03:30Mittwoch, 03. Mai 2023
Trust in Microsoft CloudIhre Rechte und Pflichten beim Cloud Computing
Dr. Winklbauer, LL.M. Partner Rechtsanwaltaringer herbst winklbauer rechtsanwälte
Harald Leitenmüller, CTO, Microsoft Österreich
A Cloud You Can Trust
Security Privacy & Control
Transparency Compliance
Compliance
Globale Compliance• Unterstützung von globalen compliance standards wie
ISO 27001, ISO 27018, Safe Harbor, EUMC, HIPAA, FISMA
• Vertraglichen Zusicherung von Privacy, Security und sorgfältige Verarbeitung von Kundendaten durch Data Processing Agreements
Customer Controls:Admin Kontrollfunktionen wie Data Loss Prevention, Archiving, RMS, E-Discover
Interne Compliance- Interne Regeln & Architektur
Externe Compliance- Gesetze, Verordungen, Regulierung
Customer Controls:Admin Kontrollfunktionen wie RBAC, Archiving, RMS, E-Discover, Encryption
Micr
osof
tAu
ftrag
gebe
r
Aktuelle Zertifizierungen…GFS WW
ServicesCJIS Yes
(GCC) No No No N/A N/A No
EU Model Clauses Yes Yes Yes Yes Yes Yes No
EU Safe Harbor Yes Yes Yes Yes Yes Yes Yes
FedRAMP (Moderate) Yes No Yes No Yes No No
FERPA Yes N/A Yes N/A N/AN/A – Agreement signed by services
Yes
HIPPA/BAA Yes Yes Yes Yes Yes Yes No
UK G-Cloud Yes Yes Yes No N/A No No
IPv6 Yes No No No N/A N/A No
ISO 27001:2013+27018:2014 Yes Yes Yes Yes Yes Yes Yes
(27001:2013)
PCI DSS N/A N/A Yes N/A Yes N/A N/A
Section 508 Yes Yes Yes Yes N/A N/A Yes
SOC 1 Type 2 (SSAE 16 / ISAE 3402) Yes Yes Yes No, Type 1 only Yes No No
SOC 2 Type 2 (AT Section 101) Yes No Yes No, Type 1 only Yes No No
Your data is safe Your data is yours You are in control
Encryption of all data at rest
Encryption of all data in transit
Enhanced event and admin / service access logging
Advanced security monitoring and threat management
Clear guidelines on data location
Greater transparency and simplicity of data use policies and choices
Data accessed only to improve customer experience
Law enforcement requests redirected to the customer
Notification of customers of lawful requests for information; challenging of gag orders
Ability of customers to hold encryption key and revoke Microsoft copy
Complete deletion of data on customer request and on contract termination
Customer choice of data location
Customer option to limit Microsoft access to data
Microsoft Trusted Cloud
6
Online Services Terms = Lizenz VereinfachungUND bessere Bedingungen für alle Cloud Kunden
Online Services Use Rights (OLSUR)
OLS AmendmentsB115/B116 O365, CRM, Intune DPA
M137 Azure DPA
M100 Model Clauses
M181 Third Party Requests
M168 Customer Data
Location
B126 O365 Core Features
General Terms Privacy & Security Service Specific
VORHER
JETZT
Ressourcen Trust Centers O365 Trust CenterAzure Trust CenterDynamics CRM Trust CenterMicrosoft Intune Trust Center
Microsoft on the Issues Microsoft On the IssuesChallenging governments on behalf of our customersSuccess in challenging an NSA Letter – protecting customers’ rightsResponding to government demands for customer dataCyberTrust Blog
US/Ireland E-Mail Search Warrant Case www.DigitalConstitution.comLaw Enforcement Requests and U.S. National Security Orders reports
Law Enforcement Requests Report
US National Security Orders ReportsMicrosoft Online Services Terms
Online Services TermsMicrosoft Enterprise Cloud http://www.Microsoft.com/cloud
Microsoft Executive Forum 30.09.2015
Patriot Act, Datenschutz und Compliance - alles neu?Dr. Stephan Winklbauer, LL.M.Partner, Rechtsanwalt
Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
Wer haftet für die Daten?
9
Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
Wer haftet für die Daten?
