Tag Archives: Recht

GDPR compliant für die Microsoft Cloud

Die Microsoft Cloud erfüllt nun die General Data Protection Regulation (GDPR). Diese entstand im Rahmen des Digital Single Market Strategie der EU Kommission und ist die bedeutendste Änderung des Datenschutzrechtes mit der DSGVO der Europäischen Union in den letzten zwei Jahrzehnten.

Die Umsetzung und Gültigkeit der GDPR beginnt mit dem 25. Mai 2018.

Microsoft verpflichtet sich mit der Microsoft Cloud GDPR kompatibel zu sein und unterwirft sich den Regelungen. Mit der Microsoft Cloud ist nicht eine spezielle Microsoft Cloud wie jehe in Deutschland gemeint, sondern die Microsoft Cloud insgesamt, also Global, Europa und Deutschland.

Die GDPR ist für Microsoft ein Teil der ganzheitlichen Cloud-Compliance Investitionen. 

Continue reading

Buchtipp – Cloud Computing 2016

9783406645907_large

Titel: Cloud Computing

Herausgeber: Prof. Dr. Borges (Uni Saarbrücken) und RA Meents

Autoren: 16 Stück aus der Wirtschaft, z.B. Prof. Nolte von Freshflieds Bruckhaus Derringer LLP

Seiten:734

Verlag: CH. Beck Verlag München

Preis: 136 Euro

Jahr: 2016

Zielgruppe: Praktiker und Wissenschaftler aus dem Bereich der Rechtswissenschaften bis hin zum Datenschützer

Continue reading

Vorträge der Cloud- und Datacenter 2016 in Düsseldorf online abrufbar

ch9CloudConference2016

Einige Wochen ist es her und gefühlt war es gestern, als Carsten Rachfahl mit seiner Frau Kerstin und ihrer Firma der Rachfahl IT die erste Cloud und Datacenter Konferenz auf die Beine gestellt haben. Ich berichte schon auf meinem Blog davon.

Nun sind alle Vorträge auf dem Microsoft Video-Channel ch9 abrufbar:

https://channel9.msdn.com/Events/community-germany/Cloud–Datacenter-Conference-Germany-2016?sort=sequential&direction=desc&page=3#theSessions

 

 

Auch mein Vortrag ist abrufbar. Es ist immer sehr interessant sich selber zu sehen und die Perspektive zu wechseln:

ch9CloudConference2016_2

Link: https://channel9.msdn.com/Events/community-germany/Cloud–Datacenter-Conference-Germany-2016/Aktuelles-rund-um-das-Recht-bei-Private-und-Public-Cloud-Computing

Open Community Day 2016 – Recap

Der Open Community Day 2016 wurde von Microsoft Deutschland, bzw. den Förderprogrammen: Microsoft Student Partners, TechConnect und MVP veranstaltet. Rund 150 Community Mitglieder und 30 ImagineCup Teilnehmer und Juroren hatten drei, bzw. zwei schöne und informationsreiche Tage in München bei Microsoft Deutschland.

Neben vielen Vorträgen von Demonstrationen über reine technische Vorträge bis hin zu strategischen Diskussionen und einem Erfahrungsaustausch war wieder Mal alles dabei. Vielen Dank an Katrin und Isabell für die Organisation und die Zusammenstellung der Inhalte. Am Abend des Community Open Day gab es auch wieder ein gemeinsames Essen und

Mein Vortrag zum Thema Recht in der Community findet ihr hier: (folgt in Kürze)

 

Ein paar Bilder findet ihr hier:

OCD167 OCD16 OCD16_1 OCD162 OCD163 OCD164 OCD165 OCD166

ShareConf Session ist nun online abrufbar – Cloud Law

Cloud-Vortrag

Seit heute ist auch meine Session von der ShareConf in Köln online verfügbar. Meine Session wurde professionell seiner Zeit aufgezeichnet und ist nun im Microsoft Channel abrufbar.

Titel: Entwicklung für und in der Cloud – rechtliche Aspekte in Softwareprojekten

Im Rahmen dieses Vortrages im Level 100-200 bin ich auf die Basis des rechtlichen Schutzes bei Softwareentwicklungen eingegangen. Ich plane in einem weiteren Vortrag konkret auf Lizenzhinweise im Quelltext, Tools, wie auch besondere Hinweise beim Cloud Computing einzugehen. Eine besondere Problematik liegt in der Überlassung der Cloud Dienste im Rahmen dessen der Entwickler besonderes Customising oder auch Plugins erstellt. Diese funktionieren natürlich nicht mehr, wenn der darunter liegende Cloud Dienst nicht mehr läuft.  Ebenso darf man nur Plugins und Erweiterungen im Rahmen der Nutzungsbedingungen des Cloud Dienstes erstellen.

Link:

https://channel9.msdn.com/Events/community-germany/ShareDev-Cologne-2015/Entwicklung-fr-und-in-der-Cloud-rechtliche-Aspekte-in-Softwareprojekten

juristische Checkliste zur AzureNutzung

Eigentlich bin ich kein Freund von Checklisten, denn diese geben einem Anwender das trügerische Gefühl von Sicherheit. Eine Checkliste ist nur so gut, wie sein Anwender oder anders ausgedrückt: Eine Checkliste hilft nur keine groben Fehler zu machen.

Dennoch würde ich euch eine nicht absolut abschließende Checkliste mit Ergänzungen bezogen auf den CloudDienst Azure präsentieren. Diese werde ich mit der Zeit immer wieder aktualisieren, so dass ihr zum Beispiel gut vorbereitet zu eurem Rechtsanwalt des Vertrauens gehen könnt. Denn neben den technischen Problemen, müssen leider oft zunächst die rechtlichen Gegebenheiten geklärt werden.

