28.03.2017

Rechtssicherheit in der Cloud? – Ein Problem?   „With the cloud, you don't own anything. You already signed it away. I want to feel that I own things [...] A lot of people feel, 'Oh, everything is really on my computer,' but I say: the more we transfer everything onto the web, onto the cloud, the less we're going to have control over it.“ Steve Wozniak, 05. August 2012

Agenda 1. Cloud Computing – Leistungsfelder und Erscheinungsformen Rechtliche Rahmenbedingungen für deutsche Unternehmen 3. Gestaltungshinweise und Vermeidung von Haftungsrisiken

Leistungsfelder und Erscheinungsformen Cloud Computing - was ist das?   Definition: Cloud Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z.Bsp. Rechenleistung, Speicherplatz), Plattformen und Software. Definition nach: Bundesamt für Sicherheit in der Informationstechnik

Die Leistungsfelder des Cloud Computing in grafischer Darstellung:   Quelle: Wikipedia/Michael Schöndorfer

Leistungsfelder des Cloud Computing   Infrastruktur – Infrastructure as a Service (IaaS) Angebot von IT-Ressourcen (Datenspeicher, Rechenleistung) in hohem Maße standardisierte Services zum Aufbau von eigenen Services der Kunden (Betriebssystem und Anwendungen) Beispiele: Dropbox, Amazon EC2, Amazon S3

Leistungsfelder des Cloud Computing   Plattform – Platform as a Service (PaaS) Angebot der kompletten Infrastruktur zur Nutzung über standardisierte Schnittstellen Betrieb eigener Anwendungen kein Zugriff auf Betriebssystem und Hardware Beispiele: Google Cloud Platform, Windows Azure

Leistungsfelder des Cloud Computing   Anwendung – Software as a Service (SaaS) Angebot von „fertigen“ Anwendungen kein Zugriff auf Anwendung, Betriebssystem und Hardware Beispiele: Google Docs, Office 365, Facebook, Twitter, Gmail, Streetview, iTunes, Siri, Spotify, Napster …

Erscheinungsformen „der“ Cloud: Private Cloud Cloud Infrastruktur wird für eine Institution/Unternehmen betrieben Betrieb durch die Institution/Unternehmen oder durch Dritten Betrieb im eigenen Rechenzentrum oder im Rechenzentrum eines Dritten

Erscheinungsformen „der“ Cloud: Community Cloud mehrere Institutionen/Unternehmen mit gleichen Interessen teilen sich die Cloud Infrastruktur Betrieb durch eine der Institutionen/Unternehmen oder durch Dritten  

Erscheinungsformen „der“ Cloud:  Public Cloud Service wird von einem Anbieter für die Allgemeinheit oder eine große Gruppe zur Verfügung gestellt   Hybrid Cloud mehrere eigenständige Cloud Infrastrukturen werden über standardisierte Schnittstellen miteinander kombiniert Definitionen nach: Bundesamt für Sicherheit in der Informationstechnik

Agenda 1. Cloud Computing – Leistungsfelder und Erscheinungsformen Rechtliche Rahmenbedingungen für deutsche Unternehmen 3. Gestaltungshinweise und Vermeidung von Haftungsrisiken

2. Rechtliche Rahmenbedingungen für deutsche Unternehmen Übersicht:   1. Verhältnis Unternehmen – Cloud Diensteanbieter 2. Gesetzliche Anforderungen – Datenschutz

Verhältnis Unternehmen – Cloud Diensteanbieter Fallbeispiel:   Ein in Deutschland ansässiges Start-Up-Unternehmen aus der Gesundheitsbranche möchte für den deutschen Markt ein Abrechnungsprogramm für Anbieter von Krankengymnastik auf den Markt bringen. Die Abrechnung mit den Krankenkassen soll möglichst kostengünstig über das Produkt Windows Azure erfolgen und zwar als Platform as a Service (PaaS) über eine Private Cloud Lösung oder eine Community Cloud Lösung Anmerkung: Das Produkt Windows Azure dient hier lediglich als Beispiel. Die besprochenen Punkte tauchen vergleichbar bei allen Anbietern von Cloud Dienstleistungen auf.

Zur Erinnerung: Plattform – Platform as a Service (PaaS) Angebot der kompletten Infrastruktur zur Nutzung über standardisierte Schnittstellen Betrieb eigener Anwendungen kein Zugriff auf Betriebssystem und Hardware Beispiele: Google Cloud Platform, Windows Azure   Private Cloud Cloud Infrastruktur wird für eine Institution/Unternehmen betrieben Betrieb durch die Institution/Unternehmen oder durch Dritten Betrieb im eigenen Rechenzentrum oder im Rechenzentrum eines Dritten Community Cloud mehrere Institutionen/Unternehmen mit gleichen Interessen teilen sich die Cloud Infrastruktur Betrieb durch eine der Institutionen/Unternehmen oder durch Dritten

Zunächst stellen sich viele Fragen:   Wer ist überhaupt mein Vertragspartner? Welches Recht ist anwendbar? Was ist Vertragsinhalt? Wie sicher sind die Daten? Wo werden die Daten gespeichert? Darf ich die Daten überhaupt in der Cloud speichern?