10
Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
- Jedermann hat Anspruch auf Geheimhaltung seiner Daten!- Ursprung: Grundrecht auf Achtung des Privat- und Familienlebens
- Geheimhaltung gegenüber Staat und Privaten
- Schutz vor Ermittlung und Weitergabe
- Voraussetzung: - Personenbezogene Daten- Schutzwürdiges Interesse
Rechtsgrundlage Datenschutzgesetz 2000
Daten öffentlich / anonym?
11
Bild: www.lebensraum-bonn.com/datenschutz.html
Wichtigste Begriffe des Datenschutzgesetzes
12
Definitionen in § 4 DSG 2000
Personenbezogene Daten: DSG voll anwendbar- Identität bestimmt (Name) oder - Identität bestimmbar
Anonymisierte Daten: DSG nicht anwendbar- Herstellung eines Personenbezugs verlässlich ausgeschlossen?- Praxistipp: Aggregierte Datensätze (Gruppe von mind. 5 Betroffenen1)
Indirekt personenbezogene (= pseudonymisierte) Daten:- Identifikationsmerkmal durch Pseudonym/Code ersetzt- für jeweiligen User Personenbezug verhindert
1 Empfehlung DSK, 22.5.2013, K213.180/0021-DSK/2013
Beispiele Personenbezug:• E-Mail Adresse• IP-Adresse• Kundennummer, etc...
!
Wichtigste Begriffe des Datenschutzgesetzes
13
Definitionen in § 4 DSG 2000
Auftraggeber: Trifft Entscheidung, Daten zu verwenden... verwendet selbst oder setzt dafür Dienstleister ein
Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags
Auskunfts-, Richtigstellungs- und Löschungsverpflichtungentreffen immer den Auftraggeber! !
Rechtsgrundlage Datenschutzgesetz 2000
14
§ 6 – § 8 DSG
Ausnahme von diesem Verbot?- Zweck und Inhalt von
- gesetzlichen Zuständigkeiten / rechtlichen Befugnissen gedeckt und
- schutzwürdige Geheimhaltungsinteressen gewahrt
Verarbeitungvon Daten istgrundsätzlichverboten!
Agenda
Basics des Datenschutzrechts – Grundlagen & Gesetzesbegriffe
Nutzung von Cloud Services - was passiert rechtlich?
Wer haftet für die Daten?
15
Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
Nutzung von Cloud Services
16
Definitionen in § 4 DSG 2000
Auftraggeber: Trifft Entscheidung, Daten zu verwenden... verwendet selbst oder setzt dafür Dienstleister ein
Dienstleister: Verwendet Daten ... nur für Durchführung des Auftrags
Auftrag-geber Betroffener
Dienstleister
Dienstleister-vertrag
Rechtschutzbehelfe
Welcher „Akteur” ist Cloud-Provider?
17
- Entscheidung über Datenverwendung
- Datenschutzrechtliche Verantwortung - Verwendet überlassene
Daten...- zur Durchführung des
Auftrags
Welcher „Akteur” ist Cloud-Provider?
18
Auftrag-geber Betroffener
Dienstleister
Dienstleister-vertrag
Rechtschutzbehelfe
- Entscheidung über Datenverwendung
- Datenschutzrechtliche Verantwortung - Verwendet überlassene
Daten...- zur Durchführung des
Auftrags
Nutzung Office 365 – Was passiert rechtlich?
19
Datentransfer
- Cloud-Benützer von MS Office 365 (Bank, Unternehmen, Arzt, etc.) ist Auftraggeber im Sinne des Datenschutzgesetzes
- Kunde des Cloud-Benützers ist Betroffener
- Überlassung von Daten an Dienstleister (= Microsoft = Cloud-Anbieter)
- Microsoft trifft keine eigene Entscheidung zur Datenverwendung
Bild: www.slankerzonderdieet.nl/programma/paragraph-kopie/
Data Breach Notification – Pflicht des Cloud-Benützers
20
(2a) Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren.
Ausnahmen:
- Geringfügiger Schaden droht
- oder Informationskosten unverhältnismäßig hoch
Schadensminderungsobliegenheit des Cloud-Benützers!