 

 

Definition von Cloud Computing
Was CloudComputing ist, muss ich dem Publikum des Azure Adventskalender nicht erläutert, diesen Punkt lasse ich damit außen vor.

Beispiel:
Der A ist Geschäftsführer der Firma K und überlege sich über Azure einen neuen CloudDienst für Softwareentwickler anzubieten. Dieser CloudDienst soll die Kommunikation zwischen den Kunden und dem Entwickler/Team verbessern, denn die Vorurteile der Kunden wiegen schwer: das Projekt wird nie rechtzeitig fertig, die verstehen uns eh nicht, absolut überteuert, das kann doch nicht so schwer sein drei Apps für drei Plattformen zu bauen usw. Durch den Dienst soll mehr Transparenz geschaffen werden. Die üblichen Entwicklertools wie ein TFS oder Gidhub sind für Kunden oft zu schwer zu verstehen.

 

 

0. Vorüberlegung
1. Konkretisierung des Konzeptes
2. Prozesse auf Basis gegebenen technischen Möglichkeiten graphisch darstellen
3. ersten Prototypen erstellen

Bis hierhin (3.) läuft es nach dem üblichen Schema einer Projektplanungsphase ab, die wir es unserer Erfahrung her normalerweise auch machen würden. Mehr zur Projektplanung gibt es zum Beispiel auf dem Blog meines Projekt MVP Kollegen Torben Blankertz.

zusätzliche Punkte in der Planung:
2.2: Gesellschaftsform? Angestellte vorhanden? // zukünftige Gesellschaftsform? (Hintergrund: z.B. Arbeitnehmererfindungsrechte)
2.3: Prozessablauf hin auf Datensicherheit und Datenschutz prüfen
Beispielsfragen:
Datensicherheit: Wie werden die Daten vom Kunden auf unsere verschlüsselten Server (Azure) übertragen? Welche Daten werden von wo nach wo übertragen? Ab wann sollten die Daten verschlüsselt werden ? (Achtung: Verarbeitung verschlüsselter Daten ist nicht möglich)
Datenschutz: Welche Daten werden verarbeitet? Wenn personenbezogene Daten verarbeitet werden, welcher Erlaubnistatbestand ermöglicht dies? (Erlaubnistatbestände: Einwilligung des Betroffenen, gesetzliche Erlaubnistatbestände des BDSG oder anderer Rechtsvorschriften gemäß § 4 Abs. 1 BDSG), Wer hat wie Zugriff?, Wer kontrolliert unabhänig durch Audits?

§ 4 BDSG ist bezüglich der Datenverarbeitung deutlich:
“Denn jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten muss von einem Erlaubnistatbestand gedeckt sein.” (Hilber, Cloud Computing, Teil 4, Rn. 41)

Zusammengefasst, sollte man schon vor der Erstellung eines Prototypen sich einen möglichst genauen Plan machen, wie die Software welche Daten wie und wo verarbeitet. Diese Aufstellung könnt ihr entsprechend zu eurem Juristen euer Wahl mitnehmen.

1. Wahl des Clouddienstes

Der Auswahl des Cloud-Dienstes ist der erste essenzielle Punkt. Denn der Auftraggeber muss den Cloud Anbieter softfaltig auswählen so sagt es § 11 Abs. 2 BDSG. Als Kriterium bezeichnet werden die technische und organisatorischen Maßnahmen. Dies gilt für K als zukünftigen Betreiber eines Dienstes, auf fremden Servern, aber auch für die zukünftigen Kunden, die einen Dienst bei K einkaufen. Die Kette darf nicht unterbrochen werden und muss dokumentiert sein.

2. schriftlicher Vertrag
Der Vertrag zwischen dem CloudDienst Anbieter und den Kunden muss schriftlich geschlossen werden. Das sogenannte Schriftformerfordernis ergibt sich aus § 11 Abs.2 S.2 BDSG. Dazu muss innerhalb des Vertrages der Gegenstand dessen, sowie die Dauer klar vereinbart weden. Weiterhin muss die Art der Daten und der Kreis der Betroffene und letztlich auch der Zugriff und die Zweckbestimmung genau bestimmt sein (Abs. 2.).

Auftragsdatenverarbeitung (ADV) – Vertrag
Ein ADV Vertrag ergänzt die oben genannten Punkte verpflichtend um die Vereinbarung über die technischen und organisatorischen Maßnahmen (§9 BDSG), die Pflichten des Auftragsgebers (Kontrollen), die Vorgaben zur Berichtigung, Löschung und Sperrung der Daten, sowie die Berechtigung zur Begründung von Unterauftragverhältnissen, die Kontrollrechte des Auftraggebers und dessen entsprechende Duldungs- und Mitwirkungspflichten durch den Auftragnehmer. Letztes sollte durch Dritte überprüfbar sein, Microsoft Azure bietet diesbezüglich wie Office365 auf Anfrage an, dass Unterlagen des aktuellen Audits an die Kunden versandt werden. Diese muss A auf Anfrage auch seinen Kunden wiederrum vorlegen können.

Weisung und Mitteilungspflichten
Ebenso muss festgehalten werden wer weisungsbefugt ist und wie die Mitteilungspflichten von Verstößen des Auftragnehmers und der bei ihm beschäftigten Personen definiert sind.

Microsoft bietet bei Azure sogenannte Mitteilungspflichten an und informiert den Kunden über Störungen und Vorfälle. Dieses Verfahren wird durch Externe, bzw. Audits externer geprüft.

Verträge:
ADV & Nutzungsvertrag mit Microsoft Ireland
EU Modelclauses mit Microsoft Corp

Ende des Vertrages
Es muss eindeutig geklärt werden, was beim Ende des Vertrages passiert. Demzufolge muss deutlich sein, was mit den Daten passiert, wer diese löscht und auch was mit den Datenträgern im Anschluss passiert.

