Category Archives: Artikel 29 Arbeitsgruppe

Bußgelder für unzulässige Datenübermittlung in die USA rechtskräftig

Die Landesdatenschutz aus Hamburg hat nun Datenübermittlungen in die USA geprüft und allen Unternehmen, die nicht rechtzeitig auf die Standardvertragsklauseln umgestellt haben, ein Bußgeld verhängt. Die betroffenen Unternehmen haben unrechtmäßig Daten ohne Rechtsgrundlage in die USA übermittelt und haben erst nach Einleitung des Bußgeldverfahrens auf Standardvertragsklauseln umgestellt.

Mittlerweile sind drei Bußgeldbescheide wegen unzulässiger Datenübermittlung rechtskräftig geworden, teilten heute die Landesdatenschützer in Hamburg in ihrer Pressemitteilung mit.

Continue reading

Privacyshield – die neue Datenschutzvereinbarung zwischen USA & Europa

privacyshield_logo

Es wurde aller höchste Zeit für eine neue Regelung, da zunächst im vergangenen Jahr der EuGH unter dem deutschen Berichtsführer Prof. von Danwitz (ehemalig Uni Köln) nicht nur auf die Fragen eines Vorabentscheidungsverfahrens eines irischen Richters im Verfahren von Herrn Schrems geantwortet hat, sondern auch gleich die seit 2000 gültiges Abkommen der USA mit Europa für den Datentransfer Safe Harbor für nichtig erklärt haben. (Urteil vom 6. Oktober 2015)

Das neue Abkommen heißt EU-US Privacy Shield und wurde laut der Justizkommissarin Jourova in vielen langen nächtlichen Sitzungen verhandelt. Nun heißt es aber erstmal für uns IT-Juristen: Wo ist der genaue Text, was steht dort und vor allem was wird geregelt.

Wie Frau Jourova twitterte wird das neue Abkommen am Urteil des EuGH gemessen und muss die Kritikpunkte beseitigen. Zu den Hauptkritikpunkten gehörte einerseits die fehlende Rechtssicherheit in den USA für EU Bürger, sowie der niedrigere Datenschutz Niveau der USA.

Herr Ansip sagt, dass mit diesem Abkommen die personenbezogenen Daten vollständig geschützt sind und es Rechtssicherheit gerade auch für kleine Unternehmen geben wird, so dass diese Dienste in den USA rechtssicher nutzen können. Das Abkommen stärkt weiterhin die Partnerschaft mit den USA und soll den digitalen Binnenmarkt der EU zu einer vertrauenswürdigen und dynamischen Onlineumgebung führen.

 

 

Aus der Pressemitteilung und einer Pressekonferenz sind folgende Informationen zu Privacyshield durchgesickert:

  • “gültig in 3 Monaten”
  • “Ersatz für Safe Harbour”
  • Schutz der Grundrechte der Europäer, wenn ihre Daten in die USA übertragen werden.”
  • Gewährleistung der Rechtssicherheit für Unternehmen.”
  • Überwachung und Durchsetzung der neuen Regelungen auch wieder durch das U.S. Department of Commerce and Federal Trade Commission (FTC)
  • “Soll als Grundlage für den Datentransfer EU – US neben den EU Modelclauses gelten.”
  • enthält die Verpflichtung der USA, die Zugriff auf persönliche Daten an öffentliche Behörden übertragen haben, den “generellen” Zugriff auf persönliche Daten einzuschränken und den klaren Bedingungen, Einschränkungen und Aufsicht unterzuordnen. (Schutzmaßnahmen und Transparenzverpflichtungen)
  • das neue Ombusmannverfahren für Datenschutzverletzungen in den USA. EU Bürger haben das Recht einen Schiedsmann einzuschalten (Beschwerde, Anfrage), der unabhängig beispielsweise von der NSA entscheiden darf.
    [Anmerkung]
    Es mag ein erster richtiger Schritt sein, dieses neue Verfahren eines Ombusmannes in den USA zu etablieren, aber ob dieser dem Kriterium des effektiven Rechtsschutzes – welches der EuGH und auch nationale Datenschutzbehörden fordern – wird sich erst mit genaueren Informationen zum Verfahren sagen können. Ebenfalls haben die nationalen Datenschutzstellen nun eh das Recht dieses Abkommen selbstständig zu prüfen, zwar nicht für ungültig zu erklären – dies darf nur der EuGH- aber vor allem ihr Kritik vielleicht für ein Privacyshield 2.0 einbringen. Letzt endlich wird es sich wohl wieder vor dem EuGH entscheiden, ob das neue Abkommen bestand hat. Fraglich ist dann auch in der praktischen Durchführung wie teuer ein Verfahren ist und ob EU Bürger in die USA reisen müssten.Festzuhalten ist jedenfalls, dass dieses Verfahren noch Schwachstellen aufweist und wohl nachgebessert werden muss.

