HoefnerVortragJena2012 - Friedrich-Schiller
Download
Report
Transcript HoefnerVortragJena2012 - Friedrich-Schiller
Friedrich-Schiller-Universität Jena
17. Juli 2012
IT RECHT - PRAXIS UPDATE
Datenschutz
Smart Devices
Cloud Computing
Wichtige Vertragsklauseln
Christof Höfner
Rechtsanwalt, München
© Christof Höfner, 2010
www.contractsandnegotiations.com
Ch. Höfner, Provider Legal
Agenda
1) Vorstellung
2) Smart Devices
3) Datenschutz
4) Cloud Computing
5) Typische vertragliche Inhalte
• 5.1 Rechtlicher Hintergrund
• 5.2 einzelne Vertragsklauseln
6) Diskussion
© Christof
Höfner,
20122010
© Christof
Höfner,
www.contractsandnegotiations.com
Ch. Höfner, Provider Legal
Agenda
1) Vorstellung
2) Smart Devices
3) Datenschutz
4) Cloud Computing
5) Typische vertragliche Inhalte
• 5.1 Rechtlicher Hintergrund
• 5.2 einzelne Vertragsklauseln
6) Diskussion
© Christof
Höfner,
20122010
© Christof
Höfner,
www.contractsandnegotiations.com
Ch. Höfner, Provider Legal
Wissen Sie eigentlich was Sie tun ?
57 steps to garbage bin
Smartphones: mehr als Mobiltelefon
+ Laptop
Beispiel eines aufgemalten
Wegweisers auf dem Fußboden in
einem Studentenwohnheim in
Helsinki (Welt-Designhauptstadt
2012), SZ v. 2.1.2012, S.11
© Christof
Höfner,
20122010
© Christof
Höfner,
• Installation von Anwendungen (von Drittanbietern)
• metergenaue Ortung über GPS- und WLAN-Chips
• i.d.R. mehr personenbezogene Daten als frühere
sog. Feature-Phones und Datenflüsse häufig unklar
– E-Mail, Internetsurfen, Suchlisten/Favoriten,
Zugangsdaten zu Online-Diensten etc.
– Kalender, Einkaufslisten, Erinnerungsfunktionen
– Adressbuch (nicht nur Telefonnummer und
Name, sondern diverse Adressen/Kontaktdaten,
Geburtstage etc.)
– Sonstige Office-Apps (Scanner, Foto,
Diktiergerät, Übersetzungshilfe)
– Spiele, GPS etc.
Ch. Höfner, Provider Legal
Technische Risiken
Was geht?
1)Apple‘s „Location – Gate“
Alasdair Allan und Pete Warden, erregten großes Aufsehen, als sie einen Artikel über eine
versteckte Datei in iOS 4 veröffentlichten, die regelmäßig die Position des Geräts erfasst
und an Apple versendet. Alle iPhones mit iOS 4.0 oder höher legen einen log über Ihren
Standort in einer Datei namens "consolidated.db" ab (eine einfache SQL-Datei), die
Längen-und Breitengraden Koordinaten und einen Zeitstempel enthält. Angeblich durch
iOS 5.0 abgestellt.
© ZD Net http://www.zdnet.com/blog/apple/your-iphone-is-tracking-you-and-has-been-for-a-while/9985?tag=content;siu-container
5
Siehe auch „Macworld: http://www.macworld.com/article/159352/2011/04/iphone_location.html
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Technische Risiken
Was geht:
2) Versteckes „Carrier IQ“ Root Kit auf Smart Phones
© http://www.zdnet.com/blog/hardware/so-theres-a-rootkit-hidden-in-millions-ofcellphones/16708?tag=nl.e539
Es scheint, daß ein Rootkit in Millionen von Android, Symbian, und sogar
iOS Mobilgeräten alles aufzeichnet, was wir mit Smart Phones tun in Logs
versteckt.
Das Rootkit kommt von Carrier-IQ und es scheint, daß es Low-Level-Zugriff
auf das System hat und es so ziemlich alles, was man mit dem Handy
macht ausspioniert und an Carrier-IQ‘s server sendet.
