Auswirkungen der DSGVO auf Oracle Cloud Angebote

Präsentation zum Thema: "Auswirkungen der DSGVO auf Oracle Cloud Angebote"—  Präsentation transkript:

1 Auswirkungen der DSGVO auf Oracle Cloud Angebote
DOAG Webinar Dr. Jana Jentzsch

2 AGENDA A. Kurzes Update DSGVO
B. Data Processing Agreement for Oracle Cloud Services (V ) C. Konsequenzen für die Anwender D. Fragen AGENDA

3 A. Update DSGVO 3 3

4 Ausgangssituation Immer mehr Datenverarbeitungen / Big Data
Zunehmende Komplexität von Systemen und Infrastrukturen Erhöhte Anzahl involvierter Produkte und Dienstleister Kaum zu überblickende Themenvielfalt Schwer verständliche gesetzliche Anforderungen

5 DSGVO - Rahmen In Kraft getreten am 25.05.2018
Direkt geltende EU-Verordnung Gilt für alle Unternehmen im EWR und/oder mit Angeboten an Waren und DL an Bürger im EWR Regelt Umgang mit personenbezogenen Daten

6 Exkurs: Was sind personenbezogene Daten?
Die DSGVO und das BDSG gelten nicht für alle sondern nur „personenbezogene Daten”. = alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Zum Beispiel: Name, Adresse, Beruf, Adresse, Fotos, Bewegungsprofil, Online- Kaufhistorie, aber auch z.B.: IP-Adresse, verschlüsselte/pseudonymisierte Daten (verschlüsselt/pseudonymisiert bedeutet nicht anonym) Herausforderung: Identifizierung aller personenbezogenen Daten in den Systemen Meine Online-Käufe Meine IP-Adresse Meine Fotos

7 Haftungsrisiken Bei Verstößen drohen den Unternehmen drakonische Bußgelder von bis zu 20 Mio. € bzw. in Höhe von bis zu 4 % des globalen (Vorjahres-) Umsatzes eines Unternehmens - je nachdem welcher Betrag höher ist. Daneben nach § 41 BDSG n.F. auch Sanktionen aus dem Gesetz über Ordnungswidrigkeiten (OWiG) möglich. Zusätzlich sieht § 42 BDSG n.F. für bestimmte Verstöße eine Freiheitsstrafe von bis zu drei Jahren vor.

8 B. Data Processing Agreement for oracle cloud services v. 27.07.2018

9 Data Processing Agreement (DPA) = Vereinbarung zur Auftragsverarbeitung
Anwender = Verantwortlicher Bestimmt Umfang und Zwecke der Datenverarbeitung Darf und muss Oracle kontrollieren (Audit-Recht) Muss Dokumentation erstellen Ist für Betroffenenrechte verantwortlich Muss der Behörde melden Oracle = Auftragsverarbeiter Datenverarbeitung für Zwecke des Kunden, keine eigenen Rechte an den Daten Muss dem Kunden Kontrollrechte geben Muss eigene Dokumentation erstellen Soll bei der Bearbeitung von Betroffenenanfragen unterstützen Muss dem Kunden Datenvorfälle melden

10 Data Processing Agreement for Oracle Cloud Services - Zwecke der Verarbeitung
Das DPA muss u.a. Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festlegen. (P) Ziffer 4 DPA regelt dies noch zu abstrakt & noch nicht ausreichend. Wichtig: Anwender müssen hier im Cloud Services Vertrag nachdefinieren.

11 Data Processing Agreement for Oracle Cloud Services - Datenvorfälle
Oracle hat etablierte Prozesse zum Management von Datenvorfällen und unterstützt Kunden, die eigenen Meldepflichten zu erfüllen (Art f and 33 – 34) Ziffer 11 DPA zählt Kontrollmechanismen auf, informiert über Meldepflichten Wichtig: Meldewege klären, Meldebestätigungen integrieren.