 

Hier der originale Text:

“Clear safeguards and transparency obligations on U.S. government access: For the first time, the US has given the EU written assurances that the access of public authorities for law enforcement and national security will be subject to clear limitations, safeguards and oversight mechanisms. These exceptions must be used only to the extent necessary and proportionate. The U.S. has ruled out indiscriminate mass surveillance on the personal data transferred to the US under the new arrangement. To regularly monitor the functioning of the arrangement there will be an annual joint review, which will also include the issue of national security access. The European Commission and the U.S. Department of Commerce will conduct the review and invite national intelligence experts from the U.S. and European Data Protection Authorities to it.

Effective protection of EU citizens’ rights with several redress possibilities: Any citizen who considers that their data has been misused under the new arrangement will have several redress possibilities. Companies have deadlines to reply to complaints. European DPAs can refer complaints to the Department of Commerce and the Federal Trade Commission. In addition, Alternative Dispute resolution will be free of charge. For complaints on possible access by national intelligence authorities, a new Ombudsperson will be created. ”

 

Kritik von Jan Philipp Albrecht:
” Es sei ein Witz und es sorgt nicht zu einem effektiven Rechtsschutz, wie vom EuGH gefordert.” Aus meiner Sicht wird er oder die Fraktion der Grünen dieses vor dem EuGH prüfen lassen.

 

Ein wichtiger Twitterpost aus meiner Sicht:
privacyshield11
Ob dies nun die entscheidende Information zum Ombutsmann-Verfahren ist oder ob wir wirklich Zugang zu US Gerichten haben ist fraglich. Weiterhin ist natürlich fraglich, welche Rechte man dort hat seine Daten zu schützen und diesen Schutz durchzusetzen. Auch der Zugang alleine genügt nicht für einen effektiven Rechtsschutz.

 

 

Nächste Schritte
Vizepräsident Ansip und Kommissarin Jourova sollen einen “angemessenen Entscheidungsentwurf” in den kommenden Wochen erarbeiten, der dann wieder ins Gremium (US-EU) eingehen soll und nach Einholung von Gutachten dann verabschiedet werden soll.

 

Wichtig für uns und auch für mich:
Ich bin auf den Entscheidungsentwurf und dann auf das endgültige Abkommen, sowie die ab morgen Tagende Artikel 29 Kommission gespannt. Also beeilt euch und lasst uns etwas lesen!

 

Gutachten
Wenn das Gremium noch ein Gutachten will, ich würde dieses in Kooperation mit den bekannten Gelehrten schreiben und über den Preis wird man sich schon einig.

 

 

 

via PK:
http://europa.eu/rapid/press-release_IP-16-216_en.htm

DEUTSCH: http://europa.eu/rapid/press-release_IP-16-216_de.htm

Screenshots aus der kurzen verlesenen PK (ohne Fragen)

 

privacyshield10

privacyshield9

 

Herr Ansip (Vice von Herrn Oettinger, EU Kommission)

privacyshield8

 

Frau Jourova (Justizkommissarin der EU Kommission)

privacyshield7

Artikel 29. Arbeitsgruppe tagt Anfang Februar 2016

Ich habe heute die neue Tagesordnung der 104 Sitzung der Artikel 29 Arbeitsgruppe per Twitter erhalten. Ihr könnt euch das Dokument als .pdf hier downloaden: http://ec.europa.eu/justice/data-protection/article-29/press-material/agenda/files/2016/agenda_public_v20160115_2.pdf

Wann? 2 and 3 February 2016 Location

Wo? ALBERT BORSCHETTE-Rue Froissart 36, 1040 Brussels

 

Tagesordnungspunkte:

  • Safe Harbor- Consequences of the Schrems Judgment
  • Work programme 2016-2018
  • Improvement of EU and International cooperation between DPAs
  • Wi-Fi tracking
  • Data portability
  • Employee monitoring
  • Publication of personal data of government officials
  • E-health network

 

 

In the Cloud We trust – Neuigkeiten zur deutschen Cloud 1.

 

WICHTIG: Ich habe mich dazu entschieden meine alten Blogposts veröffentlicht zu lassen, um die Entwicklung der Deutschen Cloud transparenter zu machen. Also aktuell und gültig ist immer der neuste Blogpost!

SatyaDE6

Microsoft hat am 11.11.2015 seine deutsche Cloud in Berlin angekündigt und wird in den nächsten zwei Jahren diese vollständig in das bisher erprobte Rechenzentrumskonzept einbinden.

 

Neben den offiziellen Blogposts und Youtube Videos gibt es kleinere TechNet Blogs wie den von Ralf, die offizielle Neuigkeiten veröffentlichen. Ich sammle euch diese Neuigkeiten zusammen und werde in den nächsten Wochen immer wieder Blogposts veröffentlichen.

 

Über interne Informationen und Gespräche darf ich aus Geheimhaltungsgründen keine Auskünfte geben! Bitte versteht dies, dies gehört neben der NDA zum gegenseitigen Respekt, den ich den Microsoft Mitarbeitern zolle, die offen, ehrlich und sehr umfassend mit mir als MVP sprechen. Ich kann mein Feedback geben, aber eben nicht alles posten. Sobald Informationen offiziell sind, findet ihr diese dann hier unter den Posts “Neuigkeiten zur deutschen Cloud 1 bis eben z.B. 10.