Bei Microsoft Azure können die Daten eigenhändig extrahiert und dann auch Datenträger gelöscht werden. Microsoft selber verpflichtet sich diese verschlüsselten Datenträger nicht zu entsorgen, aber nachhaltig zu löschen, so dass die Daten nicht mehr verfügbar sind. Bei möglichen defekten von Datenträgern, verpflichtet sich Microsoft diese fachgerecht zu entsorgen, so dass keine Wiederherstellung möglich ist.

3. Prüfung der Datensicherheit

Diese Prüfung muss vom Auftraggeber (also Herrn A) regelmäßig durchgeführt werden. Er ist gemäß §§ 11 Abs. 2 S.4,5 BDSG dazu verpflichtet.

Da er keinen Zutritt zu dem Rechenzentrum selber erhalten kann, bietet Microsoft an auf die angeboteten Untelagen der Audits zuzugreifen und bietet Zertifizierungen wie die ISO 270001 an. Möglich wäre es einen Dritten zu beauftragen, der auf eigene Kosten ein Audit durchführt. Dies muss speziell mit Microsoft geklärt werden. Teilweise sind auch eigene Besuche in dem Rechenzentrum möglich, die aber nur ein Augenschein von Außen alleine durch ISO 270001 sein können. Microsoft entwickelt weiterhin Funktionen wie FortKnox, die Security by default gewährleisten sollen.

Microsoft: ISO 270001, SAS 70 II/IDW PS 951, SOC3 Zertifikat, Eigenaudit auf Wunsch

Kommentar:
Als Hauptproblem sehen die Datenschutzbeauftragen und auch ich die Kontrolle durch den Auftraggeber. Aber man sollte dem Cloud Computing auch in dem Sinne entgegen kommen, dass die klassischen Mechanismen nicht funktionieren können. Der Auftraggeber und auch der Auftragnehmer (Microsoft) können gerade durch Security by default Maßnahmen nicht immer zu 100% wissen, wo die konkreten Daten liegen. Die definierte totale Kontrolle fehlt. T-Systems kauft Festplatten pro Kunde ein und die Daten des Kunden liefen nur auf diesen Platten. Rechtlich gesehen sind diese damit gut zu identifizieren, aber sicherer sind diese so nicht. Außerdem ist ein Zugriff der Behörden wesentlich leichter.

Diese Diskussionen über die Kontrolle des Auftraggebers und derartige Probleme kamen erstmals mit dem Beginn des Outscouring von Leistungen an Arbeitnehmer von Subunternehmen auf. Die Lösungen sind aber im technischen Bereich nicht 1 zu 1 zu übernehmen. Es muss und wurde ein Mittelweg von Microsoft gefunden. Dieser ist meiner Meinung nach noch nicht der goldene Weg, aber diesbezüglich muss der Gesetzgeber zunächst handeln.

Der diesjährige Entwurf EU Grundverordnung liegt aktuell in der Verhandlung und ich hoffe, dass diese EU einheitlichen Regelungen schnellstmöglichst in Kraft treten. Es könnte so möglich werden, dass auch ein deutscher Datenschutzbeauftrage sich selber ein Bild machen kann, da er Befugnisse in ganz Europa durchsetzen kann.

A. Durchführung

a) Zulässigkeit
aa) Ist die Weitergabe von Daten an Azure zulässig? Zulässigkeit bei Vorliegen von Erlaubnistatbeständen.
bb) Ist es zulässig, dass die Daten außerhalb der EU verarbeitet werden?
Zulässigkeit bei: angemessenes Datenschutzniveau §§ 4b, 4c BDSG). Dies bedeutet, dass in dem Land ein angemessenes Datenschutzniveau herrscht. Die EU-Kommission führt eine Liste in denen neben allen EU Ländern, Länder wie die Schweiz oder auch Kanada genannt werden.
b) Schutz bei Drittlandtransfers (bei Hosting ausserhalb der EU)
Die USA erhält die Zulässigkeit über das Safe Harbour Abkommen mit der EU. Das US Handelsministerium prüft die Firmen in den USA und vergibt entsprechend die Zertifizierung eines angemessenen Datenschutzniveaus. Es wird jedoch empfohlen und ist in Deutschland auch nötig, dass eine ADV, also eine Auftragsdatenverarbeitungsvertrag mit dem Diensteanbieter angeboten wird. Diese ADV finden wir beispielsweise bei Office365 unter optionalen Vertragsergänzungen. Dies müsste ich, wenn ich bei Azure hoste einmal im Verhältnis zu Microsoft haben und dann auch meinen Kunden im Verhältnis zu mir anbieten.

c) Zweckbindung/Verwendungsbeschränkung
Es muss genau festgehalten werden, wie der Zweck des Dienstes ist und damit einher geht eine Verwendungsbeschränkung von Daten. Bei sensiblen Daten wie Sozialversicherungsdaten müssen ebenso gesonderte Vorschriften beachtet werden. Diese Zweckbindung tritt im Verhältnis von Microsoft zu der Firma K und der Firma K zu deren Kunden ein.
d) Transparenz
Alle Vorgänge und Prozesse müssen transparent gemacht werden. Alle Mitarbeiter müssen informiert werden und dies gegenzeichnen. Dafür müssen Prozesse aufgesetzt und etabliert werden.

Dieser Punkt wird von vielen Datenschutzbeauftragen gegenüber Microsoft Azure, aber auch gegenüber vielen anderen neuen und alten Cloud Diensten bemängelt. Ich selber habe mir neuere e-Dienste in Deutschland angeschaut, auch diese sind sehr intransparent. Auch Anrufe und die Bitte um Informationen wird verweigert.

