Aufgeräumt - Papierlos - Schnell

Hoch-Produktiv arbeiten mit Mac, iPhone und iPad.

Wenn Sie ohne Stress mehr erreichen wollen und Ihre Apple-Produkte sowie Tools effizienter für die Arbeit nutzen möchten, sind Sie hier richtig.

Nicolai Wirth

Coaching

Im Mac Business Coaching sorgen wir dafür, dass die Technik reibungslos für Sie arbeitet, damit Sie den Kopf frei haben für Ihre eigentliche Arbeit - persönlich und vertraulich.

erfahren sie mehr

Webinare

In Webinaren und Inhouse- Seminaren bei Ihnen im Unternehmen optimieren Sie die Nutzung von Grundfunktionen und fortgeschrittenen Tools für Mac, iPhone oder iPad und steigern Ihre Produktivität.

erfahren sie mehr

Club

Der Mac Business Coaching Club hilft Ihnen durch regelmäßige Beratung, Ihren effizienten Umgang mit Mac, iPhone und iPad immer up to date zu halten. Mit kostenfreier Basis-Mitgliedschaft!

erfahren sie mehr
Über Mac Business Coaching

Coaching Beispiele

Jeder Anwender hat individuelle Schwierigkeiten und Herausforderungen. Die folgenden Coaching Themen und Beispiele geben Ihnen jedoch einen Eindruck, in welchen Bereichen wir Ihnen helfen und Sie weiter bringen können.

mehr erfahren

Vorgehen beim Coaching

Das Coaching kann bei Ihnen vor Ort oder Remote über eine Internetverbindung stattfinden. Dabei können gegenseitig die Bildschirme gesehen werden, um eine schnelle Lösung Ihres Problems und einen hohen Lerneffekt zu erzielen.

mehr erfahren

Für wen ist das Coaching?

Mac Business Coaching richtet sich mit seinen Themen an unterschiedliche Unternehmenstypen und auch Mitarbeiter innerhalb der Unternehmen, die mit Macs, iPhone und iPad arbeiten.

mehr erfahren

Referenzen

Kunden von Mac Business Coaching berichten über Ihre Erfahrungen und was Ihnen die Sitzungen im täglichen Arbeitsleben gebracht haben. 

mehr erfahren
Wo Sie uns auch finden

Mac Business Blog

Cloud und Recht

Am 24.4.2012 : Cloud Computing – Chancen aus Sicht von Anwender und Anbieter

Veranstalter: HÄRTING Rechtsanwälte

Infoseite zu der Veranstaltung

 

In dieser Veranstaltung ging es eher um das Rechtsverhalten bei Cloud Computing für Unternehmen, also weniger um Cloud Storage für Endnutzer, was für meine Kunden und mich wichtiger ist. Dennoch gab es ein paar interessante Erkenntnisse zum Stand der Dinge.


Torsten Woywod, Senior Sales Manager von Amazon Web Services

Folien des Vortrags

Zunächst hat der Vertreter von Amazon Web Services (AWS) sein Angebot vorgestellt und die aktuelle Lage zusammen gefasst.

 

Rahmen-Themen im Cloud Computing sind:

  • Datenschutz / Datensicherheit
  • Zugriffsmöglichkeit (technisch und geographisch)
  • Vertrauen
  • Performance / Zuverlässigkeit

 

Warum macht Amazon Web Services? Seit 2006 sind sie IT-Dienstleister und bieten eine Public Cloud an. Amazon ist sehr technologiegetrieben und sie haben festgestellt, dass immer wieder sehr ähnliche Infrastrukturen aus ihren unterschiedlichen Geschäftsbereichen gebraucht werden.

Es ging immer um drei Bereiche: Storage, Compute und Schnittstellen (API)

Sie haben dann gemerkt, dass auch externe Unternehmen diese Infrastruktur nutzen wollten. Es ging dabei auch darum, dass diese Kunden keine langen Bindungen wollten.

Vorteile des Cloud Computing: pay as you go, alles stark standardisiert, dadurch sehr kosteneffizient; 2c pro Serverstunde; 60% Kostenersparnis im Unternehmen möglich; hohe Flexibilität (upscale und downscale): tausende Server können mit einem Mausklick hinzugefügt oder wieder weggenommen werden; es können komplexe Berechnungen in viel kürzerer Zeit vorgenommen werden als wenn man nur auf die eigene Rechnerstruktur zurück greifen kann. 

Die Sicherheit ist die wichtigste Komponente - AWS hätte alle Zertifikate, die es in diesem Bereich gibt. 

Es gibt sog. Edge Locations, dadurch ist häufig genutzter Content näher am Kunden. Der Kunde entscheidet aber, wo die Applikationen und Daten liegen. Daten werden verschlüsselt und die Zugriffe der Mitarbeiter protokolliert. Es besteht aber eine hohe Automatisierung, Menschen spielen selten eine Rolle. Die Daten verbleiben auf jeden Fall in der Region, die vom Kunden gewählt wurde. Im Falle der AWS sind das für deutsche Unternehmen Server in Irland.

