SlideShare une entreprise Scribd logo

WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing

CloudOps Summit
CloudOps Summit

Workshop Management: Georg Meyer-Spasche, Osborne Clarke - Rechtssicheres Cloud Computing --- Please contact us for a downloadable copy of the slides at CloudOps.Summit@googlemail.com . Follow us on Twitter @CloudOps_Summit and Facebook http://www.facebook.com/CloudOps

Business
1  sur  54
Rechtssicheres Cloud Computing Georg Meyer-Spasche / Adrian Spalka 17. März 2011
Inhalt • Strukturen und Definitionen • Datenschutz • Compliance • Lizenzen und Urheberrecht
Strukturen und Definitionen des Cloud Computing
osborneclarke.com Servicearten des Cloud Computing • Software as a Service (SaaS) • Platform as a Service (PaaS) • Infrastructure as a Service (IaaS) 3
osborneclarke.com Cloud Computing Typen • Private Cloud • Virtual Private Cloud • Hybrid Cloud • Public Cloud 4
osborneclarke.com 5
osborneclarke.com 6
osborneclarke.com Virtual Private Public Private Cloud Cloud Cloud Remote DC Remote Hybrid | Cloud Local "Stan- On Site ford"- DC DC Private -- Public 7
Datenschutz im Cloud Computing
osborneclarke.com Datenschutz Die Grundsätze Jede Erhebung oder Verarbeitung von personenbezogenen Daten unterliegt den Einschränkungen des Datenschutzes, § 4 Abs. 1 Bundesdatenschutzgesetz ("BDSG"). Personenbezogene Daten sind Informationen, die auf einzelne Personen bezogen werden können, § 3 Abs. 1 BDSG. Als Verarbeitung von solchen personenbezogenen Daten gilt auch die Übermittlung an Dritte, § 3 Abs. 4 Nr. 3 BDSG. è Jede Übermittlung personenbezogener an Dritte unterfällt den Einschränkungen des Datenschutzrechtes. 9
osborneclarke.com Datenschutz Wann darf wohin übermittelt werden? Eine Übermittlung ist innerhalb von EU oder EWR zulässig, soweit ein Gesetz dies erlaubt oder der Betroffene einwilligt. • Als gesetzliche Erlaubnis kommt § 28 I BDSG in Betracht. Jedoch sind die Voraussetzungen der Vorschrift für die einzelne Übermittlung gerade beim kostenmotivierten Cloud Computing schwer zu erfüllen: – Reine Kostenerwägungen machen die Datenübermittlung noch nicht erforderlich, auch – können die Interessen des Betroffenen überwiegen. 10
osborneclarke.com Datenschutz Wann darf wohin übermittelt werden? • Die Einwilligung ist kaum praktikabel, denn sie bedarf einer eingehenden Information und kann jederzeit widerrufen werden. In Gebiete außerhalb von EU bzw. EWR ist eine Übermittlung nur erlaubt, wenn es sich um sichere Drittstaaten (z.B. Schweiz, Kanada) handelt oder besondere Regelungen greifen (EU- Musterklauseln oder Safe Harbour). 11
osborneclarke.com Datenschutz Lösung: Auftragsdatenverarbeitung? Mögliche Lösung innerhalb EU / EWR: Errichtung einer "Auftragsdatenverarbeitung" nach § 11 BDSG. • Der Auftraggeber bleibt "Herr der Daten". • Der Provider des Cloud Computing gilt dann nicht mehr als Dritter im Sinne des BDSG. 12
osborneclarke.com Datenschutz Lösung: Auftragsdatenverarbeitung? èIn rechtlicher Hinsicht liegt also keine Übermittlung vor und der Datenverarbeiter wird quasi behandelt, wie die interne IT des Auftraggebers. èEine Auftragsdatenverarbeitung ist jedoch nur wirksam, wenn eine bestimmte Struktur realisiert wird. èDie Auftragsdatenverarbeitung funktioniert nur innerhalb der EU / des EWR. 13
osborneclarke.com Datenschutz Auftragsdatenverarbeitung Übermittlung Dienstleister Ihr Unternehmen Verarbeitung Bedarf einer Erfordert die Erhebung gesetzlichen Einwilligung der Erlaubnis (i.d.R. Betroffenen oder eine gegeben durch §§ gesetzliche Erlaubnis 28, 32 BDSG) oder der Einwilligung der Betroffenen Personenbezogene Daten der Betroffenen (Angestellte, Kunden, etc.) 14
osborneclarke.com Datenschutz Auftragsdatenverarbeitung Dienstleister Ihr Unternehmen Datenverarbeitung ausschließlich nach Weisung Bedarf einer Verarbeitung Erhebung gesetzlichen Erlaubnis Auftragsdatenverarbeit (i.d.R. gegeben durch §§ ung 28, 32 BDSG) oder der Einwilligung der Betroffenen Personenbezogene Daten der Betroffenen (Angestellte, Kunden, etc.) 15
osborneclarke.com Datenschutz Auftragsdatenverarbeitung Voraussetzungen für eine Auftragsdatenverarbeitung: • sorgfältig ausgewählter Provider als Auftragnehmer • Provider verarbeitet die Daten ohne eigene Entscheidungskompetenz (in Abgrenzung zur Funktionsübertragung) • umfassende Weisungs- und Kontrollrechte und -pflichten des Auftraggebers – dies betrifft auch den Ort der Speicherung 16
osborneclarke.com Datenschutz Auftragsdatenverarbeitung è Zumindest im Falle des Public Cloud Computing sind Kontrollpflichten kaum wahrzunehmen! Cloud Computing dann ohne Auftragsdatenverarbeitung nur verwendbar bei Daten ohne Personenbezug oder Einwilligung des Betroffenen è In der (Virtual) Private Cloud jedoch gut lösbar… è …solange der Anbieter wirklich nur Datenverarbeiter bleibt 17
osborneclarke.com Datenschutz Auftragsdatenverarbeitung und § 9 BDSG Anlage zu § 9 Satz 1 fordert technisch-organisatorische Maßnahmen, um 3. Zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle) 18
osborneclarke.com Datenschutz Auftragsdatenverarbeitung und § 9 BDSG Anlage zu § 9 Satz 1 fordert technisch-organisatorische Maßnahmen, um 5. Zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) 19
osborneclarke.com Datenschutz Auftragsdatenverarbeitung und § 9 BDSG Anlage zu § 9 Satz 1 fordert technisch-organisatorische Maßnahmen, um 6. Zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), … à In der Private Cloud möglich, in der Public Cloud eher anspruchsvoll. 20
osborneclarke.com Datenschutz Auftragsdatenverarbeitung Territoriale Grenzen der Auftragsdatenverarbeitung: • Gebiet der EU / des EWR. Standort des Servers entscheidend! Alternativen zur Auftragsdatenverarbeitung: • EU-Standardvertragsklauseln; • Übermittlung an so genannte sichere Drittstaaten; oder • Safe-Harbor. è Eine Weitergabe liegt vor (str.)! Eigener Erlaubnistatbestand erforderlich. In der Praxis sehr häufig ignoriert. 21
osborneclarke.com Datenschutz Datenübermittlung ins Ausland Safe Harbor: • USA verfügen über kein zu EU / zum EWR vergleichbar hohes Datenschutzniveau. • US-amerikanische Firmen, die sich dem Safe Harbor-Prinzip unterwerfen, garantieren sorgsamen Umgang mit personenbezogenen Daten. • Liste der teilnehmenden Unternehmen: export.gov/safehrbr/list.aspx. • Beschluss des Düsseldorfer Kreises zu Safe Harbor (29. April 2010) 22
osborneclarke.com Datenschutz Datenübermittlung ins Ausland EU-Standardvertragsklauseln: • Vorlagen der EU-Kommission. • Ersetzen bei vollständiger Übernahme eine Genehmigung des Datenverkehrs, die sonst nur nach Prüfung durch die Datenschutzkommission erteilt werden kann. 23
osborneclarke.com Datenschutz Verschlüsselung als Lösung für die Public Cloud Anonymisierung gem. § 3 Abs. 6 BDSG durch Verschlüsselung? • Anonymisierte Daten sind keine Personenbezogenen Daten i.S.v. § 3 Abs. 1 BDSG, Vorschriften des BDSG sind nicht anwendbar. • Einzelheiten zwar umstritten, Konzept trägt aber in der Praxis • Verschlüsselung erleichtert in jedem Fall die Abwägung nach § 28 BDSG und vor allem die ADV (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle)! 24
osborneclarke.com Datenschutz Verschlüsselung als Lösung Zeitalter der Rechenzentren (nur die WAN-Verbindung ist verschlüsselt. Im RZ liegen die Daten im Klartext – das RZ ist aber auditierbar geschützt): Wie verlagern wir ein Rechenzentrum in die Cloud? 25
osborneclarke.com Datenschutz Verschlüsselung als Lösung In der Cloud hat das RZ keine auditierbar "harten Mauern" mehr. Kompensation: Mittels Verschlüsselung auch im RZ wird die "Mauer" wird um die Daten gezogen. 26
osborneclarke.com Datenschutz Verschlüsselung als Lösung 27
osborneclarke.com Datenschutz Verschlüsselung als Lösung Resultat: Technisch beschlagnahmesichere Speicherung medizinischer Daten • Niemand ist technisch in der Lage, die Vertraulichkeit global aufzuheben. • Einziger Sicherheitsanker: Das Geheimnis des Teilnehmers (Patient, Arzt etc.)! 28
osborneclarke.com Datenschutz Verschlüsselung als Lösung Resultat: CGM praktiziert on-chip/on-client-Generierung von Credentials • Verfügbarkeit über Super PIN • Barrierefreiheit über TANs • Revisionsfähigkeit des Quellcodes: Keine Geheimnisse im Quellcode vergraben • Kryptographische Authentisierung mit beliebigen Credentials 29