Microsoft bietet diesbezüglich zum Beispiel bezogen auf Anfragen von Behörden einen Transparenzbericht an, den sich jeder jährlich downloaden kann. Diese Bericht beinhaltet immer alle Anfragen bezügich der CloudDienste.
e) Datensicherheit

siehe oben
f) Rechte der Betroffenen

Dieser Punkt ist im Bezug auf die Regelungen zwischen Microsoft und der Firma K, sowie zwischen der Firma K und den zukünftigen Kunden zutreffen. Microsoft bietet hierzu EULA, ADV und EU Standardvertragsklauseln an, die dem europäischen Datenschutz genügen stelle unweit die Artikel 29 Arbeitsgruppe der EU fest. Leider konnte ich diesen Bericht selber noch nicht einsehen.

Problematischer wird dieser Punkt in Bezug auf das Innenverhältnis von Unternehmen. Ein aus meiner Sicht nicht zufriedenstellender Punkt wäre die Erhebung und Verarbeitung von E-Mail Daten. In unserem Fall wären es Kommunikationsdaten der Angestellten des K oder der Angestellten des Auftraggebers an den K als Auftragnehmer. Nach herrschender Meinung (Simitis, Roßnagel) solle man den Arbeitnehmer nicht fragen, sondern auf die gesetzlichen Erlaubnistatbestände zurückgreifen. Das Argument gegen das einholen einer schriftlichen Einwilligung, die transparenter wäre, ist, dass dann der Arbeitnehmer auch ablehnen könnte. Wenn der Arbeitgeber fragt, dann muss dieser auch eine Ablehnung hinnehmen und darf nicht im Anschluss die Daten dennoch über die gesetzlichen Erlaubnistatbestände verarbeiten. Da schon vor drei Jahren ein Arbeitnehmerdatenschutzgesetz seinen Weg nicht zum Bundespräsidenten gefunden hat, werden wir mit dieser für mich leicht unzufriedenen Rechtslage leben müssen.

 

 

 

 

Erweiterung für spezielle Berufsgruppen, die Geheimnisträger sind. Hier am Beispiel von Rechtsanwälten. Die Regeln wurden von den Autoren des unten unter Quellen zu findenden ebook aufgestellt.

“Regel 1: Daten werden bereits in der Kanzlei verschlüsselt, bevor sie in die Cloud eingestellt wurden.

Regel 2: Es erfolgt keine Speicherung bei Cloud-Anbietern, die außerhalb der EU bzw. des EWR tätig sind, oder bei Cloud-Anbietern, die ganz oder teilweise ihre Cloud-Server außerhalb der EUbzw. des EWR betreiben.

Regel 3: Mit der Cloud wird nur über verschlüsselte Verbindungen kommuniziert.

Regel 4:  Cloud-Computing befreit nicht von der Notwendigkeit, Daten zu sichern. Es muss stets dafür Sorge getragen werden, dass funktionierende Datensicherungen verfügbar sind.

Regel 5: Vor Nutzung einer Cloud-Lösung und danach regelmäßig müssen Sie sich von den zum Schutz der Daten getroffenen organisatorischen und technischen Maßnahmen beim Cloud-Anbieter überzeugen. Lassen Sie sich Zertifikate vorlegen und vertrauen Sie keinen noch so blumigen Versprechen, was Datenschutz und Datensicherheit angeht.”
Quellen bei Microsoft

Rechtliche Informationen zu Microsoft Azure finden Sie hier:
http://azure.microsoft.com/de-de/support/legal/

Diese Webseite enthält alle wichtigen Informationen in Bezug auf Microsoft Azure.
Bundesdatenschutzgesetz
http://www.gesetze-im-internet.de/bdsg_1990/

Fachbücher zu dem Thema aus dem juristischen Bereich:

Hilber – Cloud Computing – Dr. Otto Schmidt Verlag 2014 – 49 Euro

Heckmann – JurisPraxiskommentar von 2014 – 160 Euro

Härting – Internetrecht – 2014 – 49 Euro

älter: Hoeren – IT Vertragsrecht – 2. Auflage 2012 – 49,80 Euro

Datenschutz und Datensicherheit
ebook für Rechtsanwälte vom Deutschen Anwaltsverein aus Juni 2014

 

Zukunft “Ein neues Fachbuch”
Der Autor arbeitet seit über einem Jahr mit ehemalig Microsoft Press an einem Fachbuch für IT Administratoren in Bezug auf dieses Thema. Dieses soll Mitte 2015 erscheinen.

 

 

 

Google Expertenbeitrag tagte in Berlin

146000 Anträge in ganz Europa bisher beantragt

über 498000 einzelne URLs wurden zur Lösung beantragt

Entfernungsstatistiken: im Bericht täglich veröffentlicht

Recht Abwägung: Persönlichkeitsrecht VS Recht auf Informationsfreiheit

Probleme bei Google bezüglich der Lösung:

einfache Entfernung: Opfer von Gewalt, detaillierte über medizinische Geschichte, beiläufig im Bericht erwähnt

nicht entfernt: pädophile Täter, Politiker

schwere Fälle: wann ist ein Verbrechen abgebüßt, was ist mit freiwilligen Informationen von früher, politische Äußerungen, die geltendes Recht verletzten

Stellungnahmen ohne eigene Bewertung:

1. Frau Zinke: (Verbraucherzentrale Bundesverband)

  • Spannungsverhältnis Datenschutz vs. Informationsfreiheit
  • Wer hat welche Aufgabe? An wen muss sich ein Verbraucher wenden.

