CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller

Tangierte Rechtsbereiche  Datenschutzrechtliche Dimension  Schutz von personenbezogenen/sensiblen Daten  Datensicherheit  IT-Compliance Dimension  Sorgfalt eines ordentlichen Geschäftsmanns  Unternehmensgesetzrechtliche Dimension  Internes Kontrollsystem für Vermögenswerte => IKT  Prüfung durch Wirtschaftsprüfer => Redepflicht  Urheber- und vertragsrechtliche Dimension  Nutzungsrechte für Cloud-Provider  Vertragliche Aspekte  Vertragsbeendigungsansprüche, Datentransfer, Zahlungsverzug, Rechtsstreitigkeiten, anwendbares Recht…. U: Peter Burgstaller, 2016 (2011)

Datenschutzrechtliche Dimension  Datenschutzrichtlinie 1995  E-privacy Richtlinie 2003  Datenschutz im  DSG  GR auf Geheimhaltung pb Daten  Begleitgrundrechte  TKG  Kommunikationsgeheimnis  VDS (im Sommer 2014 abgeschafft) => DSG-Novelle auf Eis, DatenschutzgrundVO der EU auf Eis. U: Peter Burgstaller, 2016 (2011)

Datenschutzgesetz 2000  Pb Daten sind (grundrechtlich gesichert) geheim zu halten, ausg.  Zustimmung des Betroffenen  lebenswichtige Interessen des Betroffenen  überwiegende berechtigte Interessen eines Dritten  gesetzliche Grundlage für den öffentlichen Bereich  Für sensible Daten gelten besondere Vorschriften U: Peter Burgstaller, 2016 (2011)

Akteure/Verwendungen im DSG  Betroffener  Auftraggeber  Dienstleister  Datenverwendung = DV + DÜM  Datenverarbeitung = jede Anwendung, inkl DÜL, ausg. DÜM  DÜL = Weitergabe von Daten durch AG an DL (bedarf keiner Zustimmung des B)  DÜM = Weitergabe an Dritte (zB von AG an AG, bedarf der Zustimmung des B) U: Peter Burgstaller, 2016 (2011)

Meldepflicht Jede Datenverwendung ist beim DVR zu melden, ausgenommen:  Meldeerleichterung  Befreiung für  anonyme Daten  veröffentlichte Daten  Standardanwendung gem der StMVO (zB Videoüberwachung Bankomaten, Trafiken, Juweliere, Tankstellen; Datenweitergabe zw. Arzt und GKK)  Musteranwendung gem der. StMVO (zB Zutrittskontrollsysteme)  Meldeverschärfung - Vorabgenehmigungspflicht  Informationsverbundsystem  Übermittlung ins Ausland  Videoüberwachung (Ausnahmen) U: Peter Burgstaller, 2016 (2011)

Zwei Seiten des DSG Zivilrechtliche Dimension – insb Zustimmung Öffentlich rechtliche Dimension – Meldung/Genehmigung DSB U: Peter Burgstaller, 2016 (2011)

Cloud Computing im Korsett des DSG  Der Anwender der Daten lagert seine Daten an einen Cloud-Provider (also in die Cloud) aus – der Anwender ist AG iSd DSG  Rechtlich ist Outsourcing „Datenüberlassung“ an einen Dienstleister und bedarf grundsätzlich nicht der Zustimmung des Betroffenen – der Cloud-Provider ist DL  Der Cloud-Provider speichert oder verwendet die ausgelagerten Daten (in welcher Form auch immer).  Das Outsourcing von Daten an einen DL ist nach § 10 zulässig, sofern  dessen „Verlässlichkeit“ gegeben ist und  die „Datensicherheit“ stets eingehalten werden. Das sind auch die Probleme! U: Peter Burgstaller, 2016 (2011)

