Keine Grenzen für die Datenfreiheit? Rechtliche Aspekte für Informationsmanagement in der Cloud Infoguard Security Lounge 15. Juni 2010.

Slides:



Advertisements
Ähnliche Präsentationen
Vorlesung: 1 Betriebssysteme / Netze I 2011 Prof. Dr. G. Hellberg Studiengang Informatik FHDW Vorlesung: Betriebssysteme I Zusatz: Lizensierung 4. Quartal.
Advertisements

Rechtliche Aspekte der Veröffentlichungen in Manuscripta Mediaevalia
Prüfungsthemen.
Seite 19. Januar 2014 KoLaWiss AP 4: Rechtsexpertise.
Ulrich Kähler, DFN-Verein
exos® 9300 Besucherverwaltung
Eine Präsentation von: Julian Saal Dardan Mustafa
Lizenzmodelle Miete der Software ASP Nutzungslizenz.
Die Bank von morgen - eine neue Welt für IT und Kunden? 23. Oktober 2001.
Marc Weiß externer Datenschutzbeauftragter Datenschutzauditor (TÜV)
Software Engineering SS 2009
Computernutzung an der Schule…
Auch der Tod nimmt Einzug in unsere digitale Welt
Bonitäts- und Forderungs- management
Norman SecureBox Synchronisieren * Speichern * Teilen* Zusammenarbeiten Sicherer Cloud-Speicher für Unternehmen.
Fragen des Urheberrechts bei Fernsehmitschnitten und Online-Filmen
Daten- und Persönlichkeitsschutz u. a
Bewertung von Cloud-Anbietern aus Sicht eines Start-ups
Nestor Workshop im Rahmen der GES 2007 Digitale Langzeitarchivierung und Grid: Gemeinsam sind wir stärker? Anforderungen von eScience und Grid-Technologie.
Formular- und Dokumentenarchivierung
Grundsätze des Verwaltungsrechts im Zusammenhang mit der Verfügung
Die ICCO Stockholm Charta Von den Mitgliedern im Oktober 2003 verabschiedet Public Relations-Unternehmen sind professionelle Dienstleistungsfirmen, die.
EuroCloud.Austria Verein zur Förderung von Cloud Computing Lizenzen im Cloudvertrag »Bernd Guggenberger »CHG Rechtsanwälte »Innsbruck Mag. Árpád Geréd.
..-Nutzen..-Gefahren..-Zahlungsmöglichkeiten..-Rückgaberecht..
Die Button-Lösung Neue Abmahnwelle für Online-Shops? Vortrag am 24. Mai 2012.
Sie haben Schmerzen.
ZÜCHTERTAGUNG RECHTSFRAGEN IM ZUSAMMENHANG MIT DER ZÜCHTUNG UND DEM KAUF/VERKAUF VON HUNDEN Von RA Daniel Haeberli und lic. iur. Janine Hofmann Sonntag,
FORBIT-Tagung am Workshop Internetüberwachung – Kommunikation im Fadenkreuz Exkurs: ips - internet privacy standards -
Gliederung Einleitung eID-Infrastruktur und Komponenten
Der Online-Kauf und seine Abwicklung Saarbrücken, 28. Oktober 2008
Cloud-Computing Tomic Josip.
ExpertAdmin ® ist eine eingetragene Marke der Inforis AG, Zürich. Das ExpertAdmin Bewertungssystem und die ExpertAdmin Software sind urheberrechtlich geschützt.
IT & Law Consulting GmbH Compliance im Umgang mit mag. iur. Maria Winkler.
Archivierungsdienstleistung
Die EDV und damit verbundene Gefahren
Datenschutz als Grundrecht
UNS-Beratertreffen Rechtliche Aspekte und Haftungen aus Berateraufträgen 8. April 2005 Mag. Ferdinand Wallner.
Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU
Reporting in licensing online
Übungen im Handels- und Wirtschaftsrecht Frühlingssemester 2014
Hilfe oder Hemmnis beim Kinderschutz
Datenschutz und Datensicherheit
Datenschutz im Cyberspace Rechtliche Pflichten für Treuhänder Mathias Kummer Weblaw GmbH Laupenstrasse Bern Mathias.
Entscheiderforum der Vereon AG 01. Juni 2010
Ist das DANRW vertrauenswürdig? Manfred Thaller Universität zu Köln Köln, Die Herausforderung der Elektronischen Archivierung 16. Januar 2013.
Rechtliche Aspekte des Dokumentenmanagements
Rechtliche Aspekte der elektronischen Archivierung
Aufgaben des Beratungslehrers
Mag. Joachim Hacker Finanzmarktaufsicht Wien, 20. April 2009 Eigenkapital und Organisationsvorschriften nach WAG 2007.
Niederrheinischer Pflegekongress 25./
1 Polymorphe Konsistenzbedingungen (1) Polymorphe Konsistenzbedingungen legen fest, welche Arten von Zustandsbeschränkungen nach einer Konkretisierung.
Herausforderung Datenschutz: s und Kundendaten fest im Griff
Geschäftsplanpräsentation
Rechtliche Aspekte des Dokumentenmanagements
Registrar-Tag Dr. Barbara Schloßbauer Mag. Bernhard Erler Rolle des Registrars Ein Erfahrungsbericht aus der Rechtsabteilung Datum:
Gold – Spekulativer kurzfristiger Kauf Allerdings mit klaren Bedingungen.
Dr. Bernd Schütze, Gesellschaft für klinische Dienstleistungen
Rechtliche Rahmenfaktoren der Netzwerksicherheit
Dr. Thomas Höhne. Geheim oder nicht geheim? Urheberprobleme in Vergabeverfahren.
Digitale Transformation: Zentrale Rechtsfragen von Datenschutz und IT-Sicherheit beachten! CeBIT Mittelstandslounge 5 - Stand D04 Dr. Thomas.
TANOS | VITALI | ZUPANCIC rechtsanwälte dr katrin tanos
INTERN TB1200 SAP Business One – Implementierung und Support Release 9.0.
Schlachtung
Datenschutz-Managementsysteme im Aufwind?
Warum Schulung jetzt? - Neuer DSB
Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.
Alles mit rechten Dingen − juristische Fragen rund ums eLearning Impulsreferat lernPause 11. Oktober 2011 Andreas Brennecke (IMT)
Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
 Präsentation transkript:

