Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Entscheiderforum der Vereon AG 01. Juni 2010

Veröffentlicht von:Manfred Schmelz Geändert vor über 9 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "Entscheiderforum der Vereon AG 01. Juni 2010"—  Präsentation transkript:

1 Entscheiderforum der Vereon AG 01. Juni 2010
Rechtliche Aspekte für Informationsmanagement in der Cloud: Keine Grenzen für die Datenfreiheit? Entscheiderforum der Vereon AG 01. Juni 2010

2 Agenda Cloud Computing - eine Qualifikation aus rechtlicher Sicht
Wichtige Vertragspunkte Outsourcing der Datenbearbeitung Datenschutz und Cloud Computing – ein Widerspruch? Entscheiderforum 2010

3 Eine Qualifikation aus rechtlicher Sicht
Es handelt sich (aus rechtlicher Sicht) um einen Outsourcingvertrag, welcher die folgenden besonderen Merkmale aufweist: Die Leistungen des Outsourcinggebers werden meist in Form von „Software as a Service (SaaS)“ oder „Infrastructure as a Service (IaaS)“, etc. erbracht. Die Daten werden an verschiedenen geographischen Orten bearbeitet. Daten werden in der Regel (auch) im Ausland bearbeitet. Die Menge der geforderten Leistung kann variieren (Scalierbarkeit). Es besteht eine grosse Abhängigkeit vom Netz. Entscheiderforum 2010

4 Wichtige Vertragspunkte
Vertragsgegenstand – alles klar? Compliance – ist es erlaubt? Vertragsauflösung und die Folgen Haftung Entscheiderforum 2010

5 Vertragsgegenstand – alles klar?
Die genaue Definition der durch den Vertragspartner geschuldeten Leistung ist eine wesentliche Massnahme zur Reduktion der eigenen Risiken. Aus der Vereinbarung muss klar hervorgehen, welche Leistungen in welcher Menge und Qualität bezogen werden! Zudem muss klar geregelt werden, wer wofür verantwortlich ist (Mitwirkungspflichten des Unternehmens, Systemgrenzen). Entscheiderforum 2010

6 Allgemeine Geschäftsbedingungen
Es sind insbesondere die folgenden, in der Praxis häufig auftretenden Punkte zu beachten: Die verwendeten AGB verweisen häufig wiederum auf AGB, die im Internet abrufbar sind und jederzeit geändert werden können. Die Services sind allgemein beschrieben und stimmen nicht zu 100% mit dem überein, was das Unternehmen tatsächlich bezieht. Es werden in den AGB sämtliche angebotenen Services beschrieben und nicht nur die, welche das Unternehmen bezieht. Es sollte schriftlich festgelegt werden, welche AGB in welcher Version Vertragsbestandteile bilden! Entscheiderforum 2010

7 Nutzungsrechte, Dienstleistungen, etc.
Im Rahmen von SaaS, IaaS, etc. werden Nutzungsrechte an Software, Dienstleistungen wie Wartung und Support aber auch die Nutzung von Infrastruktur vereinbart. Es sollte klar geregelt werden, welche Nutzungsrechte an welcher Software das Unternehmen genau erwirbt. Die Qualität der Dienstleistungen sollte in Service Level Agreements nachvollziehbar und überprüfbar vereinbart werden. Es sollten Konventionalstrafen vereinbart werden, wenn die Dienstleistungen nicht die vereinbarte Qualität aufweisen (Malus-Regelung). Entscheiderforum 2010

8 Compliance – ist es erlaubt?
Vor Vertragsabschluss ist zu überprüfen, ob die angebotenen Services in den Bereichen, in denen man sie nutzen möchte, alle gesetzlichen Vorgaben erfüllen. Dabei sollten beispielsweise die folgenden Fragen gestellt werden: Bestehen Geheimhaltungspflichten, welche ein Outsourcing der Daten (ins Ausland) verbieten? Erlauben die steuerrechtlichen Vorgaben (z.B. bei der Auslagerung aller Geschäftsdokumente in die Cloud) das Vorgehen? Bei Archivierung in der Cloud – werden die Dokumente lange genug und integritätssicher archiviert? Entscheiderforum 2010

9 Vertragsauflösung und Folgen
Um eine möglichst grosse Unabhängigkeit vom Anbieter zu bewahren, sollte vertraglich sichergestellt werden, dass ein Wechsel zu einem anderen Anbieter jederzeit möglich ist. Die Kündigungsfristen müssen den eigenen unternehmerischen Bedürfnissen entsprechen. Der Anbieter muss verpflichtet werden, bei Vertragsauflösung die erforderliche Unterstützung für die Migration der Daten und Dokumente auf die Systeme des neuen Vertragspartners zu leisten – die Kosten dieser Unterstützung sollten vertraglich vereinbart werden. Entscheiderforum 2010