 

Vorab möchte ich euch noch auf diesen Artikel von Brad Smith vom 21.01.2015 aufmerksam machen und bittet euch diesen zu lesen: “In the Cloud we Trust”

 

Also stand der heutigen Informationen im Kurzüberblick:

 

Rechenzentren in Deutschland:’
1. Frankfurt (Region Deutschland xx-xx)  2. Biere bei Magdeburg (Region Deutschland XX)
Anmerkungen: Rechenzentren werden bei Microsoft in Regionen und nicht nach Städten aufgeteilt.

 

Vertrag:  3 Teile  a) Vertrag mit Microsoft Corp. (+ EU Modelclauses) b) Vertrag mit Dublin ( + ADV) c) Vertrag zur deutschen Cloud

 

Deutsche Cloud:
Die deutsche Cloud wird ausgestattet sein mit allen Microsoft Azure Diensten/Services und auch den Office 365 Diensten/Services (bis auf Yammer). Diesbezüglich macht Microsoft keinen Unterschied zur Public Cloud gehostet in Dublin (Region West Europe) und Amsterdam (Region Nord Europe).

 

Wichtig: Es gibt die deutsche Cloud und die public Cloud! Es sind zwei getrennte Systeme!

 

Anwendungen in der deutschen Cloud, die zu einem bestimmten Prozentsatz teurer wird als die Public Cloud, können nicht mit externen Anwendungen kommunizieren. Es wird bei der deutschen Cloud von einer abgeschotteten Cloud gesprochen, d.h. alle Anwendungen müssen in der deutschen Cloud noch einmal gehostet und betrieben werden oder man muss insgesamt dort hin umziehen. Weiterhin müssen Office 365 Tenants und auch Azure Tenants neu angelegt werden, dann eben mit Standort in einer Region.

 

Die Azure AD wird innerhalb der beiden oben genannten Regionen laufen können (aus einem technischen Hintergrund sind immer zwei Regionen verpflichtend). Damit verlassen keine Daten das Territorium des deutschen Rechts. Lediglich die Tenant ID, die Domain (z.B. rakoellner.onmicrosoft.com oder rakoellner.com), sowie die Region werden als Index ausgetauscht. Personenbezogene Daten werden, wie jetzt schon, nie weltweit ausgetauscht. Technisch ist es so, dass man sein Login eingibt und dann sofort in das RZ der Region umgeleitet wird und dort seine Verifikation eingibt. (SSL) Personenbezogene Daten werden lediglich zwischen den beiden deutschen Rechenzentren ausgetauscht.

 

Der Termin:  zweite Hälfte 2016

 

Umziehen der eigenen Tenants: Eine Migration ist möglich, aber ich vermute mal, dass neue EA Verträge zunächst bedient werden.

 

dedizierte Umgebungen: nein

 

Zertifizierung: Die Zertifizierung übernimmt D-Trust, eine Tochter der Bundesdruckerei und eben nicht z.B. die deutsche Telekom. Hier könnte man mogeln? Nein, Ralf schreibt: “Microsoft beantragt ein Zertifikat für einen neuen Dienst, der Datentreuhänder überprüft den eingereichten Request und genehmigt ihn, und die D-Trust erstellt das Zertifikat. Auch hier also keine Chance für Mogelei.”

 

Zukunft:
Microsoft spricht mit allen Landesdatenschützern, dem BSI und auch der EU. Das Ziel ist es, alle Zertifizierungen (27001, 27018) bis hin zum BSI Grundschutz zu erreichen. Weiterhin soll irgendwann auch eine Verbindung zwischen deutscher Cloud und public Cloud verfügbar sein.

 

T-Systems:
Die T-Systems überwacht und kontrolliert die beiden deutschen RZs, als “Datentreuhänder”. Der Begriff ist etwas unglücklich, ich würde eher von einem Vermieter oder Vermittler sprechen, die an die Microsoft ihre Räumlichkeiten und Mitarbeiter abstellt. Microsoft gibt sozusagen “den Schlüssel an die T-Systems ab” und erhält keinen direkten Zugriff mehr. Den Ansatz beschreibt Ralf sehr schön auf seinem Blog.   T-Systems Mitarbeiter übernehmen also die Überwachung und Kontrolle.

 

Ralf schreibt zum (Support) Prozess:
Wenn Microsofts Mitarbeiter Zugriff auf die Räumlichkeiten physisch oder per Remote haben wollen, dann braucht dies die Genehmigung der T-Systems. Dies gilt auch für den Zugriff auf Kundendaten, den sowohl der Kunde als auch ein T-Systems Mitarbeiter zustimmen müssen. Der Zugriff ist räumlich und zeitlich begrenzt und terminiert automatisch.

