Karsten U. Bartels LL.M.
Verträge für die Cloud Rechtliche Besonderheiten und praktische Relevanz
1 Vereinbarung zum Datenschutz
2 Leistungsvereinbarung
3 Praktischer Umgang
Subunternehmer
des CSP
Anbieter / Cloud-Nutzer
Endkunde
Cloud Service
Provider
Datenschutzrecht
Personenbezogene Daten
Subunternehmer
des CSP
Verantwortliche Stelle
Betroffener
Cloud Service
Provider
ADV
Personenbezogene Daten
Service Provider
Verantwortliche Stelle
Betroffener
Auch bei Nutzung von:
Rechenzentrum/ Hosting
E-Mail-Dienste
Callcenter
Dokumentenvernichtung/ RESISCAN
Externe Lohnrechnung
Web-Tracking
Ähnlich bei:
Fernwartung
Vor-Ort-Support
Erforderliche Regelungen in Schriftform
Gegenstand und die Dauer des Auftrags
Umfang, Art und Zweck der vorgesehenen
Datenverwendung
Weisungsrechte des Auftraggebers
Kontrollrechte und Kontrollpflichten des Auftraggebers
Regelungen von Subunternehmerverhältnissen
Festlegung der „TOM“ gemäß § 9 BDSG
Datenrückgabe, Löschungspflichten
Zusätzliche Regelungen
Vertragsstrafen
Auftragsdatenverarbeitung, § 11 BDSG
ADV
Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
„Trennungskontrolle“
Technische und organisatorische
Maßnahmen, § 9 BDSG
ADV TOM
Prüfpflichten
Sorgfältige Auswahl des CSP
Regelmäßige Kontrolle
Dokumentation der Kontrollen
Problem: Umsetzung dieser Pflichten
Lösung: Prüfung durch Dritte
Weitere Pflichten nach § 11 BDSG
Testierung
Auditoren, Sachverständige, Rechtsanwälte, IT-
Sicherheitsbeauftragte, Wirtschaftsprüfer, etc.
Auditierung / Zertifizierung
BSI IT-Grundschutz, ISO 27001
datenschutz cert, DEKRA, TÜV
EuroCloud Star Audit
Europrise
ULD Schleswig-Holstein
Lösung: Prüfung durch Dritte
ADV TOM Zert.
Transparenz + Information
Ansprechpartner
IT-Sicherheitskonzept
Muster-ADV-Vereinbarung (CSP)
Workflow für Änderungen des Musters durch Kunden
Workflow für ADV-V des Kunden
Strategie für Vertragsverhandlungen
Tipps zum Datenschutz
Cloud und der Ausspähskandal
Anforderungen an die Datenübermittlung aus EU-
Mitgliedstaat in Nicht-Mitglied der EU/ des EWR
1. Kein bereichsspezifisches Verbot
2. Gesetzlicher Erlaubnistatbestand oder Einwilligung des Betroffenen
3. Angemessenes Schutzniveau
Sicheres Drittland (z.B. Kanada, Schweiz)
EU Standardvertragsklauseln (EU-Model Clauses)
Binding Corporate Rules (BCRs, „Safe Haven“)
„Safe Harbor“ (nur USA)
Cloud - grenzüberschreitend
… und nun?!
Düsseldorfer Kreis
Entschließungen, insbes. vom 28./29. September 2011
Kontrollierbarkeit, Transparenz, Beeinflussbarkeit der Datenverarbeitung
International Working Group on Data Protection in Telecommunications (IWGDPT), sog. Berlin Group
„Datenschutz darf nicht in der Wolke „verdunsten“ ! Sopot Memorandum zum Cloud Computing“, 27.04.2012
Cloud-Nutzung darf DS nicht mindern
Folgenabschätzung vor Nutzung
Größtmögliche Transparenz und Kontrolle für Nutzer
Anstrengungen im Bereich von Zertifizierungen und Geschäftsmodellen
Rechtlicher Rahmen zu überprüfen
Datenschutzbehörden
Mitbewerber, kein Anspruch nach § 4 Nr. 11 UWG
Datenschutz regelt nicht das Marktverhalten
Betroffener
Vertragliche Ansprüche
§ 6 BDSG
Datenschutzbehörden
§ 42a BDSG Informationspflicht
§ 43 BDSG Ordnungswidrigkeit
§ 44 BDSG Straftat
Imageverlust
Folgen eines Verstoßes
Leistungsvereinbarung
Subunternehmer
des CSP
Cloud-Nutzer Endkunde
Cloud Service
Provider
AGB
AGB
SaaS = Miete
Softwarepflege = Dienstvertrag/ Werkvertrag
Installationen/
Anpassung = Werkvertrag
Hosting = Miete/ Werkvertrag
typengemischte Verträge (Schwerpunkt)
Unterschiedliche Rechtsfolgen z.B. bei
Gewährleistung, Haftung, AGB!
Übersetzung ins Recht
Konkrete, möglichst abschließende
Leistungsbeschreibung
Einbindung von Subunternehmer
Eindeutige Nutzungsrechteeinräumung
Kündigungsregelungen
Eskalationsregime
Rechtswahl
Gerichtsstand
Allgemeines
Valide Regelungen zur Skalierbarkeit
SLA Fehlerklassen
Verfügbarkeit: Messung, Verstöße, Folgen
Anwender-Support + Fehlersupport
Datensicherung
Exit-Klauseln Löschen von Daten + Accounts
Herausgabe von Daten, Formate, Medien
Übertragen von Accounts Fristen
Unternehmensveräußerung/ Ausscheiden von Mitarbeitern
Besonderheiten
AUSBLICK
EU Datenschutzgrundverordnung
EU Verbraucherrechterichtlinie
EU Cookie-Richtlinie
DE IT-Sicherheitsgesetz
DE Beschäftigtendatenschutzgesetz
Ihre Punkte
Karsten U. Bartels LL.M.
Rechtsanwalt
Zertifizierter Datenschutzbeauftragter (TÜV)
Externer Auditor für Managementsysteme IT Security und
Datenschutz (TÜV SÜD Management Service GmbH)
Auditor der datenschutz cert GmbH
Datenschutz-Gütesiegel ips - internet privacy standards
Zertifikat zur Auftragsdatenverarbeitung
Zertifikat für Datenschutz-Management priventum
Beim Unabhängigen Landeszentrum für Datenschutz Schleswig-
Holstein anerkannter Sachverständiger für IT-Produkte (rechtlich)
Stellv. Vorsitzender Arge Informationstechnologie, Deutscher
Anwaltverein e.V.
Leiter AG Recht, Bundesverband IT-Sicherheit e.V. – TeleTrusT
Schlichter IT-Recht der IHK Berlin Schlichtungsstelle
Lehrbeauftragter der TH Wildau zum IT-Recht, Fachbereich
Betriebswirtschaft / Wirtschaftsinformatik
about.me/KarstenUBartels