Im Einzelnen: Wer ist überhaupt mein Vertragspartner? Welches Recht ist anwendbar?  Warum sind diese Fragen überhaupt wichtig? weitreichende Folgen im Streitfall: Klage muss unter Umständen im Ausland erhoben werden Anwendung eines ausländischen Rechts führt zu unkalkulierbaren Kosten

Prozesskosten Bei einer Forderung in Höhe von 100.000,00 € betragen die Anwalts- und Gerichtskosten (ohne etwaige Sachverständigenkosten): in Deutschland: rd. 20.000,00 € netto Kostenerstattung durch die unterlegene Partei   in den USA, England oder Irland: ?   Gerichtskosten sind vergleichsweise gering Anwaltskosten sind deutlich höher und werden nahezu ausschließlich stundenweise abgerechnet – regelmäßig ohne Kostenerstattung durch die unterlegene Partei USA: zwischen 400,00-600,00 US-$ pro Stunde London /Irland: Rechtsanwalt/Solicitor ab 200,00 £ pro Stunde aufwärts und zusätzlich Prozeßanwalt/Barrister ab 300,00 £ pro Stunde aufwärts

Zurück zum Beispielsfall – verwendet werden soll die Plattform Windows Azure Wer ist Vertragspartner?   Impressum Alle Dienstleistungen, die über das Kundenportal bezogen werden können, werden durch Microsoft Ireland Operations Limited angeboten [...] Die Website Microsoft Online Services-Kundenportal und ihre Inhalte werden von der Microsoft Corporation zur Verfügung gestellt [...] Quelle: http://www.windowsazure.com/de-de/support/legal/ (Stand: 09.05.2013)

Regelungen aus dem Windows Azure-Vertrag:   Anwendung irischen Rechts, Gerichtsstand ist Dublin überaus komplexes Vertragswerk mit diversen Verweisen auf weitere Dokumente umfassende Abwälzung von Verantwortlichkeiten umfassender Gewährleistungsausschluss umfassender Haftungsausschluss

Wie sicher sind die Daten?   Sicherheit gegen Datenverluste Sicherheit gegen unbefugte Zugriffe Dritter auf die Daten Problembereiche:   Wirtschaftsspionage/kriminelle Angriffe (z. Bsp. Erpressung) Zugriffe durch staatliche Stellen Polizei/Strafverfolgungsbehörden Finanzbehörden Geheimdienste

Sicherheit gegen unbefugte Zugriffe Dritter auf die Daten Quelle: http://www.cloudtweaks.com/2012/05/the-lighter-side-of-the-cloud-encryption/

Regelungen zur Datensicherheit am Beispiel des Windows Azure-Vertrages   Wir behalten geeignete technische und organisatorische Maßnahmen, interne Kontrollen und Datensicherheitsverfahren bei, die dazu dienen, Kundendaten vor zufälligem Verlust oder zufälliger Änderung, vor unbefugter Offenlegung oder unbefugtem Zugriff sowie vor unrechtmäßiger Vernichtung zu schützen. Aktuelle Informationen zu unseren Sicherheitspraktiken finden Sie im Trust Center. Quelle: http://www.windowsazure.com/de-de/support/legal/subscription-agreement/?country=de

Fazit: Keine konkreten Angaben   Keine konkreten Angaben Verweis auf Dokumente, die nicht Vertragsbestandteil sind

2. Rechtliche Rahmenbedingungen für deutsche Unternehmen   Übersicht: 1. Verhältnis Unternehmen – Cloud Diensteanbieter 2. Gesetzliche Anforderungen - Datenschutz Darf ich die Daten überhaupt in der Cloud speichern?

Gesetzliche Anforderungen - Datenschutz   wichtigste Gesetze: Bundesdatenschutzgesetz EU Datenschutzrichtlinie (Richtlinie 95/46/EG)

Anforderungen des Bundesdatenschutzgesetzes   § 11 Abs. 1, S. 1 BDSG: Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Grundsatz: Die Einhaltung des Bundesdatenschutzgesetzes lässt sich nicht delegieren!

Auftragsdatenverarbeitung beim Cloud Computing   der Auftragnehmer (= Betreiber der Cloud) darf personenbezogene Daten grundsätzlich nur innerhalb der EU oder des Europäischen Wirtschaftsraums erheben, verarbeiten oder nutzen sollen personenbezogene Daten außerhalb der EU oder des Europäischen Wirtschaftsraums verarbeitet oder genutzt werden, muss ein angemessenes Datenschutzniveau gewährleistet sein (und überprüft werden) oder die vorherige Einwilligung des Betroffenen vorliegen

  Damit wir die Frage „Wo werden die Daten gespeichert?“ relevant.