 

“Standardmäßig hat Microsoft keinerlei Rechte in den Kundenbereichen. Erst wenn für einen bestimmten Anlass (Supportanfrage, Updates der Infrastruktur, Einrichtung neuer Services etc.) ein Zugriff benötigt wird, wird er – auf Antrag – dem Mitarbeiter gewährt, aber auch nur für eine bestimmte Zeit (hier kommt noch ein weiteres Feature ins Spiel, JIT, also Just-in-Time) und nur auf den benötigten Bereich. Und genau diese Rechtegewährung nimmt der Datentreuhänder vor, nicht Microsoft. Aus eigenem Antrieb hat Microsoft keine Möglichkeit, sich selbst diese Rechte zuzuweisen. Die Protokollierung dieser Rechtezuweisung findet in einem Bereich statt, auf den Microsoft ebenfalls keinen Zugriff hat, also nix mit Spuren verwischen oder so. Zusätzlich hat der Datentreuhänder die Möglichkeit, sich in die Session aufzuschalten und direkt zu kontrollieren, was der Supportingenieur da so treibt.

 

Diese Rechtegewährung betrifft übrigens auch den physischen Zugang zu den Rechenzentren: Auch hier ist eine Genehmigung des Datentreuhänders notwendig, und zusätzlich wird ein Mitarbeiter des Datentreuhänders als Begleitung dem Microsoft-Mitarbeiter nicht von der Seite weichen und ihn in die Serverräume begleiten.

 

Für alle diese Fälle, in denen ein Microsoft-Mitarbeiter in Kontakt mit Kundendaten kommen könnte, bedarf es also eines Anlasses, eines definierten Bereiches, und eines definierten Zeitraumes, um den Zugriff durch den Datentreuhänder freigeschaltet zu bekommen. Fälle, wie sie zum Beispiel in der Vergangenheit bei nahezu allen größeren amerikanischen Providern aufgetreten sind, nämlich dass eine US-Behörde unter Hinweis auf den Patriot Act oder andere US-Gesetze die Herausgabe von Daten angeordnet hatte, obwohl diese außerhalb (zum Beispiel in Europa) der USA gespeichert waren, lassen sich für die “Microsoft Cloud Deutsche Datentreuhand” jetzt recht einfach verhindern, da ja gar kein Zugriff durch Microsoft mehr möglich ist.” (Ralf)

 

 

Wer mehr wissen will, der/die sollte auf die Session beim Technical Summit 2015 gehen! Ich werde auch dort sein und direkt bloggen! Naja nicht direkt, denn ich muss dann erstmal meine Session halten, ihr seid alle dazu – mit gültigem Ticket – eingeladen! 16:45 -> Datenschutz und Datensicherheit

Also überlegt euch schon mal: deutsche Cloud oder public Cloud 🙂

+ Ein herzlichen Dank an Ralf! Ein toller Artikel, der viele Fragen klärt!

 

 

 

 

 

 

 

via: http://blogs.technet.com/b/ralfwi/archive/2015/11/12/microsoft-cloud-deutsche-datentreuhand.aspx

Technical Summit 2015 – Ich bin dabei!

Technial Summit

 

Vom 17. September bis zum 19. September findet diesmal in Darmstadt das – nach der Cebit – größte Event der Microsoft Deutschland GmbH statt. Es handelt sich um eine technische Konferenz mit vielen Vorträgen, Workshops am letzten Tag und drum herum Treffen der Communities und Förderprogramme von Microsoft.

Ich werde im Rahmen dieser Konferenz mit Peter Kirchner zusammen einen Vortrag zum Thema

“Was gehen mich Datenschutz & Datensicherheit in der Cloud an” 

halten. Wir wollen die aktuellen Themen zu der Thematik ansprechen und uns gemeinsam mit den Teilnehmern um Unterschiede und Gemeinsamkeiten kümmern. Wir erläutern, wie man compliant und sicher mit dem Thema umgehen kann.

Continue reading

Artikel 29. Arbeitsgruppe begrüßt EuGH Entscheidung zu Safe Harbor

Die Artikel 29 Arbeitsgruppe reagierte direkt auf das Urteil des EuGH zum Ende von Safe Harbor und zur Stärkung der nationalen Datenschutzbehörden. In ihrer heutigen Pressemitteilung begrüßt die Artikel 29 Arbeitsgruppe der EU Kommission das Urteil des EuGH, welches eigentlich auch die Fehler dieser der EU Kommission beratenden Arbeitsgruppe bescheinigt.

  • Die Kommission begrüßt die Kritik an der Massenüberwachung in den USA, welche diese selber auch schon mehrfach angemahnt haben.
  • Weiterhin begrüßt die Kommission die Stärkung der nationalen berechtigten Datenschutzbehörden, die selbstständig Prüfungen durchführen können und nicht an die Entscheidung der EU Kommission gebunden ist.
  • Ebenso nimmt es die Aussage des Gerichts entgegen, dass man in den USA kein ausreichenden Rechtsschutz besitzt.

 

via:
http://ec.europa.eu/justice/data-protection/article-29/press-material/press-release/art29_press_material/2015/20151006_wp29_press_release_on_safe_harbor.pdf

juristische Checkliste zur AzureNutzung

Eigentlich bin ich kein Freund von Checklisten, denn diese geben einem Anwender das trügerische Gefühl von Sicherheit. Eine Checkliste ist nur so gut, wie sein Anwender oder anders ausgedrückt: Eine Checkliste hilft nur keine groben Fehler zu machen.