osborneclarke.com Datenschutz Best Practices • Unterscheiden Sie genau, welche Daten Sie wie in die Cloud geben – Personenbezogene Daten unterliegen dem BDSG – Nicht Personenbezogene Daten sind "frei", aber evtl. dennoch kritisch: • Geschäftskritische Daten (verschlüsselt?) • Allgemeine Daten 30
osborneclarke.com Datenschutz Best Practices • Verschlüsseln Sie Daten nach Möglichkeit • Suchen Sie den Anbieter sorgfältig aus • Halten Sie die Daten nach Möglichkeit in der EU/EWR • Sorgen Sie für eine Auditierbarkeit – idealerweise der Daten, sonst der Technologien und Prozesse • Achten Sie auf Transparenz! Können Sie die Aussagen der Anbieter prüfen? 31
Compliance im Cloud Computing
osborneclarke.com Compliance GoBS: Allgemeine Grundsätze • Vollständigkeit • Richtigkeit • Zeitgerechtigkeit • Ordnung • Nachvollziehbarkeit • Unveränderlichkeit 33
osborneclarke.com Compliance GoBS: Buchführung in elektronischer Form • Keine bestimmte Technik vorgeschrieben (§ 147 Abs. 2 AO, § 239 Abs. 4 HGB) • Zulässig unter folgenden Voraussetzungen – Einhaltung der GoB bzw. GoBS – Jederzeitige Verfügbarkeit während der Aufbewahrungsfristen, jederzeitige Lesbarkeit und maschinelle Auswertbarkeit 34
osborneclarke.com Compliance GoBS: Buchführung in elektronischer Form • Zulässig unter folgenden Voraussetzungen – Bei Handels- und Geschäftsbriefen sowie Buchungsbelegen bildliche Übereinstimmung mit den Originaldokumenten (§ 147 Abs. 2 AO) - Unveränderlichkeit – Bei sonstigen Unterlagen inhaltliche Übereinstimmung (§ 147 Abs. 2 AO) 35
osborneclarke.com Compliance GoBS: Buchführung in elektronischer Form • Ausnahmen (§ 147 Abs. 2 AO) – Jahresabschluss – Eröffnungsbilanz – Bestimmte Zollunterlagen 36
osborneclarke.com Compliance GoBS: Aufbewahrungsfristen • Was ist aufzubewahren? (vgl. v. a. § 147 Abs. 1 AO, § 257 Abs. 1 HGB) – Jahresabschluss*, Bücher und Inventare – Lageberichte – Eröffnungsbilanz* – Buchungsbelege – Handels- und Geschäftsbriefe – Technische Dokumentation der Hersteller * Nicht digital nach GoBS möglich 37
osborneclarke.com Compliance GoBS: Aufbewahrungsfristen • Dauer der Aufbewahrung (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB, § 14 b Abs. 1 UStG) – Regelmäßig 10 Jahre – 6 Jahre • Handels- und Geschäftsbriefe – Abgrenzung praktisch oft schwierig: Im Zweifel 10 Jahre – Grenze: Datenschutzrechtliche Löschungspflichten • Beginn der Aufbewahrungsfrist (§ 147 Abs. 4 AO, § 257 Abs. 5 HGB) – Schluss des Kalenderjahres 38
osborneclarke.com Compliance GoBS: Konsequenzen einer Verletzung der Buchführungspflicht • Steuerlich z. B. – Versagung von Steuervergünstigungen – Schätzung von Besteuerungsgrundlagen – Erzwingung einer ordnungsgemäßen Buchführung durch Zwangsgeld • Zivilrechtlich z. B. – Schadenersatzhaftung von Geschäftsführer oder Vorstand gegenüber der Gesellschaft (§ 93 Abs. 2 AktG, § 43 Abs. 2 GmbH) 39
osborneclarke.com Compliance GoBS: Konsequenzen einer Verletzung der Buchführungspflicht • Strafrechtlich z. B. –Verletzung der Buchführungspflicht (§ 283 StGB) –Steuerhinterziehung (§ 370 AO) –Urkundenunterdrückung (§ 274 StGB) 40
osborneclarke.com Compliance Steuer– und Finanzrecht § 146 AO: Ordnungsvorschriften für die Buchführung und für Aufzeichnungen: • Grundsatz: Buchführung im Inland, § 146 Abs. 2 AO • Auf Antrag Erlaubnis, Bücher im Ausland zu führen, § 146 Abs. 2a AO. Voraussetzungen (kumulativ): – Standort der genutzten Systeme und Anbieter mit Anschrift mitgeteilt (à funktioniert bei Public Cloud nicht) – Steuerliche Mitwirkung bislang beanstandungsfrei – Volle Zugriffsmöglichkeiten der deutschen Finanzbehörden – Besteuerung wird nicht beeinträchtigt 41
osborneclarke.com Compliance GDPdU • GDPdU = Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen • Digitaler Zugriff der Finanzbehören auf elektronisch gespeicherte steuerlich relevante Unterlagen bei Außenprüfungen (§§ 193 ff. AO) • Gegenstand des Zugriffs: "Steuerlich relevante Daten" • Konflikt: Datenschutzrecht, TK-Geheimnis und von Berufsgeheimnissen erfassten Daten 42
osborneclarke.com Compliance Best Practices • Prüfen Sie genau, welche Daten in die Cloud gehen • Sofern die Archivierung auf Papier abgelöst werden soll, klassifizieren Sie die Dokumentenarten nach Aufbewahrungszeiten und Zugriffserfordernissen • Regeln Sie mit dem Anbieter, wie ein langfristiger Zugriff auf die Dokumente möglich ist – auch bei Anbieterwechsel! 43
osborneclarke.com Compliance Best Practices • Achten Sie auf mandantenfähige Systeme! – Eine physikalische Trennung ist besser als eine logische – In der Cloud ist aber nur eine logische Trennung möglich – Klären Sie mit der Finanzverwaltung, ob die vorgenommene logische Trennung ausreicht – Im Zweifel verschlüsseln Sie (s. Anlage zu §9 BDSG!) 44
Lizenzen im Cloud Computing
osborneclarke.com Lizenzen Die Kopie entscheidet über die Lizenzpflicht 1. Jede Vervielfältigung einer Software erfordert Zustimmung des Rechteinhabers, § 69c Nr. 1 Urheberrechtsgesetz ("UrhG"). 2. Bereits Ausführen von Software stellt zustimmungsbedürftige Vervielfältigung dar. 3. Wer im Falle eines Cloud Computings diese Vervielfältigung vornimmt, ist schwierige Abgrenzungsfrage. 46
osborneclarke.com Lizenzen Folgen dieser Ansicht Sollte in rechtlicher Hinsicht der Nutzer die Kopie anfertigen: è Der Nutzer eines Cloud Computings benötigt Nutzungsrechte für die verwendete Software. è Der Provider muss diese Rechte selbst besitzen. è Der Provider muss auch rechtlich in der Lage sein, diese Rechte auf seinen Kunden weiter zu übertragen. 47
osborneclarke.com Lizenzen Open Source und Cloud Computing Open Source Software unter der GPL: Wer Software unter der GPL verändert und verbreitet, muss die Veränderungen einschließlich des Source Codes allen Dritten ebenfalls unter der GPL zur Verfügung stellen ("Infektionswirkung" der GPL). Stellt der Einsatz einer angepassten Open Source Software im Zuge von Cloud Computing eine Verbreitung dar? Customizing-Leistungen müssten dann kostenlos und im Source Code auch Dritten angeboten werden. Denn anderenfalls entfiele nach der GPL die Nutzungsbefugnis. Die weitere Verwendung stellte eine Urheberrechtsverletzung dar. 48
osborneclarke.com Lizenzen (A)GPLv3 Regelung der GPLv3: "Reine Interaktion mit einem Benutzer über ein Computer- Netzwerk ohne Übergabe einer Kopie ist keine Übertragung", Ziffer 0 ("Definitionen") Abs. 7 GPLv3. è Es wird kein Binärcode übertragen, ergo greift GPLv3 nicht è Allenfalls die "Netzwerknutzung" greift – führt aber nicht weiter è Die für ASP geschaffene Variante (AGPLv3) passt ebensowenig 49
osborneclarke.com Anwendbares Recht bei Urheberrechtsverletzungen Schutzland vs. Ursprungsland • Ursprungsland: Die Urheberrechtsverletzung beurteilt sich nach dem Recht des Landes, in dem das Werk zum ersten mal veröffentlicht worden ist. • Schutzland: Die Urheberrechtsverletzung beurteilt sich nach dem Recht des Landes, in dem die Urheberrechtsverletzung begangen worden ist. 50
osborneclarke.com Lizenzen Best Practices • Stellen Sie sich auch als Anbieter darauf ein, dass die klassische Softwarelizenz ausgedient hat • Lassen Sie als Kunde den Anbieter garantieren, dass er Ihnen die erforderlichen Nutzungsrechte an der Lösung verschafft • Vereinbaren Sie mit dem Anbieter eine Freistellung von eventuellen Schadensersatzforderungen Dritter wegen Lizenzverletzungen 51
osborneclarke.com Lizenzen Best Practices • Vereinbaren Sie mit dem Anbieter, dass auch Ihre Kontraktoren auf Ihre Systeme zugreifen dürfen • Vereinbaren Sie ein jederzeitiges Herausgaberecht Ihrer Daten in einem Standardformat – um den Anbieter im Fall von Problemen leichter wechseln zu können • Wenn Sie Cloud Computing nutzen, standardisieren Sie Ihre Prozesse entsprechend – auch das erleichtert einen späteren Wechsel des Anbieters 52
osborneclarke.com Fragen? Georg Meyer-Spasche Priv.-Doz. Dr. Adrian Spalka Partner, Rechtsanwalt Corporate Head of IT-Security Osborne Clarke CompuGroup Medical AG t +49 (0) 221 5108 4204 t +49 (0) 261 8000 1361 f +49 (0) 221 5108 4205 f +49 (0) 261 8000 1596 georg.meyer-spasche@osborneclarke.com ask@compugroup.com 53

