Page 147

IT Guide 2017

Legal Toolbox STANDARD Nutzungsvertrag Cloud Privacy Check (CPC) Datenschutzrechtliche Anforderungen, die ein Kunde vor der Nutzung von Cloud-Services einhalten muss. CPC Personenbezogene Daten Sind personenbezogene Daten in irgendeiner Weise betroffen? Drittzugriff Werden Personendaten dem Cloud-Anbieter zugänglich oder bearbeitet er diese? SaaS PaaS IaaS Outsourcing Managed Services Hosting Support Housing ohne Zugriff auf Daten Support strukturiert und in der gleichen juristischen Sprache Grenzüberschreitende Aspekte abgefasst sind. Die kleinen Abweichungen, von denen ich gesprochen habe, sind dabei jeweils orange markiert. Wie wollen Sie mit dem CPC nun fortfahren? Wir haben jetzt ein internationales Netzwerk mit Anwaltsfirmen in über 30 Ländern aufgebaut, und der CPC ist in 26 Sprachen frei verfügbar. Dieses Informationsportal soll Menschen dabei helfen, ganz einfach und schnell Datenschutzrecht verstehen und anwenden zu können und viele Länder zu vergleichen. Die CPC-Website soll das wichtigste Informationsportal in Datenschutzfragen werden. Wir werden die neue Europäische Datenschutzrichtlinie integrieren, die wichtigsten Fragen von Unternehmen beantworten und laufend MIT BEZUG ZUM DATENSCHUTZRECHT Vereinbarung betreffend Auftragsdatenverarbeitung Maßnahmenpaket „Unterauftragnehmer“ Maßnahmenpaket „Grenzüberschreitung“ Mitteilungen zur Erhöhung der Transparenz Verlassen Daten das Land des Kunden? Nein Ja + + Unterauftragnehmer Sind irgendwelche Unterauftragnehmer involviert? Nein Ja Keine weiteren Maßnahmen unter diesem Prüfschritt. + + + sachverhaltsspezifisch die wichtigsten Themen verständlich und kostenlos aufarbeiten. Ist der CPC auch für größere Kunden mit eigenen Rechtsdiensten geeignet? Ja. Die Verwendung des CPC sollte jedoch gut mit dem internen Rechtsdienst abgestimmt werden. Man darf nicht vergessen, dass der CPC eine vollständige juristische Bewertung nicht ersetzen kann. Für eine solche sind die internen Rechtsabteilungen zuständig. Diese kennen die Herausforderungen des eigenen Unternehmens meist am besten. Wenn der CPC aber früh im Prozess mit dem internen Rechtsdienst besprochen wird, kann er helfen, auch innerhalb des Unternehmens eine gemeinsame Sprache für Datenschutzfragen zu finden. cloudprivacycheck.eu 2017 IT- & TELEKOMMUNIKATIONS-GUIDE 147 Infografik: Dr. Tobias Höllwarth, Dr. Christian Laux Inhalt: Dr. Jens Eckhardt, Dr. Christian Laux, Dr. Clemens Thiele Design: Jami Rae Dennis © 2015 EuroCloud Austria 1 Nein Die Analyse endet hier. Ja Weiter mit Prüfschritt 2 „Personenbezogene Daten“ oder „Personendaten“ sind alle Informationen über eine bestimmte oder bestimmbare natürliche Person („betroffene Person“). Als bestimmbar wird eine Person angesehen, die direkt oder indirekt identifiziert werden kann, insbesondere durch Zuordnung zu einer Kennnummer oder zu einem oder mehreren spezifischen Elementen, die Ausdruck ihrer physischen, physiologischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind. Beispiele von Personendaten: - IP-Adressen (wie sie von Servern im Rahmen von http-Abrufen gesammelt werden) - Daten über einen Mobiltelefonvertrag oder über Stromrechnungen (Informationen, die zum Ausdruck bringen, womit der Nutzer belastet werden wird) Manchmal ist es schwer zu bestimmen, ob personenbezogene Daten vorliegen. Anonymisierte Information fällt nicht in den Anwendungsbereich der Datenschutzgesetze. Forscher konnten jedoch nachweisen, dass gewisse anonymisierte Daten deanonymisiert werden könnten, wenn man nur genügend Know-how dafür besitzt und den notwendigen Aufwand betreibt. Das Risiko der Deanonymisierung ist jedenfalls gestiegen. In Kürze: Je stärker ein Datensatz geeignet ist, deanonymisiert zu werden, desto mehr muss man im Rahmen einer Analyse davon ausgehen, dass es sich bei einem Datensatz tatsächlich um eine personenbezogene Angabe handelt. 