www.pwc.de

Microsoft Cloud Deutschland: Der datenschutzrechtliche Rahmen einer „nationalen“ Cloud

Microsoft Cloud Event

Agenda 1 Anwendungsbereich Datenschutzrecht 2 Zulässigkeitsprüfung bei MS Cloud Services 3 Prüfungsvorgehen MS Cloud Services

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 2

Anwendungsbereich Datenschutzrecht

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 3

Internationaler Kontext Variierende Ansätze & kollidierende Regelungsziele • Auch außerhalb der EU: Übermittlung in andere Staaten nur bei angemessenem Datenschutzniveau

Datenlokalisierungsvorschriften: Bestimmte Daten müssen in Land verbleiben („Volksgesundheit“, Daten eigener Staatsangehöriger, Steuerdaten …)

Verschlüsselungsgebot vs. Einwilligungserfordernis bei Verschlüsselungsbeschränkungen: besonders schützenswerten Daten • Verschlüsselung zum Schutz personenbezogener Daten vs Verbot des Einsatzes von Verschlüsselungstechnologie und Beschränkung der Schlüssel

Ständiger Wandel der Rechtsordnungen: insbesondere DSGVO 2018 berücksichtigen Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 4

Internationaler Kontext Architekturentscheidung je nach Prozessen und betroffenen Jurisdiktionen Wieviele Clouds? One-Cloud-Solution

Several-Clouds-Solution

Federated-Clouds-Solution

Hybrid-Lösungen; Prozessdesign

Verschlüsselung

• Lokale Infrastruktur (zB Sharepoint)

Organisatorische Maßnahmen

• Ausschluss spezifisch schutzwürdiger Daten aus der Cloud

Verschlüsselungs-Hub‘s …

• … Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 5

Sachlicher Anwendungsbereich Datenschutzrecht In der Regel eröffnet Voraussetzung: Erhebung, Verarbeitung & Nutzung „personenbezogener Daten“ Art der Daten & „Schutzbedarf“ können variieren.

 Dokumente mit Inhalten des Erstellers und Dritter, Kommunikation, Logfiles

CRM Online  Nutzerdaten, Kundendaten, Logfiles

IaaS & PaaS:  weniger Inhaltsdaten als Endgerät- & Logfile-Daten

SaaS: Mobile Device Management  weniger Inhaltsdaten als Endgerät- & Logfile-Daten

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Applikationsdaten

Infrastrukturnahe Daten/ Daten auf Plattform Februar 2017 6

Sachlicher Anwendungsbereich Datenschutzrecht Vermeidungs- & Risikoreduktionsstrategien Verschlüsselung

1

Voraussetzung: Endkunde kann verschlüsseln – MSFT kann nicht zugreifen. → Herausforderung: „Data in Use“ → Bestimmte Funktionalitäten, wie z. B. Durchsuchen, können eingeschränkt sein. → Log-Dateien lassen sich nicht verschlüsseln.

2

Anonymisierung, am ehesten bei Microsoft Azure Anwendungsfälle müssen geeignet sein.

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 7

Zulässigkeitsprüfung bei der deutschen Cloud

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 8

Zulässigkeitsprüfung bei der deutschen Cloud Grundsätze des Datenschutzes Kern der CloudDiskussion  siehe folgende Folien

A

Zulässigkeit (Erlaubnis)

B

Schutz bei Drittlandtransfers

C

Zweckbindung Verwendungsbeschränkung; Sperren, Löschen, wenn nicht mehr erforderlich

Löschung von Daten in nicht migrierten Mailboxen

D

Transparenz Information der Betroffenen, Meldung …

Dienstanweisungen, Meldung Aufsicht

E

Datensicherheit Vertraulichkeit, Integrität, …

Berechtigungskonzept

F

Rechte der Betroffenen Auskunft, Berichtigung …

Identifikation des anwendbaren Rechts

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Typische Cloud Themen

Februar 2017 9

Zulässigkeitsprüfung bei der deutschen Cloud Blick auf die Datenverarbeitung

T-Systems

Nur im Fall dass TSY den Zugriff zulässt (vor allem im Supportfall).