Recommandé

Cloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der CloudCloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der CloudConnected-Blog
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
Augen auf bei Cloud-Verträgen
Augen auf bei Cloud-VerträgenAugen auf bei Cloud-Verträgen
Augen auf bei Cloud-VerträgenOliver_Staffelbach
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing RESMEDIA - Anwälte für IT-IP-Medien
 
Langzeitarchivierung - Warum ist Archivierung wichtig?
Langzeitarchivierung - Warum ist Archivierung wichtig?Langzeitarchivierung - Warum ist Archivierung wichtig?
Langzeitarchivierung - Warum ist Archivierung wichtig?Granikos GmbH & Co. KG
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Sascha Kremer
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert
 

Recommandé

Cloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der CloudCloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der CloudConnected-Blog
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...Symposia 360°
 
Augen auf bei Cloud-Verträgen
Augen auf bei Cloud-VerträgenAugen auf bei Cloud-Verträgen
Augen auf bei Cloud-VerträgenOliver_Staffelbach
 
Cloud Computing
Cloud Computing Cloud Computing
Cloud Computing RESMEDIA - Anwälte für IT-IP-Medien
 
Langzeitarchivierung - Warum ist Archivierung wichtig?
Langzeitarchivierung - Warum ist Archivierung wichtig?Langzeitarchivierung - Warum ist Archivierung wichtig?
Langzeitarchivierung - Warum ist Archivierung wichtig?Granikos GmbH & Co. KG
 