Schon eine ernste Verletzung von Sicherheit, Privatsphäre und Vertrauen –
oder?
Es wird anscheinend alles inkl. SMS und verschlüsselter Web-Recherchen
protokolliert.
RIM, Nokia und HP haben es nie verwendet.
Apple hat das angeblich mit iOS 5.01 abgestellt.
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Risiken
Die Realität / die größte Fehlerquelle im IT Bereich
Der Nutzer !!
Smart phones sind klein und begehrt.
Ergo: enormes Verlustrisiko durch Dummheit oder Diebstahl.
Dann sind alle Daten weg / in falschen Händen.
60% aller Unternehmensdaten liegen auf ungeschützten PCs oder
mobilen Endgeräten.
1 von 10 Laptops wird innerhalb eines Jahres gestohlen oder geht
verloren.
66% aller USB-Sticks gehen verloren.
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Technische Risiken
Vermeidbarkeit:
3) allgemeine technische Risiken:
Virenschutz
ungesicherte WLANs
Verschlüsselung
Codes
Sperren
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Wie viel Datenschutz wollen Sie denn?
Die Realität:
a) z.B. Microsoft © MS Online Privacy Statement download Nov ´11
Weitergabe Ihrer persönlichen Daten
Mit Ausnahme der in dieser Datenschutzerklärung genannten Falle werden Ihre
persönlichen Daten ohne Ihre Einwilligung nicht an Unternehmen außerhalb von
Microsoft oder seine Niederlassungen und verbundenen Unternehmen weitergegeben.
Einige Dienste von MS weisen ein Cobranding vonWas
MS und
einem anderen
gilt dann?
Unternehmen auf. In manchen Fallen werden sowohl die Datenschutzbestimmungen
von Microsoft als auch die des anderen Unternehmens angezeigt.
In diesen Fallen werden die von Ihnen beispielsweise auf den Anmeldeformularen
angegebenen Informationen sowohl von Microsoft als auch dem anderen
Unternehmen erfasst.
MS beauftragen gelegentlich andere Firmen, in begrenztem Umfang Dienste
bereitzustellen, z. B. für das Verarbeiten und Verschicken von Direktwerbungen, für
sind diese,
das Beantworten von Kundenanfragen, für das Hosting Wer
von Websites,
für das
Bearbeiten von Transaktionen oder für das Erstellen einer
Analyse
wostatistischen
sitzen diese?
bezüglich der Dienste von MS.
Dlesen Dienstanbieter werden nur die persönlichen Daten übermittelt, die für die
Bereitstellung des jeweiligen Dienstes erforderlich sind. Diese Firmen verpflichten
sich, die Daten vertraulich zu behandeln.
© Christof
Höfner,
20122010
© Christof
Höfner,
© Christof Höfner, 2012
Ch. Höfner, Provider Legal
9
Wie viel Datenschutz wollen Sie denn?
Die Realität:
b) z.B. Apple
© Apple Datenschutzrichtlinie - download Jan 2012
Wie wir personenbezogene Daten nutzen:
Die personenbezogenen Daten. die wir erheben,
erlauben
dichdenn
über die neuesten
was
machtuns
Apple
Apple Produktankündigungen. Softwareupdatesgenau
und anstehenden
Veranstaltungen
zu
mit „deinen“
Daten
informieren. Du hilfst uns auch dabei, unsere Dienste,
? Inhalte und Werbung zu
verbessern. Wenn du nicht in unserem Verteiler sein möchtest, kannst du dich jederzeit
Abmelden, indem du deine Einstellungen änderst.was macht Apple denn
genau mit „deinen“
Daten
Wir nutzen personenbezogen Daten auch als
Unterstützung,
unsere
aha:
faule? Äpfelum
kann
manProdukte.
Dienste, Inhalte und Werbung zu entwickeln, anzubieten und zu verbessern.
„dir“ immer in den Korb
Von Zeit zu Zeit können wir personenbezogene Daten dazu nutzen, um wichtige
Legen!