Dennoch würde ich euch eine nicht absolut abschließende Checkliste mit Ergänzungen bezogen auf den CloudDienst Azure präsentieren. Diese werde ich mit der Zeit immer wieder aktualisieren, so dass ihr zum Beispiel gut vorbereitet zu eurem Rechtsanwalt des Vertrauens gehen könnt. Denn neben den technischen Problemen, müssen leider oft zunächst die rechtlichen Gegebenheiten geklärt werden.

 

 

Definition von Cloud Computing
Was CloudComputing ist, muss ich dem Publikum des Azure Adventskalender nicht erläutert, diesen Punkt lasse ich damit außen vor.

Beispiel:
Der A ist Geschäftsführer der Firma K und überlege sich über Azure einen neuen CloudDienst für Softwareentwickler anzubieten. Dieser CloudDienst soll die Kommunikation zwischen den Kunden und dem Entwickler/Team verbessern, denn die Vorurteile der Kunden wiegen schwer: das Projekt wird nie rechtzeitig fertig, die verstehen uns eh nicht, absolut überteuert, das kann doch nicht so schwer sein drei Apps für drei Plattformen zu bauen usw. Durch den Dienst soll mehr Transparenz geschaffen werden. Die üblichen Entwicklertools wie ein TFS oder Gidhub sind für Kunden oft zu schwer zu verstehen.

 

 

0. Vorüberlegung
1. Konkretisierung des Konzeptes
2. Prozesse auf Basis gegebenen technischen Möglichkeiten graphisch darstellen
3. ersten Prototypen erstellen

Bis hierhin (3.) läuft es nach dem üblichen Schema einer Projektplanungsphase ab, die wir es unserer Erfahrung her normalerweise auch machen würden. Mehr zur Projektplanung gibt es zum Beispiel auf dem Blog meines Projekt MVP Kollegen Torben Blankertz.

zusätzliche Punkte in der Planung:
2.2: Gesellschaftsform? Angestellte vorhanden? // zukünftige Gesellschaftsform? (Hintergrund: z.B. Arbeitnehmererfindungsrechte)
2.3: Prozessablauf hin auf Datensicherheit und Datenschutz prüfen
Beispielsfragen:
Datensicherheit: Wie werden die Daten vom Kunden auf unsere verschlüsselten Server (Azure) übertragen? Welche Daten werden von wo nach wo übertragen? Ab wann sollten die Daten verschlüsselt werden ? (Achtung: Verarbeitung verschlüsselter Daten ist nicht möglich)
Datenschutz: Welche Daten werden verarbeitet? Wenn personenbezogene Daten verarbeitet werden, welcher Erlaubnistatbestand ermöglicht dies? (Erlaubnistatbestände: Einwilligung des Betroffenen, gesetzliche Erlaubnistatbestände des BDSG oder anderer Rechtsvorschriften gemäß § 4 Abs. 1 BDSG), Wer hat wie Zugriff?, Wer kontrolliert unabhänig durch Audits?

§ 4 BDSG ist bezüglich der Datenverarbeitung deutlich:
“Denn jede Erhebung, Verarbeitung oder Nutzung personenbezogener Daten muss von einem Erlaubnistatbestand gedeckt sein.” (Hilber, Cloud Computing, Teil 4, Rn. 41)

Zusammengefasst, sollte man schon vor der Erstellung eines Prototypen sich einen möglichst genauen Plan machen, wie die Software welche Daten wie und wo verarbeitet. Diese Aufstellung könnt ihr entsprechend zu eurem Juristen euer Wahl mitnehmen.

1. Wahl des Clouddienstes

Der Auswahl des Cloud-Dienstes ist der erste essenzielle Punkt. Denn der Auftraggeber muss den Cloud Anbieter softfaltig auswählen so sagt es § 11 Abs. 2 BDSG. Als Kriterium bezeichnet werden die technische und organisatorischen Maßnahmen. Dies gilt für K als zukünftigen Betreiber eines Dienstes, auf fremden Servern, aber auch für die zukünftigen Kunden, die einen Dienst bei K einkaufen. Die Kette darf nicht unterbrochen werden und muss dokumentiert sein.

2. schriftlicher Vertrag
Der Vertrag zwischen dem CloudDienst Anbieter und den Kunden muss schriftlich geschlossen werden. Das sogenannte Schriftformerfordernis ergibt sich aus § 11 Abs.2 S.2 BDSG. Dazu muss innerhalb des Vertrages der Gegenstand dessen, sowie die Dauer klar vereinbart weden. Weiterhin muss die Art der Daten und der Kreis der Betroffene und letztlich auch der Zugriff und die Zweckbestimmung genau bestimmt sein (Abs. 2.).

