Präsentation herunterladen
Die Präsentation wird geladen. Bitte warten
Veröffentlicht von:Nikolas Vogt Geändert vor über 7 Jahren
1
CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller
2
Tangierte Rechtsbereiche Datenschutzrechtliche Dimension Schutz von personenbezogenen/sensiblen Daten Datensicherheit IT-Compliance Dimension Sorgfalt eines ordentlichen Geschäftsmanns Unternehmensgesetzrechtliche Dimension Internes Kontrollsystem für Vermögenswerte => IKT Prüfung durch Wirtschaftsprüfer => Redepflicht Urheber- und vertragsrechtliche Dimension Nutzungsrechte für Cloud-Provider Vertragliche Aspekte Vertragsbeendigungsansprüche, Datentransfer, Zahlungsverzug, Rechtsstreitigkeiten, anwendbares Recht…. U: Peter Burgstaller, 2016 (2011)
3
Datenschutzrechtliche Dimension Datenschutzrichtlinie 1995 E-privacy Richtlinie 2003 Datenschutz im DSG GR auf Geheimhaltung pb Daten Begleitgrundrechte TKG Kommunikationsgeheimnis VDS (im Sommer 2014 abgeschafft) => DSG-Novelle auf Eis, DatenschutzgrundVO der EU auf Eis. U: Peter Burgstaller, 2016 (2011)
4
Datenschutzgesetz 2000 Pb Daten sind (grundrechtlich gesichert) geheim zu halten, ausg. Zustimmung des Betroffenen lebenswichtige Interessen des Betroffenen überwiegende berechtigte Interessen eines Dritten gesetzliche Grundlage für den öffentlichen Bereich Für sensible Daten gelten besondere Vorschriften U: Peter Burgstaller, 2016 (2011)
5
Akteure/Verwendungen im DSG Betroffener Auftraggeber Dienstleister Datenverwendung = DV + DÜM Datenverarbeitung = jede Anwendung, inkl DÜL, ausg. DÜM DÜL = Weitergabe von Daten durch AG an DL (bedarf keiner Zustimmung des B) DÜM = Weitergabe an Dritte (zB von AG an AG, bedarf der Zustimmung des B) U: Peter Burgstaller, 2016 (2011)
6
Meldepflicht Jede Datenverwendung ist beim DVR zu melden, ausgenommen: Meldeerleichterung Befreiung für anonyme Daten veröffentlichte Daten Standardanwendung gem der StMVO (zB Videoüberwachung Bankomaten, Trafiken, Juweliere, Tankstellen; Datenweitergabe zw. Arzt und GKK) Musteranwendung gem der. StMVO (zB Zutrittskontrollsysteme) Meldeverschärfung - Vorabgenehmigungspflicht Informationsverbundsystem Übermittlung ins Ausland Videoüberwachung (Ausnahmen) U: Peter Burgstaller, 2016 (2011)
7
Zwei Seiten des DSG Zivilrechtliche Dimension – insb Zustimmung Öffentlich rechtliche Dimension – Meldung/Genehmigung DSB U: Peter Burgstaller, 2016 (2011)
8
Cloud Computing im Korsett des DSG Der Anwender der Daten lagert seine Daten an einen Cloud-Provider (also in die Cloud) aus – der Anwender ist AG iSd DSG Rechtlich ist Outsourcing „Datenüberlassung“ an einen Dienstleister und bedarf grundsätzlich nicht der Zustimmung des Betroffenen – der Cloud-Provider ist DL Der Cloud-Provider speichert oder verwendet die ausgelagerten Daten (in welcher Form auch immer). Das Outsourcing von Daten an einen DL ist nach § 10 zulässig, sofern dessen „Verlässlichkeit“ gegeben ist und die „Datensicherheit“ stets eingehalten werden. Das sind auch die Probleme! U: Peter Burgstaller, 2016 (2011)
9
