanwendbares Recht und RechtswahlVertragstypologie und -gestaltungUrheberrechtDatenschutz und Datensicherheitoffene Fragen / ComplianceDiskussionCloud Computing | 21.04.2012 5


Cloud Computing und Compliance“Das Bedürfnis nach Datensicherheit bringt CloudAnbietern ein hübsches Verkaufsargument und Juristenlukrative Beratungsarbeit. Ob all der Schutz nötig ist, weißkeiner.”Zitiert nach ?BITKOM Leitfaden Cloud ComputingParteiprogramm 2011 der PiratenparteiFAZ vom 06.03.2012taz vom 16.03.2012Cloud Computing | 21.04.2012 6


Cloud Computing und ComplianceWirtschaftliche und technische Hintergründe,Arten von Clouds, Antworten des Rechts(Compliance)7


Definition von Cloud ComputingBSI: „CC bezeichnet das dynamisch an den Bedarf angepassteAnbieten, Nutzen und Abrechnen von IT-Dienstleistungenüber ein Netz. Angebot und Nutzung dieser Dienstleistungenerfolgen dabei ausschließlich über definierte technischeSchnittstellen und Protokolle. Die Spannbreite der imRahmen Titelmasterformat von CC angebotenen durch Dienstleistungen Klicken bearbeiten umfasst daskomplette Spektrum der IT und beinhaltet u.a. Infrastruktur(z.B. Rechenleistung, Speicherplatz), Plattformen undSoftware“.Cloud Computing| 21.04.2012 8


Dienstleistungsmodelle/ Drei-Ebenen-ModellInfrastructure-as-a-Service (IaaS)Desktop Cloud: Rechenleistung u. Speicherplatz, Netzwerk-Infrastruktur-FunktionalitätenPlatform-as-a-Service (PaaS)Developer Cloud/ Entwickler-PlattformEntwicklung Titelmasterformat und Integration durch von Klicken AnwendungskomponentenbearbeitenSoftware-as-a-Service (SaaS)Bündelung und bedarfsgerechte Bereitstellungstandardisierter Geschäftsanwendungen (IT-Ressourcen undApplikationen)Cloud Computing| 21.04.2012 9


Titelmasterformat durch Klicken bearbeitenUrheber: Sam JohnstonQuelle: WikipediaCloud Computing| 21.04.2012 10


Verwendungsmodelle (Cloud Deployment Models)Private Cloudunternehmens-, körperschaftsinterne InfrastrukturPublic CloudVielzahl von Kunden (auch konzernintern)Hybrid CloudKombination von Private und Public CloudsTitelmasterformat durch Klicken bearbeitenCloud Computing| 21.04.2012 11


Vorteile für KundenBereitstellung von überwiegend standardisierten IT-Leistungenüber das Internetweltweiter Zugriff auf DatenSkalierbarkeit von Dienstengeringere Kosten bei Hardware, lokaler InfrastrukturTitelmasterformat durch Klicken bearbeitenNutzung professioneller Infrastruktur ohne eigenen Knowhow-AufbauEinsparung bei BetriebsorganisationErsparnis von großen Investitionen, Abrechnung nachtatsächlichem Verbrauch („pay as you go“)Cloud Computing| 21.04.2012 12


RechtsdiskussionRisikenDatenschutz (personenbezogene Daten)DatensicherheitVertraulichkeitVerfügbarkeitTitelmasterformat durch Klicken bearbeitenInternationales Rechtregulatorische VorgabenAktuelle Diskussion in Branche über RechtslageLösung: Risikomanagement und VertragsgestaltungCloud Computing| 21.04.2012 13


Cloud Computing und ComplianceAbgrenzung zu ähnlichen Geschäftsmodellen undPraxisbeispiele14