10 Haftung Hände weg von Anbietern, die die Haftung für eigenes Verschulden ausschliessen oder massiv einschränken! Der Anbieter haftet immer unbegrenzt für Absicht und grobe Fahrlässigkeit sowie für Personenschäden. Es sollten Anbieter bevorzugt werden, welche die Haftung für leicht fahrlässig zugefügte Schäden nicht ausschliessen – üblich ist hier eine summenmässige Begrenzung in der Höhe der Projektkosten, der Jahresgebühren, etc. Die Haftungsbegrenzung sollte mit dem potenziellen Risiko des Unternehmens übereinstimmen! Entscheiderforum 2010

11 Outsourcing Im Rahmen von Cloud Computing wird ein Teil der eigenen Geschäftstätigkeit auf ein externes Unternehmen ausgelagert. Zahlreiche gesetzliche Vorschriften halten fest, dass das Outsourcing zwar erlaubt ist, der Auftraggeber aber für das Funktionieren und die Gesetzeskonformität der ausgelagerten Tätigkeit verantwortlich bleibt (z.B. Art. 10a DSG). Entscheiderforum 2010

12 Informationspflichten und Kontrollrechte
Der Vertragspartner sollte vertraglich verpflichtet werden, das Unternehmen von sich aus über Umstände zu informieren, welche die Vertragserfüllung beeinflussen könnten, beispielsweise Sicherheits- und Datenschutzvorfälle Wechsel in der Unternehmensleitung Überschuldung Kontrollrechte können auch durch die Pflicht zur Ablieferung von Kopien von Auditberichten (z.B. im Rahmen von ISO Zertifizierungen, Datenschutzaudits, etc.) ausgeübt werden. Entscheiderforum 2010

13 Cloud Computing und Datenschutz- ein Widerspruch?
Durch die Speicherung der Daten in der „Cloud“ ist die Kontrolle der Datenbearbeitung schwieriger als bei einem „normalen“ Outsourcingvertrag und die Risiken für die betroffenen Personen sind grösser! Der Anbieter muss ausdrücklich verpflichtet werden, die Daten nur für den vereinbarten Zweck zu bearbeiten, die Verwendung für eigene Zwecke und / oder die Weitergabe an Dritte sollte ausdrücklich untersagt werden! Es sollte zudem vertraglich geregelt werden, in welchen Ländern die Datenbearbeitung erfolgt. Entscheiderforum 2010

14 Grenzüberschreitende Bekanntgabe (Art. 6 DSG)
Die Bekanntgabe ins Ausland ist verboten, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet wird – dies ist dann der Fall, wenn eine Gesetzgebung mit angemessenem Schutz fehlt EDÖB führt eine Liste der Staaten, in welchen ein angemessener Schutz besteht Länder mit ungenügender Gesetzgebung Albanien, Andorra, Armenien, Aserbaidschan, Bosnien-Herzegowina, Vatikan, Mazedonien, Georgien, Kroatien, Moldawien, Monaco, Russland, San Marino, Serbien, Montenegro, Ukraine, Weissrussland Entscheiderforum 2010

15 Grenzüberschreitende Bekanntgabe (2)
Bei fehlender Gesetzgebung Bekanntgabe ins Ausland nur, wenn hinreichende Garantien, insbesondere durch Vertrag vorliegen Einwilligung der betroffenen Person im Einzelfall Zusammenhang mit Vertragsabwicklung überwiegendes öffentliches Interesse oder Durchsetzung von rechtlichen Ansprüchen vor Gericht Bekanntgabe schützt Leben und körperliche Integrität allgemeines Zugänglichmachen und kein Verbot innerhalb derselben juristischen Person oder Gesellschaft mit angemessenen Datenschutzregeln Entscheiderforum 2010

16 US Swiss Safe Harbor Agreement
Betreibt der Anbieter auch Rechenzentren in den USA, dann werden Daten in einen Staat übermittelt, in welchem kein angemessenes Schutzniveau herrscht. Es muss daher entweder eine der Garantien gemäss Art. 6 Abs. 2 DSG vorliegen (z.B. Vertrag oder Einwilligung) oder es muss sichergestellt werden, dass der Empfänger der Daten sich zur Einhaltung der im U.S.-Swiss Safe Harbor Framework verpflichtet und zertifiziert hat. Entscheiderforum 2010