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013
Datenschutz 3.0 - ELSA Heidelberg, 22.4.2013Sascha Kremer
 
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011
Bernd Fuhlert: Vortrag an der FOM Hochschule - Dezember 2011Bernd Fuhlert
 
1612011[1]
1612011[1]1612011[1]
1612011[1]gullkilla
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzDigicomp Academy AG
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Marcus Beckmann
 
Sebastian Louven - Industrie 4.0
Sebastian Louven - Industrie 4.0Sebastian Louven - Industrie 4.0
Sebastian Louven - Industrie 4.0Sebastian Louven
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Bernd Fuhlert
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecMichael Lanzinger
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...CloudCamp Hamburg
 
Aktuelle Projekte und Neuerungen in 4.1
Aktuelle Projekte und Neuerungen in 4.1Aktuelle Projekte und Neuerungen in 4.1
Aktuelle Projekte und Neuerungen in 4.1ilubunibe
 
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur..."Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...Sympra GmbH (GPRA)
 
Wochenplan
WochenplanWochenplan
Wochenplansandwater
 
Tarea 1 propuesta
Tarea 1 propuestaTarea 1 propuesta
Tarea 1 propuestaMagda Torres
 
Richtlinien zum neuen Logo
Richtlinien zum neuen LogoRichtlinien zum neuen Logo
Richtlinien zum neuen Logo09366KulturAG
 
Hemorragias. Trasfusiones
Hemorragias. TrasfusionesHemorragias. Trasfusiones
Hemorragias. Trasfusionesjvallejoherrador
 
Ejempleos De Bienes
Ejempleos De BienesEjempleos De Bienes
Ejempleos De Bienescristian illescas
 
Hettinger Skilift
Hettinger SkiliftHettinger Skilift
Hettinger SkiliftMarcus Exner
 
Mundo en imágenes
Mundo en imágenesMundo en imágenes
Mundo en imágenesguestc6068
 
PresentacióNsfsdf
PresentacióNsfsdfPresentacióNsfsdf
PresentacióNsfsdfguest9d22f5
 

Contenu connexe

Tendances

Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzMichael Rohrlich
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzDigicomp Academy AG
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementSascha Kremer
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungSascha Kremer
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiMichael Lanzinger
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Marcus Beckmann
 
Sebastian Louven - Industrie 4.0
Sebastian Louven - Industrie 4.0Sebastian Louven - Industrie 4.0
Sebastian Louven - Industrie 4.0Sebastian Louven
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umMichael Rohrlich
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Bernd Fuhlert
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...CloudCamp Hamburg
 

Tendances (12)

1612011[1]
1612011[1]1612011[1]
1612011[1]
 
Die Betroffenenrechte im Datenschutz
Die Betroffenenrechte im DatenschutzDie Betroffenenrechte im Datenschutz
Die Betroffenenrechte im Datenschutz
 
Mitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutzMitarbeiterkontrolle datenschutz
Mitarbeiterkontrolle datenschutz
 
Datenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device ManagementDatenschutz bei Mobile Banking und Mobile Device Management
Datenschutz bei Mobile Banking und Mobile Device Management
 
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur VertragsgestaltungAuftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
Auftragsdatenverarbeitung in der Praxis - Hinweise zur Vertragsgestaltung
 
Datenschutz in der Rechtsanwaltskanzlei
Datenschutz in der RechtsanwaltskanzleiDatenschutz in der Rechtsanwaltskanzlei
Datenschutz in der Rechtsanwaltskanzlei
 
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
Cebit mitarbeiterdaten kundendaten_cloud_beckmann_19032015
 
Sebastian Louven - Industrie 4.0
Sebastian Louven - Industrie 4.0Sebastian Louven - Industrie 4.0
Sebastian Louven - Industrie 4.0
 
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma umDSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
DSGVO: So setzen Sie die neue Verordnung in Ihrer Firma um
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
 
DSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei NimbusecDSGVO-Workshop bei Nimbusec
DSGVO-Workshop bei Nimbusec
 
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
Dr. Hans Markus Wulf – Cloud Computing und Datenschutz: Ein Überblick zur Rec...
 

En vedette

Aktuelle Projekte und Neuerungen in 4.1
Aktuelle Projekte und Neuerungen in 4.1Aktuelle Projekte und Neuerungen in 4.1
Aktuelle Projekte und Neuerungen in 4.1ilubunibe
 
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur..."Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...Sympra GmbH (GPRA)
 
Richtlinien zum neuen Logo
Richtlinien zum neuen LogoRichtlinien zum neuen Logo
Richtlinien zum neuen Logo09366KulturAG
 
Mundo en imágenes
Mundo en imágenesMundo en imágenes
Mundo en imágenesguestc6068
 
PresentacióNsfsdf
PresentacióNsfsdfPresentacióNsfsdf
PresentacióNsfsdfguest9d22f5
 
Cap1
Cap1Cap1
Cap1CJAO
 
FRIESE CONSULT Praesentation
FRIESE CONSULT PraesentationFRIESE CONSULT Praesentation
FRIESE CONSULT PraesentationEugen Friese
 
Medienanalyse bmu-kids.de
Medienanalyse bmu-kids.deMedienanalyse bmu-kids.de
Medienanalyse bmu-kids.deBirgit_Lippert
 

En vedette (17)

Aktuelle Projekte und Neuerungen in 4.1
Aktuelle Projekte und Neuerungen in 4.1Aktuelle Projekte und Neuerungen in 4.1
Aktuelle Projekte und Neuerungen in 4.1
 
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur..."Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...
"Social-Media-Einführung im Unternehmen: Empfehlungen aus Sicht einer Agentur...
 
Wochenplan
WochenplanWochenplan
Wochenplan
 
Tarea 1 propuesta
Tarea 1 propuestaTarea 1 propuesta
Tarea 1 propuesta
 
Richtlinien zum neuen Logo
Richtlinien zum neuen LogoRichtlinien zum neuen Logo
Richtlinien zum neuen Logo
 
Hemorragias. Trasfusiones
Hemorragias. TrasfusionesHemorragias. Trasfusiones
Hemorragias. Trasfusiones
 
Ejempleos De Bienes
Ejempleos De BienesEjempleos De Bienes
Ejempleos De Bienes
 
Hettinger Skilift
Hettinger SkiliftHettinger Skilift
Hettinger Skilift
 
Mundo en imágenes
Mundo en imágenesMundo en imágenes
Mundo en imágenes
 
PresentacióNsfsdf
PresentacióNsfsdfPresentacióNsfsdf
PresentacióNsfsdf
 
Präsentation2 neu
Präsentation2 neuPräsentation2 neu
Präsentation2 neu
 
Cap1
Cap1Cap1
Cap1
 
Album Selene
Album SeleneAlbum Selene
Album Selene
 
FRIESE CONSULT Praesentation
FRIESE CONSULT PraesentationFRIESE CONSULT Praesentation
FRIESE CONSULT Praesentation
 
