Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014

© Rechtsanwalt Marcus Beckmann

Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014

Rechtsanwalt Marcus Beckmann

Beckmann und Norda - Rechtsanwälte

©Rechtsanwalt Marcus Beckmann2008 © Name des Referenten / Kanzlei

2

Referent

Rechtsanwalt Marcus Beckmann

BECKMANN UND NORDA – RECHTSANWÄLTE

Welle 9 - 33602 Bielefeld

web: www.beckmannundnorda.de

email: [email protected]

fon 0521/98628-0

fax 0521/98628-28


3

Referent

twitter http://twitter.com/marcusbeckmann

facebook http://www.facebook.com/marcus.beckmann.1973

google+ https://plus.google.com/+MarcusBeckmann/

linkedin http://de.linkedin.com/in/marcusbeckmann/

xing https://www.xing.com/profile/Marcus_Beckmann

http://twitter.com/marcusbeckmann

http://www.facebook.com/marcus.beckmann.1973

https://plus.google.com/+MarcusBeckmann/

http://de.linkedin.com/in/marcusbeckmann/

https://www.xing.com/profile/Marcus_Beckmann


4

Cloud Computing

NIST-Definition

(National Institute of Standards and Technology)

Cloud Computing umschreibt den Ansatz, abstrahierte IT-

Infrastrukturen (z. B. Rechenkapazität, Datenspeicher,

Netzwerkkapazitäten oder auch fertige Software) dynamisch an den

Bedarf angepasst über ein Netzwerk zur Verfügung zu stellen


5

Cloud Computing

IaaS – Infrastructure as a Service

PaaS – Platform as a Service

SaaS – Software as a Service


6

Rechtliche Ausgangslage

Vielzahl unterschiedlicher Dienste

= Vielzahl rechtlicher Problemfelder

Grenzüberschreitende Angebote

= verschiedene Rechtsordnungen mit verschiedenen

Vorschriften und Anforderungen

Antiquierte rechtliche Regelungen und uneinheitliche Standards


7

Vertragliche Regelung

Leistungsumfang

Verfügbarkeit

Sicherheit

Haftung

Nachhaltigkeit


8

Folgen der Nutzung cloudbasierter Dienste

Neben zahlreichen bekannten Vorteilen:

Abhängigkeit

Kontrollverlust


9

Prism, Tempora & Co.

Prism: Spähprogramm der NSA

Tempora: Spähprogramm des GCHQ

Abschöpfung personenbezogener Daten und

Geschäftsgeheimnisse

(Vermutlich) Zugriff der NSA auf die Server von Microsoft, Google,

Facebook, Apple, Yahoo, Skype und anderer IT-Firmen.


10

Datenschutz vs. Cloud

Relevanz der datenschutzrechtlichen Bestimmungen

betrifft personenbezogene Daten

(auch IP-Daten sind nach EuGH-Rechtsprechung

personenbezogene Daten)

Gilt auch, wenn Zugriff auf personenbezogene Daten nicht

ausgeschlossen werden kann


11


Auftragsdatenverarbeitung

Werden personenbezogene Daten im Auftrag durch andere Stellen

erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die

Einhaltung der datenschutzrechtlichen Vorgaben verantwortlich

Dem Wortlaut nach nur innerhalb Deutschlands


12


Schriftliche Vereinbarung mit Cloud-Anbieter erforderlich

Der Auftrag ist schriftlich zu erteilen


13


Regelungsbedürftige Punkte

1.der Gegenstand und die Dauer des Auftrags

2.der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der

Daten und der Kreis der Betroffenen

3.die nach § 9 zu treffenden technischen und organisatorischen Maßnahmen,

4.die Berichtigung, Löschung und Sperrung von Daten,

5.die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen,

6.die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen,

7.die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers,

8.mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz

personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen,

9.der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält,

10.die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach

Beendigung des Auftrags.


14


Kontrolle der Einhaltung der datenschutzrechtlichen Vorgaben

Dokumentationspflicht

Weisungsrecht des Auftraggeber


15


Funktionsübertragung:

Übermittlung personenbezogener Daten ins Ausland

Unterscheidung EU/EWR und Länder außerhalb der EU

Drittländer mit vergleichbarem Datenschutzniveau

Daneben: Datenexport mit EU-Standardvertragsklauseln


16


Safe Harbor

Datenschutz-Vereinbarung zwischen der Europäischen Union und

den USA

Europäischen Unternehmen soll ermöglicht werden,

personenbezogene Daten legal in die USA zu übermitteln.


17


Safe Harbor-Zertifizierung reicht allein nicht aus

Zertifizierung des Cloud Anbieters und etwaiger Subunternehmer

Überprüfung des Zertifikats während der Nutzungsdauer

Dokumentation

Nachweispflicht


18


Problem:

Massenhafte Abschöpfung von Daten durch staatliche Stellen

Abkommen, EU-Standardvertragsklauseln und sonstige vertragliche

Vereinbarungen sind wirkungslos.


19


Safe Harbor nach dem NSA-Skandal im Grunde nicht mehr haltbar

Forderungen nach Kündigung des Safe Harbor-Abkommens

Problem: Großbritannien als EWR-Mitglied

EU-Anbieter / Deutsche Anbieter nutzen


20

FRAGEN ?

Vielen Dank für Ihre Aufmerksamkeit !

Aktuelle Entscheidungen und Beiträge

www.beckmannundnorda.de/serendipity/

Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014

Technology

Transcript of Cloud Computing nach dem NSA-Skandal, Prism & Co. - CeBit 2014