§ 24 Abs 2a DSG
Bild: securityaffairs.co/wordpress/4110/cyber-crime/medicaid-incident-how-much-cost-a-data-breach.html
Selbstbeurteilung des AuftraggebersNotfallplan ratsam !
Agenda
Basics des Datenschutzrechts – Grundlagen
Wichtigste Begriffe
Wer haftet für die Daten?
21
Zulässigkeit von Cloud Computing / USA Patriot Act, etc.
Datenschutzrechtliche Zulässigkeit des Cloud Computing
22
Zulässige Datenverarbeitung: Zweck und Inhalt gedeckt, keine schutzwürdigen Interessen verletzt
Innerhalb EWR Außerhalb EWR
- Nur Abschluss Dienstleistervertrag nötig (hier: Vertrag mit Microsoft)
- Keine Genehmigungspflicht durch Datenschutzbehörde
- Grundsätzlich Genehmigung durch Datenschutzbehörde erforderlich
- Außer Ausnahmetatbestand erfüllt (zB Zustimmung, Safe-Harbor, Standard-vertragsklauseln)
Datenschutzrechtliche Zulässigkeit innerhalb des EWR
23
- Keine Genehmigungspflicht des Datentransfers durch Datenschutzbehörde!
- Abschluss eines schriftlichen Dienstleistervertrags erforderlich
- Gilt für Datenüberlassung innerhalb:- des (inländischen) Unternehmens - Österreichs- des EWR
Datenschutzrechtliche Zulässigkeit außerhalb des EWR
24
- Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten- Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
1 http://safeharbor.export.gov/list.aspx
Datenschutzrechtliche Zulässigkeit außerhalb des EWR
25
Eintrag in Safe Harbor-Liste1 prüfen! !
- Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten- Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
- ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten
http://safeharbor.export.gov/list.aspx
Safe Harbor Liste
26
!Rechtsfolge:GenehmigungsfreieDatenübermittlung in USA
1 „Europe vs Facebook“ (Maximilian Schrems): EuGH C-362/14; Nächster Verfahrensschritt: Gutachten Generalanwalt
Exkurs: Facebook vs. Max Schrems: EuGH zu Safe Harbor
27
Safe Harbor Abkommen – Irisches Höchstgericht legt EuGH Fragen zu Rechtmäßigkeit vor
- Aktuelles Verfahren1 - Ausgangslage: - Basierend auf Entscheidung der EU Kommission im Jahr 2000:
Datenübermittlung in USA zulässig bei Unterwerfung unter Safe Harbor
- Snowden Affäre zeigt: NSA greift anscheinend umfassend auf personenbezogene Daten von EU-Bürgern zu
- EuGH: Prüfung ob Safe Harbor Abkommens (immer noch) mit EU-Grund- & Datenschutzrechten vereinbar
Derzeit keine Änderung – „Safe Harbor is still safe!“ !
Datenschutzrechtliche Zulässigkeit außerhalb des EWR
28
- Keine Genehmigungspflicht des Datentransfers in gleichgestellte Drittstaaten- Schweiz, Argentinien, Uruguay, Neuseeland, Kanada, Israel ...
- ... und Unternehmen der USA, die sich zur Einhaltung des „Safe Harbor“-Abkommens verpflichten
- (...oder Verwendung von EU-Standardvertragsklauseln)
1 Inkl. Standardvertragsklauseln: Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement & Annex 1
Verwendung von EU-Standardvertragsklauseln
29
- Rechtsfolge: Angemessenes Datenschutzniveau gilt als nachgewiesen- In Zukunft: Bloße Anzeige- statt Genehmigungspflicht durch DSB- Aber: Bisher keine nationale Umsetzung
- Artikel 29 Gruppe: MS Datenverarbeitungsklauseln1 geprüft
Unabhängige EU-Datenschutzgruppe bestätigt Datenschutzkonformität von MS Office 365
!Derzeit weiterhin Genehmigungspflicht!
