![Page 1: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/1.jpg)
Karsten U. Bartels LL.M.
Verträge für die Cloud Rechtliche Besonderheiten und praktische Relevanz
![Page 2: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/2.jpg)
1 Vereinbarung zum Datenschutz
2 Leistungsvereinbarung
3 Praktischer Umgang
![Page 3: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/3.jpg)
Subunternehmer
des CSP
Anbieter / Cloud-Nutzer
Endkunde
Cloud Service
Provider
![Page 4: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/4.jpg)
Datenschutzrecht
Personenbezogene Daten
Subunternehmer
des CSP
Verantwortliche Stelle
Betroffener
Cloud Service
Provider
![Page 5: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/5.jpg)
ADV
Personenbezogene Daten
Service Provider
Verantwortliche Stelle
Betroffener
Auch bei Nutzung von:
Rechenzentrum/ Hosting
E-Mail-Dienste
Callcenter
Dokumentenvernichtung/ RESISCAN
Externe Lohnrechnung
Web-Tracking
Ähnlich bei:
Fernwartung
Vor-Ort-Support
![Page 6: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/6.jpg)
Erforderliche Regelungen in Schriftform
Gegenstand und die Dauer des Auftrags
Umfang, Art und Zweck der vorgesehenen
Datenverwendung
Weisungsrechte des Auftraggebers
Kontrollrechte und Kontrollpflichten des Auftraggebers
Regelungen von Subunternehmerverhältnissen
Festlegung der „TOM“ gemäß § 9 BDSG
Datenrückgabe, Löschungspflichten
Zusätzliche Regelungen
Vertragsstrafen
Auftragsdatenverarbeitung, § 11 BDSG
ADV
![Page 7: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/7.jpg)
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
„Trennungskontrolle“
Technische und organisatorische
Maßnahmen, § 9 BDSG
ADV TOM
![Page 8: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/8.jpg)
Prüfpflichten
![Page 9: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/9.jpg)
Sorgfältige Auswahl des CSP
Regelmäßige Kontrolle
Dokumentation der Kontrollen
Problem: Umsetzung dieser Pflichten
Lösung: Prüfung durch Dritte
Weitere Pflichten nach § 11 BDSG
![Page 10: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/10.jpg)
Testierung
Auditoren, Sachverständige, Rechtsanwälte, IT-
Sicherheitsbeauftragte, Wirtschaftsprüfer, etc.
Auditierung / Zertifizierung
BSI IT-Grundschutz, ISO 27001
datenschutz cert, DEKRA, TÜV
EuroCloud Star Audit
Europrise
ULD Schleswig-Holstein
Lösung: Prüfung durch Dritte
ADV TOM Zert.
![Page 11: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/11.jpg)
Transparenz + Information
Ansprechpartner
IT-Sicherheitskonzept
Muster-ADV-Vereinbarung (CSP)
Workflow für Änderungen des Musters durch Kunden
Workflow für ADV-V des Kunden
Strategie für Vertragsverhandlungen
Tipps zum Datenschutz
![Page 12: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/12.jpg)
Cloud und der Ausspähskandal
![Page 13: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/13.jpg)
Anforderungen an die Datenübermittlung aus EU-
Mitgliedstaat in Nicht-Mitglied der EU/ des EWR
1. Kein bereichsspezifisches Verbot
2. Gesetzlicher Erlaubnistatbestand oder Einwilligung des Betroffenen
3. Angemessenes Schutzniveau
Sicheres Drittland (z.B. Kanada, Schweiz)
EU Standardvertragsklauseln (EU-Model Clauses)
Binding Corporate Rules (BCRs, „Safe Haven“)
„Safe Harbor“ (nur USA)
Cloud - grenzüberschreitend
![Page 14: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/14.jpg)
… und nun?!