Mitteilungen zu versenden, wie Mitteilungen über
Käufe und Änderungen unserer
Geschäftsbedingungen und Richtlinien. Weil diese Informationen für die Beziehung zu
Apple wichtig sind. kann man sich fürKurz:
den Erhalt
dieser
gelten
§ 11 Informationen
BDSG und nicht abmelden.
Wir können personenbezogene Daten§auch
für interne
13 TMG
noch ?Zwecke nutzen. wie zur
Buchprüfung, Datenanalyse und Forschung, um Apples Produkte, Dienste und die
Kommunikation mit Kunden zu verbessern.
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
10
Wie viel Datenschutz wollen Sie denn?
Die Realität:
c) z.B. Google ©
Google Datenschutzrichtlinie – veröffentlicht März 2012
Protokolldaten
Wenn Sie unsere Dienste nutzen oder von Google bereitgestellte Inhalte
aufrufen, erfassen und speichern wir bestimmte Daten gegebenenfalls in
Serverprotokollen.
Diese Protokolle können Folgendes enthalten:
Einzelheiten zu der Art und Weise, wie Sie unsere Dienste genutzt haben,
beispielsweise Ihre Suchanfragen, Telefonieprotokollinformationen wie Ihre
Telefonnummer, Anrufernummer, Weiterleitungsnummern, Datum und
Uhrzeit von Anrufen, Dauer von Anrufen, SMS-Routing-Informationen und
Art der Anrufe, IP-Adresse.
Daten zu Geräteereignissen wie Abstürze, Systemaktivität, HardwareEinstellungen, Browser-Typ, Browser-Sprache, Datum und Uhrzeit Ihrer
Anfrage und Referral-URL.
Cookies, über die Ihr Browser oder Ihr Google-Konto eindeutig identifiziert
werden können.
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Agenda
1) Vorstellung
2) Smart Devices
3) Datenschutz
4) Cloud Computing
5) Typische vertragliche Inhalte
• 5.1 Rechtlicher Hintergrund
• 5.2 einzelne Vertragsklauseln
6) Diskussion
© Christof
Höfner,
20122010
© Christof
Höfner,
www.contractsandnegotiations.com
Ch. Höfner, Provider Legal
12
2. Datenschutz / Geheimhaltungspflichten
Rechtliche Regelungsbereiche:
•
•
•
•
•
•
•
•
§ 5 (Datengeheimnis), § 9 und § 11 BDSG (ADV)
§ 88 TKG (Fernmeldegeheimnis), TMG-/TKG-Datenschutz
§ 25a II KWG (Kontroll-u.Reportingpflichten, bei wesentl. Auslager.)
§§ 6, 8 VAG
§§ 87 ff UrhG
§ 17 UWG (Betriebs- und Geschäftsgeheimnis)
§ 203 StGB (Offenbarung v Privatgeheimnissen in u. durch Untern.)
§ 35 SGB I (Sozialversicherungsdaten)
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
2. Datenschutz - Allgemeines
1) Rechtsgrundlagen:
• Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung
personenbezogener Daten und zum freien Datenverkehr ist eine 1995
erlassene Richtline der EU zum Schutz der Privatsphäre natürlicher Personen
bei der Verarbeitung von personenbezogenen Daten.
• Von allen EU Mitgliedsstaaten umgesetzt in lokales Recht,
z.B. DE: „BDSG“, in Österreich: „Datenschutzgesetz 2000“ …
2) Einige Grundprinzipien:
• Verbot der Verarbeitung (d.h. auch Übertragung) personenbezogener Daten.
• Ausnahmen wenn betroffene Person ausdrücklich in Verarbeitung der
genannten Daten einwilligt, oder Verarbeitung erforderlich ist, um Rechte
und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des
Arbeitsrechts Rechnung zu tragen, o. andere gesetzl. Erlaubnistatbestände.
• Übertragung personenbezogener Daten außerhalb EU (EWR), nur wenn
Einverständnis des Betroffenen, o. im Ausland ein dem EU Datenschutzniveau
entsprechender Datenschutz gewährleistet ist .
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Was sind "personenbezogene Daten" und "Verarbeitung"?
