Скачать презентацию CLOUD COMPUTING — eine rechtliche Einführung — WS Скачать презентацию CLOUD COMPUTING — eine rechtliche Einführung — WS

311d15973b32650775606ffc151c218d.ppt

  • Количество слайдов: 15

CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller CLOUD COMPUTING - eine rechtliche Einführung - WS 2015/16 Peter Burgstaller

Tangierte Rechtsbereiche Datenschutzrechtliche Dimension Schutz von personenbezogenen/sensiblen Datensicherheit IT-Compliance Dimension Sorgfalt eines ordentlichen Geschäftsmanns Tangierte Rechtsbereiche Datenschutzrechtliche Dimension Schutz von personenbezogenen/sensiblen Datensicherheit IT-Compliance Dimension Sorgfalt eines ordentlichen Geschäftsmanns Unternehmensgesetzrechtliche Dimension Internes Kontrollsystem für Vermögenswerte => IKT Prüfung durch Wirtschaftsprüfer => Redepflicht Urheber- und vertragsrechtliche Dimension Nutzungsrechte für Cloud-Provider Vertragliche Aspekte Vertragsbeendigungsansprüche, Datentransfer, Zahlungsverzug, Rechtsstreitigkeiten, anwendbares Recht…. U: Peter Burgstaller, 2016 (2011)

Datenschutzrechtliche Dimension Ü Datenschutzrichtlinie 1995 Ü E-privacy Richtlinie 2003 Ü Datenschutz im Ü DSG Datenschutzrechtliche Dimension Ü Datenschutzrichtlinie 1995 Ü E-privacy Richtlinie 2003 Ü Datenschutz im Ü DSG Ü GR auf Geheimhaltung pb Daten Ü Begleitgrundrechte Ü TKG Ü Kommunikationsgeheimnis Ü VDS (im Sommer 2014 abgeschafft) => DSG-Novelle auf Eis, Datenschutzgrund. VO der EU auf Eis. U: Peter Burgstaller, 2016 (2011)

Datenschutzgesetz 2000 Ü Pb Daten sind (grundrechtlich gesichert) geheim zu halten, ausg. ÜZustimmung des Datenschutzgesetz 2000 Ü Pb Daten sind (grundrechtlich gesichert) geheim zu halten, ausg. ÜZustimmung des Betroffenen Ülebenswichtige Interessen des Betroffenen Üüberwiegende berechtigte Interessen eines Dritten Ügesetzliche Grundlage für den öffentlichen Bereich Ü Für sensible Daten gelten besondere Vorschriften U: Peter Burgstaller, 2016 (2011)

Akteure/Verwendungen im DSG Ü Betroffener Ü Auftraggeber Ü Dienstleister Ü Datenverwendung = DV + Akteure/Verwendungen im DSG Ü Betroffener Ü Auftraggeber Ü Dienstleister Ü Datenverwendung = DV + DÜM Ü Datenverarbeitung = jede Anwendung, inkl DÜL, ausg. DÜM Ü DÜL = Weitergabe von Daten durch AG an DL (bedarf keiner Zustimmung des B) Ü DÜM = Weitergabe an Dritte (z. B von AG an AG, bedarf der Zustimmung des B) U: Peter Burgstaller, 2016 (2011)

Meldepflicht Jede Datenverwendung ist beim DVR zu melden, ausgenommen: ÜMeldeerleichterung ÜBefreiung für Üanonyme Daten Meldepflicht Jede Datenverwendung ist beim DVR zu melden, ausgenommen: ÜMeldeerleichterung ÜBefreiung für Üanonyme Daten Üveröffentlichte Daten ÜStandardanwendung gem der St. MVO (z. B Videoüberwachung Bankomaten, Trafiken, Juweliere, Tankstellen; Datenweitergabe zw. Arzt und GKK) ÜMusteranwendung gem der. St. MVO (z. B Zutrittskontrollsysteme) Ü Meldeverschärfung - Vorabgenehmigungspflicht ÜInformationsverbundsystem ÜÜbermittlung ins Ausland ÜVideoüberwachung (Ausnahmen) U: Peter Burgstaller, 2016 (2011)

Zwei Seiten des DSG Zivilrechtliche Dimension – insb Zustimmung Öffentlich rechtliche Dimension – Meldung/Genehmigung Zwei Seiten des DSG Zivilrechtliche Dimension – insb Zustimmung Öffentlich rechtliche Dimension – Meldung/Genehmigung DSB U: Peter Burgstaller, 2016 (2011)

Cloud Computing im Korsett des DSG Der Anwender Daten lagert seine Daten an einen Cloud Computing im Korsett des DSG Der Anwender Daten lagert seine Daten an einen Cloud-Provider (also in die Cloud) aus – der Anwender ist AG i. Sd DSG Rechtlich ist Outsourcing „Datenüberlassung“ an einen Dienstleister und bedarf grundsätzlich nicht der Zustimmung des Betroffenen – der Cloud-Provider ist DL Der Cloud-Provider speichert oder verwendet die ausgelagerten Daten (in welcher Form auch immer). Das Outsourcing von Daten an einen DL ist nach § 10 zulässig, sofern dessen „Verlässlichkeit“ gegeben ist und die „Datensicherheit“ stets eingehalten werden. U: Peter Burgstaller, 2016 (2011) Das sind auch die Probleme!