Keine Grenzen für die Datenfreiheit? Rechtliche Aspekte für Informationsmanagement in der Cloud Infoguard Security Lounge 15. Juni 2010

Agenda  Cloud Computing - eine Qualifikation aus rechtlicher Sicht  Wichtige Vertragspunkte  Outsourcing der Datenbearbeitung  Datenschutz und Cloud Computing – ein Widerspruch? 2

Eine Qualifikation aus rechtlicher Sicht  Es handelt sich (aus rechtlicher Sicht) um einen Outsourcingvertrag, welcher die folgenden besonderen Merkmale aufweist: –Die Leistungen des Outsourcinggebers werden meist in Form von „Software as a Service (SaaS)“, „Infrastructure as a Service (IaaS)“, Platform as a Service (PaaS), etc. erbracht. –Die Daten werden an verschiedenen geographischen Orten bearbeitet. –Daten werden in der Regel (auch) im Ausland bearbeitet. –Die Menge der geforderten Leistung kann variieren (Scalierbarkeit). –Es besteht eine grosse Abhängigkeit vom Netz. 3

Vertragsgegenstand – alles klar?  Die genaue Definition der durch den Vertragspartner geschuldeten Leistung ist eine wesentliche Massnahme zur Reduktion der eigenen Risiken.  Aus der Vereinbarung muss klar hervorgehen, welche Leistungen in welcher Menge und Qualität bezogen werden!  Zudem muss klar geregelt werden, wer wofür verantwortlich ist (Mitwirkungspflichten des Unternehmens, Systemgrenzen). 4