Verlässlichkeit des DL AG ist umfassend verantwortlich für die Daten gegenüber dem B und damit auch für die Verlässlichkeit des DL:  AG hat über Daten umfassend bescheid zu wissen (konkrete Datenverwendung, Ort der Datenspeicherung, jeweiligen DL, Sub-DL, …)  § 11/1 Z 3: Beiziehung weiterer DL (Sub-DL) nur mit Zustimmung des AG (AG hat also stets zuzustimmen und muss wissen, wo die Daten sind) und  DL und alle weiteren Sub-DL müssen  in der EU ihren Sitz haben oder  ihren Sitz in einem sicherem Drittstaat (CH, AG, Guernsey, Jersey und Isle of Man, Neuseeland, Uruguay) haben oder  US-Safe Habour-Companies (aus Kanada oder Israel) sein oder  Die Überlassung muss durch die DSB genehmigt werden (insb US, AU, IN, CN, JP, ….). U: Peter Burgstaller, 2016 (2011)

Datensicherheit in der Cloud  Es fehlen konkrete gesetzliche Vorgaben zur Sicherheit  Es gibt auch keine sonstigen Normen, zB ISO  ISO Cloud Draft  ISO erst seit Herbst 2014 in Kraft – richtiger Ansatz; verweist (wie auch 27017) auf die Grundnormen und  EU-Strategy towards Cloud Computing:  Standardverträge (geprüft von Behörde)  Sicherheitsvorgaben  Nutzung im öffentlichen Bereich als „gutes Vorbild“ => Gute Ideen allerdings ohne Umsetzung! U: Peter Burgstaller, 2016 (2011)

Datenübermittlung in die USA (1) Jedes US-Unternehmen hat auf Basis unterschiedlicher normativer Vorgaben unterschiedlichen Behörden zwingend Datenzugriff unter bestimmten Voraussetzungen zu gewähren, zB  Patriot Act – für die Bundespolizei  FISA (Federal Surveillance Act) – für die Geheimdienste Diese Verpflichtung trifft auch US-Unternehmen für ihre Tochtergesellschaften außerhalb der USA – dh US Muttergesellschaften haben den Datenzugriff auch auf Daten der Tochtergesellschaften sicherzustellen. Die Voraussetzungen zum Datenzugriff entsprechen in vielen Fällen nicht den Anforderungen des EU- datenschutzrechtlichen Rahmens. U: Peter Burgstaller, 2016 (2011)

Datenübermittlung in die USA (2)  EuGH, Oktober 2015: Die Safe Harbour Entscheidung der EU Kommission aus dem Jahr 2000 widerspricht dem Grundrecht auf Datenschutz und dem Rechtsstaatlichkeitsprinzip und ist daher NICHTIG.  Die E aus 2000 sah vor, dass es nationalen DSB untersagt ist, die Einhaltung des Datenschutzrechts bei Safe Harbor zertifizierten Unternehmen zu prüfen => widerspricht den Grundsätzen jeden Rechtsstaats. => De lege ferenda müssten alle pauschalierten und unüberprüfbaren Entscheidungen (zB Safe Harbour mit CD, IS und sicheren Drittstaaten) nichtig sein!!! U: Peter Burgstaller, 2016 (2011)

Fazit: Cloud ist mit Datenschutzrecht nicht vereinbar, weil  fehlende Vorgaben zur Datensicherheit;  jede Überlassung an Sub-Dienstleister der (schriftlichen) Zustimmung des AG bedarf;  jeder DL „zuverlässig“ sein muss;  jeder DL nur die Aufträge des AG erfüllen darf => Erfüllung eigener Zwecke macht den DL zum AG und setzt Zustimmung des Betroffenen voraus (DÜM);  jeder DL dessen Muttergesellschaft in den USA sitzt, Datenzugriff für „Mutter“ sicherzustellen hat – widerspricht unserem Datenschutzrecht (Stichwort: Patriot Act, FISA udgl) – solche DL sind nicht verlässlich bzw sind AG. U: Peter Burgstaller, 2016 (2011)

Fazit: Cloud ist mit Datenschutzrecht nur vereinbar, wenn  DL (Cloud-Anbieter) im EWR sitzt und  keine verbundene Unternehmen in einem Drittstaat haben und  nur im Vorhinein bekannte Sub-DL einsetzt, die ihrerseits im EWR sitzen und keine verbundene Unternehmen in einem Drittstaat haben und  schriflicher DL-Vertrag geschlossen wird. U: Peter Burgstaller, 2016 (2011)

Vielen Dank für Ihre Aufmerksamkeit Peter Burgstaller Department für S ichere I nformationssysteme U: Peter Burgstaller, 2016 (2011)