Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller.

Veröffentlicht von:Nikolas Vogt Geändert vor über 7 Jahren

Ähnliche Präsentationen

Präsentation zum Thema: "CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller."—  Präsentation transkript:

1 CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller

2 Tangierte Rechtsbereiche  Datenschutzrechtliche Dimension  Schutz von personenbezogenen/sensiblen Daten  Datensicherheit  IT-Compliance Dimension  Sorgfalt eines ordentlichen Geschäftsmanns  Unternehmensgesetzrechtliche Dimension  Internes Kontrollsystem für Vermögenswerte => IKT  Prüfung durch Wirtschaftsprüfer => Redepflicht  Urheber- und vertragsrechtliche Dimension  Nutzungsrechte für Cloud-Provider  Vertragliche Aspekte  Vertragsbeendigungsansprüche, Datentransfer, Zahlungsverzug, Rechtsstreitigkeiten, anwendbares Recht…. U: Peter Burgstaller, 2016 (2011)

3 Datenschutzrechtliche Dimension  Datenschutzrichtlinie 1995  E-privacy Richtlinie 2003  Datenschutz im  DSG  GR auf Geheimhaltung pb Daten  Begleitgrundrechte  TKG  Kommunikationsgeheimnis  VDS (im Sommer 2014 abgeschafft) => DSG-Novelle auf Eis, DatenschutzgrundVO der EU auf Eis. U: Peter Burgstaller, 2016 (2011)

4 Datenschutzgesetz 2000  Pb Daten sind (grundrechtlich gesichert) geheim zu halten, ausg.  Zustimmung des Betroffenen  lebenswichtige Interessen des Betroffenen  überwiegende berechtigte Interessen eines Dritten  gesetzliche Grundlage für den öffentlichen Bereich  Für sensible Daten gelten besondere Vorschriften U: Peter Burgstaller, 2016 (2011)

5 Akteure/Verwendungen im DSG  Betroffener  Auftraggeber  Dienstleister  Datenverwendung = DV + DÜM  Datenverarbeitung = jede Anwendung, inkl DÜL, ausg. DÜM  DÜL = Weitergabe von Daten durch AG an DL (bedarf keiner Zustimmung des B)  DÜM = Weitergabe an Dritte (zB von AG an AG, bedarf der Zustimmung des B) U: Peter Burgstaller, 2016 (2011)

6 Meldepflicht Jede Datenverwendung ist beim DVR zu melden, ausgenommen:  Meldeerleichterung  Befreiung für  anonyme Daten  veröffentlichte Daten  Standardanwendung gem der StMVO (zB Videoüberwachung Bankomaten, Trafiken, Juweliere, Tankstellen; Datenweitergabe zw. Arzt und GKK)  Musteranwendung gem der. StMVO (zB Zutrittskontrollsysteme)  Meldeverschärfung - Vorabgenehmigungspflicht  Informationsverbundsystem  Übermittlung ins Ausland  Videoüberwachung (Ausnahmen) U: Peter Burgstaller, 2016 (2011)

7 Zwei Seiten des DSG Zivilrechtliche Dimension – insb Zustimmung Öffentlich rechtliche Dimension – Meldung/Genehmigung DSB U: Peter Burgstaller, 2016 (2011)

8 Cloud Computing im Korsett des DSG  Der Anwender der Daten lagert seine Daten an einen Cloud-Provider (also in die Cloud) aus – der Anwender ist AG iSd DSG  Rechtlich ist Outsourcing „Datenüberlassung“ an einen Dienstleister und bedarf grundsätzlich nicht der Zustimmung des Betroffenen – der Cloud-Provider ist DL  Der Cloud-Provider speichert oder verwendet die ausgelagerten Daten (in welcher Form auch immer).  Das Outsourcing von Daten an einen DL ist nach § 10 zulässig, sofern  dessen „Verlässlichkeit“ gegeben ist und  die „Datensicherheit“ stets eingehalten werden. Das sind auch die Probleme! U: Peter Burgstaller, 2016 (2011)