Basisinformationstechnologie I WiSem 2015 / 2016 | 02_Grundlagen II
Basisinformationstechnologie I WiSem 2015 / 2016 | 02_Grundlagen IIBasisinformationstechnologie I WiSem 2015 / 2016 | 02_Grundlagen II
Basisinformationstechnologie I WiSem 2015 / 2016 | 02_Grundlagen II
 
3. Buchgassenfest - Pressemappe
3. Buchgassenfest - Pressemappe3. Buchgassenfest - Pressemappe
3. Buchgassenfest - Pressemappe
 
Medienanalyse bmu-kids.de
Medienanalyse bmu-kids.deMedienanalyse bmu-kids.de
Medienanalyse bmu-kids.de
 

Similaire à WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing

Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzeBusiness-Lotse Potsdam
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...Symposia 360°
 
Online-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitOnline-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitLamaPoll
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandMichael Rohrlich
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzMichael Lanzinger
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteMichael Lanzinger
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Raabe Verlag
 

Similaire à WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing (7)

Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische RelevanzVerträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
Verträge für die Cloud - Rechtliche Besonderheiten und praktische Relevanz
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
 
Online-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr SicherheitOnline-Befragungen: ADV-Vertrag für mehr Sicherheit
Online-Befragungen: ADV-Vertrag für mehr Sicherheit
 
Sichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins AuslandSichere Datenübermittlung ins Ausland
Sichere Datenübermittlung ins Ausland
 
Datenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis LinzDatenschutz-Vortrag im Axis Linz
Datenschutz-Vortrag im Axis Linz
 
Cybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche AspekteCybercrime & Datenklau - rechtliche Aspekte
Cybercrime & Datenklau - rechtliche Aspekte
 
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
Von der Horst: Vom Datenschutz und der Datensicherheit zur „Datenschutzkultur“
 

Plus de CloudOps Summit

Enable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowEnable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowCloudOps Summit
 
Augmenting People – Steuern wir noch oder werden wir gesteuert?
Augmenting People – Steuern wir noch oder werden wir gesteuert?Augmenting People – Steuern wir noch oder werden wir gesteuert?
Augmenting People – Steuern wir noch oder werden wir gesteuert?CloudOps Summit
 
Enterprise IT - between ugly and sexy
Enterprise IT - between ugly and sexyEnterprise IT - between ugly and sexy
Enterprise IT - between ugly and sexyCloudOps Summit
 
Time is the currency of IT
Time is the currency of ITTime is the currency of IT
Time is the currency of ITCloudOps Summit
 
Agile Stabilität - Wenn Operations agil wird
Agile Stabilität - Wenn Operations agil wirdAgile Stabilität - Wenn Operations agil wird
Agile Stabilität - Wenn Operations agil wirdCloudOps Summit
 
Devops in the real world
Devops in the real worldDevops in the real world
Devops in the real worldCloudOps Summit
 
Convergence – Social Enterprise
Convergence – Social EnterpriseConvergence – Social Enterprise
Convergence – Social EnterpriseCloudOps Summit
 
Lokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der UnternehmensdatenLokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der UnternehmensdatenCloudOps Summit
 
True Storage Virtualization with Software-Defined Storage
True Storage Virtualization with Software-Defined StorageTrue Storage Virtualization with Software-Defined Storage
True Storage Virtualization with Software-Defined StorageCloudOps Summit
 
Cloud Computing is not simple
Cloud Computing is not simpleCloud Computing is not simple
Cloud Computing is not simpleCloudOps Summit
 
How to Create Value Through Mergers & Acquisitions
How to Create Value Through Mergers & AcquisitionsHow to Create Value Through Mergers & Acquisitions
How to Create Value Through Mergers & AcquisitionsCloudOps Summit
 
You should not own a data center
You should not own a data centerYou should not own a data center
You should not own a data centerCloudOps Summit
 
Cloud-Dienste aus DE & EU als AWS Konkurrenz
Cloud-Dienste aus DE & EU als AWS KonkurrenzCloud-Dienste aus DE & EU als AWS Konkurrenz
Cloud-Dienste aus DE & EU als AWS KonkurrenzCloudOps Summit
 
EMC's IT's Cloud Transformation, Thomas Becker, EMC
EMC's IT's Cloud Transformation, Thomas Becker, EMCEMC's IT's Cloud Transformation, Thomas Becker, EMC
EMC's IT's Cloud Transformation, Thomas Becker, EMCCloudOps Summit
 
Strategic Importance of Semantic Technologies as a Key Differentiator for IT ...
Strategic Importance of Semantic Technologies as a Key Differentiator for IT ...Strategic Importance of Semantic Technologies as a Key Differentiator for IT ...
Strategic Importance of Semantic Technologies as a Key Differentiator for IT ...CloudOps Summit
 
Liquid Work, Luca Hammer, work.io
Liquid Work, Luca Hammer, work.ioLiquid Work, Luca Hammer, work.io
Liquid Work, Luca Hammer, work.ioCloudOps Summit
 

Plus de CloudOps Summit (20)

Enable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud EscrowEnable2Cloud: Risk Management by Cloud Escrow
Enable2Cloud: Risk Management by Cloud Escrow
 
Augmenting People – Steuern wir noch oder werden wir gesteuert?
Augmenting People – Steuern wir noch oder werden wir gesteuert?Augmenting People – Steuern wir noch oder werden wir gesteuert?
Augmenting People – Steuern wir noch oder werden wir gesteuert?
 
Programming humans
Programming humansProgramming humans
Programming humans
 
Enterprise IT - between ugly and sexy
Enterprise IT - between ugly and sexyEnterprise IT - between ugly and sexy
Enterprise IT - between ugly and sexy
 
Time is the currency of IT
Time is the currency of ITTime is the currency of IT
Time is the currency of IT
 
Komplex – Perplex?
Komplex – Perplex?Komplex – Perplex?
Komplex – Perplex?
 
Agile Stabilität - Wenn Operations agil wird
Agile Stabilität - Wenn Operations agil wirdAgile Stabilität - Wenn Operations agil wird
Agile Stabilität - Wenn Operations agil wird
 
Agile Virtualisierung
Agile VirtualisierungAgile Virtualisierung
Agile Virtualisierung
 
Devops in the real world
Devops in the real worldDevops in the real world
Devops in the real world
 
Convergence – Social Enterprise
Convergence – Social EnterpriseConvergence – Social Enterprise
Convergence – Social Enterprise
 
Banking Reloaded
Banking ReloadedBanking Reloaded
Banking Reloaded
 
Lokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der UnternehmensdatenLokale Clouds für mehr Kontrolle der Unternehmensdaten
Lokale Clouds für mehr Kontrolle der Unternehmensdaten
 
True Storage Virtualization with Software-Defined Storage
True Storage Virtualization with Software-Defined StorageTrue Storage Virtualization with Software-Defined Storage
True Storage Virtualization with Software-Defined Storage
 
Cloud Computing is not simple
Cloud Computing is not simpleCloud Computing is not simple
Cloud Computing is not simple
 
How to Create Value Through Mergers & Acquisitions
How to Create Value Through Mergers & AcquisitionsHow to Create Value Through Mergers & Acquisitions
How to Create Value Through Mergers & Acquisitions
 
You should not own a data center
You should not own a data centerYou should not own a data center
You should not own a data center
 
Cloud-Dienste aus DE & EU als AWS Konkurrenz
Cloud-Dienste aus DE & EU als AWS KonkurrenzCloud-Dienste aus DE & EU als AWS Konkurrenz
Cloud-Dienste aus DE & EU als AWS Konkurrenz
 
EMC's IT's Cloud Transformation, Thomas Becker, EMC
EMC's IT's Cloud Transformation, Thomas Becker, EMCEMC's IT's Cloud Transformation, Thomas Becker, EMC
EMC's IT's Cloud Transformation, Thomas Becker, EMC
 
Strategic Importance of Semantic Technologies as a Key Differentiator for IT ...
Strategic Importance of Semantic Technologies as a Key Differentiator for IT ...Strategic Importance of Semantic Technologies as a Key Differentiator for IT ...
Strategic Importance of Semantic Technologies as a Key Differentiator for IT ...
 