12 Datenvorfälle: Meldepflichten
Datenpannen“ sind nach Art. 33 DSGVO innerhalb von 72 Stunden der Aufsichtsbehörde zu melden Ausnahme: Kein Risiko für Rechte und Freiheiten von natürlichen Personen Bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen sind auch die Betroffenen zu informieren, Art. 34 DSGVO Datenschutzfolgenabschätzung: Vorherige Konsultation mit der Aufsichtsbehörde, wenn aus einer DSF hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte und der Verantwortliche das Risiko nicht eindämmen kann, Art 35 DSGVO.

13 Exkurs: Betroffenenrechte (z. B
Exkurs: Betroffenenrechte (z.B. von Mitarbeitern, Privatkunden, Nutzern) Information Transparenz Monatsfrist Der Verantwortliche (d.h. nicht Oracle, sondern der Kunde) muss die Betroffenen von sich aus über deren bestehenden Rechte informieren (Art. 13 Abs. 2, 14 Abs. 2 DSGVO) Den Betroffenen müssen alle Informationen und Mitteilungen in präziser, transparenter, verständlicher Form und klaren einfachen Sprache übermittelt werden; schriftlich oder elektronisch und grds unentgeltlich (Art. 12 Abs. 1,5 DSGVO) Die Bearbeitung von Anträgen der Betroffenen und Information an diese müssen möglichst schnell, spätestens jedoch innerhalb eines Monats erfolgen. (Art. 12 Abs. 3 DSGVO)

14 Exkurs: Welche Betroffenenrechte gibt es?
Berichtigung (Art. 16 DSGVO) Löschung (Art. 17 DSGVO) Einschränkung der Verarbeitung (Art. 18 DSGVO) Auskunft(Art. 15 DSGVO) Recht auf Datenübertragbarkeit (Art. 20 DSGVO) Information (Art. 13, 14 DSGVO) Widerspruchsrecht (Art. 21 DSGVO) Der Anwender ist als Verantwortlicher für die Beantwortung der Anfragen von Betroffenen zuständig. Ziffer 6 DPA regelt, dass Anwender einen Service Request via My Oracle Support an Oracle richten können und Oracle anweisen können, bei der Beschaffung von Informationen zu unterstützen.

15 Organisationspflichten / Security
DSGVO fordert geeignete technische und organisatorische Maßnahmen (TOM), um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung gemäß DSGVO erfolgt, Art. 24, Art. 32 DSGVO  Risikobasierter Ansatz Anwender ist für Einhaltung angemessener Sicherheitsstandards verantwortlich, auch bei Cloud Services mit Oracle IdR IT- Sicherheits- und Organisationsrichtlinie Anerkannte Zertifizierungen können den Nachweis der Einhaltung der Pflichten unterstützen.

16 Data Processing Agreement for Oracle Cloud Services - Security / TOM
Ziffer 9 DPA regelt die Einhaltung der Sicherheitsstandards durch Oracle Siehe Oracle Cloud Services Hosting and Delivery Policies (regeln physical access, system access, data access, transmission & encryption, input, data backup, data segregation, security oversight, enforcement) TOM müssen im Einzelfall zum Risiko der Datenverarbeitung angemessen sein.

17 Data Processing Agreement for Oracle Cloud Services - Audit-Rechte
Oracle muss als Auftragsverarbeiter dem Anwender ein Audit-Recht einräumen und bei dem Nachweis der DSGVO Compliance unterstützen einschließlich Nachweis der Dokumentationspflichen (Art g, 30.2 and 31 DSGVO) Ziffer 10 DPA regelt Audit-Rechte des Anwenders Ziffer 8.4 DPA: Anwender kann verlangen, dass Oracle die Subunternehmer auditiert.