Punkt 1:

  • EuGH:
    Faktor Zeit: Situation zum aktuellen Zeitpunkt berücksichtigt
  • es ist schwer feste Zeiten festzulegen, man braucht weitere Kriterien für die Abwägung
  • In welcher Rolle ist die Person, die einen Beitrag löschen lassen will: private Person ?, Bewertung geben? – Information kann entscheidend für die Öffentlichkeit sein
  • Bewertungsportal: anomysieren/Personenname löschen, Information aber zugänglich behalten
  • Rolle: Ebay-Kleinanzeigen, Arzt : Abwägen, aber Interesse der Öffentlichkeit überwiegt! Personen sind öffentliche Personen
  • Frage: wie sensibel ist die Information (BSP: Herkunft, Sexualität) für die Person = Diese Informationen besonders betrachtet werden und in der Privatsphäre, dann Recht der Öffentlichkeit nicht überwiegen
  • also: Kriterien: Informationen in Schubladen einteilen

Punkt 2:

  • EuGH: Immer an den Suchmaschinenbetreiber wenden und dann an die Datenschutzaufsichtsbehörde
  • Verbraucher muss dennoch der Zivilrechtsweg offen bleiben (steht nicht im EuGH-Urteil C-131/12)
  • Verbraucherzentrale rät: immer an den Webseitenbetreiber wenden!
  • effektivster Schutz des Verbraucher bei der Quellenwebseite;
    nur bei der Suchmaschine den Link zu löschen, würde nur die Auffindbarkeit verschlechtern, aber die Beeinträchtigung nicht abstellen

 

 

Herrn Matthias Spielkamp (www.erights.info/Journalist/Reporter ohne Grenzen)

  • Reporter ohne Grenzen: sehr unglücklich über die Entscheidung des EuGH / Sie verteidigen das Recht auf Information und nicht nur die Pressefreiheit!
  • Freiheiten der Bürger werden beschränkt.
  • Grenzen zwischen öffentlichen & privaten Personen ziehen:
    nicht klar zu beantworten! Denn es deutet auf das Problem des Urteils hin. In Europa gibt es eine lange Geschichte der Definitionen dieser Begriffe. Nun wird es Pflicht von Google diese Traditionen zu berücksichtigen.
  • Ein Privatunternehmen muss diese Abwägung übernehmen, dies ist als negativ zu bewerten. Es muss ein Moratorium dafür gegründet werden, dies ist jedoch nicht wahrscheinlich.
  • Journalismus ist heute mehr bis hin zu einem persönlichen Webblog! Auch letztes ist eine journalistische Vorgehensweise und dies muss durch die Pressefreiheit geschützt werden.
  • Eine Liste mit Publikationen wie bei Google News ist nicht alleine hinnehmbar. Es ist egal welche Webseite wir ansprechen.
  • Menschen, die Informationen löschen sollen, müssen sich zuerst an den Verursacher wenden!
  • Gerichte müssen anerkennen: Schutzniveau für die Suchmaschinen als Teil der Informationsfreiheit!
  • Datensatz löschen – Reihenfolge: 1. Suchmaschine 2. Gericht & Herausgeber der Information  3. Datenschutzbehörde
  • WICHTIG: Herausgeber muss in das Verfahren eingebunden werden! Diese müssen Stellungbeziehen können.
  • Keinen Rechtsschutz für Herausgeber, da diese nicht wissen, dass Informationen gelöscht werden. Herausgeber sollten das Recht bekommen gegen die Löschung gerichtlich vorzugehen.
  • Wie sollte man löschen? Nur an lokalisierte Suchmaschinen, da es unterschiedliche Rechtsstands in Nationalitäten gibt. Es muss also ein weltweites Recht zur Löschung geben.
  • repressive Regime: Lösung weltweit entfernen ? = Jemand in China, Russland oder Syrien stellt den Antrag und der Eintrag verschwindet weltweit. Dies ist nicht umsetzbar.

Frage: Werbung von Journalisten? = journalische Vorgehen, nein dies ist so umstritten und neu, dass diese Frage nicht beantwortet werden kann (nativ advertisiung)

Frage: öffentliche Inhaltsabrufer – Definition?  = es gibt keine Definition für öffentliche Personen. Situation ist in Deutschland gut etabliert und bei Gerichten erörtert. Aktuell reden wir über die EU und nicht nur alleine über die deutsche Situation.

Frage: Warum nicht direkt die Datenschutzbehörden ? = Gleichgewicht zwischen den Grundlegenden Rechten der Privatsphäre und der Presse- und Informationsfreiheit. Die Datenschutzbehörden können dieses Gleichgewicht nicht ziehen, denn sie haben nicht die Kompetenz.

Frage: kleine Suchmaschinen = Rahmen für die Löschungsanträge festlegen? Antragsteller müsste sich dann an alle Suchmaschinen einzeln wenden? = Situation gefällt ihnen nicht! Löschen der Informationen soll nicht vereinfacht werden.

Frage: konstruktive Vorgehensweise mit dem Umgang der Anträge in der Öffentlichkeit ? //menschliche Komponente = Google muss den Weg entscheiden. Wer unzufrieden ist muss zu Gericht,. Interessen müssen von Google ausgeglichen werden. Problem = 150.000 Anfragen könnten ein Gerichtssystem eines kleinen Landes überfordern. Wir vertrauen auf Google, solange es keine andere Lösung gibt.

Frage: Wie war die Situation vor und nach dem urteil = Vor dem Urteil, war die Situation besser, denn man wendet sich an den Urheber der Information und dann ans Gericht.

Frage: Unterschied Deutschland zu England bei Veröffentlichungen/Rechte? = Es ist die Regel der grundlegenden Unterschiede, was veröffentlicht werden darf und was nicht.