Liquid Work, Luca Hammer, work.io
Liquid Work, Luca Hammer, work.ioLiquid Work, Luca Hammer, work.io
Liquid Work, Luca Hammer, work.io
 

WS: Meyer-Spasche, Osborne-Clarke - Rechtssicheres Cloud-computing

  • 1. Rechtssicheres Cloud Computing Georg Meyer-Spasche / Adrian Spalka 17. März 2011
  • 2. Inhalt • Strukturen und Definitionen • Datenschutz • Compliance • Lizenzen und Urheberrecht
  • 3. Strukturen und Definitionen des Cloud Computing
  • 4. osborneclarke.com Servicearten des Cloud Computing • Software as a Service (SaaS) • Platform as a Service (PaaS) • Infrastructure as a Service (IaaS) 3
  • 5. osborneclarke.com Cloud Computing Typen • Private Cloud • Virtual Private Cloud • Hybrid Cloud • Public Cloud 4
  • 8. osborneclarke.com Virtual Private Public Private Cloud Cloud Cloud Remote DC Remote Hybrid | Cloud Local "Stan- On Site ford"- DC DC Private -- Public 7
  • 10. osborneclarke.com Datenschutz Die Grundsätze Jede Erhebung oder Verarbeitung von personenbezogenen Daten unterliegt den Einschränkungen des Datenschutzes, § 4 Abs. 1 Bundesdatenschutzgesetz ("BDSG"). Personenbezogene Daten sind Informationen, die auf einzelne Personen bezogen werden können, § 3 Abs. 1 BDSG. Als Verarbeitung von solchen personenbezogenen Daten gilt auch die Übermittlung an Dritte, § 3 Abs. 4 Nr. 3 BDSG. è Jede Übermittlung personenbezogener an Dritte unterfällt den Einschränkungen des Datenschutzrechtes. 9
  • 11. osborneclarke.com Datenschutz Wann darf wohin übermittelt werden? Eine Übermittlung ist innerhalb von EU oder EWR zulässig, soweit ein Gesetz dies erlaubt oder der Betroffene einwilligt. • Als gesetzliche Erlaubnis kommt § 28 I BDSG in Betracht. Jedoch sind die Voraussetzungen der Vorschrift für die einzelne Übermittlung gerade beim kostenmotivierten Cloud Computing schwer zu erfüllen: – Reine Kostenerwägungen machen die Datenübermittlung noch nicht erforderlich, auch – können die Interessen des Betroffenen überwiegen. 10
  • 12. osborneclarke.com Datenschutz Wann darf wohin übermittelt werden? • Die Einwilligung ist kaum praktikabel, denn sie bedarf einer eingehenden Information und kann jederzeit widerrufen werden. In Gebiete außerhalb von EU bzw. EWR ist eine Übermittlung nur erlaubt, wenn es sich um sichere Drittstaaten (z.B. Schweiz, Kanada) handelt oder besondere Regelungen greifen (EU- Musterklauseln oder Safe Harbour). 11
  • 13. osborneclarke.com Datenschutz Lösung: Auftragsdatenverarbeitung? Mögliche Lösung innerhalb EU / EWR: Errichtung einer "Auftragsdatenverarbeitung" nach § 11 BDSG. • Der Auftraggeber bleibt "Herr der Daten". • Der Provider des Cloud Computing gilt dann nicht mehr als Dritter im Sinne des BDSG. 12
  • 14. osborneclarke.com Datenschutz Lösung: Auftragsdatenverarbeitung? èIn rechtlicher Hinsicht liegt also keine Übermittlung vor und der Datenverarbeiter wird quasi behandelt, wie die interne IT des Auftraggebers. èEine Auftragsdatenverarbeitung ist jedoch nur wirksam, wenn eine bestimmte Struktur realisiert wird. èDie Auftragsdatenverarbeitung funktioniert nur innerhalb der EU / des EWR. 13
  • 15. osborneclarke.com Datenschutz Auftragsdatenverarbeitung Übermittlung Dienstleister Ihr Unternehmen Verarbeitung Bedarf einer Erfordert die Erhebung gesetzlichen Einwilligung der Erlaubnis (i.d.R. Betroffenen oder eine gegeben durch §§ gesetzliche Erlaubnis 28, 32 BDSG) oder der Einwilligung der Betroffenen Personenbezogene Daten der Betroffenen (Angestellte, Kunden, etc.) 14
  • 16. osborneclarke.com Datenschutz Auftragsdatenverarbeitung Dienstleister Ihr Unternehmen Datenverarbeitung ausschließlich nach Weisung Bedarf einer Verarbeitung Erhebung gesetzlichen Erlaubnis Auftragsdatenverarbeit (i.d.R. gegeben durch §§ ung 28, 32 BDSG) oder der Einwilligung der Betroffenen Personenbezogene Daten der Betroffenen (Angestellte, Kunden, etc.) 15
  • 17. osborneclarke.com Datenschutz Auftragsdatenverarbeitung Voraussetzungen für eine Auftragsdatenverarbeitung: • sorgfältig ausgewählter Provider als Auftragnehmer • Provider verarbeitet die Daten ohne eigene Entscheidungskompetenz (in Abgrenzung zur Funktionsübertragung) • umfassende Weisungs- und Kontrollrechte und -pflichten des Auftraggebers – dies betrifft auch den Ort der Speicherung 16
  • 18. osborneclarke.com Datenschutz Auftragsdatenverarbeitung è Zumindest im Falle des Public Cloud Computing sind Kontrollpflichten kaum wahrzunehmen! Cloud Computing dann ohne Auftragsdatenverarbeitung nur verwendbar bei Daten ohne Personenbezug oder Einwilligung des Betroffenen è In der (Virtual) Private Cloud jedoch gut lösbar… è …solange der Anbieter wirklich nur Datenverarbeiter bleibt 17
  • 19. osborneclarke.com Datenschutz Auftragsdatenverarbeitung und § 9 BDSG Anlage zu § 9 Satz 1 fordert technisch-organisatorische Maßnahmen, um 3. Zu gewährleisten, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können (Zugriffskontrolle) 18
  • 20. osborneclarke.com Datenschutz Auftragsdatenverarbeitung und § 9 BDSG Anlage zu § 9 Satz 1 fordert technisch-organisatorische Maßnahmen, um 5. Zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle) 19
  • 21. osborneclarke.com Datenschutz Auftragsdatenverarbeitung und § 9 BDSG Anlage zu § 9 Satz 1 fordert technisch-organisatorische Maßnahmen, um 6. Zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), … à In der Private Cloud möglich, in der Public Cloud eher anspruchsvoll. 20