17 Sicherheit Bereits vor Vertragsabschluss sollte ein Sicherheitskonzept nachgewiesen werden und die Einhaltung sollte kontrollierbar sein! Sicherheitsvorfälle müssen rapportiert werden. Die Verletzung der Vereinbarung von Sicherheitsvorschriften sollte an Konventionalstrafen gebunden werden! Entscheiderforum 2010

18 Zusammenfassung Cloud Computing stellt aus rechtlicher Sicht nicht vollkommen neue Anforderungen. Die Kombination verschiedener Elemente erzeugt besondere Risiken, welche durch gut durchdachte und sorgfältig verhandelte Verträge soweit als möglich reduziert werden sollten. Die sorgfältige Auswahl des Anbieters und die Vereinbarung von Kontrollrechten und Informationspflichten sowie die Regelung der Folgen der Vertragsauflösung sind dabei zentrale Elemente der Risikoreduktion! Entscheiderforum 2010

19 Vielen Dank für die Aufmerksamkeit!
mag. iur. Maria Winkler IT & Law Consulting GmbH Grafenaustrasse 5 6300 Zug

Herunterladen ppt "Entscheiderforum der Vereon AG 01. Juni 2010"

Ähnliche Präsentationen

Juristische Aspekte der IT-Sicherheit

Juristische Aspekte der IT-Sicherheit
Vorlesung: 1 Betriebssysteme / Netze I 2011 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebssysteme I Zusatz: Lizensierung 4. Quartal.

Vorlesung: 1 Betriebssysteme / Netze I 2011 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebssysteme I Zusatz: Lizensierung 4. Quartal.
Prüfungsthemen.

Prüfungsthemen.
Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.

Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.
Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten: Schutz der Persönlichkeit Restriktive Verarbeitung.

Schutz der Persönlichkeit vor widerrechtlicher oder unverhältnismässiger Bearbeitung von Personendaten: Schutz der Persönlichkeit Restriktive Verarbeitung.
Lizenzmodelle Miete der Software ASP Nutzungslizenz.

Lizenzmodelle Miete der Software ASP Nutzungslizenz.
ISO - Normen Inhalt Qualität im SE Der ISO 9000-Ansatz

ISO - Normen Inhalt Qualität im SE Der ISO 9000-Ansatz
Universität Stuttgart Institut für Kernenergetik und Energiesysteme MuSofT LE 3.1-4V - Modell Überblick V-Modell Regelungen, die die Gesamtheit aller Aktivitäten,

Universität Stuttgart Institut für Kernenergetik und Energiesysteme MuSofT LE 3.1-4V - Modell Überblick V-Modell Regelungen, die die Gesamtheit aller Aktivitäten,
Schadensausgleich im Arbeitsverhältnis

Schadensausgleich im Arbeitsverhältnis
Geplant zum 01.01.2002: Das Zweite Gesetz zur Änderung schadensersatzrechtlicher Vorschriften.

Geplant zum : Das Zweite Gesetz zur Änderung schadensersatzrechtlicher Vorschriften.
Das Rechtsdienstleistungsgesetz

Das Rechtsdienstleistungsgesetz
Die GDI in Thüringen (GDI-Th)

Die GDI in Thüringen (GDI-Th)
Webbasierte Arbeitszeiterfassung Zwischenpräsentation

Webbasierte Arbeitszeiterfassung Zwischenpräsentation
Internationaler Datentransfer

Internationaler Datentransfer
Übereinkommen über den Vertrag über die Güterbeförderung in der Binnenschifffahrt (CMNI) Vortrag von Prof. Dr. Kurt Spera VVV.

Übereinkommen über den Vertrag über die Güterbeförderung in der Binnenschifffahrt (CMNI) Vortrag von Prof. Dr. Kurt Spera VVV.
Bonitäts- und Forderungs- management

Bonitäts- und Forderungs- management
Liestal, 14. März 2012 Vertragsüberprüfung – Die eigenen Verträge im Griff Bundesgerichtsentscheide / Falldarstellung.

Liestal, 14. März 2012 Vertragsüberprüfung – Die eigenen Verträge im Griff Bundesgerichtsentscheide / Falldarstellung.
Daten- und Persönlichkeitsschutz u. a

Daten- und Persönlichkeitsschutz u. a
Bewertung von Cloud-Anbietern aus Sicht eines Start-ups

Bewertung von Cloud-Anbietern aus Sicht eines Start-ups
Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.

Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.

Ähnliche Präsentationen

Google-Anzeigen