Personenbezogene Daten sind ein sehr weiter Begriff, bestehend aus:
Internet business is about processing personal data
i.
ii.
iii.
iv.
alle Informationen
in Bezug auf
bestimmte oder bestimmbare
natürliche Person
Beispiele für personenbezogene Daten:
• Name und Anschrift
• IP-Adressen (EUGH IP-Adresse = personenbezogenes Datum)
• Telefonnummern, Sozialversicherungsnummer ...
• Andere ähnliche Informationen werden zunehmend als
personenbezogene Daten (IMEI, IMSI, MSISDN, RFID-und anderen
eindeutigen Kennungen)
Beispiele für die Verarbeitung personenbezogener Daten:
Beschaffung, Besitz, Speicherung, Organisation, Weitergabe, Löschung,
Übertragung, Zugriffsmöglichkeit genügt!!
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
2. Datenschutz in Deutschland: BDSG
§ 3 Nr. 4 BDSG Datentransfer „Übermittlung“
Bekanntgabe gespeicherter o. durch Datenverarbeitung
gewonnener personenbezog. Daten durch Weitergabe an Dritten
Auch: Bereithalten der Daten zur Einsicht o. zum Abruf d. Dritten
§ 9 BDSG und Anhang zu 9 BDSG
• Katalog von Themen im Bereich IT-Sicherheit, der ebenfalls
schriftlich festgehalten werden muss.
§ 11 BDSG
• Katalog von Themen, die in einem schriftlichen Vertrag geregelt
werden müssen (ADV).
© Christof Höfner, 2010
Ch. Höfner, Provider Legal
Wer ist verantwortlich für personenbezogene Daten
in der EU im EWR
„Verantwortliche Stelle“ § 3 (7) BDSG
= Kunde
Ist die verantwortliche juristische
Person, die bestimmt warum
personenbezogene Daten
verarbeitet werden und wie
Vorbehalt von Privatsphäre
/ behördliche Datenschutz
Verpflichtungen
Verarbeiter
= Anbieter
Ist die juristische Person, die
personenbezogene Daten
verarbeitet, im Namen und streng
nach den Anweisungen des
Controllers = Verantwortliche Stelle
Ist z.B. auch ein Subunternehmer des
Controllers
Vertragliche Verantwortung/Haftung
gegenüber Controller.
Begrenzte regulatorische
Verpflichtungen (vor allem Sicherheit
der personenbezogenen Daten) in
einigen EWR-Ländern.
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Regelung des grenzüberschreitenden Datentransfers
außerhalb der EU / des EWR
Was bedeutet Transfer personenbezogener Daten?
Der Akt der Versendung oder Übertragung personenbezogener Daten aus
einem Land zum anderen, z.B. Versenden elektronischer oder gedruckter
Dokumente mit personenbezogenen Daten per Post oder E-Mail.
Aber auch einfache Akte, wie Bereitstellung personenbezogener Daten
oder von einem Land zum anderen sichtbar machen (z.B. Remote-Zugriff)
Dieser Standard scheint auch von anderen Nicht-EU/EWR-Ländern
verwendet zu werden!
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Regelung des grenzüberschreitenden Datentransfers Europäischen
Union (EU) / des Europäischen Wirtschaftsraums (EWR)
IaaS-Anbieter muß sich verpflichten, die Daten an bestimmten geografischen Standorten aufzubewahren (innerhalb EU / EWR) und Zugang zu personenbezogenen Daten
des Kunden von außerhalb des ausgewählten Bereichs zu unterlassen
Zugang / Zugriff zu personenbezogenen Daten des Kunden nur für Personen, die sich
innerhalb einer bestimmten geographischen Umgebung (z. B. innerhalb der EU / EWR)
befinden
IaaS RZ
(EU/Irland)
Operations team des
Anbieters
(EU/Polen)
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Regelung des grenzüberschreitenden Datentransfers Europäischen
Union (EU) / des Europäischen Wirtschaftsraums (EWR)
• Freiheit der Übermittlung personenbezogener Daten innerhalb der EU und
des EWR *
Österreich, Belgien, Bulgarien, Zypern,
Tschechische Republik, Dänemark, Estland,
Finnland, Frankreich, Deutschland,
Griechenland, Ungarn, Island*, Irland, Italien,
Lettland, Liechtenstein*, Litauen, Luxemburg,
Malta, Niederlande, Norwegen*, Polen,
Portugal , Rumänien, Slowakei, Slowenien,
Spanien, Schweden, Vereinigtes Königreich
• Datentransfer -ohne Zustimmung- außerhalb EU / EWR ist nicht
zulässig, sofern kein angemessener Schutz besteht
"Die Mitgliedstaaten sehen vor, dass die Übertragung personenbezogener
Daten, die Gegenstand einer Verarbeitung sind, oder nach der
Übermittlung zur Verarbeitung bestimmt sind, in ein Drittland nur erfolgen
darf, wenn, ... das betreffende Drittland ein angemessenes Maß an
Schutz bietet“.
