www.pwc.de
Microsoft Cloud Deutschland: Der datenschutzrechtliche Rahmen einer „nationalen“ Cloud
Microsoft Cloud Event
Agenda 1 Anwendungsbereich Datenschutzrecht 2 Zulässigkeitsprüfung bei MS Cloud Services 3 Prüfungsvorgehen MS Cloud Services
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 2
Anwendungsbereich Datenschutzrecht
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 3
Internationaler Kontext Variierende Ansätze & kollidierende Regelungsziele • Auch außerhalb der EU: Übermittlung in andere Staaten nur bei angemessenem Datenschutzniveau
Datenlokalisierungsvorschriften: Bestimmte Daten müssen in Land verbleiben („Volksgesundheit“, Daten eigener Staatsangehöriger, Steuerdaten …)
Verschlüsselungsgebot vs. Einwilligungserfordernis bei Verschlüsselungsbeschränkungen: besonders schützenswerten Daten • Verschlüsselung zum Schutz personenbezogener Daten vs Verbot des Einsatzes von Verschlüsselungstechnologie und Beschränkung der Schlüssel
Ständiger Wandel der Rechtsordnungen: insbesondere DSGVO 2018 berücksichtigen Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 4
Internationaler Kontext Architekturentscheidung je nach Prozessen und betroffenen Jurisdiktionen Wieviele Clouds? One-Cloud-Solution
Several-Clouds-Solution
Federated-Clouds-Solution
Hybrid-Lösungen; Prozessdesign
Verschlüsselung
• Lokale Infrastruktur (zB Sharepoint)
Organisatorische Maßnahmen
• Ausschluss spezifisch schutzwürdiger Daten aus der Cloud
Verschlüsselungs-Hub‘s …
• … Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 5
Sachlicher Anwendungsbereich Datenschutzrecht In der Regel eröffnet Voraussetzung: Erhebung, Verarbeitung & Nutzung „personenbezogener Daten“ Art der Daten & „Schutzbedarf“ können variieren.
Dokumente mit Inhalten des Erstellers und Dritter, Kommunikation, Logfiles
CRM Online Nutzerdaten, Kundendaten, Logfiles
IaaS & PaaS: weniger Inhaltsdaten als Endgerät- & Logfile-Daten
SaaS: Mobile Device Management weniger Inhaltsdaten als Endgerät- & Logfile-Daten
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Applikationsdaten
Infrastrukturnahe Daten/ Daten auf Plattform Februar 2017 6
Sachlicher Anwendungsbereich Datenschutzrecht Vermeidungs- & Risikoreduktionsstrategien Verschlüsselung
1
Voraussetzung: Endkunde kann verschlüsseln – MSFT kann nicht zugreifen. → Herausforderung: „Data in Use“ → Bestimmte Funktionalitäten, wie z. B. Durchsuchen, können eingeschränkt sein. → Log-Dateien lassen sich nicht verschlüsseln.
2
Anonymisierung, am ehesten bei Microsoft Azure Anwendungsfälle müssen geeignet sein.
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 7
Zulässigkeitsprüfung bei der deutschen Cloud
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 8
Zulässigkeitsprüfung bei der deutschen Cloud Grundsätze des Datenschutzes Kern der CloudDiskussion siehe folgende Folien
A
Zulässigkeit (Erlaubnis)
B
Schutz bei Drittlandtransfers
C
Zweckbindung Verwendungsbeschränkung; Sperren, Löschen, wenn nicht mehr erforderlich
Löschung von Daten in nicht migrierten Mailboxen
D
Transparenz Information der Betroffenen, Meldung …
Dienstanweisungen, Meldung Aufsicht
E
Datensicherheit Vertraulichkeit, Integrität, …
Berechtigungskonzept
F
Rechte der Betroffenen Auskunft, Berichtigung …
Identifikation des anwendbaren Rechts
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Typische Cloud Themen
Februar 2017 9
Zulässigkeitsprüfung bei der deutschen Cloud Blick auf die Datenverarbeitung
T-Systems
Nur im Fall dass TSY den Zugriff zulässt (vor allem im Supportfall).
