WIXLIB

/ Cloud Computing – Die sechs PhasenUS/EU Privacy ShieldSechste Phase: US/EU Privacy Shield “Privacy Shield” als Nachfolger des Safe-Harbor-Abkommens Seit 12.07.2016 in Kraft Ansammlung von Briefen und Stellungnahmen US-Unternehmen können sich eine Bescheinigung des US-Handelsministerium ausstellen lassen24 Datenaustausch somit auch ohne alternative Rechtfertigungsmöglichkeiten zulässig Bereits zahlreiche Unternehmen auf der “Privacy Shield List”

/ Cloud Computing – Die sechs PhasenUS/EU Privacy ShieldGrundsätze Strengere Auflagen für Unternehmen Regelmäßige Überprüfung durch das US-Handelsministerium Auf Verstöße folgen Sanktionen bis hin zum Entzug der Bescheinigung Schutzvorkehrungen und Transparenzpflichten Beschränkungen hinsichtlich des Zugriffs auf Daten aus Gründen der nationalen Sicherheit Schutzvorkehrungen und Aufsichtsmechanismen Ombudsstelle im Außenministerium eingerichtet für Rechtsschutzbegehren im Bereich der nationalenSicherheit25

/ Cloud Computing – Die sechs PhasenUS/EU Privacy Shield Schutz der Rechte des Betroffenen Alternative Möglichkeit der Streitbeilegung Unentgeltlich für Betroffenen Gemeinsame jährliche Überprüfung26 EU-Kommission und US-Handelsministerium evaluieren jährlich das Privacy Shield Zusammenarbeit mit Sachverständigen der US-Nachrichtendienste und der europäischen Datenschutzbehören

/ Cloud Computing – Die sechs PhasenUS/EU Privacy ShieldWesentliche Kritikpunkte am Entwurf des Privacy Shields27 Stellungnahme der „Art. 29 Datenschutzgruppe“ vom 13.04.2016: „Großer Schritt nach vorne“ Aber: Mehrere Hauptprobleme Keine Pflicht zur Löschung von nicht mehr notwenigen personenbezogenen Daten Kein Ausschluss der anlasslosen massenhaften Datenspeicherung durch den Staat Unklare Ausgestaltung der Kompetenzen des Ombudsmanns Uneinheitliche Terminologie

/ Cloud Computing – Die sechs PhasenUS/EU Privacy ShieldWas wurde im Vergleich zum finalen Privacy Shield geändert? Konkretisierung des Zweckbindungsgrundsatzes: Speicherung nur bis der Zweckder Datenverarbeitung erreicht wurde Deutlichere Betonung der Objektivität und Unabhängig des OmbudsmannsOffene Kritikpunkte 28Pressemitteilung der „Art. 29 Datenschutzgruppe“ vom 26.07.2016: Es bleibt unklar, wie sich das Privacy Shield auf die Auftragsdatenverarbeiter auswirkt Fehlende Regelungen zur automatisierten Entscheidungen und zum Widerspruch des Betroffenen Keine ausreichenden Versicherungen, dass keine Massenüberwachung betrieben wird Genauere Definierung der Kompetenzen der Datenschutzbehörden bei der jährlichen Überprüfung

/ Cloud Computing – Die sechs PhasenUS/EU Privacy ShieldWas können Unternehmen machen? Überprüfung des Privacy Shield durch EuGH wahrscheinlich Alleiniges Abstellen auf Privacy Shield deshalb nicht zu empfehlen Wenn möglich und zumutbar: Absicherung mithilfe von Standardvertragsklauseln Aber: Auch Standardvertragsklauseln werden voraussichtlich dem EuGH zur Überprüfung vorgelegt29

/ EU-Model-ClausesSicherung des angemessenen Datenschutzniveaus in den USA durch Verwendung der Standardvertragsklauseln derEU-KommissionGrundmodell: Controller ProcessorDatenflussDatenimporteurerweiterter Rechtsrahmen der RL30VertragDatenexporteurRechtsrahmen derEU Datenschutzrichtlinie