Auftragsdatenverarbeitung (ADV) – Vertrag
Ein ADV Vertrag ergänzt die oben genannten Punkte verpflichtend um die Vereinbarung über die technischen und organisatorischen Maßnahmen (§9 BDSG), die Pflichten des Auftragsgebers (Kontrollen), die Vorgaben zur Berichtigung, Löschung und Sperrung der Daten, sowie die Berechtigung zur Begründung von Unterauftragverhältnissen, die Kontrollrechte des Auftraggebers und dessen entsprechende Duldungs- und Mitwirkungspflichten durch den Auftragnehmer. Letztes sollte durch Dritte überprüfbar sein, Microsoft Azure bietet diesbezüglich wie Office365 auf Anfrage an, dass Unterlagen des aktuellen Audits an die Kunden versandt werden. Diese muss A auf Anfrage auch seinen Kunden wiederrum vorlegen können.

Weisung und Mitteilungspflichten
Ebenso muss festgehalten werden wer weisungsbefugt ist und wie die Mitteilungspflichten von Verstößen des Auftragnehmers und der bei ihm beschäftigten Personen definiert sind.

Microsoft bietet bei Azure sogenannte Mitteilungspflichten an und informiert den Kunden über Störungen und Vorfälle. Dieses Verfahren wird durch Externe, bzw. Audits externer geprüft.

Verträge:
ADV & Nutzungsvertrag mit Microsoft Ireland
EU Modelclauses mit Microsoft Corp

Ende des Vertrages
Es muss eindeutig geklärt werden, was beim Ende des Vertrages passiert. Demzufolge muss deutlich sein, was mit den Daten passiert, wer diese löscht und auch was mit den Datenträgern im Anschluss passiert.

Bei Microsoft Azure können die Daten eigenhändig extrahiert und dann auch Datenträger gelöscht werden. Microsoft selber verpflichtet sich diese verschlüsselten Datenträger nicht zu entsorgen, aber nachhaltig zu löschen, so dass die Daten nicht mehr verfügbar sind. Bei möglichen defekten von Datenträgern, verpflichtet sich Microsoft diese fachgerecht zu entsorgen, so dass keine Wiederherstellung möglich ist.

3. Prüfung der Datensicherheit

Diese Prüfung muss vom Auftraggeber (also Herrn A) regelmäßig durchgeführt werden. Er ist gemäß §§ 11 Abs. 2 S.4,5 BDSG dazu verpflichtet.

Da er keinen Zutritt zu dem Rechenzentrum selber erhalten kann, bietet Microsoft an auf die angeboteten Untelagen der Audits zuzugreifen und bietet Zertifizierungen wie die ISO 270001 an. Möglich wäre es einen Dritten zu beauftragen, der auf eigene Kosten ein Audit durchführt. Dies muss speziell mit Microsoft geklärt werden. Teilweise sind auch eigene Besuche in dem Rechenzentrum möglich, die aber nur ein Augenschein von Außen alleine durch ISO 270001 sein können. Microsoft entwickelt weiterhin Funktionen wie FortKnox, die Security by default gewährleisten sollen.

Microsoft: ISO 270001, SAS 70 II/IDW PS 951, SOC3 Zertifikat, Eigenaudit auf Wunsch

Kommentar:
Als Hauptproblem sehen die Datenschutzbeauftragen und auch ich die Kontrolle durch den Auftraggeber. Aber man sollte dem Cloud Computing auch in dem Sinne entgegen kommen, dass die klassischen Mechanismen nicht funktionieren können. Der Auftraggeber und auch der Auftragnehmer (Microsoft) können gerade durch Security by default Maßnahmen nicht immer zu 100% wissen, wo die konkreten Daten liegen. Die definierte totale Kontrolle fehlt. T-Systems kauft Festplatten pro Kunde ein und die Daten des Kunden liefen nur auf diesen Platten. Rechtlich gesehen sind diese damit gut zu identifizieren, aber sicherer sind diese so nicht. Außerdem ist ein Zugriff der Behörden wesentlich leichter.

Diese Diskussionen über die Kontrolle des Auftraggebers und derartige Probleme kamen erstmals mit dem Beginn des Outscouring von Leistungen an Arbeitnehmer von Subunternehmen auf. Die Lösungen sind aber im technischen Bereich nicht 1 zu 1 zu übernehmen. Es muss und wurde ein Mittelweg von Microsoft gefunden. Dieser ist meiner Meinung nach noch nicht der goldene Weg, aber diesbezüglich muss der Gesetzgeber zunächst handeln.

Der diesjährige Entwurf EU Grundverordnung liegt aktuell in der Verhandlung und ich hoffe, dass diese EU einheitlichen Regelungen schnellstmöglichst in Kraft treten. Es könnte so möglich werden, dass auch ein deutscher Datenschutzbeauftrage sich selber ein Bild machen kann, da er Befugnisse in ganz Europa durchsetzen kann.