Verlässlichkeit des DL AG ist umfassend verantwortlich für die Daten gegenüber dem B und damit auch für die Verlässlichkeit des DL: AG hat über Daten umfassend bescheid zu wissen (konkrete Datenverwendung, Ort der Datenspeicherung, jeweiligen DL, Sub-DL, …) § 11/1 Z 3: Beiziehung weiterer DL (Sub-DL) nur mit Zustimmung des AG (AG hat also stets zuzustimmen und muss wissen, wo die Daten sind) und DL und alle weiteren Sub-DL müssen in der EU ihren Sitz haben oder ihren Sitz in einem sicherem Drittstaat (CH, AG, Guernsey, Jersey und Isle of Man, Neuseeland, Uruguay) haben oder US-Safe Habour-Companies (aus Kanada oder Israel) sein oder Die Überlassung muss durch die DSB genehmigt werden (insb US, AU, IN, CN, JP, ….). U: Peter Burgstaller, 2016 (2011)
10
Datensicherheit in der Cloud Es fehlen konkrete gesetzliche Vorgaben zur Sicherheit Es gibt auch keine sonstigen Normen, zB ISO ISO 27017 Cloud Draft ISO 27018 erst seit Herbst 2014 in Kraft – richtiger Ansatz; verweist (wie auch 27017) auf die Grundnormen 27001 und 27002 EU-Strategy towards Cloud Computing: Standardverträge (geprüft von Behörde) Sicherheitsvorgaben Nutzung im öffentlichen Bereich als „gutes Vorbild“ => Gute Ideen allerdings ohne Umsetzung! U: Peter Burgstaller, 2016 (2011)
11
Datenübermittlung in die USA (1) Jedes US-Unternehmen hat auf Basis unterschiedlicher normativer Vorgaben unterschiedlichen Behörden zwingend Datenzugriff unter bestimmten Voraussetzungen zu gewähren, zB Patriot Act – für die Bundespolizei FISA (Federal Surveillance Act) – für die Geheimdienste Diese Verpflichtung trifft auch US-Unternehmen für ihre Tochtergesellschaften außerhalb der USA – dh US Muttergesellschaften haben den Datenzugriff auch auf Daten der Tochtergesellschaften sicherzustellen. Die Voraussetzungen zum Datenzugriff entsprechen in vielen Fällen nicht den Anforderungen des EU- datenschutzrechtlichen Rahmens. U: Peter Burgstaller, 2016 (2011)
12
Datenübermittlung in die USA (2) EuGH, Oktober 2015: Die Safe Harbour Entscheidung der EU Kommission aus dem Jahr 2000 widerspricht dem Grundrecht auf Datenschutz und dem Rechtsstaatlichkeitsprinzip und ist daher NICHTIG. Die E aus 2000 sah vor, dass es nationalen DSB untersagt ist, die Einhaltung des Datenschutzrechts bei Safe Harbor zertifizierten Unternehmen zu prüfen => widerspricht den Grundsätzen jeden Rechtsstaats. => De lege ferenda müssten alle pauschalierten und unüberprüfbaren Entscheidungen (zB Safe Harbour mit CD, IS und sicheren Drittstaaten) nichtig sein!!! U: Peter Burgstaller, 2016 (2011)
13
Fazit: Cloud ist mit Datenschutzrecht nicht vereinbar, weil fehlende Vorgaben zur Datensicherheit; jede Überlassung an Sub-Dienstleister der (schriftlichen) Zustimmung des AG bedarf; jeder DL „zuverlässig“ sein muss; jeder DL nur die Aufträge des AG erfüllen darf => Erfüllung eigener Zwecke macht den DL zum AG und setzt Zustimmung des Betroffenen voraus (DÜM); jeder DL dessen Muttergesellschaft in den USA sitzt, Datenzugriff für „Mutter“ sicherzustellen hat – widerspricht unserem Datenschutzrecht (Stichwort: Patriot Act, FISA udgl) – solche DL sind nicht verlässlich bzw sind AG. U: Peter Burgstaller, 2016 (2011)
14
Fazit: Cloud ist mit Datenschutzrecht nur vereinbar, wenn DL (Cloud-Anbieter) im EWR sitzt und keine verbundene Unternehmen in einem Drittstaat haben und nur im Vorhinein bekannte Sub-DL einsetzt, die ihrerseits im EWR sitzen und keine verbundene Unternehmen in einem Drittstaat haben und schriflicher DL-Vertrag geschlossen wird. U: Peter Burgstaller, 2016 (2011)
15
Vielen Dank für Ihre Aufmerksamkeit Peter Burgstaller peter.burgstaller@fh-hagenberg.at Department für S ichere I nformationssysteme U: Peter Burgstaller, 2016 (2011)
Ähnliche Präsentationen
© 2024 SlidePlayer.org Inc.
All rights reserved.