Abgrenzung zu ASP und OutsourcingASP: Keine Auslagerung interner IT-Funktionen, sondern Einkaufneuer IT-Services von außenUnterscheide zum ASP vor allem in der ServerarchitekturASP: Single Tenancy (Software wird über Netzwerk einem Client zurVerfügung gestellt)Titelmasterformat durch Klicken bearbeitenCloud: Multi Tenancy (von mehreren Nutzern / Clients gleichzeitig undunabhängig voneinander nutzbar - mehrmandantenfähig)Unterschied IaaS zum klassischen Outsourcing: fehlende festeZuordnung von physikalischen Ressourcen Virtualisierung der Ressourcen als Kernmerkmal Perspektivwechsel vom Rechenzentrum zur LeistungApplication Management: Entwicklung und Betreuung vonApplikationen und AnwendernCloud Computing| 21.04.2012 15


Einige Anwendungsfälle aus der PraxisCRM-Software, z.B. von Salesforce, für Vertriebsmitarbeiter einesEnergieversorgers in Ergänzung der hauseigenen CRM-LösungFernnutzung einer Anwendungssoftware zur Absatzplanung (auchüber mobile Endgeräte) als SaaS-LösungE-Mail-Archivierung in der Cloud (Zugriff auch über iPhone-Client)Titelmasterformat durch Klicken bearbeitenDaneben z.B. ERP, HR, Collaboration, Energiemanagement,Transportroutenplaner ...z.B. SaaS in Kombination mit einem cloudbasierten Kundensupport-Center (Ticketsystem mit zentralem Datenbestand) zur Anbindungvon Niederlassungen im Auslandhäufig Generalunternehmermodell (statt Multi-Vendor-Strategie)Ausschöpfung der Vorteile häufig nur bei Public Clouds möglichCloud Computing| 21.04.2012 16


Neue Geschäftsmodellansätze mit Cloud ComputingApp-orientierte Geschäftsmodellansätze auf der Basis vonCloud Computing (Siemens White Paper 2011)Apps als „Micro-SaaS“ Lösung – Funktionen der Apps werdenaus der Cloud bezogen; Vision: Internet-basierte App-Plattformen auf der Basis von Cloud Computing, z.B. fürfolgende Anwendungen:Titelmasterformat durch Klicken bearbeitenSmart Traffic zur Verkehrssteuerung und StauvermeidungeCar Mobility: Telematic Services für professionellesFlottenmanagement, LademanagementGesundheitsplattformen: Verwaltung (und Austausch?) vonGesundheits- und Fitnessdaten unter Beteiligung vonKrankenkassen, Arbeitgebern, Krankenhäusern, Ärzten,Apotheken, Geräteherstellern etc. Unterstützung der privatenGesundheitsvorsorgeCloud Computing| 21.04.2012 17


Cloud Computing und ComplianceAnwendbares Recht und Rechtswahl18


Internationales VertragsrechtRechtswahlB2B: nach Art. 3 I Rom I zulässigB2C: Art. 6 Rom I ist sachlich anwendbar( auch nicht körperliches Online-Produkt +) Günstigkeitsvergleich zugunsten VerbraucherTitelmasterformat durch Klicken bearbeitenkeine Rechtswahlobjektive Anknüpfung an vertragscharakteristische Leistung –Art. 4 II Rom I (bei Dienstvertrag Art. 4 Abs. 1b Rom I): Rechtdes AnbietersB2C: Recht am gewöhnl. Aufenthalt des VerbrauchersCloud Computing| 21.04.2012 19


Internationales DeliktsrechtGrundsatz: Recht des Schadenseintrittsorts – Art. 4 I Rom II(Ausnahme: gemeinsamer gewöhnlicher Aufenthalt – Art. 4 II Rom II): Wo ist „Schadeneintrittsort“?Zielrechner/ Hauptrechner?Speicherort der geschädigten Daten?Titelmasterformat durch Klicken bearbeitenMosaikbetrachtung?„gewöhnlicher Abrufort“bei enger Verbindung Anknüpfung an Vertragsstatut – Art. 4 III S. 1Rom IISubunternehmer?vorherige Rechtswahl mögl. (Art. 14 I b Rom II; Ausnahme IP-Rechte – Art. 8 II)Cloud Computing| 21.04.2012 20