Aussage eines Kunden der Amazon Services: Die Sicherheitsstandards sind höher als in so manchem Unternehmensrechenzentrum.

 

Potenzielle Nachteile der Cloud:

• Faktor Mensch (diffuse Ängste)

• Verfügbarkeit

Vendor Lock-In

• Rechtliche Voraussetzungen

 

Rechtliche Aspekte von Cloud Computing

Vortrag von Dr. Martin Schirmbacher, Fachanwalt für IT-Recht, HÄRTING Rechtsanwälte

Folien des Vortrags 

 

Das Thema rechtliche Aspekte von Cloud Computing fristet noch ein Nischendasein. Es gibt viele offene Fragen, weil Juristen auch recht erst spät begonnen haben, sich mit dem Thema zu beschäftigen. Die Veröffentlichungen zu dem Thema sind aber in letzter Zeit exponentiell gestiegen.

 

Was ist neu am Cloud Computing? Viele fragen sich: Darf ich das rechtlich gesehen überhaupt nutzen?

 

Anwendungen, die rechtliche Relevanz haben können:

• Outsourcing von Infrastrukturen im Ausland (Daten, Berechnungen)

• Host Providing (Websites)

ASP / SaaS (Software nicht als lokale Lizenzinstallation, sondern virtualisiert aus der Ferne)

• Cloud Computing (kein Bezug auf konkrete Server; kein Bezug auf konkrete Rechenzentren)

 

Cloud ist eben nicht gleich Cloud: viele Anbieter nennen ihre Dienste Cloud Computing - daher ist auch eine Unsicherheit da, wie man sich dazu verhalten soll. Was muss ich rechtlich beachten? Da können Anwälte auch nicht immer zu einer sinnvollen Antwort kommen. Es ist eben ein Unterschied, ob man bei einem lokalen Hostprovider eine private Cloud anbietet oder als wenn man bei Amazon die AWS nutzt. Was Datenschutz und Vertragsbeziehungen angeht, muss man genau schauen, was man bekommt. Was sind die Leistungen, was verspricht der Anbieter? Danach muss man auch die Datenschutz und Vertragsbeziehungen ausrichten.

 

Vertragsbeziehungen

 

Variante 1: Die einfachste Lösung - eigentlich könnte man die End-User weglassen. z.B. komplexe Berechnungen werden durch einen deutschen Cloud-Anwender auf amerikanischen Servern durchgeführt. (keine persönlichen Daten im Spiel)

 

Vertragsbeziehungen Cloud Computing

Quelle: HÄRTING Rechtsanwälte

 

Was ist hier für eine Vertragsbeziehung? Kommt darauf an, was man dort bucht - Softwarelizenzen, Infrastruktur, Storage, Personenbezogene Daten.

 

Variante 2: Wenn dann aber auch noch Zwischenkunden (z.B. Websiteentwickler/Betreiber <-> Kunde / Betreiber der Website <-> Endnutzer) dazu komme, müssen in verschiedene Richtungen Vertragsbeziehungen beachtet werden.

 

Vertragsbeziehungen Cloud Computing

Quelle: HÄRTING Rechtsanwälte

 

Die soll nur kurz darstellen, dass es auch jenseits von Datenschutz eine gewisse Komplexität in Bezug auf die Vertragsbeziehungen gibt, die man bedenken muss.

 

 

Datenschutz

Wir befinden uns auf jeden Fall in einem internationalen Kontext - z.B. Server stehen in Irland, USA, Webentwickler ist in Berlin, End-User in Köln: Welches Datenschutzrecht ist überhaupt anwendbar?

 

Territorialitätsprinzip (Grundsatz in Europa): Beispiel: Ich logge mich an meinem Computer in Berlin auf einer deutschen Website ein: somit werden die Daten in Deutschland erhoben. Es gilt das Recht des Landes, in dem die Daten erhoben, verarbeitet oder gespeichert werden. Also gilt deutsches Datenschutzrecht.

Ausnahme innerhalb der EU (Sitzlandsprinzip): Logge ich mich von Berlin aus in einer französischen Website ein - Hier gilt das Datenschutzrecht der Niederlassung des Anbieters (Sitz des Anbieters in Frankreich) = Französisches Datenschutzrecht. Hierbei wird davon ausgegangen, dass die Datenschutzrechte in den EU-Ländern bereits so stark harmonisiert wurden, dass es egal ist, wo die Verarbeitung der Daten stattfindet.

 

Bei deutschen Cloud-Anwendern gilt deutsches Recht. Zusätzlich aber ggf. Recht des Cloud Anbieters - wenn ausserhalb der EU (z.B. USA).