Allgemeine Geschäftsbedingungen  Es sind insbesondere die folgenden, in der Praxis häufig auftretenden Punkte zu beachten: –Die verwendeten AGB verweisen häufig wiederum auf AGB, die im Internet abrufbar sind und jederzeit geändert werden können. –Die Services sind allgemein beschrieben und stimmen nicht zu 100% mit dem überein, was das Unternehmen tatsächlich bezieht. –Es werden in den AGB sämtliche angebotenen Services beschrieben und nicht nur die, welche das Unternehmen bezieht.  Es sollte schriftlich festgelegt werden, welche AGB in welcher Version Vertragsbestandteile bilden! 5

Nutzungsrechte, Dienstleistungen, etc.  Im Rahmen von SaaS, IaaS, etc. werden Nutzungsrechte an Software, Dienstleistungen wie Wartung und Support aber auch die Nutzung von Infrastruktur vereinbart.  Es sollte klar geregelt werden, welche Nutzungsrechte an welcher Software das Unternehmen genau erwirbt.  Die Qualität der Dienstleistungen sollte in Service Level Agreements nachvollziehbar und überprüfbar vereinbart werden.  Es sollten Konventionalstrafen vereinbart werden, wenn die Dienstleistungen nicht die vereinbarte Qualität aufweisen (Malus-Regelung). 6

Compliance – ist es erlaubt?  Vor Vertragsabschluss ist zu überprüfen, ob die angebotenen Services in den Bereichen, in denen man sie nutzen möchte, alle gesetzlichen Vorgaben erfüllen.  Dabei sollten beispielsweise die folgenden Fragen gestellt werden: –Bestehen Geheimhaltungspflichten, welche ein Outsourcing der Daten (ins Ausland) verbieten? –Erlauben die steuerrechtlichen Vorgaben (z.B. bei der Auslagerung aller Geschäftsdokumente in die Cloud) das Vorgehen? –Bei Archivierung in der Cloud – werden die Dokumente lange genug und integritätssicher archiviert? 7

Geheimhaltungsvorschriften  Die Verletzung von Geschäfts- und Fabrikationsgeheimnissen ist strafbar (Art. 162 StGB). –Bestraft wird, wer ein Geschäfts- oder Fabrikationsgeheimnis, das er aufgrund einer gesetzlichen oder vertraglichen Pflicht bewahren soll, verrät oder für sich oder andere ausnutzt.  Verträge mit Lieferanten oder Kunden verbieten häufig die Weitergabe von Geschäfts- oder Fabrikationsgeheimnissen an Dritte – dies muss durch ausreichende Sicherheitsmassnahmen gewährleistet werden. 8

Wirtschaftlicher Nachrichtendienst (Art. 273 Abs. 2 StGB) Bestraft wird,  wer ein Fabrikations- oder Geschäftsgeheimnis einer fremden amtlichen Stelle oder einer ausländischen Organisation oder privaten Unternehmung oder ihren Agenten zugänglich macht.  Die Strafe beträgt Freiheitsstrafe bis zu drei Jahren oder Geldstrafe.  Zugänglich machen bedeutet, dass dem ausländischen Unternehmen oder der ausländischen Behörde die Möglichkeit gegeben wird, in das Geheimnis Einblick zu nehmen. 9

Voraussetzungen für die Strafbarkeit  Verboten ist somit jedes Verhalten, welches es einem ausländischen Adressaten ermöglicht, in schweizerische Geschäftsgeheimnisse Einblick zu nehmen.  Dass es tatsächlich zu einer Schädigung kommt, ist für die Erfüllung des Tatbestandes irrelevant (abstraktes Gefährdungsdelikt).  Jedes in der Schweiz ansässige in- und ausländische Unternehmen zählt als „schweizerisches Unternehmen“ – jede Preisgabe eines Geschäfts- oder Fabrikationsgeheimnisses wird als Gefährdung der Schweizerischen Volkswirtschaft gesehen. 10