• (Art 25 der EU Datenschutz Richtlinie 95/46/EC)
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Anwendbares Recht in der EU / im EWR Datenschutz
(Zusammenfassung)
Die EU Datenschutz-Richtlinie hat einen Mindeststandard für
Datenschutz in der EU / EWR aufgestellt.
... Aber jedes der 30 Länder haben die Richtlinie in ihr nationales Recht
etwas anders umgesetzt….
Es gibt Unterschiede:
• - wer die gesetzlichen Verpflichtungen nach dem nationalen Recht hat:
einige bieten eine solche Verpflichtung nur auf Controller,
• - während andere bzgl. technischer und organisatorischer (Sicherheits-)
Maßnahmen, bei Auftraggebern im jeweiligen Land, beachtet werden
müssen sowohl auf Controller als auch Verarbeiter abstellen.
• - Einige Länder haben sehr detaillierte Regelungen, während andere nur
die allgemeine Formulierung der Richtlinie „kopiert“ haben.
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Regelung grenzüberschreitenden Datentransfers
außerhalb der EU / des EWR
Beispiele für Möglichkeiten, einen angemessenen Schutz zu erreichen:
• Ausnahmen vom Erfordernis der Angemessenheit - z. B. Zustimmung der
betroffenen Person.
• Länder deren DS Niveau von EU-Kommission als angemessen angesehen wird
"White listed Countries“ Argentinien, Andorra, Kanada (teilweise), Färöer Inseln,
Guernsey, Isle of Man, Israel, Jersey und der Schweiz
• Binding Corporate Rules – für unternehmensinterne Übermittlungen
• Safe Harbor - Vereinbarung zwischen der EU / Schweiz und USA
Nur für US-Unternehmen, die unter die FTC oder DOT fallen,
(d.h. keine Banken, Versicherungen, Telcom Provider ....)
Aufgrund von Selbst-Zertifizierung: Umfang, Wiederholung, zu überprüfen!!
• Standardvertragsklauseln (d.h. EU- model clauses)
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2010:039:0005:01:EN:HTML
Controller zu Controller (C2C)
Controller-Prozessor (C2P)
• In vielen Fällen Kunden bedarf es der Erlaubnis / der formellen Information der
©
örtlichen Datenschutzbehörden, wenn außerhalb der EU / EWR für einen
Kunden personenbezogene Daten übertragen / darauf zugegriffen werden.
Christof Höfner, 2012
© Christof Höfner, 2010
Ch. Höfner, Provider Legal
Cloud Computing / Schutz (Zusammenfassung)
Was ist heute Business-Realität?
• Google hat eine Tochtergesellschaft in Irland für Cloud-Services in Europa
• Amazon oder IBM bieten "deutsche / europäische Clouds„ ??
US Patriot Act / US-Behörden <> bestehenden Vereinbarungen?
• T-Systems wirbt mit deutschen / europäischen Clouds
Für Non-EU-europäischen Clouds können Musterklauseln oder safe harbor eine
Lösung sein
Was sonst müssen Cloud-Anbieter beachten, wenn sie von den Kunden
überprüft werden?
•
•
•
•
SAS 70 Typ 2-Audit (www.sas70.com) / ISAE 3402/16 SSAE.