 

 

Susanne Dehmel (Bitkom, Bereichsleiterin Datenschutz, Juristin)

  • öffentliche und private Person trennen = datenschutzrechtliche Abwägung sagt dazu nicht viel, das Gericht nannte einige Kriterien. Für die Abwägung ist das europäische Presse- und Datenschutzrecht heranzuziehen.
  • Problematik: Abwägung durch die Suchmaschine durchgeführt werden muss: Wirtschaftliche eigene Interessen, Recht des Betroffen und Recht der Öffentlichkeit auf Informationsfreiheit abwägen.  // Auffindbarkeit einer rechtmäßigen Information
  • RSP des Gerichtshofes für Menschenrechte hat Einschränkungen vorgenommen. Absolute und relative Person in der Geschichte wurde gekippt. Die Sicht muss Ereignis bezogen werden und nicht mehr personenbezogen. Es kann keine absolute Einteilung geben!
  • Welche Kriterien den Inhalt einer Seite angehen, sollten bewertet werden? = Format sollte ein Faktor sein, allg. Grundrechtsabwägung müssen alle Fragen beinhalten
  • Information nach Zeitablauf irrelevant ? = Es gibt keine festen Zeiten, es muss variabel gehandhabt werden. Nur im Begehr der Sperrung muss ich es bewerten und kann zum Beispiel nicht für die Zukunft bewerten.
  • Die Art der Quelle (Blog, Regierung usw.) ist weniger relevant bei dem Betroffeneninteresse, aber für den Abwägungsvorgang, welche Reichweite hat die Seite auch ohne die Suchmaschine. Die zusätzliche Reichweite der Suchmaschine hat diesbezüglich keinen großen Einfluss, anders bei kleinen Webseiten.
  • Wertungswidersprüche zu erzeugen, ist der Webmaster das erste Mittel der Wahl. Nur er kann die Information am effektivsten und schonendsten abstellen.  In Fallen der Eingriff des Betroffenen durch mehrere Quellen entsteht, dann wird wohl die Suchmaschine erste Stelle sein müssen. Die Gerichte und Datenschutzbehörden sollten für Beschwerden Ansprechpartner sein und Publisher sollten informiert werden, um ihre Rechte geltend machen zu können!

 

  • Frage: Google soll und muss alleine entscheiden?  Frage: Wann sollte ein Webmaster informiert werden, damit eine Abwägung stattfinden kann? Antwort: Google muss die Abwägung selber treffen und muss den Publisher nicht informieren, so der EuGH. Im Nachgang muss der Publisher informiert werden, die nicht auf dem Urteil steht.
  • Frage: öffentliche Person, nicht öffentliche Person ? Die Links bleiben bei öffentlicher Person bestehen. Was ist wenn die Information nichts mit der Person zu tun hat? Und wenn die Person nicht mehr öffentlich ist, dann muss gelöscht werden? Antwort: Auch bei einer öffentlichen Figur, kann nicht gewertet werden. Es muss gewertet werden, ob die Information vom öffentlichen Interesse ist. Auch bei Zeitablauf, muss gewertet werden, dass eine Öffentlichkeit hängen bleibt, z.B. geschichtlich.
  • Frage: Suchmaschine muss Urheber der Information informieren? Information auf anderer Webseite öffentlich machen und so Umgehung der Löschung? Antwort: Aus dem Urteil ist es nicht ersichtlich. Mit der Datenschutzbrille: Es ist notwendig auch den Urheber zu informieren, um Grundrechte wahren zu können, auch wenn es die Gefahr der Verbreitung für den Betroffenen steigert.
  • Frage: Abwägung : Allgemeines Interesse oder nicht? – Was ist ein journalistischer Akt? Antwort: Teil der Sorgfaltspflicht von Journalisten, die die Suchmaschine nun erfüllen muss. Die Abwägung muss eigentlich beim Publisher erfolgen und muss ihre eigene Rolle mit einbeziehen.
  • Frage: Urteil als Anlass, ob Suchmaschinenbetreiber mehr sind als Intermediäre von Informationen ? Suchmaschinen als Teil der Informationsbeschaffung für Journalisten? Mehr als Zugang zu Informationen? Antwort: Suchmaschinen sind nur Intermediäre. Der Vorgang, der Abläuft ist relevant für alle Bereiche/Ebenen. Zusätzliche Aufgaben der Suchmaschine ergeben sich aus dem Urteil, aber nicht originär in der Tätigkeit der Suchmaschine angelegt.

 

Niko Härting (Rechtsanwalt)

  • Beispiel: Hosenriss in der Vorlesung
  • Recht auf vergessen = naturrechtliches Hirngespinnst, kein Recht auf Vergessen, kein Fan des EuGH Urteils
  • Privacy by Default bei Onlineplattform ok, aber hier eher eine Zensur
  • Empfehlungen für Google:

1. Im Zweifel löschen! Urteil: Löschen ist die Regel und behalten die Ausnahme. Google sollte nicht verzerrte Balance herstellen. Google eignet sich nicht als Richter der freien Netzkommunikation. Dies ist Aufgabe der europäischen Gesetzgebung. Google würden sich übernehmen, wenn es dies versucht. Google Spain darf sich nicht wiederholen!
2. Don´t share! Weder Verlag noch der Autor kann von Google verlangen gefunden zu werden. Kein Rechtsanspruch auf Aufnahme in die Suchergebnisse. Kein Rechtsanspruch auf Kenntnis der Löschung eines Ergebnisses.
Es ist überaus fraglich, ob Google überhaupt informieren darf. Dies wäre streng genommen auch ein Verstoß gegen das Datenschutzrecht. Es gibt im EU Recht keine Gegenrechte! Google darf auch nicht gemeinsame Verfahren schaffen, wenn die Informationen kreuz und quer gehen.

3. territorial Denken! Jedes Land hat eigene Vorstellungen und Gesetze was privat ist und was nicht. Balance ist auch juristisch unterschiedlich zu bewerten. 28 andere Regeln! Löschanträge geolokal zu behandeln. Gerichte haben immer das letzte Wort. Löschungsanspruch endet an der spanischen Grenze! Löschung nur innerhalb von Google in Spanien nicht weltweit.