Verlässlichkeit des DL AG ist umfassend verantwortlich für die Daten gegenüber dem B und Verlässlichkeit des DL AG ist umfassend verantwortlich für die Daten gegenüber dem B und damit auch für die Verlässlichkeit des DL: AG hat über Daten umfassend bescheid zu wissen (konkrete Datenverwendung, Ort der Datenspeicherung, jeweiligen DL, Sub-DL, …) § 11/1 Z 3: Beiziehung weiterer DL (Sub-DL) nur mit Zustimmung des AG (AG hat also stets zuzustimmen und muss wissen, wo die Daten sind) und DL und alle weiteren Sub-DL müssen in der EU ihren Sitz haben oder ihren Sitz in einem sicherem Drittstaat (CH, AG, Guernsey, Jersey und Isle of Man, Neuseeland, Uruguay) haben oder US-Safe Habour-Companies (aus Kanada oder Israel) sein oder Die Überlassung muss durch die DSB genehmigt werden (insb US, AU, IN, CN, JP, …. ). U: Peter Burgstaller, 2016 (2011)

Datensicherheit in der Cloud Es fehlen konkrete gesetzliche Vorgaben zur Sicherheit Es gibt auch Datensicherheit in der Cloud Es fehlen konkrete gesetzliche Vorgaben zur Sicherheit Es gibt auch keine sonstigen Normen, z. B ISO 27017 Cloud Draft ISO 27018 erst seit Herbst 2014 in Kraft – richtiger Ansatz; verweist (wie auch 27017) auf die Grundnormen 27001 und 27002 EU-Strategy towards Cloud Computing: Standardverträge (geprüft von Behörde) Sicherheitsvorgaben Nutzung im öffentlichen Bereich als „gutes Vorbild“ => Gute Ideen allerdings ohne Umsetzung! U: Peter Burgstaller, 2016 (2011)

Datenübermittlung in die USA (1) Jedes US-Unternehmen hat auf Basis unterschiedlicher normativer Vorgaben unterschiedlichen Datenübermittlung in die USA (1) Jedes US-Unternehmen hat auf Basis unterschiedlicher normativer Vorgaben unterschiedlichen Behörden zwingend Datenzugriff unter bestimmten Voraussetzungen zu gewähren, z. B Patriot Act – für die Bundespolizei FISA (Federal Surveillance Act) – für die Geheimdienste Diese Verpflichtung trifft auch US-Unternehmen für ihre Tochtergesellschaften außerhalb der USA – dh US Muttergesellschaften haben den Datenzugriff auch auf Daten der Tochtergesellschaften sicherzustellen. Die Voraussetzungen zum Datenzugriff entsprechen in vielen Fällen nicht den Anforderungen des EUdatenschutzrechtlichen Rahmens. U: Peter Burgstaller, 2016 (2011)

Datenübermittlung in die USA (2) Eu. GH, Oktober 2015: Die Safe Harbour Entscheidung der Datenübermittlung in die USA (2) Eu. GH, Oktober 2015: Die Safe Harbour Entscheidung der EU Kommission aus dem Jahr 2000 widerspricht dem Grundrecht auf Datenschutz und dem Rechtsstaatlichkeitsprinzip und ist daher NICHTIG. Die E aus 2000 sah vor, dass es nationalen DSB untersagt ist, die Einhaltung des Datenschutzrechts bei Safe Harbor zertifizierten Unternehmen zu prüfen => widerspricht den Grundsätzen jeden Rechtsstaats. => De lege ferenda müssten alle pauschalierten und unüberprüfbaren Entscheidungen (z. B Safe Harbour mit CD, IS und sicheren Drittstaaten) nichtig sein!!! U: Peter Burgstaller, 2016 (2011)

Fazit: Cloud ist mit Datenschutzrecht nicht vereinbar, weil fehlende Vorgaben zur Datensicherheit; jede Überlassung Fazit: Cloud ist mit Datenschutzrecht nicht vereinbar, weil fehlende Vorgaben zur Datensicherheit; jede Überlassung an Sub-Dienstleister der (schriftlichen) Zustimmung des AG bedarf; jeder DL „zuverlässig“ sein muss; jeder DL nur die Aufträge des AG erfüllen darf => Erfüllung eigener Zwecke macht den DL zum AG und setzt Zustimmung des Betroffenen voraus (DÜM); jeder DL dessen Muttergesellschaft in den USA sitzt, Datenzugriff für „Mutter“ sicherzustellen hat – widerspricht unserem Datenschutzrecht (Stichwort: Patriot Act, FISA udgl) – solche DL sind nicht verlässlich bzw sind AG. U: Peter Burgstaller, 2016 (2011)

Fazit: Cloud ist mit Datenschutzrecht nur vereinbar, wenn DL (Cloud-Anbieter) im EWR sitzt und Fazit: Cloud ist mit Datenschutzrecht nur vereinbar, wenn DL (Cloud-Anbieter) im EWR sitzt und keine verbundene Unternehmen in einem Drittstaat haben und nur im Vorhinein bekannte Sub-DL einsetzt, die ihrerseits im EWR sitzen und keine verbundene Unternehmen in einem Drittstaat haben und schriflicher DL-Vertrag geschlossen wird. U: Peter Burgstaller, 2016 (2011)

Vielen Dank für Ihre Aufmerksamkeit Peter Burgstaller peter. burgstaller@fh-hagenberg. at Department für U: Peter Vielen Dank für Ihre Aufmerksamkeit Peter Burgstaller peter. burgstaller@fh-hagenberg. at Department für U: Peter Burgstaller, 2016 (2011) Sichere Informationssysteme