Internationales UrheberrechtTerritorialitätsprinzip/ Schutzlandprinzip (Anknüpfung)Mosaikbetrachtung (Rspr.?)Wie bei Senderecht: Anknüpfung an Herkunftsland des Anbieters o.Serverstandort?Bogsch-Theorie: zusätzlich zum Recht des Sendelandes auch Rechtdes Empfangslandes?Titelmasterformat durch Klicken bearbeitenEinschränkung des Schutzlandprinzips: hinreichender Inlandsbezugnotwendig?Einheitstheorie ./. Spaltungstheorieh.M.: EinheitstheorieVerpflichtungs- und Verfügungsgeschäft unterstehen VertragsstatutSpaltungstheorie: nur f. Verpflichtung Vertragsstatut, Verfügung nachRecht des SchutzlandesCloud Computing| 21.04.2012 21


Cloud Computing und ComplianceVertragstypologie und Vertragsgestaltung22


VertragstypologieWarum überhaupt wichtig? Bestimmung des Leitbilds der Klauselkontrollenach § 307 Abs. 2 BGB bei standardisierten VerträgenUnterschiedliche Leistungen / unterschiedliche Schwerpunkte typengemischte Verträge ...... mit im Wesentlichen mietvertraglichem Charakter; nach BGHASP = Titelmasterformat Mietvertrag (Software durch müsse immer Klicken irgendwo bearbeiten verkörpertsein, um überhaupt nutzbar zu sein)Auch der Einsatz von Virtualisierungstechniken (im Unterscheidzum ASP) ändert an dieser Einordnung im Ergebnis nichtsProblem: Garantieverpflichtung des § 535 Abs. 1 S. 2 BGB grds.100% Verfügbarkeit geschuldetIm Wesentlichen dienst- und werkvertragsrechtlich zuqualifizierende Zusatzleistungen, z.B. Support, Updates, Back-upsCloud Computing| 21.04.2012 23


Vertragsgestaltungeinheitliches Leistungsstörungsrecht und Kodifizierung vonVerfügbarkeitsquoten mittels Service Level AgreementsLeistungsgegenstand, Verfügbarkeit, Performance (insb.Antwortzeit), Übergabepunkte, Bezugsgrößen, Messpunkte,Reaktions- und Beseitigungszeiten etc.Titelmasterformat durch Klicken bearbeitenBeauftragung von Subunternehmern, z.B. Amazon Web Services;Cloud-Anbieter häufig als Generalunternehmer (z.B. auch TK-Anbindung)Regelungen zum Notfall-Management, zur Vertragsabwicklung /zum Exit Management und zur Datenherausgabe am Vertragsende(z.B. Datenformate)Problematisch: Zurückbehaltungsrecht an DatenProblematisch: Leistungsverweigerungsrecht bei ZahlungsverzugCloud Computing| 21.04.2012 24


VerfügbarkeitsklauselnGegenstand und Inhalt der VerfügbarkeitSpezifizierung: Software-Module, Funktionen, Prozesse etc.Festlegung bestimmter Betriebszeiten; Wartungsfenstergeplante / ungeplante, angekündigte / nicht angekündigte, verschuldete/ unverschuldete WartungsmaßnahmenTitelmasterformat durch Klicken bearbeitenVerfügbarkeitsquoten („ninety-nine-point-something“)wichtig: BezugszeitraumMessung, Berichtswesen, Sanktionen, Bonus-Malus-.Regelung etc.(z.T. Lastobergrenzen in AGB der Anbieter)aus Kundensicht möglichst unmittelbare Auswirkungen auf Vergütungoptional: maximale Ausfallzeiten pro AusfallRegelung – soweit möglich – als Bestandteil der Leistungsbeschreibung(nicht: „Wir übernehmen keine Haftung, soweit ...“)Cloud Computing| 21.04.2012 25