  • öffentliche gegen Privatperson = dt. Recht nicht relevant, es geht um die Aktivitäten
  • öffentliches Interesse = keine Beschränkung auf bestimmte Plattformen
  • Es kommt immer an das Datensubjekt an.
  • Informationen haben die Verleger kein Recht auf Informationen und kein Recht sich an Gerichte zu wenden.
  • Alterativen: Google muss die Anträge nicht bearbeiten, sondern der EuGH sagt, dass es nur Löschung gibt.

 

  • Frage: Internet möglich ist zu sagen, dass Informationen national begrenzt gehalten werden? gesetzlich ist es möglich, aber technisch nicht oder?  Antwort: Dies ändert nichts an der Rechtslage. Wir brauchen eine Entscheidung aus Brüssel. Für jeden müssen gleiche Rechte gelten.
  • Frage: im Zweifel löschen! möglichst schnell EU Datenschutzgesetzgebung vorzunehmen? Richtige Standort? richtiges Gesetzesvorhaben? Antwort: Urteil zeigt, Datenschutz regelt auch die Kommunikation! Daten sind der Rohstoff der Kommunikation. Man schränkt automatisch die freie Kommunikation ein. Bislang wurde es stiefmütterlich beachtet. (Artikel 80) Man kann beides nicht trennen. BGH Richter Masing = jede Form des Datenschutzrecht ist Kommunikationsregulierung.
  • Frage: Was soll in die Gesetzgebung? Antwort: Es sollte rein eine sehr sehr weite Definition, die unter Journalismus fällt (Medienprivileg). Das kardinale Problem ist, dass Datenverarbeitung zunächst mal verboten ist = Also ein grundlegendes Verbot von Kommunikation!
  • Frage: Suche auf Grundlage eines Namens ? Antwort = keine
  • Frage: Im Zweifel löschen = Softwareentwicklung zur Löschung. Schlussfolgerung scheint nicht gut zu sein oder? Prämisse stimmt nicht! Antwort: Ratschlag, dies ist das was der EuGH geurteilt hat. Also müsste der EuGH unrecht hat.

Moritz Karg (Jurist, Vertreter des Datenschutzbeauftragen in Hamburg)

  • Engagement von Google zur Umsetzung des Urteils wird wert geschätzt.
  • nationales Datenschutzrecht ist durch internationale Konzerne zu beachten
  • Kein Urteil zum Recht auf Vergessen! Sondern das Recht einer Einzelperson auf Widerspruch der Verarbeitung seiner Daten einzulegen.
  • Anwendung des Urteils muss eng angewendet werden. Keine Anwendung auf Wikipedia, nur auf Suchmaschinenbetreiber. = Dienstanbieter mit Informationen auf Drittanbieter
  • Datenschutzbehörde sitzt mit Google in einem Boot. Datenschutzbehörde muss eine Abwägung machen. Keine Empfehlung auf Löschung.
  • Prüfung: 1 + 2 Stufe:
    1. Stufe: Sachverhalt von öffentlichen Interesse ? // Entscheidung des EGMR Caroline von Monaco ausgeurteilt wurde. Es gibt unterschiede der Rechtslage und man ist froh.
    2. Stufe: Kein öffentliches Interesse an Bekanntgabe des Namens, dann löschen. Rechtliche Grundlage der Behörde zum Eingriff. § 35 BDSG ist die entscheidende Norm.
  • Deutschland: Google nach § 35 BDSG lesen und bei der Löschung diese Vorgaben umsetzen
  • Zeitablauf: weit wie möglich die Entscheidung des Gesetzgeber nutzen, z.B. Bundeszentralregister für Straftaten. Es kann aber Situationen geben, dass dies nicht abschließend ist.
  • Bedeutung der Quelle? = Breites Interesse der Öffentlichkeit an der Information ist die Klärung
  • Verhältnis: Google zu Aufsichtsbehörde  / Name aus dem Suchindex genommen wird, ist originär bei Google und Kontrolle bei staatlichen Organe. Ob in Zukunft Gerichte oder wer ist unklar. Aktuell ist es die Datenschutzbehörde.
  • Quelleninhaltsanbieter informieren: Aufsichtsbehörden haben beschlossen, dass routinemäßig nicht zu erfolgen hat. Es gäbe eine Norm zur Abwägung. Aber das hohe Gut = Abwägung durch Google, ob informiert werden muss.
  • Widerspruch muss weltweit gelten! Recht auf informelle Selbstbestimmung muss weltweit und umfassend gelten!

 

  • Auswirkungen des Recht auf Widerspruch muss technisch gesehen global sein. Denn sonst wäre auch die Umgebung einfach umsetzbar.
  • Fragen: Wikipedia spürt die Auswirkungen und damit gilt es auch für Wikipedia! Antwort: Urteil wirkt sich nur auf Anbieter, die Informationen Dritten benutzen.
    Warum darf Wikipedia in Zitaten nutzen, Google aber nicht? Antwort: Hier Zitat, bzw. Quellenverweis bei Wikipedia. Der Quellenverweis wird nicht wie bei Google alles indexiert.  Google ist ein wirtschaftliches Unternehmen! Wenn Google Informationen bearbeiten würde, dann müsste man nochmal darüber diskutieren.
  • Frage: Global entfernt werden, Zensur aus China. Warum muss Google global entfernen? Antwort: Unterschied auf Widerspruch und Zensur. Regierung = Zensur (vorher), Widerspruch = eine Person will Löschung des Verweis auf eine Quelle
    BSP: Unruhe in der Türkei – Twitter blockiert aus Datenschutz, Missbrauch des Argumentes
  • Frage: Kein neues Recht! Dilemma: Was ist eine Person des öffentlichen Lebens und keine, was ist relevant und was nicht und wie fluktuiert es in der Zeit? Deutschland besitzt die stärksten Reche im Datenschutzrecht. Die Vergangenheit kann aber doch sehr relevant sein. Antwort: Es gibt Gemeinsamkeiten und Unterschiede. Es gehört zum Abwägen dazu und es unterscheidet sich im Lauf der Zeit.
  • Frage: Halten Sie Sonderregelungen für Minderjährige für geboten? Jeh jünger um so vorrangiger? Antwort: Datenschutzrechtlich: ja! Es muss eine besondere Rolle spielen.
  • Frage: Abwägung muss stattfinden, auch bei der Information der Quelle. Welche Kriterien? Reichweite ? Antwort: Google muss sich die Frage stellen, in diesem Bereich könnte es Situationen geben, wo der Inhalt im Hinblick auf die Bedeutung der Quelle für die öffentliche Meinungsbildung wichtig ist. Das neue Instrument Internet muss sich den Fragen stellen.
  • Frage: Datensubjekt beantragt nur für eine Suchmaschine, Was ist mit den anderen? Antwort: Einzelne muss sich entscheiden, wo der Widerspruch einlegt. Das Subjekt hat auch das Recht sich dazu zu entscheiden.
    Wenn das Subjekt die Zustimmung gibt, dann ist dies eine Frage der Freiheit.
    Generalanwalt: Suchmaschine = Intermediär / EuGH = Verarbeiter und damit nicht mehr Intermediär
    Besser: 1. Quelle löschen 2. Suchmaschine (Verbreiter der Information)  / Frage der künftigen Konfiguration der Datenschutzbestimmungen