18 Exkurs: Dokumentationspflichten
Führen eines Verzeichnisses der Verarbeitungstätigkeiten Jede „Verarbeitungstätigkeit“ im Einzelnen Muss transparent sein und gesetzl. Anforderungen genügen Für Auftraggeber und Auftragsverarbeiter jeweils getrennt Einwilligungen Datenschutzfolgenabschätzungen Ordnungsgemäßheit der Verarbeitung im Ganzen

19 Transfer in Drittländer
Anwender müssen im Einzelfall prüfen, in welche Drittländer außerhalb des EWR Oracle Daten speichert oder transferiert und ob hierfür eine ausreichende Rechtsgrundlage gegeben ist. Ausreichende Rechtsgrundlagen können z.B. die EU Standardvertragsklauseln sein, oder ein Angemessenheitsbeschluss der EU-Kommission oder eine Einwilligung der Betroffenen. Wichtig: Hier immer detaillierte Prüfung im Einzelfall erforderlich! Immer Liste der Oracle Subunternehmer anfordern = über My Oracle Support / NetSuite oÄ, Document ID Immer anmelden für die Updates dieser Liste, Document ID Anwender hat Widerspruchsrecht bzgl. Subunternehmer.

20 Data Processing Agreement for Oracle Cloud Services - Datenlöschung/-rückgabe
Oracle muss zum Ende der Vertragslaufzeit die Daten löschen oder zurückgeben (Art g DSGVO). Ziffern 12.1 und 12.2 DPA. Anwender sollte spätestens vor Vertragsende selbst Back-Up erstellen. Oracle Cloud Services Hosting and Delivery Policies regeln Vorgang der Löschung/Rückgabe im Detail.

21 C. Konsequenzen für die Anwender
21 21

22 Worauf sollten wir achten?
Jedes Oracle Cloud Service Agreement und jedes DPA müssen im Einzelnen auf Rechtskonformität geprüft werden. Maßgabe ist der Risikograd der verarbeiteten personenbezogenen Daten und die Nutzung(szwecke) dieser Daten. Hinsichtlich einzelner Punkte (Definition der Zwecke der Datenverarbeitung, Weisungen an Oracle, Subunternehmer, Audits, Transfers in Drittländer, Security) sind Nachverhandlungen zu empfehlen.

23 Sonderthema: United States Cloud Act
CLOUD Act (Clarifying Lawful Overseas Use of Data Act) ist ein US-amerikanisches Gesetz vom Verpflichtet amerikanische Internet-Firmen und IT- Dienstleister, US-Behörden auch dann Zugriff auf gespeicherte Daten zu gewährleisten, wenn die Speicherung nicht in den USA erfolgt. Keine gerichtliche Kontrolle bei behördlicher Datenabfrage. Internet-Firmen und IT-Dienstleistern (z.B. Oracle, Microsoft, Amazon, Google) kann nach dem Gesetz verboten werden, ihre Benutzer über eine solche heimliche Abfrage von Benutzerdaten zu informieren. Gefahr: Abfragen von Geheimdiensten ggf. auch zu Zwecken der Industriespionage. Sonderthema: United States Cloud Act

24 C. Fragen? 24 24

25 Individuelle rechtliche Risikobewertung
LEGAL CONTRACT INVENTORY Rechtliche Aufarbeitung der Lizenzbestände Einordnung in gesamtvertraglichen Kontext Zuordnung zu den jeweils einschlägigen Definitionen (Metriken) LEGAL COMPLIANCE & RISK ASSESSMENT Rechtliche Analyse basierend auf LEGAL INVENTORY im Detail Auswertung angegebener Nutzung Ermittlung des rechtlichen Risikopotentials Strategie für Compliance LEGAL CONTRACT NEGOTIATION Rechtskonforme Ausverhandlung Lizenzverträge Verdeckte oder offene Unterstützung Nachhaltige Risikominimierung LEGAL SOURCING GATEWAY Rechtliche Schnittstelle für zukünftige Beschaffung im IT-Einkauf Service-Modelle für dauerhafte rechtliche Unterstützung

26 www.jentzsch-it.de JENTZSCH IT Rechtsanwaltsgesellschaft mbH
Alsterarkaden 13 | Hamburg | Tel: | Fax: ©JENTZSCH IT Alle Rechte vorbehalten: Vervielfältigung / Veröffentlichung / Weitergabe an Dritte nur mit schriftlicher Genehmigung durch JENTZSCH IT.