Zu beachten  Um bei einem Outsourcing der Datenbearbeitung ins Ausland nicht mit Art. 273 StGB in Konflikt zu kommen, sind die folgenden Punkte zu beachten. –Für gewisse Branchen wie z.B. für Banken besteht ein erhöhtes Risiko (Bankgeheimnis.) –Die Zustimmung des Geheimnisträgers schützt in der Regel vor Strafbarkeit – Zustimmung wenn möglich in AGB einholen! –Es ist grosser Wert auf die Ausarbeitung der Outsourcingverträge zu legen – Zugriffsberechtigungen, Kontrollrechte und deren Durchführung sind essentielle Faktoren! 11

Archivierung im Ausland (Steuerrecht)  Die Archivierung von elektronischen Rechnungsbelegen im Ausland ist zulässig, wenn der Zugriff, die Lesbarmachung und die Auswertung jederzeit möglich sind (Art. 10 Abs. 4 ElDI-V).  Diese Bestimmung kann analog auf Rechnungsbelege angewandt werden, welche eingescannt und nach den Vorschriften der GeBüV elektronisch archiviert werden.  Papierbelege müssen nach der Wegleitung zur Mehrwertsteuer 2008 im Inland archiviert werden.

Rechtskonforme Archivierung  Geschäftsdokumente müssen nach den handelsrechtlichen Vorschriften 10 Jahre archiviert werden (Art. 957 ff OR). Die Archivierungsfrist beginnt erst mit dem Ende des Geschäftsjahres!  Die elektronische Archivierung ist zulässig, sofern die Vorgaben der Geschäftsbücherverordnung (GeBüV) eingehalten werden.  Es muss sichergestellt werden, dass die Dokumente nicht nachträglich unbemerkt verändert werden können (Integrität).  Die Dokumente müssen innerhalb einer angemessenen Frist verfügbar sein (Verfügbarkeit).  Sie müssen mit Metadaten versehen werden, damit sie während der gesamten Frist verstanden werden können (Dokumentation).  Etc.

Vertragsauflösung und Folgen  Um eine möglichst grosse Unabhängigkeit vom Anbieter zu bewahren, sollte vertraglich sichergestellt werden, dass ein Wechsel zu einem anderen Anbieter jederzeit möglich ist.  Die Kündigungsfristen müssen den eigenen unternehmerischen Bedürfnissen entsprechen.  Der Anbieter muss verpflichtet werden, bei Vertragsauflösung die erforderliche Unterstützung für die Migration der Daten und Dokumente auf die Systeme des neuen Vertragspartners zu leisten – die Kosten dieser Unterstützung sollten vertraglich vereinbart werden. 14

Haftung  Hände weg von Anbietern, die die Haftung für eigenes Verschulden ausschliessen oder massiv einschränken!  Der Anbieter haftet immer unbegrenzt für Absicht und grobe Fahrlässigkeit sowie für Personenschäden.  Es sollten Anbieter bevorzugt werden, welche die Haftung für leicht fahrlässig zugefügte Schäden nicht ausschliessen – üblich ist hier eine summenmässige Begrenzung in der Höhe der Projektkosten, der Jahresgebühren, etc.  Die Haftungsbegrenzung sollte mit dem potenziellen Risiko des Unternehmens übereinstimmen! 15

Outsourcing  Im Rahmen von Cloud Computing wird ein Teil der eigenen Geschäftstätigkeit auf ein externes Unternehmen ausgelagert.  Zahlreiche gesetzliche Vorschriften halten fest, dass das Outsourcing zwar erlaubt ist, der Auftraggeber aber für das Funktionieren und die Gesetzeskonformität der ausgelagerten Tätigkeit verantwortlich bleibt (z.B. Art. 10a DSG). 16