Verfügbarkeitsklauseln – 2 Beispiele»Aus technischen und betrieblichen Gründen sind zeitweilige Beschränkungen undUnterbrechungen des Zugangs zum ... Online-Service möglich. Zeitweilige Beschränkungenund Unterbrechungen können beruhen auf höherer Gewalt, Änderungen undVerbesserungen an den technischen Anlagen oder auf sonstigen Maßnahmen, z.B. WartungsoderInstandsetzungsarbeiten, die für einen einwandfreien oder optimierten ... Online-Service notwendig sind, oder auf sonstigen Vorkommnissen, z.B. Überlastung derTelekommunikationsnetze.«Titelmasterformat durch Klicken bearbeiten„Der Dienst ist zu 98 % im Kalendermonatsmittel verfügbar. Nichtverfügbarkeit istanzunehmen, wenn der Dienst aufgrund von Umständen, die im Verantwortungsbereich desAnbieters liegen, vollständig nicht zur Verfügung steht. Nichtverfügbarkeit ist nichtanzunehmen, wenn der Dienst aufgrund von [höhere Gewalt, Fehlbedienung, geplanteWartungszeiten] nicht erreichbar ist. Der Anbieter darf den Dienst zum Zwecke der Wartungvorübergehend abschalten (geplante Wartungszeiten). Der Anbieter wird dem Nutzergeplante Wartungszeiten mindestens 2 Tage im Voraus über die Internetseite … ankündigen.Insgesamt darf die Dauer geplanter Wartungszeiten 12 Stunden im Monat nichtüberschreiten.“vgl. z.B. auch Beispielsvertrag des BITKOM zum ASP und Roth-Neuschild, ITRB 2012, 67 ff.Cloud Computing| 21.04.2012 26


Beispiel: Amazon Web Services Customer Agreement2.1 To the Service Offerings. We may change, discontinue, or deprecateany of the Service Offerings (including the Service Offerings as a whole) orchange or remove features or functionality of the Service Offerings fromtime to time. We will notify you of any material change to or discontinuationof the Service Offerings.3.1 AWS Security. Without limiting Section 10 or your obligations underSection Titelmasterformat 4.2, we will implement reasonable durch Klicken and appropriate bearbeiten measuresdesigned to help you secure Your Content against accidental or unlawfulloss, access or disclosure.3.2 Data Privacy. We participate in the safe harbor programs described inthe Privacy Policy. You may specify the AWS regions in which Your Contentwill be stored and accessible by End Users. We will not move Your Contentfrom your selected AWS regions without notifying you, unless required tocomply with the law or requests of governmental entities. (...)Cloud Computing| 21.04.2012 27


Cloud Computing und ComplianceUrheberrecht28


Verhältnis Softwarehersteller – Anbieter (1)Unterschiede bei Service-Arten (IaaS, PaaS, SaaS)Vervielfältigung (§ 69c Nr. 1 UrhG) +Vermietung (§ 69c Nr. 3 UrhG)?Def.: zeitlich begrenzte Gebrauchsüberlassung für unmittelbareo. mittelbare ErwerbszweckeTitelmasterformat durch Klicken bearbeiten: Überlassung eines Vervielfältigungsstückes?analoge Anwendung wie bei unkörperlicher Verbreitung – §69cNr. 3 S. 2 UrhG?wie ASP-Rechtsprechung?Cloud Computing| 21.04.2012 29


Verhältnis Softwarehersteller – Anbieter (2)Öffentliche Zugänglichmachung (§ 69c Nr. 4 UrhG)?Vorfrage: Schutzumfang § 69c UrhG (Computerprogramm)Benutzeroberfläche als Werk?Benutzeroberfläche als Teil des Computerprogramms?OLG München (GRUR-RR 2009, 91 – ASP): Zugänglichmachungper ASP auf Computerprogramm reicht für § 69c Nr. 4 UrhG?Titelmasterformat durch Klicken bearbeiten: Öffentlichkeit?Cloud Computing als eigenständige Nutzungsart (§ 31 UrhG)?(nach der Verkehrsauffassung als solche hinreichend bestimmt u.klar abgrenzbar, wirtschaftl.-techn. als einheitlich u. selbstständigsich abzeichnende konkrete Art u. Weise der Nutzung)Cloud Computing| 21.04.2012 30


Verhältnis Anbieter - Kunde(e. M.) reiner Programmlauf urheberrechtlich nicht relevant(e. M.) Vervielfältigungshandlungen im Browser-Cache u.Arbeitsspeicher Vervielfältigung (aber § 44 a UrhG)(e. M.) bestimmungsgemäße Benutzung durch Berechtigten(§69 d Abs.1 UrhG)Titelmasterformat durch Klicken bearbeiten(e.M.) § 69 d Abs. 1 UrhG für Handlungen auf Server desAnbieters?neu: Client Access License: schuldrechtliche Gestattung, nichtdinglich?Cloud Computing| 21.04.2012 31