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Kunde in München
Februar 2017 10
Zulässigkeitsprüfung bei MS Cloud Services Übersicht
Erste Stufe
• Ist die Weitergabe von Daten an einen (Cloud-) Dienstleister zulässig? • Voraussetzung: Erlaubnistatbestände
Zweite Stufe
• Ist es zulässig, dass die Daten in der Cloud außerhalb der EU verarbeitet werden? • Voraussetzung: angemessenes Datenschutzniveau (§§ 4b, 4c BDSG)
*entsprechende Regelungen in LDSGs Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 11
Zulässigkeitsprüfung bei MS Cloud Services Erste Stufe: Erlaubnistatbestand Grundsatz Verbot, es sei denn, ...
in der Regel bei Cloud sog. Auftragsdatenverarbeitung
Herausforderungen • Hinreichende Information • alle Betroffenen • Freiwilligkeit (auch in Beschäftigungsverhältnissen, vgl. BAG vom 11.12.2014 )
• Prozess bei Verweigerung oder Widerruf
… der Betroffene hat eingewilligt
… das Gesetz erlaubt es
Vgl. aber Diskussion um künftige Priviligierung nach Art. 28 DSGVO
… eine andere Rechtsvorschrift erlaubt es (→ Betriebsvereinbarung) nur soweit Mitbestimmung reicht (künftig auch nach Art. 88 Abs. 1 DSGVO
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 12
Zulässigkeitsprüfung bei MS Cloud Services Zweite Stufe: Grenzüberschreitender Datenverkehr Weitergabe oder Zugriff nur bei angemessenem Datenschutzniveau Liste der EUKommission
sichere Drittländer
USA
unsichere Drittländer (allgem.)
EU US Privacy Shield • EU-Standardvertragsklauseln • sonstige Vertragslösungen • Binding Corporate Rules
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 13
Zulässigkeitsprüfung bei MS Cloud Services Cloud als internationale Auftragsdatenverarbeitung
rechtliche Einheit keine Übermittlung* Kunde
Daten
verantwortliche Stelle mit Weisungsrecht * Vgl. Anwendbarkeit von § 11 BDSG bei Drittlandtransfer Vortrag Prof. Schmidl
Microsoft streng weisungsgebundene Tätigkeit Non-EU-Verarbeitung (EU-Standardvertragsklauseln oder Privacy Shield)
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
erste Stufe Vertrag zur Auftragsdatenverarbeitung
zweite Stufe Angemessenes Schutzniveau
Februar 2017 14
Zulässigkeitsprüfung bei der deutschen Cloud Vertragswerk MS - Kunde Struktur der Microsoft Cloud Verträge Volumenlizenzvertrag
Bestimmungen für Onlinedienste
Bestimmungen für Onlinedienste ADV-Vertrag Microsoft Ireland Operations Ltd.
Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht
Kunde in München
Vertrag T-Systems Kunde Treuhand Vereinbarung • ADV zwischen Kunde und TSY • Zugangs/Zugriffskontrolle
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 15
Zulässigkeitsprüfung bei der deutschen Cloud Vertragswerk MS - Kunde Struktur der Microsoft Cloud Verträge Volumenlizenzvertrag Bestimmungen für Onlinedienste
Vertrag mit Unterauftragsverarbeiter
ADV-Vertrag
Subunternehmer der Microsoft Corp.
entsprechend Klausel 11 der EU-Standardvertragsklauseln vom 05.02.2010
Microsoft Ireland Operations Ltd.
EU-Standardvertragsklauseln für Auftragsverarbeiter vom 05.02.2010
Microsoft Corp. Bestimmungen für Onlinedienste
Nur für Transfers soweit TSY den Zugriff im Supportfall zulässt.
Hierzu Schreiben Art. 29Datenschutzgruppe vom 2. April 2014 → siehe Vortrag Microsoft
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht
Kunde in München
Vertrag T-Systems Kunde Treuhand Vereinbarung • ADV zwischen Kunde und TSY • Zugangs/Zugriffskontrolle
Februar 2017 16
Zulässigkeitsprüfung bei der deutschen Cloud Vertragswerk MS - Kunde Microsoft Cloud Verträge im Konzern Volumenlizenzvertrag Bestimmungen für Onlinedienste ADV-Vertrag
Subunternehmer der Microsoft Corp. Microsoft Ireland Operations Ltd.