![Page 15: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/15.jpg)
Düsseldorfer Kreis
Entschließungen, insbes. vom 28./29. September 2011
Kontrollierbarkeit, Transparenz, Beeinflussbarkeit der Datenverarbeitung
International Working Group on Data Protection in Telecommunications (IWGDPT), sog. Berlin Group
„Datenschutz darf nicht in der Wolke „verdunsten“ ! Sopot Memorandum zum Cloud Computing“, 27.04.2012
Cloud-Nutzung darf DS nicht mindern
Folgenabschätzung vor Nutzung
Größtmögliche Transparenz und Kontrolle für Nutzer
Anstrengungen im Bereich von Zertifizierungen und Geschäftsmodellen
Rechtlicher Rahmen zu überprüfen
Datenschutzbehörden
![Page 16: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/16.jpg)
Mitbewerber, kein Anspruch nach § 4 Nr. 11 UWG
Datenschutz regelt nicht das Marktverhalten
Betroffener
Vertragliche Ansprüche
§ 6 BDSG
Datenschutzbehörden
§ 42a BDSG Informationspflicht
§ 43 BDSG Ordnungswidrigkeit
§ 44 BDSG Straftat
Imageverlust
Folgen eines Verstoßes
![Page 17: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/17.jpg)
Leistungsvereinbarung
Subunternehmer
des CSP
Cloud-Nutzer Endkunde
Cloud Service
Provider
AGB
AGB
![Page 18: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/18.jpg)
SaaS = Miete
Softwarepflege = Dienstvertrag/ Werkvertrag
Installationen/
Anpassung = Werkvertrag
Hosting = Miete/ Werkvertrag
typengemischte Verträge (Schwerpunkt)
Unterschiedliche Rechtsfolgen z.B. bei
Gewährleistung, Haftung, AGB!
Übersetzung ins Recht
![Page 19: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/19.jpg)
Konkrete, möglichst abschließende
Leistungsbeschreibung
Einbindung von Subunternehmer
Eindeutige Nutzungsrechteeinräumung
Kündigungsregelungen
Eskalationsregime
Rechtswahl
Gerichtsstand
Allgemeines
![Page 20: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/20.jpg)
Valide Regelungen zur Skalierbarkeit
SLA Fehlerklassen
Verfügbarkeit: Messung, Verstöße, Folgen
Anwender-Support + Fehlersupport
Datensicherung
Exit-Klauseln Löschen von Daten + Accounts
Herausgabe von Daten, Formate, Medien
Übertragen von Accounts Fristen
Unternehmensveräußerung/ Ausscheiden von Mitarbeitern
Besonderheiten
![Page 21: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/21.jpg)
AUSBLICK
![Page 22: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/22.jpg)
EU Datenschutzgrundverordnung
EU Verbraucherrechterichtlinie
EU Cookie-Richtlinie
DE IT-Sicherheitsgesetz
DE Beschäftigtendatenschutzgesetz
![Page 23: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/23.jpg)
Ihre Punkte
![Page 24: Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz](https://reader031.vdocuments.mx/reader031/viewer/2022020720/5488bc65b47959fb0c8b57b9/html5/thumbnails/24.jpg)
Karsten U. Bartels LL.M.
Rechtsanwalt
Zertifizierter Datenschutzbeauftragter (TÜV)
Externer Auditor für Managementsysteme IT Security und
Datenschutz (TÜV SÜD Management Service GmbH)
Auditor der datenschutz cert GmbH
Datenschutz-Gütesiegel ips - internet privacy standards
Zertifikat zur Auftragsdatenverarbeitung
Zertifikat für Datenschutz-Management priventum
Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-
Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich)
Stellv. Vorsitzender Arge Informationstechnologie, Deutscher
Anwaltverein e.V.
Leiter AG Recht, Bundesverband IT-Sicherheit e.V. – TeleTrusT
Schlichter IT-Recht der IHK Berlin Schlichtungsstelle
Lehrbeauftragter der TH Wildau zum IT-Recht, Fachbereich
Betriebswirtschaft / Wirtschaftsinformatik
about.me/KarstenUBartels