2 Nein Die Analyse endet hier. Ja + Weiter mit Prüfschritt 3 Punkt der Änderung mit Zugriff des Cloud-Dienstleisters auf Kundendaten Zero Out ohne Zugriff des Cloud-Dienstleisters auf Kundendaten 3 + Weiter zu Prüfschritt 4 Weiter zu Prüfschritt 4 Die Regeln zur Umsetzung des Maßnahmenpakets Grenzüberschreitung sind von Land zu Land verschieden. Die Analyse für Deutschland, Österreich und die Schweiz ist wie folgt: 1) Wenn der Cloud-Dienstleister (CSP) „keinen“ Bezug zu einer Rechts- ordnung außerhalb der EU / des EWR hat, dann sind keine zusätzlichen Maßnahmen erforderlich. Im vorliegenden Kontext heißt „kein Bezug“, dass der CSP weder Geschäftssitz noch IT-Infrastruktur außerhalb des EU/EWR-Raums hat und auch nicht von außerhalb des EU/EWR-Raums auf Daten des Kunden zugreift. 2) Wenn der CSP in einem Land außerhalb des EU/EWR-Raums tätig ist, dieses Land aber als eines mit gleichwertigem Schutzniveau anerkannt ist (z. B. Kanada, Israel, Schweiz, Uruguay), dann sind keine zusätzlichen Maßnahmen zu ergreifen. 3) Wenn der CSP nicht in die Kategorie (1) oder (2) fällt, sind weitere Massnahmen nötig: Vorgehen nach den EU Standardvertragsklauseln, Binding Corporate Rules (BCR’s) oder Genehmigung (unter europäischem Datenschutzrecht ist die Genehmigung bei der Datenschutzbehörde einzuholen; in der Schweiz bei der betroffenen Person). Der Auslandsbezug kann die Analyse betreffend Unterauftragnehmer beeinflussen: 1) Die Umsetzung des Maßnahmenpakets unter Prüfschritt 3 soll geprüft werden. 2. Die Weiterleitung von Daten kann unter den EU Standardvertragsklauseln mit Sub-Processor-Klausel geregelt werden. Für gruppeninterne Weiterleitung können Binding Corporate Rules (BCR’s) eingesetzt werden. 4 Das Maßnahmenpaket „Unterauftragnehmer“ kann sich an den Cloud- Kunden sowie an den Unterauftragnehmer richten: 1) Maßnahmen zwischen dem Cloud-Service-Provider (CSP) und dem Cloud- Kunden: a) Vereinbarung betreffend Auftragsdatenverarbeitung b) Die Maßnahmen gemäß Prüfstufe 3 sind erforderlich, wenn der Unterauftragnehmer einen relevanten Bezug zum Ausland hat. c) Der Kunde muss angemessen über den Beizug von Unterauftragnehmern informiert sein. 2) Maßnahmen, die im Verhältnis zwischen dem Cloud-Service-Provider (CSP) und dem Unterauftragnehmer greifen: Der CSP muss seine Pflichten aus der Auftragsdatenverarbeitung an den Unterauftragnehmer weitergeben. 3) Maßnahmen, die im Verhältnis zwischen dem Cloud-Kunden und dem Unterauftragnehmer greifen: Eine im Direktverhältnis vereinbarte Vereinbarung betreffend Auftragsdatenverarbeitung kann die Compliance verbessern. Datenschutzrelevanz Datenschutzrechtliche Maßnahmen Transparency, Security, Reliability An Initiative of EuroCloud Die kostenlose Onlineplattform erläutert 32 unterschiedliche europäische Datenschutzgesetze in verständlicher und vergleichbarer Form. Fotos: Eurolawyer®, cloudprivacycheck.eu


IT Guide 2017
To see the actual publication please follow the link above