 

Grundzüge Datenschutzrecht

Personenbezug ist das große Thema. Jede Erhebung, Verarbeitung (auch Übermittlung) und Nutzung personenbezogener Daten bedarf entweder

• einer gesetzlichen Erlaubnis oder

• der Einwilligung des Nutzers.

 

Wichtig: man kann das hier alles vergessen, wenn die Daten, die man bei seinem Cloud-Anbieter hat, keinen Personenbezug haben. Das Datenschutzrecht gilt nicht, wenn ein Unternehmen in der Cloud nur seine Berechnungen durchführt. Oder wenn Sie z.B. bei Dropbox nur Artikel zum Lesen sammeln. Auch kann man eine Trennung vornehmen: Website-Content ohne Personenbezug kann unproblematisch im Ausland verarbeitet werden, aber Nutzerdaten eben nicht.

 

Erste Möglichkeit: Gesetzliche Erlaubnis - vor allem § 28 BDSG

Daten dürfen zur Vertragserfüllung genutzt werden oder zur Wahrung berechtigter Interessen der verantwortlichen Stellen oder bei allgemein zugänglichen Daten. Nutzer muss nicht vorher gefragt werden.

 

Zweite Möglichkeit: Einwilligung des Nutzers

Freie Entscheidung des Betroffenen - Datenschutzerklärung: Erklärung über den Zweck und den Umgang mit den Daten. Muss im Grundsatz schriftlich (auf Papier mit Unterschrift) erfolgen; es wird aber nicht viel Aufhebens gemacht, wenn es elektronisch erfolgt (wie es in sehr großem Maße passiert).

Damit kann man das Problem auch so lösen: Die Kunden darüber aufklären und sie um Erlaubnis fragen! Dann muss aber genau beschrieben werden, was gemacht wird. Kunden fragen, „Sind Sie einverstanden, dass wir Ihre Adressdaten zum Versenden Ihrer Bestellungen verwenden“ - Explizit aufklären, was man tut, wo die Daten hinkommen, also dass die Daten in der Cloud gehostet werden.

Wenn es eine verschachtelte Anbieterstruktur gibt, bei der Daten von einem zum anderen  weiter gegeben werden, also wenn auch einzelne Admins Zugriff haben, müssen diese Unternehmen benannt werden. 

Wie ist es bei einem Wechsel des Cloud Anbieters? Im Prinzip muss man dann alles neu verhandeln: keine Einwilligung automatisch für alle. Dann muss man versuchen, die Einwilligungserklärung so zu formulieren, dass so ein Wechsel auch möglich ist.

 

Dritte Möglichkeit: Auftragsdatenverarbeitung (ADV)

Falls man 1. und 2. oben nicht hat: Institut der Auftragsdatenverarbeitung. Diese ist gut für den Datenerheber und den Cloud-Anbieter. Beispiel: Wenn Daten ins Ausland weiter gegeben werden (z.B. an Amazon) muss man sich überlegen, darf man die Daten weiter geben? (wenn es weder gesetzlich noch per Einwilligung geregelt ist). Dann ist es eine Weitergabe, die erklärungsbedürftig ist. Cloud Anbieter verarbeitet die Daten: wenn es dort Admins gibt, dann haben diese theoretisch Zugriff. Dann liegt dort eine Datenverarbeitung vor. Der Cloudanbieter kennt den Endanwender gar nicht, warum sollte er dann seine Daten verarbeiten dürfen?

Diese Lücke kann mit Hilfe einer ADV überwunden werden. Es ist keine (einwilligungsbedürftige) Übermittlung, wenn innerhalb der EU / EWR eine ADV geschlossen wird, eine sorgfältige Auswahl des Anbieters getroffen wird und ein schriftlicher Auftrag mit konkretem Inhalt vorliegt. 

Der Diensteanbieter muss sorgfältig ausgewählt werden und der Einbezug von Dienstleistern ist datenschutzrechtlich relevanter Vorgang, wenn 

• personenbezogene Daten betroffen sind und

• Zugangsmöglichkeit des Dienstleisters auf die Daten besteht.

 

ADV: Verpflichtung des Auftragnehmers, zur Einhaltung bestimmter technischer, organisatorischer Maßnahmen. Katalog mit acht Maßnahmen. Anbieter sagt, dass man diese Maßnahmen alle einhält. Gesetz: dieser Dienstleister ist kein Dritter im Sinne des Datenschutzrechts. Schließt man einen vernünftigen ADV, muss man sich als Cloud-Anbieter keine Gedanken machen.

 

Diese ADV sehen alles sehr ähnlich aus, weil das Gesetz ziemlich klar vorgibt, was da drin stehen muss. Es gibt ein Muster der Bitkom zur Auftragsdatenverarbeitung. Von anderen aber auch.