TRUSTe Privacy Program (www.truste.com)
ISO27001 (www.iso.org/iso/catalogue_detail?csnumber=42103)
Service Organisation Kontrollnormen (SOC 1-3) entwickelt durch AICPA
© Christof Höfner, 2010
© Christof Höfner 2012
Ch. Höfner, Provider Legal
Agenda
1) Vorstellung
2) Datenschutz
3) Smart Devices
4) Cloud Computing
5) Typische vertragliche Inhalte
• 5.1 Rechtlicher Hintergrund
• 5.2 einzelne Vertragsklauseln
6) Diskussion
© Christof
Höfner,
20122010
© Christof
Höfner,
www.contractsandnegotiations.com
Ch. Höfner, Provider Legal
24
Umsatz mit Cloud Computing übersteigt 5 Milliarden Euro
Bitkom-Erhebung März 2012
Der deutsche Markt für Cloud Computing übersteigt 2012 fünf Milliarden Euro.
Der Umsatz wird 2012 voraussichtlich um 47 % auf 5,3 Milliarden Euro klettern.
Bis 2016 soll der Markt auf rund 17 Milliarden Euro wachsen.
Stärkster Bereich: Geschäftskunden
Gut 3 Mrd € werden Unternehmen für Cloud Computing ausgeben,
2011 war knapp 2 Mrd €.
Aufteilung:1,4 Mrd € Cloud-Dienstleistungen; 1,1 Mrd € HW; 0,5 Mrd € Service
Dazu gehören:
• Software-as-a-Service (Bereitstellen von Computerprogrammen über Internet),
• Platform-as-a-Service (Bereitstellung von Entwicklungsumgebungen über
Internet)
• Infrastructure-as-a-Service (zB Bereitstellung von Speicher- o.
Rechnerkapazität
über Internet).
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Equaterra: „Outsourcing Location Analysis 2011
an Assessment of Alternative Locations to India“
Philippinen und Polen waren 2011 die beste Alternative zu Indien.
China in nächsten 3-5 Jahren führender Standort für BPO / ITODienstleistungen.
Philippinen hat die bestentwickelte Outsourcing-Branche in Bezug auf
Reife, Kompetenz und Dienstleistungsangebot.
Problem: fehlende Infrastruktur Entwicklung.
Polens Wert liegt in seiner hohen Qualität von Arbeitskräften, esp.
Technologie-und BPO. Weitere Vorteile: die Nähe zu West-und
Mitteleuropa, Eigenstabilität / Mitgliedschaft in der EU.
Problem: nicht langfristig wettbewerbsfähig
Ägypten zeigt starke Anmeldeinformationen mit gut entwickelten
sprachlichen Fähigkeiten und eine hohe Qualität der Absolventen.
Zukünftiges Potenzial negativ durch aktuelle Risiken betroffen.
Quelle: http://www.equaterra.com/_filelib/FileCabinet/Research/EquaTerraKPMG_Perspective_Outsourcing_Location_Analysis_2011_May2011_6161EU.pdf
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Global Sourcing zB Asien
Ist das Gras auf der anderen Koppel
immer grüner und saftiger ?
Oder der Traum von 24/7 bzw. „follow the sun“.
Entscheidende Fragen:
- Wer ist Vertragspartner?
- Wo hat er seinen Sitz?
- Welche Rahmenbedingungen gelten?
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Cloud Computing Modelle
Cloud
Virtual
Private
Cloud
Private
Cloud
Public
Cloud
Hybrid
Cloud
SourcingOptionen
Vertical (Appl.)
Cloud
Horizontal
(Appl.) Cloud
insourced
managed
outsourced
© BITKOM e.V. Leitfaden Cloud Computing Dez 2010
© Christof Höfner, 2010
Ch. Höfner, Provider Legal
Cloud Computing *) Begriffsbestimmungen nach BITKOM e.V. Leitfaden 2010
http://www.bitkom.org/de/themen/36129_61111.aspx
Beispiele der
Provider
Salesforce.com
Salesforce.com
MS Office 365
Windows
Azure
Google Apps
Engine
Amazon
Webservices
Amazon EC2
Bizz. Process
as a Service
Geht aus der SaaS-Ebene hervor und wird durch eine
stärkere Nähe zum Geschäftsprozess charakterisiert
Software
as a Service
Bereitstellung von gemeinsam nutzbarer Software auf nicht
eindeutig zugeordneten IT-Ressourcen über Netzwerk.