  • 22. osborneclarke.com Datenschutz Auftragsdatenverarbeitung Territoriale Grenzen der Auftragsdatenverarbeitung: • Gebiet der EU / des EWR. Standort des Servers entscheidend! Alternativen zur Auftragsdatenverarbeitung: • EU-Standardvertragsklauseln; • Übermittlung an so genannte sichere Drittstaaten; oder • Safe-Harbor. è Eine Weitergabe liegt vor (str.)! Eigener Erlaubnistatbestand erforderlich. In der Praxis sehr häufig ignoriert. 21
  • 23. osborneclarke.com Datenschutz Datenübermittlung ins Ausland Safe Harbor: • USA verfügen über kein zu EU / zum EWR vergleichbar hohes Datenschutzniveau. • US-amerikanische Firmen, die sich dem Safe Harbor-Prinzip unterwerfen, garantieren sorgsamen Umgang mit personenbezogenen Daten. • Liste der teilnehmenden Unternehmen: export.gov/safehrbr/list.aspx. • Beschluss des Düsseldorfer Kreises zu Safe Harbor (29. April 2010) 22
  • 24. osborneclarke.com Datenschutz Datenübermittlung ins Ausland EU-Standardvertragsklauseln: • Vorlagen der EU-Kommission. • Ersetzen bei vollständiger Übernahme eine Genehmigung des Datenverkehrs, die sonst nur nach Prüfung durch die Datenschutzkommission erteilt werden kann. 23
  • 25. osborneclarke.com Datenschutz Verschlüsselung als Lösung für die Public Cloud Anonymisierung gem. § 3 Abs. 6 BDSG durch Verschlüsselung? • Anonymisierte Daten sind keine Personenbezogenen Daten i.S.v. § 3 Abs. 1 BDSG, Vorschriften des BDSG sind nicht anwendbar. • Einzelheiten zwar umstritten, Konzept trägt aber in der Praxis • Verschlüsselung erleichtert in jedem Fall die Abwägung nach § 28 BDSG und vor allem die ADV (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle)! 24
  • 26. osborneclarke.com Datenschutz Verschlüsselung als Lösung Zeitalter der Rechenzentren (nur die WAN-Verbindung ist verschlüsselt. Im RZ liegen die Daten im Klartext – das RZ ist aber auditierbar geschützt): Wie verlagern wir ein Rechenzentrum in die Cloud? 25
  • 27. osborneclarke.com Datenschutz Verschlüsselung als Lösung In der Cloud hat das RZ keine auditierbar "harten Mauern" mehr. Kompensation: Mittels Verschlüsselung auch im RZ wird die "Mauer" wird um die Daten gezogen. 26
  • 29. osborneclarke.com Datenschutz Verschlüsselung als Lösung Resultat: Technisch beschlagnahmesichere Speicherung medizinischer Daten • Niemand ist technisch in der Lage, die Vertraulichkeit global aufzuheben. • Einziger Sicherheitsanker: Das Geheimnis des Teilnehmers (Patient, Arzt etc.)! 28
  • 30. osborneclarke.com Datenschutz Verschlüsselung als Lösung Resultat: CGM praktiziert on-chip/on-client-Generierung von Credentials • Verfügbarkeit über Super PIN • Barrierefreiheit über TANs • Revisionsfähigkeit des Quellcodes: Keine Geheimnisse im Quellcode vergraben • Kryptographische Authentisierung mit beliebigen Credentials 29
  • 31. osborneclarke.com Datenschutz Best Practices • Unterscheiden Sie genau, welche Daten Sie wie in die Cloud geben – Personenbezogene Daten unterliegen dem BDSG – Nicht Personenbezogene Daten sind "frei", aber evtl. dennoch kritisch: • Geschäftskritische Daten (verschlüsselt?) • Allgemeine Daten 30
  • 32. osborneclarke.com Datenschutz Best Practices • Verschlüsseln Sie Daten nach Möglichkeit • Suchen Sie den Anbieter sorgfältig aus • Halten Sie die Daten nach Möglichkeit in der EU/EWR • Sorgen Sie für eine Auditierbarkeit – idealerweise der Daten, sonst der Technologien und Prozesse • Achten Sie auf Transparenz! Können Sie die Aussagen der Anbieter prüfen? 31
  • 33. Compliance im Cloud Computing
  • 34. osborneclarke.com Compliance GoBS: Allgemeine Grundsätze • Vollständigkeit • Richtigkeit • Zeitgerechtigkeit • Ordnung • Nachvollziehbarkeit • Unveränderlichkeit 33
  • 35. osborneclarke.com Compliance GoBS: Buchführung in elektronischer Form • Keine bestimmte Technik vorgeschrieben (§ 147 Abs. 2 AO, § 239 Abs. 4 HGB) • Zulässig unter folgenden Voraussetzungen – Einhaltung der GoB bzw. GoBS – Jederzeitige Verfügbarkeit während der Aufbewahrungsfristen, jederzeitige Lesbarkeit und maschinelle Auswertbarkeit 34
  • 36. osborneclarke.com Compliance GoBS: Buchführung in elektronischer Form • Zulässig unter folgenden Voraussetzungen – Bei Handels- und Geschäftsbriefen sowie Buchungsbelegen bildliche Übereinstimmung mit den Originaldokumenten (§ 147 Abs. 2 AO) - Unveränderlichkeit – Bei sonstigen Unterlagen inhaltliche Übereinstimmung (§ 147 Abs. 2 AO) 35
  • 37. osborneclarke.com Compliance GoBS: Buchführung in elektronischer Form • Ausnahmen (§ 147 Abs. 2 AO) – Jahresabschluss – Eröffnungsbilanz – Bestimmte Zollunterlagen 36
  • 38. osborneclarke.com Compliance GoBS: Aufbewahrungsfristen • Was ist aufzubewahren? (vgl. v. a. § 147 Abs. 1 AO, § 257 Abs. 1 HGB) – Jahresabschluss*, Bücher und Inventare – Lageberichte – Eröffnungsbilanz* – Buchungsbelege – Handels- und Geschäftsbriefe – Technische Dokumentation der Hersteller * Nicht digital nach GoBS möglich 37
  • 39. osborneclarke.com Compliance GoBS: Aufbewahrungsfristen • Dauer der Aufbewahrung (§ 147 Abs. 3 AO, § 257 Abs. 4 HGB, § 14 b Abs. 1 UStG) – Regelmäßig 10 Jahre – 6 Jahre • Handels- und Geschäftsbriefe – Abgrenzung praktisch oft schwierig: Im Zweifel 10 Jahre – Grenze: Datenschutzrechtliche Löschungspflichten • Beginn der Aufbewahrungsfrist (§ 147 Abs. 4 AO, § 257 Abs. 5 HGB) – Schluss des Kalenderjahres 38
  • 40. osborneclarke.com Compliance GoBS: Konsequenzen einer Verletzung der Buchführungspflicht • Steuerlich z. B. – Versagung von Steuervergünstigungen – Schätzung von Besteuerungsgrundlagen – Erzwingung einer ordnungsgemäßen Buchführung durch Zwangsgeld • Zivilrechtlich z. B. – Schadenersatzhaftung von Geschäftsführer oder Vorstand gegenüber der Gesellschaft (§ 93 Abs. 2 AktG, § 43 Abs. 2 GmbH) 39