Informationspflichten und Kontrollrechte  Der Vertragspartner sollte vertraglich verpflichtet werden, das Unternehmen von sich aus über Umstände zu informieren, welche die Vertragserfüllung beeinflussen könnten, beispielsweise –Sicherheits- und Datenschutzvorfälle –Wechsel in der Unternehmensleitung –Überschuldung  Kontrollrechte können auch durch die Pflicht zur Ablieferung von Kopien von Auditberichten (z.B. im Rahmen von ISO Zertifizierungen, Datenschutzaudits, etc.) ausgeübt werden. 17

Cloud Computing und Datenschutz- ein Widerspruch?  Durch die Speicherung der Daten in der „Cloud“ ist die Kontrolle der Datenbearbeitung schwieriger als bei einem „normalen“ Outsourcingvertrag und die Risiken für die betroffenen Personen sind grösser!  Der Anbieter muss ausdrücklich verpflichtet werden, die Daten nur für den vereinbarten Zweck zu bearbeiten, die Verwendung für eigene Zwecke und / oder die Weitergabe an Dritte sollte ausdrücklich untersagt werden!  Es sollte zudem vertraglich geregelt werden, in welchen Ländern die Datenbearbeitung erfolgt. 18

Grenzüberschreitende Bekanntgabe (Art. 6 DSG)  Die Bekanntgabe ins Ausland ist verboten, wenn dadurch die Persönlichkeit der betroffenen Person schwerwiegend gefährdet wird – dies ist dann der Fall, wenn eine Gesetzgebung mit angemessenem Schutz fehlt.  EDÖB führt eine Liste der Staaten, in welchen ein angemessener Schutz besteht.  Fehlt eine Gesetzgebung mit angemessenem Schutz, dann ist die Bekanntgabe ins Ausland nur erlaubt, wenn zusätzliche Garantien, insbesondere durch Vertrag oder die Einwilligung der betroffenen Person im Einzelfall vorliegen. 19

U.S.-Swiss Safe Harbor Agreement  Betreibt der Anbieter auch Rechenzentren in den USA, dann werden Daten in einen Staat übermittelt, in welchem kein angemessenes Schutzniveau herrscht.  Es muss daher entweder eine der Garantien gemäss Art. 6 Abs. 2 DSG vorliegen (z.B. Vertrag oder Einwilligung) oder es muss sichergestellt werden, dass der Empfänger der Daten sich zur Einhaltung der im U.S.-Swiss Safe Harbor Framework verpflichtet und zertifiziert hat. 20

Sicherheit  Bereits vor Vertragsabschluss sollte ein Sicherheitskonzept nachgewiesen werden und die Einhaltung sollte kontrollierbar sein!  Sicherheitsvorfälle müssen rapportiert werden.  Die Verletzung der Vereinbarung von Sicherheitsvorschriften sollte an Konventionalstrafen gebunden werden! 21

Zusammenfassung  Cloud Computing stellt aus rechtlicher Sicht nicht vollkommen neue Anforderungen.  Die Kombination verschiedener Elemente erzeugt besondere Risiken, welche durch gut durchdachte und sorgfältig verhandelte Verträge soweit als möglich reduziert werden sollten.  Die sorgfältige Auswahl des Anbieters und die Vereinbarung von Kontrollrechten und Informationspflichten sowie die Regelung der Folgen der Vertragsauflösung sind dabei zentrale Elemente der Risikoreduktion! 22

Vielen Dank für die Aufmerksamkeit! mag. iur. Maria Winkler IT & Law Consulting GmbH Grafenaustrasse Zug

Feedback: Datenschutzbestimmungen Feedback
Über Projekt: SlidePlayer Nutzungsbedingungen

© 2024 SlidePlayer.org Inc. All rights reserved.