Cloud Computing und ComplianceDatenschutz und Datensicherheit32


Bestimmung des relevanten DatenschutzregimesTerritorialitätsprinzip: Ort der Erhebung oder Verarbeitung derDaten insb. Ort der SpeicherungInnerhalb EU/EWR („EU-Clouds“): Sitzlandprinzip, d.h. Rechtdes Staates, in dem der Anbieter seinen Sitz hat, es sei dennNiederlassung im Inland(§ 1 Abs. 5 BDSG)Außerhalb Titelmasterformat EU/EWR anwendbares durch Recht Klicken nicht bearbeitenimmer zweifelsfreifeststellbar aufgrund Dezentralität, Flexibilität und MobilitätEinheitliches europäisches Datenschutzrecht durch geplante EU-Verordnung (Vollharmonisierung) – nur wann?Cloud-Computing als ein Grund für die Notwendigkeit einerDatenschutzreform von EU-Kommission genanntVereinfachung internationaler Datentransfers insbesondere durchklare Vorgaben für Binding Corporate RulesCloud Computing| 21.04.2012 33


Anwendung des DatenschutzrechtsAnwendbarkeit setzt Vorliegen personenbezogener Daten voraus:Personenbezogene Daten sind Einzelangaben über persönlicheoder sachliche Verhältnisse einer bestimmten oder bestimmbarennatürlichen Person (Betroffener):MitarbeiterdatenKunden-/LieferantendatenTitelmasterformat durch Klicken bearbeiten Personenbezogene Daten sind häufig Gegenstand der Datenverarbeitung,Datenschutzrecht daher für die Verarbeitung in derCloud in aller Regel zu beachtenLösung der datenschutzrechtlichen Probleme durchAnonymisierung personenbezogener Daten im Wege derVerschlüsselung ? geeignet u.U. für Archivierungssysteme bei„starker“ Verschlüsselung; im Übrigen problematischCloud Computing| 21.04.2012 34


Übermittlung der Daten an den Cloud-AnbieterVerbot mit ErlaubnisvorbehaltDie Übermittlung an und die Verarbeitung durch den Cloud-Anbieterbedarf einer Rechtfertigunginsb. bei Funktionsübertragung, z.B. auf Accounting-ProviderWichtigste gesetzliche Erlaubnistatbestände für dieVerarbeitung durch den Cloud-Anbieter gem. § 28 BDSG:Titelmasterformat durch Klicken bearbeitenerforderlich aufgrund Schuldverhältnisses mit BetroffenemWahrung berechtigter Interessen, Interessenabwägung häufig nicht einschlägigEinwilligung der Betroffenen: in der Regel unpraktikabel beiVielzahl von Betroffenen, ausreichende Information bei DV in Cloudschwierig (hohe Anforderungen der Rspr. an Bestimmtheit derEinwilligung auch im B2B-Bereich)Cloud Computing| 21.04.2012 35


Auftragsdatenverarbeitung (innerhalb EU/EWR)Sorgfältige Auswahl und Überwachung des Cloud-Anbietershinsichtlich der von ihm getroffenen techn. und organisatorischenMaßnahmenKunde muss „Herr der Daten“ bleiben muss sich intatsächlichen und rechtlichen Gegebenheiten widerspiegelnPrüfung der gesamten Cloud-Lieferkette erforderlich (Wo sindTitelmasterformat durch Klicken bearbeitendie Daten? Wer hat Zugriff?)Große Anbieter gestatten aber häufig keinen EinblickSchriftliche Erteilung des Auftrags10-Punkte-Katalog mit erforderlichen Mindestregelungen, u.a.Ort der DatenverarbeitungKontrollrechte und Weisungsbefugnisse des KundenFestlegung von UnterauftragsverhältnissenCloud Computing| 21.04.2012 36