9 Verlässlichkeit des DL AG ist umfassend verantwortlich für die Daten gegenüber dem B und damit auch für die Verlässlichkeit des DL:  AG hat über Daten umfassend bescheid zu wissen (konkrete Datenverwendung, Ort der Datenspeicherung, jeweiligen DL, Sub-DL, …)  § 11/1 Z 3: Beiziehung weiterer DL (Sub-DL) nur mit Zustimmung des AG (AG hat also stets zuzustimmen und muss wissen, wo die Daten sind) und  DL und alle weiteren Sub-DL müssen  in der EU ihren Sitz haben oder  ihren Sitz in einem sicherem Drittstaat (CH, AG, Guernsey, Jersey und Isle of Man, Neuseeland, Uruguay) haben oder  US-Safe Habour-Companies (aus Kanada oder Israel) sein oder  Die Überlassung muss durch die DSB genehmigt werden (insb US, AU, IN, CN, JP, ….). U: Peter Burgstaller, 2016 (2011)

10 Datensicherheit in der Cloud  Es fehlen konkrete gesetzliche Vorgaben zur Sicherheit  Es gibt auch keine sonstigen Normen, zB ISO  ISO 27017 Cloud Draft  ISO 27018 erst seit Herbst 2014 in Kraft – richtiger Ansatz; verweist (wie auch 27017) auf die Grundnormen 27001 und 27002  EU-Strategy towards Cloud Computing:  Standardverträge (geprüft von Behörde)  Sicherheitsvorgaben  Nutzung im öffentlichen Bereich als „gutes Vorbild“ => Gute Ideen allerdings ohne Umsetzung! U: Peter Burgstaller, 2016 (2011)

11 Datenübermittlung in die USA (1) Jedes US-Unternehmen hat auf Basis unterschiedlicher normativer Vorgaben unterschiedlichen Behörden zwingend Datenzugriff unter bestimmten Voraussetzungen zu gewähren, zB  Patriot Act – für die Bundespolizei  FISA (Federal Surveillance Act) – für die Geheimdienste Diese Verpflichtung trifft auch US-Unternehmen für ihre Tochtergesellschaften außerhalb der USA – dh US Muttergesellschaften haben den Datenzugriff auch auf Daten der Tochtergesellschaften sicherzustellen. Die Voraussetzungen zum Datenzugriff entsprechen in vielen Fällen nicht den Anforderungen des EU- datenschutzrechtlichen Rahmens. U: Peter Burgstaller, 2016 (2011)

12 Datenübermittlung in die USA (2)  EuGH, Oktober 2015: Die Safe Harbour Entscheidung der EU Kommission aus dem Jahr 2000 widerspricht dem Grundrecht auf Datenschutz und dem Rechtsstaatlichkeitsprinzip und ist daher NICHTIG.  Die E aus 2000 sah vor, dass es nationalen DSB untersagt ist, die Einhaltung des Datenschutzrechts bei Safe Harbor zertifizierten Unternehmen zu prüfen => widerspricht den Grundsätzen jeden Rechtsstaats. => De lege ferenda müssten alle pauschalierten und unüberprüfbaren Entscheidungen (zB Safe Harbour mit CD, IS und sicheren Drittstaaten) nichtig sein!!! U: Peter Burgstaller, 2016 (2011)

13 Fazit: Cloud ist mit Datenschutzrecht nicht vereinbar, weil  fehlende Vorgaben zur Datensicherheit;  jede Überlassung an Sub-Dienstleister der (schriftlichen) Zustimmung des AG bedarf;  jeder DL „zuverlässig“ sein muss;  jeder DL nur die Aufträge des AG erfüllen darf => Erfüllung eigener Zwecke macht den DL zum AG und setzt Zustimmung des Betroffenen voraus (DÜM);  jeder DL dessen Muttergesellschaft in den USA sitzt, Datenzugriff für „Mutter“ sicherzustellen hat – widerspricht unserem Datenschutzrecht (Stichwort: Patriot Act, FISA udgl) – solche DL sind nicht verlässlich bzw sind AG. U: Peter Burgstaller, 2016 (2011)