A. Durchführung

a) Zulässigkeit
aa) Ist die Weitergabe von Daten an Azure zulässig? Zulässigkeit bei Vorliegen von Erlaubnistatbeständen.
bb) Ist es zulässig, dass die Daten außerhalb der EU verarbeitet werden?
Zulässigkeit bei: angemessenes Datenschutzniveau §§ 4b, 4c BDSG). Dies bedeutet, dass in dem Land ein angemessenes Datenschutzniveau herrscht. Die EU-Kommission führt eine Liste in denen neben allen EU Ländern, Länder wie die Schweiz oder auch Kanada genannt werden.
b) Schutz bei Drittlandtransfers (bei Hosting ausserhalb der EU)
Die USA erhält die Zulässigkeit über das Safe Harbour Abkommen mit der EU. Das US Handelsministerium prüft die Firmen in den USA und vergibt entsprechend die Zertifizierung eines angemessenen Datenschutzniveaus. Es wird jedoch empfohlen und ist in Deutschland auch nötig, dass eine ADV, also eine Auftragsdatenverarbeitungsvertrag mit dem Diensteanbieter angeboten wird. Diese ADV finden wir beispielsweise bei Office365 unter optionalen Vertragsergänzungen. Dies müsste ich, wenn ich bei Azure hoste einmal im Verhältnis zu Microsoft haben und dann auch meinen Kunden im Verhältnis zu mir anbieten.

c) Zweckbindung/Verwendungsbeschränkung
Es muss genau festgehalten werden, wie der Zweck des Dienstes ist und damit einher geht eine Verwendungsbeschränkung von Daten. Bei sensiblen Daten wie Sozialversicherungsdaten müssen ebenso gesonderte Vorschriften beachtet werden. Diese Zweckbindung tritt im Verhältnis von Microsoft zu der Firma K und der Firma K zu deren Kunden ein.
d) Transparenz
Alle Vorgänge und Prozesse müssen transparent gemacht werden. Alle Mitarbeiter müssen informiert werden und dies gegenzeichnen. Dafür müssen Prozesse aufgesetzt und etabliert werden.

Dieser Punkt wird von vielen Datenschutzbeauftragen gegenüber Microsoft Azure, aber auch gegenüber vielen anderen neuen und alten Cloud Diensten bemängelt. Ich selber habe mir neuere e-Dienste in Deutschland angeschaut, auch diese sind sehr intransparent. Auch Anrufe und die Bitte um Informationen wird verweigert.

Microsoft bietet diesbezüglich zum Beispiel bezogen auf Anfragen von Behörden einen Transparenzbericht an, den sich jeder jährlich downloaden kann. Diese Bericht beinhaltet immer alle Anfragen bezügich der CloudDienste.
e) Datensicherheit

siehe oben
f) Rechte der Betroffenen

Dieser Punkt ist im Bezug auf die Regelungen zwischen Microsoft und der Firma K, sowie zwischen der Firma K und den zukünftigen Kunden zutreffen. Microsoft bietet hierzu EULA, ADV und EU Standardvertragsklauseln an, die dem europäischen Datenschutz genügen stelle unweit die Artikel 29 Arbeitsgruppe der EU fest. Leider konnte ich diesen Bericht selber noch nicht einsehen.

Problematischer wird dieser Punkt in Bezug auf das Innenverhältnis von Unternehmen. Ein aus meiner Sicht nicht zufriedenstellender Punkt wäre die Erhebung und Verarbeitung von E-Mail Daten. In unserem Fall wären es Kommunikationsdaten der Angestellten des K oder der Angestellten des Auftraggebers an den K als Auftragnehmer. Nach herrschender Meinung (Simitis, Roßnagel) solle man den Arbeitnehmer nicht fragen, sondern auf die gesetzlichen Erlaubnistatbestände zurückgreifen. Das Argument gegen das einholen einer schriftlichen Einwilligung, die transparenter wäre, ist, dass dann der Arbeitnehmer auch ablehnen könnte. Wenn der Arbeitgeber fragt, dann muss dieser auch eine Ablehnung hinnehmen und darf nicht im Anschluss die Daten dennoch über die gesetzlichen Erlaubnistatbestände verarbeiten. Da schon vor drei Jahren ein Arbeitnehmerdatenschutzgesetz seinen Weg nicht zum Bundespräsidenten gefunden hat, werden wir mit dieser für mich leicht unzufriedenen Rechtslage leben müssen.

 

 

 

 

Erweiterung für spezielle Berufsgruppen, die Geheimnisträger sind. Hier am Beispiel von Rechtsanwälten. Die Regeln wurden von den Autoren des unten unter Quellen zu findenden ebook aufgestellt.

“Regel 1: Daten werden bereits in der Kanzlei verschlüsselt, bevor sie in die Cloud eingestellt wurden.

Regel 2: Es erfolgt keine Speicherung bei Cloud-Anbietern, die außerhalb der EU bzw. des EWR tätig sind, oder bei Cloud-Anbietern, die ganz oder teilweise ihre Cloud-Server außerhalb der EUbzw. des EWR betreiben.

Regel 3: Mit der Cloud wird nur über verschlüsselte Verbindungen kommuniziert.

Regel 4:  Cloud-Computing befreit nicht von der Notwendigkeit, Daten zu sichern. Es muss stets dafür Sorge getragen werden, dass funktionierende Datensicherungen verfügbar sind.