AuftragsdatenverarbeitungEinhaltung der Anforderungen an die AuftragsDV-Vereinb.Standardverträge oftmals unzureichendin der Regel nicht verhandelbar, da Leistungen standardisiertunzureichende Auftragserteilung für Auftraggeber / Kunden (!)bußgeldbewehrtTitelmasterformat durch Klicken bearbeitenLösungsmöglichkeitenAuswahl eines geeigneten Anbieters, z.B. bieten Microsoftund Salesforce Abschluss einer AuftragsDV-Vereinbarung an(zumindest auf Nachfrage); innereurop. SubunternehmerPrivate CloudBei konzernbetriebener Private Cloud Ausgestaltung alsAuftragsdatenverarbeitung; bei Eigenbetrieb nicht erforderlichCloud Computing| 21.04.2012 37


Rechenzentren außerhalb des EWRNach h.M. keine Auftragsdatenverarbeitung in Drittstaaten Cloud-Anbieter ist Dritter, Einwilligung in Übermittlungerforderlichausreichende Information bei ausländischer Cloud schwierigInteressenabwägungVoraussetzungTitelmasterformatfür die ZulässigkeitdurcheinerKlickenDatenverarbeitungbearbeiteninDrittstaaten ist außerdem die Sicherstellung eines angemessenenDatenschutzniveaus („Datentransfervehikel“)Unterwerfung des Anbieters unter Safe Harbor (von Aufsichtsbehördenzunehmend kritisch gesehen)EU-Standardvertragsklauseln (EU model clauses)Binding Corporate Rules Problem: Genehmigungsverfahrenentsprechende Anwendung von § 11 Abs. 2 BDSGCloud Computing| 21.04.2012 38


Datensicherheit – Kontrollerfordernis in der CloudDie Auftragsdatenverarbeitungsvereinbarung hat die vom Cloud-Anbieter zu treffenden technischen und organisatorischenMaßnahmen im Einzelnen festzulegenDie technischen und organisatorischen Maßnahmen sind als„technischer Datenschutz“ in § 9 BDSG i.V.m. der Anlage zu § 9geregelt:TitelmasterformatZutrittskontrolle, Zugangskontrolle,durch KlickenZugriffskontrolle,bearbeitenWeitergabekontrolle, Eingabekontrolle, Auftragskontrolle,Verfügbarkeitskontrolle, getrennte VerarbeitungsmöglichkeitVertragsverhandlung bei großen Cloud-Anbietern unmöglichLösung: Wahl des geeigneten Anbieters oder Private CloudOrientierung, z.B. an BSI-Mindestsicherheitsanforderungen, ISO-Zertifizierungen, SAS-70-Bestätigungsvermerke unabhängigerAuditoren …Cloud Computing| 21.04.2012 39


Datensicherheit – Kontrollerfordernis in der CloudKontrollpflicht: Auftraggeber hat sich vor Beginn der Datenverarbeitungund dann regelmäßig von der Einhaltung der Maßnahmendes Anbieters zu überzeugenBei länderübergreifenden Clouds Vor-Ort-Prüfung praktischkaum durchführbar, aber eigene Recherchen erforderlich …Zertifizierung Titelmasterformat der Cloud-Anbieter durch Klicken durch bearbeitenunabhängige Stelleals mögliche Lösung,ABER: „entbindet nicht von Kontrollpflichten“ (Arbeitskreisder Datenschutzbeauftragten)Standards zu hinterfragen und auf den jeweiligen EinzelfallanzupassenKontrolle vor Beginn für Kunden bußgeldbewehrt mit bis zu50.000 EURCloud Computing| 21.04.2012 40


Zusammenfassung Datenschutz & DatensicherheitDatenschutz muss kein „Dealbreaker“ seinAuswahl eines Anbieters, der Abschluss einerAuftragsdatenverarbeitungsvereinbarung anbietetProblem der Kontrolle der Datensicherheitsmaßnahmen desAnbieters Zertifizierung als mögliche LösungTitelmasterformat durch Klicken bearbeitenAngemessenes Datenschutzniveau bei außereuropäischen Clouds zubeachtenPrivate Clouds als mögliche Lösung: Dritte nicht involviert oder alsAuftragsdatenverarbeitung gestaltbarEinbeziehung in das Risikomanagement von UnternehmenHaftungsrisiko für UnternehmensleitungCloud Computing| 21.04.2012 41