 

 Ulf Burmeier (Landgericht Berlin, ehemalig Mitarbeiter BVerfGe)

  • liberaler und menschlicher Aspekt
  • prozedurale Verfahrensweisen

1. delisting / Suchergebnisse werden nicht mehr aufgezeichnet
Das Urteil muss menschlich betrachtet werden. Es geht um die Umsetzung der Urteile, denn die Juristerei ist keine Einbahnstraße.  Das Urteil ist mutig und begeht neue Ebene. Man muss es nicht direkt sauber umsetzen, sondern in Schritten gehen.

Was ist neu? Die Gerichte haben die letzte Entscheidung. Aber bisher wurden die Diskussion bei der ursprünglichen Veröffentlichung geführt, also bei der Erstpublikation. Neu ist die Diskussion der Referenz, einer zweiten Bewertung der Interessen. Google hat die Verpflichtung zur Entscheidung. Es kann aber nicht das letzte Wort sein, denn die Gerichte müssen dies dann prüfen.

Neue Abwägung = Die Entscheidung die Pressefreiheit und Meinungsfreiheit einzuschränken, dass dies in der zweiten Veröffentlichung anders zu bewerten sein müsste.

Prozess des Vergessens ist ausgemerzt worden. Nun kommt es mit der Entscheidung wieder. Der typische menschliche Prozess der Verarbeitung wird nun auch im Internet umgesetzt werden können.

 

 

 

 

 

Microsoft auf neuer Roadshow zu Security & data privacy

Schon zu Beginn gab es eine Roadshow von Microsoft zum Thema Cloud & Recht. Nun wird es in Deutschland eine weitere Roadshow geben:

Microsoft Cloud-Event: Rechtliche Aspekte und technische Informationen

Termine:

27. Oktober 2014 = München
03. November 2014 = Berlin
27. November 2014 = Frankfurt a. M.
08. Dezember 2014 = Köln

Themen:
“Themen des Events zu Datenschutz und Datensicherheit sind außerdem datenschutzrechtliche Bedingungen, Datenschutzbehörden und die aktuelle Diskussion um das Vorgehen der NSA.”

 AGENDA:

Uhrzeit Thema Sprecher
09:30 – 10:00 Eintreffen der Teilnehmer
10:00 – 10:35 Microsoft Azure – Überblick zu Funktionalitäten, Datenschutz und Sicherheit Maria Wastlschmid, Produktmanager Azure, Microsoft Deutschland GmbH
10:35 – 11:15 Office 365 – Produktvorstellung mit Fokus auf die Kernmerkmale sowie Datensicherheits- und Datenschutzleistungen Florian Müller, Lösungsberater Productivity, Microsoft Deutschland GmbH
11:15 – 11:30 Kaffeepause
11:30 – 12:15 Microsoft Cloud Services – der datenschutzrechtliche Rahmen Dr. Jan-Peter Ohrtmann, Rechtsanwalt, PricewaterhouseCoopers Legal AG
12:15 – 13:00 Microsoft Cloud Services – Erfahrungen aus der Beratungspraxis mit speziellem Fokus auf sensitive Daten und Arbeitsrecht Prof. Dr. Michael Schmidl, Rechtsanwalt, Baker & McKenzie Partnerschaft von Rechtsanwälten, Wirtschaftsprüfern und Steuerberatern mbB
13:00 – 14:00 Mittagessen
14:00 – 14:30 Wie arbeitet Microsoft mit den Datenschutzbehörden zusammen? Alexandra Buchberger und Dr. Dirk Bornemann, Rechtsabteilung, Microsoft Deutschland GmbH
14:30 – 15:15 Datenschutzbehörden und die Cloud Dr. Fabian Niemann, Rechtsanwalt, Bird & Bird LLP
15:15 – 15:30 Kaffeepause
15:30 – 16:00 Die aktuelle NSA-Diskussion – Microsofts Position hierzu Dr. Swantje Richters und Dr. Friederike Neunhoeffer, Rechtsabteilung, Microsoft Deutschland GmbH
16:00 – 16:45 Alles Bavarian Cloud – oder was? Prof. Dr. Peter Bräutigam, Rechtsanwalt Noerr LLP

Anmeldung:
http://www.mscloudevent.de/default.aspx

Webseite:

http://www.microsoft.com/germany/technet/aktuell/news/show.aspx?id=msdn_de_55952

Das alte Material von der ersten Roadshow findet ihr auf meiner Webseite unter Material. http://www.rakoellner.de/material/