  • 41. osborneclarke.com Compliance GoBS: Konsequenzen einer Verletzung der Buchführungspflicht • Strafrechtlich z. B. –Verletzung der Buchführungspflicht (§ 283 StGB) –Steuerhinterziehung (§ 370 AO) –Urkundenunterdrückung (§ 274 StGB) 40
  • 42. osborneclarke.com Compliance Steuer– und Finanzrecht § 146 AO: Ordnungsvorschriften für die Buchführung und für Aufzeichnungen: • Grundsatz: Buchführung im Inland, § 146 Abs. 2 AO • Auf Antrag Erlaubnis, Bücher im Ausland zu führen, § 146 Abs. 2a AO. Voraussetzungen (kumulativ): – Standort der genutzten Systeme und Anbieter mit Anschrift mitgeteilt (à funktioniert bei Public Cloud nicht) – Steuerliche Mitwirkung bislang beanstandungsfrei – Volle Zugriffsmöglichkeiten der deutschen Finanzbehörden – Besteuerung wird nicht beeinträchtigt 41
  • 43. osborneclarke.com Compliance GDPdU • GDPdU = Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen • Digitaler Zugriff der Finanzbehören auf elektronisch gespeicherte steuerlich relevante Unterlagen bei Außenprüfungen (§§ 193 ff. AO) • Gegenstand des Zugriffs: "Steuerlich relevante Daten" • Konflikt: Datenschutzrecht, TK-Geheimnis und von Berufsgeheimnissen erfassten Daten 42
  • 44. osborneclarke.com Compliance Best Practices • Prüfen Sie genau, welche Daten in die Cloud gehen • Sofern die Archivierung auf Papier abgelöst werden soll, klassifizieren Sie die Dokumentenarten nach Aufbewahrungszeiten und Zugriffserfordernissen • Regeln Sie mit dem Anbieter, wie ein langfristiger Zugriff auf die Dokumente möglich ist – auch bei Anbieterwechsel! 43
  • 45. osborneclarke.com Compliance Best Practices • Achten Sie auf mandantenfähige Systeme! – Eine physikalische Trennung ist besser als eine logische – In der Cloud ist aber nur eine logische Trennung möglich – Klären Sie mit der Finanzverwaltung, ob die vorgenommene logische Trennung ausreicht – Im Zweifel verschlüsseln Sie (s. Anlage zu §9 BDSG!) 44
  • 46. Lizenzen im Cloud Computing
  • 47. osborneclarke.com Lizenzen Die Kopie entscheidet über die Lizenzpflicht 1. Jede Vervielfältigung einer Software erfordert Zustimmung des Rechteinhabers, § 69c Nr. 1 Urheberrechtsgesetz ("UrhG"). 2. Bereits Ausführen von Software stellt zustimmungsbedürftige Vervielfältigung dar. 3. Wer im Falle eines Cloud Computings diese Vervielfältigung vornimmt, ist schwierige Abgrenzungsfrage. 46
  • 48. osborneclarke.com Lizenzen Folgen dieser Ansicht Sollte in rechtlicher Hinsicht der Nutzer die Kopie anfertigen: è Der Nutzer eines Cloud Computings benötigt Nutzungsrechte für die verwendete Software. è Der Provider muss diese Rechte selbst besitzen. è Der Provider muss auch rechtlich in der Lage sein, diese Rechte auf seinen Kunden weiter zu übertragen. 47
  • 49. osborneclarke.com Lizenzen Open Source und Cloud Computing Open Source Software unter der GPL: Wer Software unter der GPL verändert und verbreitet, muss die Veränderungen einschließlich des Source Codes allen Dritten ebenfalls unter der GPL zur Verfügung stellen ("Infektionswirkung" der GPL). Stellt der Einsatz einer angepassten Open Source Software im Zuge von Cloud Computing eine Verbreitung dar? Customizing-Leistungen müssten dann kostenlos und im Source Code auch Dritten angeboten werden. Denn anderenfalls entfiele nach der GPL die Nutzungsbefugnis. Die weitere Verwendung stellte eine Urheberrechtsverletzung dar. 48
  • 50. osborneclarke.com Lizenzen (A)GPLv3 Regelung der GPLv3: "Reine Interaktion mit einem Benutzer über ein Computer- Netzwerk ohne Übergabe einer Kopie ist keine Übertragung", Ziffer 0 ("Definitionen") Abs. 7 GPLv3. è Es wird kein Binärcode übertragen, ergo greift GPLv3 nicht è Allenfalls die "Netzwerknutzung" greift – führt aber nicht weiter è Die für ASP geschaffene Variante (AGPLv3) passt ebensowenig 49
  • 51. osborneclarke.com Anwendbares Recht bei Urheberrechtsverletzungen Schutzland vs. Ursprungsland • Ursprungsland: Die Urheberrechtsverletzung beurteilt sich nach dem Recht des Landes, in dem das Werk zum ersten mal veröffentlicht worden ist. • Schutzland: Die Urheberrechtsverletzung beurteilt sich nach dem Recht des Landes, in dem die Urheberrechtsverletzung begangen worden ist. 50
  • 52. osborneclarke.com Lizenzen Best Practices • Stellen Sie sich auch als Anbieter darauf ein, dass die klassische Softwarelizenz ausgedient hat • Lassen Sie als Kunde den Anbieter garantieren, dass er Ihnen die erforderlichen Nutzungsrechte an der Lösung verschafft • Vereinbaren Sie mit dem Anbieter eine Freistellung von eventuellen Schadensersatzforderungen Dritter wegen Lizenzverletzungen 51
  • 53. osborneclarke.com Lizenzen Best Practices • Vereinbaren Sie mit dem Anbieter, dass auch Ihre Kontraktoren auf Ihre Systeme zugreifen dürfen • Vereinbaren Sie ein jederzeitiges Herausgaberecht Ihrer Daten in einem Standardformat – um den Anbieter im Fall von Problemen leichter wechseln zu können • Wenn Sie Cloud Computing nutzen, standardisieren Sie Ihre Prozesse entsprechend – auch das erleichtert einen späteren Wechsel des Anbieters 52
  • 54. osborneclarke.com Fragen? Georg Meyer-Spasche Priv.-Doz. Dr. Adrian Spalka Partner, Rechtsanwalt Corporate Head of IT-Security Osborne Clarke CompuGroup Medical AG t +49 (0) 221 5108 4204 t +49 (0) 261 8000 1361 f +49 (0) 221 5108 4205 f +49 (0) 261 8000 1596 georg.meyer-spasche@osborneclarke.com ask@compugroup.com 53