Regel 5: Vor Nutzung einer Cloud-Lösung und danach regelmäßig müssen Sie sich von den zum Schutz der Daten getroffenen organisatorischen und technischen Maßnahmen beim Cloud-Anbieter überzeugen. Lassen Sie sich Zertifikate vorlegen und vertrauen Sie keinen noch so blumigen Versprechen, was Datenschutz und Datensicherheit angeht.”
Quellen bei Microsoft

Rechtliche Informationen zu Microsoft Azure finden Sie hier:
http://azure.microsoft.com/de-de/support/legal/

Diese Webseite enthält alle wichtigen Informationen in Bezug auf Microsoft Azure.
Bundesdatenschutzgesetz
http://www.gesetze-im-internet.de/bdsg_1990/

Fachbücher zu dem Thema aus dem juristischen Bereich:

Hilber – Cloud Computing – Dr. Otto Schmidt Verlag 2014 – 49 Euro

Heckmann – JurisPraxiskommentar von 2014 – 160 Euro

Härting – Internetrecht – 2014 – 49 Euro

älter: Hoeren – IT Vertragsrecht – 2. Auflage 2012 – 49,80 Euro

Datenschutz und Datensicherheit
ebook für Rechtsanwälte vom Deutschen Anwaltsverein aus Juni 2014

 

Zukunft “Ein neues Fachbuch”
Der Autor arbeitet seit über einem Jahr mit ehemalig Microsoft Press an einem Fachbuch für IT Administratoren in Bezug auf dieses Thema. Dieses soll Mitte 2015 erscheinen.

 

 

 

Artikel 29 Arbeitsgruppe zu Löschanträgen in Suchmaschinen

Am 16 und 17 September 2014 traf sich die Artikel 29 Arbeitsgruppe um Themen bezüglich des EuGH Urteiles (C-131/12) um über die Sachlage zu sprechen, wenn ein Nutzer trotz Löschantrages eine Löschung verweigert wird.

Zu dieser Sachlage kann es kommen, wenn im Rahmen der Güterabwägung, welche zum Beispiel der Expertenbeitrag von Google durchführt, man zu dem Schluss kommt, dass eine Löschung und damit das Persönlichkeitsrecht des Betroffenen nicht überwiegt.

Die Güterabwägung muss zwischen dem Persönlichkeitsrecht des Betroffenen auf der einen Seite und auf der anderen Seite der Meinungsfreiheit, wie auch der Pressefreiheit, des öffentlichen Interesses und der Informationsfreiheit abwägen.

Der Innenminister Thomas de Maziére äußerte sich in der Expertenkommission zu Big Data kritisch, dass ein Konzern wie Google diese Güterabwägung vornehme, die eigentlich nur deutschen Gerichten vorenthalten ist.

 

Mitglieder der Kommission von Google:

  • Prof. Luciano Floridi (Professor für Informationsphilosophie und Infirmationsethik an der University of Oxford)
  • Sylvie Kauffmann (Chefredaktueren in der franz. Zeitung Le Monde)
  • Lidia Kolucka-Zuk (Juristin und Executive Director des Warschauer Trust for Civil Society in Central and Eastern Europe)
  • Frank La Rue (UN-Sonderberichterstatter für das Recht auf Meinungsfreiheit und freie Meinungsäußerung des Menschenrechtsrats der Vereinten Nationen (UNHCR))
  • José-Luis Pinar (Jurist, Spanien, ehemaliger Leiter der span. Datenschutzbehörde)
  • Sabine Leutheusser-Schnarrenberger (Juristin, ehemalige MdB über 23 Jahre, acht Jahre Bundesjustizministerin)
  • Peggy Valcke (Professorin an der KU Leuven in Belgien, Schwerpunkte: rechtliche Aspekte der Medieninnovation, Medienpluralismus und das Zusammenspiel zwischen Medien- und Telekommunikationsregulierung und Wettbewerbsrecht)
  • Jimmy Wales (Gründer und emeritierter Vorsitzender des Board of Trustees der Wikimedia Foundation)
  • Eric Schmidt (Google, Vorstand, strategische Entwicklung)
  • David C. Drummond (Google, Jurist, externer Berater von Google, Board of Directors von Uber Technologies, Inc und Rocket Lawyer Inc.

 

Entscheidung der Artikel 29 Gruppe

Die Expertenkommission entschied, dass man nun eine eigene Arbeitsgruppe mit Ansprechpartnern für die nationalen Aufsichtsbehörden gründet. Diese soll alle Entscheidungen, sowie Fälle sammeln und indexieren. So soll diese als Koordinationsstelle dienen und den nationalen Aufsichtsbehörden bei Beschwerden von Betroffenen helfen, ob gegen den Suchmaschinenbetreiber vorzugehen ist oder nicht.

 

 

Quellen:

Pressemitteilung der Artikel 29 Arbeitsgruppe vom 18. September 2014 (en)

Löschformular von Google

Expertenbeitrat von Google

Infobroschüre der Artikel 29 Gruppe zum EuGH Urteil (.pdf + en)

Webseite der EU Kommission zum Thema Datenschutz

Reform des Datenschutzgesetzes – Newsroom der EU Kommission

Expertenrunde zu Big Data