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Kunde in München

Februar 2017 10

Zulässigkeitsprüfung bei MS Cloud Services Übersicht

Erste Stufe

• Ist die Weitergabe von Daten an einen (Cloud-) Dienstleister zulässig? • Voraussetzung: Erlaubnistatbestände

Zweite Stufe

• Ist es zulässig, dass die Daten in der Cloud außerhalb der EU verarbeitet werden? • Voraussetzung: angemessenes Datenschutzniveau (§§ 4b, 4c BDSG)

*entsprechende Regelungen in LDSGs Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 11

Zulässigkeitsprüfung bei MS Cloud Services Erste Stufe: Erlaubnistatbestand Grundsatz Verbot, es sei denn, ...

in der Regel bei Cloud sog. Auftragsdatenverarbeitung

Herausforderungen • Hinreichende Information • alle Betroffenen • Freiwilligkeit (auch in Beschäftigungsverhältnissen, vgl. BAG vom 11.12.2014 )

• Prozess bei Verweigerung oder Widerruf

… der Betroffene hat eingewilligt

… das Gesetz erlaubt es

Vgl. aber Diskussion um künftige Priviligierung nach Art. 28 DSGVO

… eine andere Rechtsvorschrift erlaubt es (→ Betriebsvereinbarung) nur soweit Mitbestimmung reicht (künftig auch nach Art. 88 Abs. 1 DSGVO

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 12

Zulässigkeitsprüfung bei MS Cloud Services Zweite Stufe: Grenzüberschreitender Datenverkehr Weitergabe oder Zugriff nur bei angemessenem Datenschutzniveau Liste der EUKommission

sichere Drittländer

USA

unsichere Drittländer (allgem.)

EU US Privacy Shield • EU-Standardvertragsklauseln • sonstige Vertragslösungen • Binding Corporate Rules

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 13

Zulässigkeitsprüfung bei MS Cloud Services Cloud als internationale Auftragsdatenverarbeitung

rechtliche Einheit keine Übermittlung* Kunde

Daten

verantwortliche Stelle mit Weisungsrecht * Vgl. Anwendbarkeit von § 11 BDSG bei Drittlandtransfer Vortrag Prof. Schmidl

Microsoft streng weisungsgebundene Tätigkeit Non-EU-Verarbeitung (EU-Standardvertragsklauseln oder Privacy Shield)

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

erste Stufe Vertrag zur Auftragsdatenverarbeitung

zweite Stufe Angemessenes Schutzniveau

Februar 2017 14

Zulässigkeitsprüfung bei der deutschen Cloud Vertragswerk MS - Kunde Struktur der Microsoft Cloud Verträge Volumenlizenzvertrag

Bestimmungen für Onlinedienste

Bestimmungen für Onlinedienste ADV-Vertrag Microsoft Ireland Operations Ltd.

Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht

Kunde in München

Vertrag T-Systems Kunde Treuhand Vereinbarung • ADV zwischen Kunde und TSY • Zugangs/Zugriffskontrolle

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 15

Zulässigkeitsprüfung bei der deutschen Cloud Vertragswerk MS - Kunde Struktur der Microsoft Cloud Verträge Volumenlizenzvertrag Bestimmungen für Onlinedienste

Vertrag mit Unterauftragsverarbeiter

ADV-Vertrag

Subunternehmer der Microsoft Corp.

entsprechend Klausel 11 der EU-Standardvertragsklauseln vom 05.02.2010

Microsoft Ireland Operations Ltd.

EU-Standardvertragsklauseln für Auftragsverarbeiter vom 05.02.2010

Microsoft Corp. Bestimmungen für Onlinedienste

Nur für Transfers soweit TSY den Zugriff im Supportfall zulässt.

