Datenschutz in der Cloud Rechtlicher Rahmen und Compliance Austrian Cloud Congress 2015 Wien, 05.11.2015 Mag. Jakob Geyer Rechtsanwaltsanwärter Agenda Basics des Datenschutzrechts – Grundlagen Nutzung von Cloud Services – was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig – Jetzt alles anders? 2 Agenda Basics des Datenschutzrechts – Grundlagen Nutzung von Cloud Services – was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig – Jetzt alles anders? 3 Rechtsgrundlage Datenschutzgesetz 2000 § 6 – § 8 DSG Ausnahme von diesem Verbot? Verarbeitung von Daten ist grundsätzlich verboten! 4 Zweck und Inhalt von gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und schutzwürdige Geheimhaltungsinteressen gewahrt Rechtsgrundlage Datenschutzgesetz 2000 Jedermann hat Anspruch auf Geheimhaltung seiner Daten! Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens Geheimhaltung gegenüber Staat und Privaten Schutz vor Ermittlung und Weitergabe Voraussetzungen für Schutz: Personenbezogene Daten Schutzwürdiges Interesse 5 Daten öffentlich / anonym? Wichtigste Begriffe des Datenschutzgesetzes Definitionen in § 4 DSG 2000 Personenbezogene Daten: DSG voll anwendbar Identität bestimmt (Name) oder Identität bestimmbar Beispiele Personenbezug: Anonymisierte Daten: DSG nicht anwendbar • E-Mail Adresse Herstellung eines Personenbezugs verlässlich • ausgeschlossen? IP-Adresse Kundennummer, etc... Praxistipp: Aggregierte Datensätze (Gruppe• von mind. 5 Betroffenen) Indirekt personenbezogene (= pseudonymisierte) Daten: Identifikationsmerkmal durch Pseudonym/Code ersetzt für jeweiligen User Personenbezug verhindert 6 ! Wichtigste Begriffe des Datenschutzgesetzes Definitionen in § 4 DSG 2000 Auftraggeber: Trifft Entscheidung, Daten zu verwenden ... verwendet selbst oder setzt dafür Dienstleister ein Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags Auskunfts-, Richtigstellungs- und Löschungsverpflichtungen treffen immer den Auftraggeber! 7 ! Die „3 Akteure des Datens hutzgesetzes Auftraggeber Rechtschutzbehelfe Betroffener Datenüberlassung Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Verwendet überlassene Dienstleister 8 Daten... zur Durchführung des Auftrags Agenda Basics des Datenschutzrechts – Grundlagen Nutzung von Cloud Services – was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig – Jetzt alles anders? 9 Wel her „Akteur ist Cloud-Provider? Auftraggeber Rechtschutzbehelfe Betroffener Datenüberlassung Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Verwendet überlassene Dienstleister 10 Daten... zur Durchführung des Auftrags Wel her „Akteur ist Cloud-Provider? Auftraggeber Rechtschutzbehelfe Betroffener Datenüberlassung Entscheidung über Datenverwendung Datenschutzrechtliche Verantwortung Verwendet überlassene Dienstleister 11 Daten... zur Durchführung des Auftrags Nutzung von Cloud-Services – Was passiert rechtlich? Erbringung von Dienstleistungen Dienstleister muss rechtmäßige & sichere Datenverwendung gewährleisten Dienstleister-Pflichten in schriftlichem Dienstleistervertrag ...regeln (§ 11 DSG 2000): Datensicherheitsmaßnahmen Keine „“u -Dienstleister ohne OK von Auftragge er Datenübergabe nach Vertragsbeendigung, etc. Zusätzlich zB: Überbindung Geheimhaltungspflichten ...und Einhaltung überprüfen! 12 Agenda Basics des Datenschutzrechts – Grundlagen Nutzung von Cloud Services – was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig – Jetzt alles anders? 13 Haftungsfragen in der Cloud Sorgfaltspflichten / Haftungsregelung Schadenersatzforderungen gegen Cloud-User und Cloud-Provider ...müssen mangelndes Verschulden beweisen Entscheidend: Sorgfältige Auswahl des Cloud-Providers Prüfpflicht für ausreichenden Datenschutz beim Cloud-Provider Vorlage externer Zertifizierung, Informationen etc (MS: Office 365-Trust Center1) 1 https://products.office.com/de-at/business/office-365-trust-center-cloud-computing-security?legRedir=true&CorrelationId=31211e04-6cb8-47c6-aedd-36aacea75256 14 Data Breach Notification – Pflicht des Cloud-Users § 24 Abs 2a DSG 2000 (2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen (...) zu informieren. Ausnahme: Geringfügiger Schaden droht oder Informationskosten unverhältnismäßig hoch Schadensminderungsobliegenheit des Cloud-Benützers! Selbstbeurteilung des Auftraggebers Notfallplan ratsam 15 ! Strafbestimmungen bei Rechtsverletzungen Verwaltungsstrafen Derzeit: § 52 DSG 2000 Zukünftig: EU DatenschutzGrund-VO 16 Geldstrafe bis zu EUR 25.000,- zB: eigenmächtige Übermittlung (=Verletzung Datengeheimnis) Geldstrafe bis zu EUR 10.000,- zB: gröbliche Missachtung von Datensicherheitsmaßnahmen nicht genehmigte Datenübermittlung ins EWR-Ausland Vorschlag EU-Kommission: Geldstrafen… Was ist passiert? Eingriff in Ausschließungsrecht! bis zu EUR 1.000.000,- oder bis 2 % des Jahresumsatzes weltweit Vorschlag EU-Parlament: bis zu EUR 100.000.000,- oder (wenn höher) 5 % des Jahresumsatzes weltweit Agenda Basics des Datenschutzrechts – Grundlagen Nutzung von Cloud Services – was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig – Jetzt alles anders? 