Wo werden die Daten gespeichert?  Auszug aus dem Anhang Datenverarbeitungsvertrag zum Windows Azure-Vertrag:   Übertragung von Kundendaten, Vertragspartner Vorbehaltlich etwaiger Beschränkungen, die in der Datenschutzerklärung dargelegt sind, sind wir berechtigt, Kundendaten in jedem beliebigen Land, in dem wir oder unsere verbundenen Unternehmen oder Vertragspartner über für die Dienste verwendete Einrichtungen verfügen, zu übertragen, zu speichern und zu verarbeiten. […] http://www.windowsazure.com/de-de/support/legal/subscription-agreement/?country=de

Fazit:   Hiernach wäre im Beispielsfall eine Auftragsdatenverarbeitung unzulässig.

Wo werden die Daten gespeichert? Auszug aus der Datenschutzerklärung zu Windows-Azure:   Speicherort der Daten Sie können die geografische Region der Microsoft-Datencenter auswählen, in denen die Kundendaten gespeichert werden. Microsoft ist berechtigt, aus Gründen der Datenredundanz oder aus anderen Gründen Kundendaten an einen anderen Ort innerhalb einer größeren geografischen Region (z. B. innerhalb der USA oder innerhalb Europas) zu übertragen. Microsoft überträgt keine Kundendaten an Orte außerhalb der von Ihnen angegebenen geografischen Hauptregion (z. B. aus den USA nach Asien oder von Europa in die USA), […] Quelle: http://www.windowsazure.com/de-de/support/legal/privacy-statement/

Fazit:   Auch diese Bestimmung ist datenschutzrechtlich problematisch, auch Serbien, Montenegro oder die Türkei gehören (teilweise) zu Europa, sind aber weder Mitglied der EU, noch des Europäischen Wirtschaftsraumes.

Agenda 1. Cloud Computing – Leistungsfelder und Erscheinungsformen Rechtliche Rahmenbedingungen für deutsche Unternehmen 3. Gestaltungshinweise und Vermeidung von Haftungsrisiken

Gestaltungshinweise und Vermeidung von Haftungsrisiken   umfassende Prozeßanalyse, für welche Prozesse bringt es tatsächlich Vorteile, diese in eine Cloud auszulagern? sorgfältige Auswahl des Cloud Computing Anbieters anwendbares Recht und Gerichtsstand berücksichtigen Verträge lesen (!) Datensicherheit – Risikoanalyse Betriebsgeheimnisse? Was geschieht bei einem temporären Ausfall der Cloud Dienste? Wie werden Daten gegen Verlust gesichert?

  Berücksichtigung der datenschutzrechtlichen Vorschriften die Nichteinhaltung kann empfindliche Bußgelder nach sich ziehen oder sogar strafbewehrt (Freiheitsstrafe bis zu zwei Jahren oder Geldstrafe) sein

Vielen Dank für Ihre Aufmerksamkeit! DR.PUPLICK&PARTNER Partner für den Mittelstand Notar Fachanwälte Arbeitsrecht Bau- und Architektenrecht Erbrecht Familienrecht Gewerblicher Rechtsschutz Handels- und Gesellschaftsrecht Verwaltungsrecht Wirtschaftsmediation Rechtsanwälte Kronenburgallee 1 44141 Dortmund Telefon: +49 (0) 231-9095-0 Telefax: +49 (0) 231-9095-100 E-Mail: info@puplick-partner.de Internet: www.puplick-partner.de

DR.PUPLICK&PARTNER Partner für den Mittelstand Wir beraten mittelständische Unternehmen und Unternehmer Handels-, Wirtschafts- und Gesellschaftsrecht Arbeitsrecht Immobilienrecht Unternehmensnachfolge Sicherung der privaten Vermögenssphäre In einem Team von Rechtsanwälten und Fachanwälten analysieren wir Ihre individuelle Situation und zeigen Ihnen Handlungsmöglichkeiten auf. Wir begleiten Sie und nehmen uns Zeit für Sie.

Haftungsausschluss Copyright-Vermerk Die DR. PUPLICK & PARTNER GbR stellt in dieser Seminarunterlage ausgewählte Infor-mationen zu verschiedenen Rechtsgebieten bereit. Dabei verfolgen wir das Ziel, unseren Mandanten und der interessierten Öffentlichkeit aktuelle und exakte Informationen zur Verfügung zu stellen. Für Kritik und Anregungen sind wir jederzeit dankbar. Sollten wir von Fehlern erfahren, werden wir diese korrigieren. Die DR. PUPLICK & PARTNER GbR übernimmt keine Haftung für die Angaben in dieser Seminarunterlage. Die Angaben sind nur Informationen allgemein-rechtlicher Art, die nicht auf die besonderen Bedürfnisse bestimmter Personen oder Einrichtungen im Einzelfall abgestimmt sind. Die Informationen sind nicht umfassend, vollständig oder verbindlich. Diese Seminarunterlage dient insbesondere nicht der juristischen Beratung im Einzelfall. Sie ist nur für den persönlichen Gebrauch bestimmt.  Copyright-Vermerk Die Vervielfältigung (Kopieren, Nachdruck) für eigene Zwecke ist unter Angabe der Quelle gestattet. Die Überlassung an private Dritte ist unter Angabe der Quelle gestattet. Die Vervielfältigung (Kopieren, Nachdruck) für gewerbliche oder berufliche Zwecke bedarf unserer ausdrücklichen Zustimmung.