 

In den Hintergrund tritt dabei etwas, was der Cloud Anbieter tut, um die Daten überhaupt zu sichern. Darum geht es inhaltlich im BDSG nicht.

Durch eine Zwischenfrage kam auf, inwiefern denn überhaupt eine konkrete Kontrolle durch den Kunden oder die Aufsichtsbehörden in den Serverräumen vorgenommen werden kann. Das ist extrem schwierig, denn wie soll man das in den riesigen Serverräumen konkret machen. Das wäre selbst für IT Experten schwierig. Der Datenschutz-Auditor schaut sich auch nur die ADV und die Zertifikate an. Mehr ist in der Praxis gar nicht möglich.

Eine weitere Frage bestand zu den Zugriffsmöglichkeiten von Amazon aus den USA auf die Server in Irland - Standardmässig ist dieser Zugriff nicht möglich. Allerdings (sobald eine Internetverbindung besteht), kann so ein Zugriff scheinbar auch nicht komplett ausgeschlossen werden, z.B. im Notfall, wenn nur ein Admin von AWS in den USA verfügbar ist. Dann muss man aber im konkreten Fall schauen, worauf er Zugriff hatte.

 

Auftragsdatenverarbeitung gilt nur innerhalb EU/EWR oder es gibt keine Einwilligung, dann gibt es schon noch Möglichkeiten, eine Übermittlung der Daten ins Ausland zu rechtfertigen...  (nach § 4b und 4c BDSG): 

- „Die Übermittlung unterbleibt, soweit der Betroffene ein schutzwürdiges Interesse an dem Ausschluss der Übermittlung hat, insbesondere wenn ...ein angemessenes Datenschutzniveau nicht gewährleistet ist.“

- EU/EWR/Schweiz dabei unproblematisch

- USA problematisch, Safe Harbour möglich (z.B. bei Corporate Rules, um einzelne Unternehmen zu einem quasi Safe Harbour zu machen - mit höherem Datenschutzniveau)

 

Schlussfolgerung: Am Ende muss man abwägen, ob es für die eigenen Geschäftszwecke nötig ist (nach § 4b und 28 BDSG) die Daten ins Ausland zu transferieren: Interessenabwägung – Ergebnis nicht eindeutig. Da es schon Regelungen in der EU gibt, sollte man diese auch einsetzen. Verpflichtung auf Mindeststandards sinnvoll. Der Cloudanbieter hält sich an bestimmte Mindeststandards und kann dies wahrscheinlich besser als dass man es selbst macht. (§ 9 BDSG)

 

Fazit zum Datenschutz: es ist kein Cloud-Killer, insbesondere wenn es sich nicht um personenbezogene Daten handelt. Datenschutzrecht gilt nur bei Verarbeitung personenbezogener Daten. Wenn man hier kein Risiko eingehen will, muss man schauen, dass man nicht personenbezogene Daten in die Cloud schiebt. Innerhalb EU/EWR bietet § 11 BDSG (Auftragsdatenverarbeitung) gute Lösungen. Im EU-Ausland ist es komplizierter, aber nicht unlösbar.

 

Verhältnis zum Endkunden

Je nachdem, wo man sich befinde. z.B. als Cloud (AWS) Kunde. Einwilligung für die Cloud-Nutzung nur nötig, wenn keine gesetzliche Gestattung oder Auftragsdatenverarbeitungvertrag bestehen. Wenn aber eine Möglichkeit der direkten Kommunikation mit dem Endkunden besteht, sollte das transparent kommuniziert werden.

 

Datenschutzerklärung dagegen stets erforderlich. Es ist immer zu klären:

• Welche Daten werden erhoben?

• Zu welchem Zweck?

• An wen werden die Daten weitergegeben? Es besteht kein Konzernprivileg im Datenschutzrecht.

• Wie lange werden sie gespeichert?

• Datensicherheit?

• Belehrung für die Rechte der Betroffenen.

 

Folgen für die Vertragsgestaltung:

• Bewusstsein für die Themen & Beteiligten im Verhältnis zum Cloud-Anbieter

• Beschränkung auf EU/EWR-Raum Vereinbarung von Auftragsdatenverarbeitung

• jedenfalls aber klare Regelungen zur Datenverarbeitung

• Vorsicht bei Lizenzverträgen

• im Verhältnis zum Endkunden

• Leistungsdefinitionen Datenschutzerklärung/Einwilligung

 

 Man darf nicht mehr versprechen als man vom Cloud Anbieter bekommt. 

 

Wenn Sie weitere Informationen zur optimalen Nutzung der Cloud mit Mac, iPhone und iPad erhalten möchten, können wir darüber gerne in einem kostenlosen Probe-Coaching sprechen. Melden Sie sich einfach über das Kontaktformular und wir machen einen Termin aus.

 

{fcomment}