Cloud Computing und ComplianceOffene Fragen42


Offene Fragen / ComplianceSchutzzieleVerfügbarkeitVertraulichkeitIntegritätAuthentizitätZurechenbarkeitTitelmasterformat durch Klicken bearbeitenRechtsgrundlagenGewährleistung der Vertraulichkeit u. Integrität informationstechnischerSysteme (aPR bei Grundrechtsbindung)§ 13 IV TMG, § 109 TKG, § 91 II AktG, §§ 202a ff., 303a StGB,§ 33 WpHG u. § 25a KWG; Konkretisierung über Anlage zu § 9 S. 1BDSGallg. Compliance (§§ 93 Abs. 1 AktG, § 43 GmbHG)MindestsicherheitsanforderungenISO 27001 etc.Best Practices von Behörden u. IndustrieverbändenCloud Computing| 21.04.2012 43


LösungenVerpflichtung zum Risikomanagement im Allgemeinentechnische Lösungen (Verschlüsselung)vertrauensbildende Maßnahmentransparente Verträge und LeistungsdefinitionenZertifizierung und Audit-RechteIT-SicherheitsmanagementTitelmasterformat durch Klicken bearbeiten„Cloud-Beauftragter“ (entsprechend DSB)Cloud Computing| 21.04.2012 44


Zugriff auf Cloud-Services über Apps / SmartphonesDatenschutzrechtliche und SicherheitsaspekteMöglichkeit des Zugriffs von App-Entwicklern auf AdressbücherNutzerprofile mittels Gerätekennung (UDID) –personenbezogen?Bring Your Own DeviceKeine klare Trennung zwischen privater und dienstlicherNutzung Titelmasterformat Nutzung von privaten durch Klicken Geräten bearbeitenzu betrieblichenZweckenIn der Praxis im Regelfall keine entsprechenden Vereinbarungen/ Regelungen zwischen AG und ANLizenz- und arbeitsrechtliche Probleme (z.B. fehlendeNetzwerklizenzen; betriebliche Übung?)IT-Compliance: Verwaltung unterschiedlichster Mobilgeräte,revisionssichere Archivierung etc.Auftragsdatenverarbeitungsvereinbarung mit dem Mitarbeiter?Cloud Computing| 21.04.2012 45


Einzelfragen zu ComplianceHaftung des Anbieters (TMG ?)h.M.: nicht anwendbarFernmeldegeheimnis TK-Dienstleistung (TKG)?h.M.: nicht anwendbar+ bei TK-basierten Diensten§§ 92, 109, 44a TKGTitelmasterformat durch Klicken bearbeitenGeheimnisschutz/ Berufsgeheimnisträger straflose Weitergabe an „Gehilfen“ / Anbieter als Gehilfe?Insolvenz des AnbietersBetriebsübergang (§ 613a BGB)„Cloudsourcing“ ?Handels- und Steuerrecht, z.B. § 146 AO, GDPdUKartellrechtCloud Computing| 21.04.2012 46


Literatur und LinksBITKOM-Leitfaden:http://www.bitkom.org/files/documents/BITKOM-Leitfaden-CloudComputing_Web.pdfEuroCloud Leitfaden:http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-rechtdatenschutz-compliance/Orientierungshilfe Titelmasterformat – Clouddurch Computing Klicken vom bearbeiten 26.09.2011(Konferenz der DSB):http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdfBSI Eckpunktepapier Cloud Computing:https://www.bsi.bund.de/Stellungnahme ULD / Weichert:https://www.datenschutzzentrum.de/cloud-computing/Cloud Computing| 21.04.2012 47


Cloud Computing und ComplianceVielen Dank für Ihre Aufmerksamkeit!Prof. Dr. Rupert Vogel & Dr. Oliver Meyer-van RaayRechtsanwälte und Fachanwälte für IT-Rechtrv@vogel-partner.euom@vogel-partner.euwww.vogel-partner.eu48

Weitere Magazine dieses Users
Ähnliche Magazine