14 Fazit: Cloud ist mit Datenschutzrecht nur vereinbar, wenn  DL (Cloud-Anbieter) im EWR sitzt und  keine verbundene Unternehmen in einem Drittstaat haben und  nur im Vorhinein bekannte Sub-DL einsetzt, die ihrerseits im EWR sitzen und keine verbundene Unternehmen in einem Drittstaat haben und  schriflicher DL-Vertrag geschlossen wird. U: Peter Burgstaller, 2016 (2011)

15 Vielen Dank für Ihre Aufmerksamkeit Peter Burgstaller peter.burgstaller@fh-hagenberg.at Department für S ichere I nformationssysteme U: Peter Burgstaller, 2016 (2011)

Herunterladen ppt "CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller."

Ähnliche Präsentationen

Datenschutz im IT-Grundschutz

Datenschutz im IT-Grundschutz
Internationaler Datentransfer

Internationaler Datentransfer
Daten- und Persönlichkeitsschutz u. a

Daten- und Persönlichkeitsschutz u. a
Rechtssicherheit und aktuelle Fachkunde für Datenschutzbeauftragte! Ich bin dabei !

Rechtssicherheit und aktuelle Fachkunde für Datenschutzbeauftragte! Ich bin dabei !
Europäische Dimension der Daseinsvorsorge

Europäische Dimension der Daseinsvorsorge
Datenschutz als Grundrecht

Datenschutz als Grundrecht
1 Herzlich willkommen Medienkonferenz Tätigkeitsbericht 2010 26. April 2011.

1 Herzlich willkommen Medienkonferenz Tätigkeitsbericht April 2011.
Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU

Transborder Data-Flow: Vergleich von Praktiken in den USA und der EU
4.2.20051 Spam Dr. Barbara Haindl - Rechtsabteilung (Wie) Kann rechtlich dagegen vorgegangen werden?

Spam Dr. Barbara Haindl - Rechtsabteilung (Wie) Kann rechtlich dagegen vorgegangen werden?
HERAUSFORDERUNGEN VERTRAULICHER KOMMUNIKATION CEBIT 17.3.2015 MATTHIAS LACHENMANN, RECHTSANWALT.

HERAUSFORDERUNGEN VERTRAULICHER KOMMUNIKATION CEBIT MATTHIAS LACHENMANN, RECHTSANWALT.
Klinger, Holemar, Keimel, Gamper

Klinger, Holemar, Keimel, Gamper
Warum Schulung jetzt? - Neuer DSB

Warum Schulung jetzt? - Neuer DSB
Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.

Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR Europäisches Institut für das Ehrenamt Dr. Weller § Uffeln GbR 1 Urheberrecht Persönlichkeitsrecht.
Erfa 80. Erfa-Kreis-Sitzung Stuttgart 14.6.2006 Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.

Erfa 80. Erfa-Kreis-Sitzung Stuttgart Stuttgart Auftragsdatenverarbeitung Möglichkeiten und Grenzen.
Vorratsdatenspeicherung Vortrag am 29.10.2008 vor dem HIT-Forum in Duisburg.

Vorratsdatenspeicherung Vortrag am vor dem HIT-Forum in Duisburg.
Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For

Prof. Dr. Dirk Heckmann Leiter der Forschungsstelle For
C Kartellverfahrensrecht

C Kartellverfahrensrecht
Checkliste zur Gestaltung barrierefreier Webanwendungen und Webauftritte Wolfgang Wiese 11. Mai 2007.

Checkliste zur Gestaltung barrierefreier Webanwendungen und Webauftritte Wolfgang Wiese 11. Mai 2007.
Gasbeleuchtung in Düsseldorf

Gasbeleuchtung in Düsseldorf
Datenschutzbeauftragte/r

Datenschutzbeauftragte/r

Ähnliche Präsentationen

Google-Anzeigen