Töchter des Kunden Microsoft Corp. EU-Standardvertragsklauseln für Auftragsverarbeiter vom 05.02.2010
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Zusatzvereinbarung, dass Kontrolle auf Trustee übergeht
Kunde in München
Vertrag T-Systems Kunde Treuhand Vereinbarung
Februar 2017 17
Prüfungsvorgehen deutsche Cloud
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 18
Prüfungsvorgehen Vorgehensweise bei einer Beauftragung
Schritt 1 10-Punkte Katalog (plus EU-Standardvertragsklauseln) (in Art 28 Abs. 3 DSGVO ähnlich)
Schritt 2
Schritt 3
sorgsame Auswahl (~ Artikel 28 Abs. 1 DSGVO)
Schriftlicher Vertragsschluss (Artikel 28 Abs. 9 DSGVO - auch elektronisch)
Prüfung Datensicherheit (ggf. auch nach Artikel 28 Abs. 1 DSGVO)
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 19
Prüfungsvorgehen Vertragsschluss: ADV-Vertrag (Schritt 2): Mapping Aufgabe:
Gegenüberstellung der gesetzlichen Anforderungen mit den vertraglichen Regelungen
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 20
Prüfungsvorgehen Vertragsschluss: ADV-Vertrag (Schritt 2) Gesetzliche Anforderungen (Auswahl) (§ 11 Absatz 2 Satz 2 BDSG)
• Festlegung technischer und organisatorischer Maßnahmen Abhängigkeit vom Einsatzzweck Spannungsverhältnis bzgl. der Detaillierung der Beschreibung: Flexibilität Provider & Datensicherheit vs. Transparenz
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 21
Prüfungsvorgehen Vertragsschluss: ADV-Vertrag (Schritt 2) Gesetzliche Anforderungen (Auswahl) (§ 11 Absatz 2 Satz 2 BDSG)
• Weisungsbefugnis Spannungsverhältnis Konzept der Weisungsgebundenheit standardisiertem Service MS Online Service Terms: Vertragswerk = "vollständigen und endgültigen Weisungen des Kunden“ Kunde hat über Admin-Rechte und Portal unmittelbare Kontrolle über die Daten
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 22
Prüfungsvorgehen Prüfung Datensicherheit (Schritt 3)
• soweit erforderlich von der Einhaltung der getroffenen technischen und organisatorischen Maßnahmen beim Auftragnehmer zu überzeugen (§ 11 Abs. 2 Sätze 4 und 5 BDSG) • mögliche Optionen Eigenaudit, Fremdaudit (= Zertifizierungen) oder Eigenerklärung
• „Zusammenfassungsbericht“ nach ISO 27001, 27018 • Abänderung gemäß Standardvertragsklauseln in Eigenaudit • Abgleich der Berichtsinhalte mit vertraglich vereinbarten Maßnahmen
• Das Ergebnis ist zu dokumentieren.
Microsoft Cloud Services – Datenschutzrechtlicher Rahmen der deutschen Cloud PwC Legal
Februar 2017 23
Ihre Fragen Dr. Jan-Peter Ohrtmann Rechtsanwalt Partner, IP/IT-Recht PwC Legal Tel. +49 211 981-2572
[email protected]
© 2016 PricewaterhouseCoopers Legal AG Rechtsanwaltsgesellschaft. Alle Rechte vorbehalten. In diesem Dokument bezieht sich „PwC“ auf die PricewaterhouseCoopers Legal AG Rechtsanwaltsgesellschaft, Frankfurt am Main, die eine Mitgliedsgesellschaft der PricewaterhouseCoopers International Limited (PwCIL) ist. Jede der Mitgliedsgesellschaften der PwCIL ist eine rechtlich und wirtschaftlich selbständige Gesellschaft.