Platform
as a Service
Bereitstellung gemeinsam nutzbarer Laufzeit- oder
Entwicklungsplattformen auf nicht eindeutig zugeordneten
IT-Ressourcen über Netzwerk
Infrastructure
as a Service
© Christof Höfner, 2010
Bereitstellung einer skalierbaren IT-Infrastruktur auf nicht
eindeutig zugeordneten IT-Ressourcen über Netzwerk
Ch. Höfner, Provider Legal
Cloud Computing “Cloud Formen” © BITKOM Cloud Leitfaden 2010
Public Cloud /
Virtual Private
Hybrid Cloud
Private Cloud / Internal Cloud
External Cloud
Cloud
Sie stellt eine Auswahl von Ist ein Spezialfall
Eine Hybrid Cloud ist Private Cloud bezeichnet die Bereithochstandardisierten
der Public Cloud.
kein eigener Cloudstellung von Cloud-Computingskalierbaren GeschäftsIn einer Virtual
Typ, sondern beLeistungen nur für vorab definierte
prozessen, Anwendungen
Private Cloud wird
zeichnet Szenarien
Nutzer. Private Clouds sind nicht
und/oder Infrastrukturdem Nutzer eine
für jede Art von
öffentlich. Management und Betrieb
Services auf einer
durch geeignete
Kopplung zwischen
erfolgen innerhalb eines Untervariablen “pay per use”Sicherheitstraditioneller IT,
nehmens oder einer gemeinsamen
Basis grundsätzlich für
mechanismen
Private Clouds und
Organisation. Der Zugang ist bejedermann gleichzeitig
abgeschottete und Public Clouds. Die
schränkt auf vom Betreiber autori(Multimandantenfähigkeit)
individualisierte IT- Gesamtverantwortsierte Personen und erfolgt in der
zur Verfügung. Die Nutzer
Umgebung zur
ung verbleibt beim
Regel über Intranet bzw. ein Virtual
sind organisatorisch nicht
Verfügung gestellt. Kunden, die ITPrivate Network (VPN).
verbunden. Die Public
In der Virtual
BetriebsverantPrivate Clouds bieten also eine nach
Cloud zielt auf SkalenPrivate Cloud kann wortung wird geteilt:
Cloud-Design-Kriterien erstellte
effekte u.Consumerisation der Nutzer damit
Sie liegt beim
effiziente, standardisierte, virtualof IT. Nutzer teilen sich die über eine quasijeweiligen ITisierte und sichere IT-Betriebsumzugrunde liegende Infraindividuelle
Betriebsstruktur. Eine Lokalisierung Betriebsumgebung verantwortlichen. Die gebung unter Kontrolle des Kunden.
Innerhalb der Kunden-Firewall
der Ressourcen ist i.d.R.
verfügen, die über
Herausforderung
Private Clouds erlauben individuelle
nicht gegeben. Eigentümer ein Virtual Private
dieses Modells liegt
Anpassungen und können z. B. die
und Betreiber einer Public
Network mit seiner in der Security- und
Sicherheits- und Compliance-NachCloud ist meist ein ITIT verbunden ist.
Service-Integration
teile von Public Clouds
Dienstleister.
der verschiedenen
kompensieren,
Cloud -Typen.
© Christof Höfner, 2010
Ch. Höfner,
Legal
erreichen
nichtProvider
deren
Skaleneffekte.
Cloud Formen 2 © BITKOM Cloud Computing Leitfaden 2010
Public Cloud / External
Cloud
Mittels Browser über das
Internet auf IaaS-, PaaSund SaaS-Services
Virtual Private
Cloud
Mittels
Browser
über
Intranet
(sichere
VPNVerbindung)
auf
IaaS-, PaaS- und
SaaS-Services.