- Ergebnis: Entspricht Dienstleister-Standardvertragsklauseln (2010/87/EG)
1 Bspw § 54 ÄrzteG, § 38 BWG, § 9 RAO, § 37 NO 2 § 14 DSG
Verschwiegenheitspflichten & branchenspezifische Zulässigkeit
30
Exkurs
- Daten nur im Rahmen der Aufträge des Cloud-Benutzers verwenden- Verschwiegenheits- & Geheimhaltungspflichten:
- Kein allgemeines Verbot der Überlassung von Daten- Auftraggeber muss Sondergesetze1 beachten – „Was darf ich?“
- Einhaltung der Datensicherheitsmaßnahmen2, uA:- Muss Mitarbeiter zur Einhaltung des Datengeheimnisses verpflichten- Cloud-Nutzer muss eigene Verschwiegenheitspflichten auf Dienstleister überbinden!
1 Electronic Communications Privacy Act (1986) 2 Foreign Intelligence Surveillance Act (1978)3 Microsoft Law Enforcement Requests Report 2014 (Zeitraum Kalenderjahr 2014); angefragte Accounts: 111
Vereinbarkeit Datenschutzrecht von EU & USAPatriot Act & PRISM - Ermittlungsmethoden zur Terrorbekämpfung
- USA Patriot Act of 2001
- „Uniting and Strengthening America by Providingg Appropriate Tools Required to Intercept and Obstruct Terrorism Act“
- PRISM - Digitales Überwachungsprogramm
- Rechtsgrundlagen: USA Patriot Act, ECPA1, FISA2
- Auf Antrag offengelegte Inhaltsdaten österreichischer Microsoft-User3: Null
- Vergleichbare Überwachungsprogramme existieren... auch in Europa (zB §§ 134 österr. Strafprozessordnung) ... uzw seit Jahrzehnten
- Schutzniveau vergleichbar zu EU-Staaten (Bilaterale Verträge!)
- Strenge Rechtsfertigungsgründe für Datenzugriff auf Cloud: - Betrifft nur Strafsachen & Terror-/Spionagebekämpfung- Nur als Ausnahme von konventionellen Methoden- Gerichtsbeschluss/Durchsuchungsbefehl- Hinreichender Tatverdacht - Verbot freiwilliger Herausgabe - Benachrichtigungspflicht
des Kunden
Vereinbarkeit Datenschutzrecht von EU & USA
zwingende Voraussetzung
Patriot Act & PRISM
!Fazit:Datenzugriff nur in AusnahmefällenInternationaler Standard
Vereinbarkeit Datenschutzrecht von EU & USAUSA FREEDOM ACT
- USA Freedom Act of 2015- „Uniting and Strengthening America by Fulfilling Rights and Ending
Eavesdropping, Dragnet-collection and Online Monitoring Act. “
- Reform & Verlängerung des USA Patriot Act
- Datenspeicherung von Telefon-Metadaten durch Unternehmen, nicht NSA
- Jährliche Reports
Vereinbarkeit Datenschutzrecht von EU & USA
34
US-Strafverfahren: Zugriff von US-Behörden auf Daten in EU
- Aktuelles Verfahren1 gegen Microsoft – Ausgangslage:- US-Behörden verlangen Zugriff auf in EU gespeicherte Daten- Grundlage: Durchsuchungsbefehl in US-Strafverfahren
- Microsoft in 2 Instanzen zur Herausgabe verurteilt
- Sanktionen vorerst ausgesetzt (keine Datenherausgabe)
- Neuester Stand2: Berufungsverfahren in 3. Instanz
!Top aktuell:Microsoft Presseseite http://digitalconstitution.com
1 US Court of Appeals for the Second Circuit, 14-2985-cv2 Reply Brief for Appellant, 08.04.2015; http://mscorp.blob.core.windows.net/mscorpmedia/2015/04/Microsoft-Reply-Brief.pdf
Key Points to Remember
- Ist eine Datenanwendung zulässig, kann der Kunde die Datenauch in die Cloud geben (innerhalb des EWR)
- Cloud-Speicherung in EWR & Safe Harbor grds. genehmigungsfrei
- Patriot Act/PRISM: Schreckgespenst! Möglichkeit des Datenzugriffsdurch Behörden nicht höher als bei uns
Vielen Dank für Ihre Aufmerksamkeit!
36
Dr. Stephan Winklbauer, LL. M.Partner, Rechtsanwalt
aringer herbst winklbauer rechtsanwälte1010 Wien, Grillparzerstraße 5+43 1 890 90 [email protected]