17 Datenschutzrechtliche Zulässigkeit des Cloud Computing Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt Innerhalb EWR Nur Abschluss Dienstleistervertrag nötig (Vertrag mit Cloud-Provider) Keine Genehmigungspflicht durch Datenschutzbehörde 18 Datenschutzrechtliche Zulässigkeit innerhalb des EWR Keine Genehmigungspflicht des Datentransfers durch Datenschutzbehörde! Abschluss eines schriftlichen Dienstleistervertrags erforderlich Gilt für Datenüberlassung innerhalb: des (inländischen) Unternehmens Österreichs des EWR (EU-28 plus Island, Liechtenstein, Norwegen) 19 Datenschutzrechtliche Zulässigkeit von Cloud-Services Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt Innerhalb EWR Außerhalb EWR Nur Abschluss Dienstleistervertrag nötig Grundsätzlich Genehmigung durch (Vertrag mit Cloud-Anbieter) Keine Genehmigungspflicht durch Datenschutzbehörde 20 Datenschutzbehörde erforderlich Außer Ausnahmetatbestand erfüllt (zB Gleichgestellte Drittstaaten, Standardvertragsklauseln, Zustimmung,...) Datenschutzrechtliche Zulässigkeit außerhalb des EWR Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ... 21 Datenschutzrechtliche Zulässigkeit außerhalb des EWR Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ... ... oder bei Verwendung von „Binding Corporate Rules“ ... oder bei Verwendung von EU-Standardvertragsklauseln Aber: Bisher keine nationale Umsetzung (Verordnung) In Zukunft: Bloße Anzeige- statt Genehmigungspflicht durch DSB Derzeit weiterhin Genehmigungspflicht! 22 ! Datenschutzrechtliche Zulässigkeit außerhalb des EWR Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ... ... oder bei Verwendung von „Binding Corporate Rules“ ... oder EU-Standardvertragsklauseln ... oder weitere Alternativen: Zustimmung des Betroffenen; Daten sind veröffentlicht/pseudonymisiert/anonymisiert etc. 23 Agenda Basics des Datenschutzrechts – Grundlagen Nutzung von Cloud Services – was passiert rechtlich? Wer haftet für die Daten? Zulässigkeit von Cloud Computing Safe Harbor ungültig – Jetzt alles anders? 24 EuGH: Safe Harbor Abkommen ungültig Verfahren Max Schrems gegen irische Datenschutzbehörde1 Bisher: Entscheidung der EU Kommission im Jahr 2000 Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor Keine Bindung der US-Behörden; Ausnahmen; keine Rechtsbehelfe etc. EuGH: Safe Harbor Abkommen nicht mit EU-Grundrechten vereinbar 1 25 Rechtssache EuGH C-362/14 EuGH: Safe Harbor Abkommen ungültig Bedeutung für Praxis Örtlich betroffen: Datentransfers in die USA Inhaltlich betroffen: Safe Harbor ersetzte hauptsächlich - Zustimmung des Betroffenen - Genehmigung der Datenschutzbehörde Alternativen: - Daten anonymisieren/pseudonymisieren; veröffentlichte Daten verwenden - Zustimmung Betroffener oder Genehmigung DSB einholen - „Binding Corporate Rules Wie bisher: Genehmigung Datenschutzbehörde - EU-Standardvertragsklauseln 26 Vereinbarkeit Datenschutzrecht von EU & USA US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU Aktuelles Verfahren1 gegen Microsoft – Ausgangslage: US-Behörden verlangen Zugriff auf in EU gespeicherte Daten Grundlage: Durchsuchungsbefehl in US-Strafverfahren Microsoft in 2 Instanzen zur Herausgabe verurteilt Sanktionen vorerst ausgesetzt (keine Datenherausgabe) Neuester Stand2: Berufungsverfahren in 3. Instanz Laufende Information: http://digitalconstitution.com 1 2 27 US Court of Appeals for the Second Circuit, 14-2985-cv Reply Brief for Appellant, 08.04.2015; http://mscorp.blob.core.windows.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf ! Key Points to Remember Compliance- & Haftungsrisiken minimieren durch sorgfältige Auswahl des Cloud-Providers Ist eine Datenanwendung zulässig, kann der Kunde die Daten auch in die Cloud geben (innerhalb des EWR) Cloud-Speicherung in EWR grundsätzlich genehmigungsfrei Datentransfer in USA auch nach Safe Harbor möglich Vielen Dank für Ihre Aufmerksamkeit! Mag. Jakob Geyer Rechtsanwaltsanwärter [email protected] aringer herbst winklbauer rechtsanwälte 1010 Wien, Grillparzerstraße 5 +43 1 890 90 17 29
© Copyright 2024 ExpyDoc