Hybrid Cloud
Private Cloud / Internal Cloud
Für den Teil der Private
Cloud: Sicherer Zugang
mittels VPN; nur für den
Kunden selbst, autorisierte Geschäftspartner,
Kunden und Lieferanten.
Für den Teil der Public
Cloud: Mittels Browser
über das Internet oder
via VPN bei einer Virtual
Private Cloud.
Standard (in der Regel in
Grenzen Kombination aus Private
nicht
individuell individuell
Cloud und Public Cloud
anpassbar)
anpassbar
Sicherer Zugang mittels VPN auf alle
drei
Service-Ebenen
für
einen
eingeschränkten Nutzerkreis: i. d. R.
nur für den Eigentümer der Private
Cloud
selbst,
autorisierte
Geschäftspartner,
Kunden
und
Lieferanten
outsourced
Private Clouds werden i. d. R. vom
Kunden selbst oder nach seinen
Vorgaben
von
einem
externen
Dienstleister betrieben. Damit sind für
Private Clouds alle Sourcing-Optionen
möglich.
© Christof Höfner, 2010
outsourced
Der Teil der Private
Cloud kann vom Kunden
selbst oder von einem
Dienstleister (i.d.R. nicht
gleichzeitig Provider der
Public Cloud) betrieben
werden.
Damit
sind
prinzipiell alle SourcingOptionen möglich.
kundenspezifisch frei definierbar
Ch. Höfner, Provider Legal
Cloud Computing Modelle
© BITKOM e.V. Leitfaden Cloud Computing Dez 2010
© Christof Höfner, 2010
Ch. Höfner, Provider Legal
Cloud Computing: wichtige juristische Themen
Prinzipiell gilt: je mehr standardisiert ist, je weniger ist der Anbieter bereit zu
verhandeln, weil er in der Regel ein Massengeschäft betreibt, was er nicht oder
nur wenig individualisieren kann.
Beispiel: Public Cloud versus Private Cloud
• Datenschutz
• Wie bekommt man seine Daten wieder bei Vertragsbeendigung?
• Dateiformat möglichst Standard
• Datenstrukturen bei Datenbankdaten
• Geschäftsprozessabbildung
• Im übrigen kommt es sehr auf das einzelne Angebot und die Art der zu
verarbeitenden Daten an. Beispiel: Angebot für private Emails versus
Produktionssteuerung
© Christof Höfner, 2010
Ch. Höfner, Provider Legal
Agenda
1) Vorstellung
2) Datenschutz
3) Smart Devices
4) Cloud Computing
5) Typische vertragliche Inhalte
• 5.1 Rechtlicher Hintergrund
• 5.2 einzelne Vertragsklauseln
6) Diskussion
© Christof
Höfner,
20122010
© Christof
Höfner,
www.contractsandnegotiations.com
Ch. Höfner, Provider Legal
34
5.1 Rechtlicher Hintergrund
Unterschiede deutsches Recht (kodifiziertes Recht) /
angelsächsisches Recht (case law).
Im kodifizierten Recht muß bei weitem nicht so viel geregelt
werden, wg. gesetzlichen Regelungen, es sei denn, diese sollen
abgeändert werden.
In internationalen Verträgen macht es dennoch Sinn Regelungen
und Definitionen, die in Gesetzen enthalten sind im Vertrag zu
wiederholen, um zu verhindern, dass die gesetzlichen
Rahmenbedingungen in anderen Ländern falsch verstanden
werden.
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
5.2 Beispiele für vertragliche Regelungen
• Leistungspflichten des Anbieters
• Kundenindividuelle Vereinbarungen
• Allgemeine Vertragsregelungen
Dieser Teil der Besprechung orientiert sich am BITKOM
Vertragsmuster für Application Service Providing:
• http://www.bitkom.org/de/publikationen/38336_30774.aspx
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal
Die letzte Folie
6. Welche Themen wollen Sie diskutieren?
Vielen Dank für Ihr Interesse!
Christof Höfner
[email protected]
089 / 439 2304
© Christof
Höfner,
20122010
© Christof
Höfner,
Ch. Höfner, Provider Legal