Hierzu Schreiben Art. 29Datenschutzgruppe vom 2. April 2014 → siehe Vortrag Microsoft

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht

Kunde in München

Vertrag T-Systems Kunde Treuhand Vereinbarung • ADV zwischen Kunde und TSY • Zugangs/Zugriffskontrolle

Februar 2017 16

Zulässigkeitsprüfung bei der deutschen Cloud Vertragswerk MS - Kunde Microsoft Cloud Verträge im Konzern Volumenlizenzvertrag Bestimmungen für Onlinedienste ADV-Vertrag

Subunternehmer der Microsoft Corp. Microsoft Ireland Operations Ltd.

Töchter des Kunden Microsoft Corp. EU-Standardvertragsklauseln für Auftragsverarbeiter vom 05.02.2010

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht

Kunde in München

Vertrag T-Systems Kunde Treuhand Vereinbarung

Februar 2017 17

Prüfungsvorgehen deutsche Cloud

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 18

Prüfungsvorgehen Vorgehensweise bei einer Beauftragung

Schritt 1 10-Punkte Katalog (plus EU-Standardvertragsklauseln) (in Art 28 Abs. 3 DSGVO ähnlich)

Schritt 2

Schritt 3

sorgsame Auswahl (~ Artikel 28 Abs. 1 DSGVO)

Schriftlicher Vertragsschluss (Artikel 28 Abs. 9 DSGVO - auch elektronisch)

Prüfung Datensicherheit (ggf. auch nach Artikel 28 Abs. 1 DSGVO)

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 19

Prüfungsvorgehen Vertragsschluss: ADV-Vertrag (Schritt 2): Mapping Aufgabe:

Gegenüberstellung der gesetzlichen Anforderungen mit den vertraglichen Regelungen

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 20

Prüfungsvorgehen Vertragsschluss: ADV-Vertrag (Schritt 2) Gesetzliche Anforderungen (Auswahl) (§ 11 Absatz 2 Satz 2 BDSG)

• Festlegung technischer und organisatorischer Maßnahmen  Abhängigkeit vom Einsatzzweck  Spannungsverhältnis bzgl. der Detaillierung der Beschreibung: Flexibilität Provider & Datensicherheit vs. Transparenz

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 21

Prüfungsvorgehen Vertragsschluss: ADV-Vertrag (Schritt 2) Gesetzliche Anforderungen (Auswahl) (§ 11 Absatz 2 Satz 2 BDSG)

• Weisungsbefugnis  Spannungsverhältnis Konzept der Weisungsgebundenheit standardisiertem Service  MS Online Service Terms: Vertragswerk = "vollständigen und endgültigen Weisungen des Kunden“  Kunde hat über Admin-Rechte und Portal unmittelbare Kontrolle über die Daten

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 22

Prüfungsvorgehen Prüfung Datensicherheit (Schritt 3)

• soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen (§ 11 Abs. 2 Sätze 4 und 5 BDSG) • mögliche Optionen  Eigenaudit,  Fremdaudit (= Zertifizierungen) oder  Eigenerklärung

• „Zusammenfassungsbericht“ nach ISO 27001, 27018 • Abänderung gemäß Standardvertragsklauseln in Eigenaudit • Abgleich der Berichtsinhalte mit vertraglich vereinbarten Maßnahmen

• Das Ergebnis ist zu dokumentieren.

Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal

Februar 2017 23

Ihre Fragen Dr. Jan-Peter Ohrtmann Rechtsanwalt Partner, IP/IT-Recht PwC Legal Tel. +49 211 981-2572 [email protected]

© 2016 PricewaterhouseCoopers Legal AG Rechtsanwaltsgesellschaft. Alle Rechte vorbehalten. In diesem Dokument bezieht sich „PwC“ auf die PricewaterhouseCoopers Legal AG Rechtsanwaltsgesellschaft, Frankfurt am Main, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich und wirtschaftlich selbständige Gesellschaft.