/ Microsoft European CloudAusreichende Garantien – EU-Model-Clauses 31Beschlüsse der EU-Kommission auf Grundlage von Art. 26 Abs. 4 EG 95/46 (Datenschutzrichtlinie) Standardvertragsklauseln I (Beschluss vom 15.06.2001, ABl. L 181/19 ff.) und Standardvertragsklauseln II (Beschluss vom 27.12.2004, ABl. L 385/74 ff.) Standardvertragsklauseln für Auftragsdatenverarbeitung im Ausland, erstmals auch mit der Möglichkeit zur Beauftragung einesSubunternehmers (Beschluss vom 05.02.2010, ABl. L 39/S. 5 ff.) Vorformulierte Vereinbarung zwischen verantwortlicher Stelle und Datenverarbeiter im Drittland Bei vollständiger Einbeziehung Herstellung eines angemessenen Datenschutzniveaus Datenschutzbehörde: Standardvertragsklauseln dürfen nicht im Widerspruch zu BDSG stehen (problematisch vor allem bei Übermittlungvon Arbeitnehmerdaten) Für Cloud-Computing i.d.R. Standardvertragsklauseln für Auftragsdatenverarbeitung in Drittstaaten im Ausland einschlägig

/ Microsoft European CloudAusreichende Garantien – Vertragsklauseln – EU-Model-Clauses Gelten die EU-Model-Clauses auch nach der Safe-Harbor Entscheidung? Im Prinzip ja: Eine vollständige Aufhebung der Model-Clauses kann nur durch die Kommission oder EuGH erfolgenAuszug aus dem EuGH-Urteil vom 06.10.2015:„Rn. 52: Solange die Entscheidung der Kommission vom Gerichtshof nicht für ungültig erklärt wurde, können die Mitgliedstaaten und ihreOrgane, zu denen ihre unabhängigen Kontrollstellen gehören, somit zwar keine dieser Entscheidung zuwiderlaufenden Maßnahmen treffen,wie etwa Rechtsakte, mit denen verbindlich festgestellt wird, dass das Drittland, auf das sich die Entscheidung bezieht, kein angemessenesSchutzniveau gewährleistet. Für die Rechtsakte der Unionsorgane gilt nämlich grundsätzlich eine Vermutung der Rechtmäßigkeit, so dass sieRechtswirkungen entfalten, solange sie nicht zurückgenommen, im Rahmen einer Nichtigkeitsklage für nichtig erklärt oder infolge einesVorabentscheidungsersuchens oder einer Einrede der Rechtswidrigkeit für ungültig erklärt wurden“ (Urteil Kommission/Griechenland, C475/01, EU:C:2004:585, Rn. 18 und die dort angeführte Rechtsprechung). Im Safe-Harbor Urteil hat der EuGH zu den Clauses keine Stellung bezogen Aus Sicht der Kommission sind die Clauses eine wichtige und noch wirksame Alternative zu Safe Harbor32

/ Microsoft European CloudEU-Model-Clauses vor dem Aus? 33Zentrale Frage:Bieten die EU-Vertragsklauseln eine ausreichende Garantie für den Schutz der Privatsphäre und der Grundrechteder betroffenen Perosnen Nach Ansicht des EuGH (Urteil vom 06.10.2015, C-362/14) muss in Drittländern kein identisches Datenschutzniveau vorliegen ABER Notwendigkeit der Gewährleistung vergleichbarer Freiheiten und Grundrechte wie in der EU durch Drittstaaten aufgrund voninnerstaatlicher Rechtsvorschriften oder internationaler Verpflichtungen Sicherstellung eines angemessenen Schutzniveaus Feststellung des EuGH, dass die Voraussetzungen für die USA nicht gegeben sind (-)Irische Datenschutzaufsichtsbehörde ruft High Court an Frage nach der Rechtskonformität der EU-Vertragsklauseln Kritik insbesonere an der Vereinabarkeit der Klauseln mit Art. 47 der europäischen Grundrechtecharta (Recht auf einen wirksamenRechtsbehelf und ein unparteiisches Gericht) Vorlage dieser Frage an den EuGH durch den irischen High Court zu erwarten Bleibt der EuGH dabei seiner Linie treu, ist zu erwarten, dass die EU-Standardvertragsklauseln und auch alle Binding Corporate Rules fürungültig erklärt werden

/ Microsoft European CloudEU-Model-Clauses vor dem Aus? EU- Kommission (Art. 31 Ausschuss) befasst sich mit der Frage nach der Rechtmäßigkeit der EU- Standardvertragsklauseln Beratung (03.10.2016) über die Entwürfe zweier Beschlüsse zur Anpassung der Entscheidungen und Angemessenheitsbeschlüssehinsichtlich der Schutzniveaus in Drittstaaten Insbesondere Anpassung der Beschlüsse hinsichtlich der Befugnisse der Datenschutzaufsichtsbehörden Streichung jeglicher Beschränkung der Befugnisse der Aufsichtsbehörden Jegliche Beschränkung nach Ansicht des EuGH (Urteil vom 06.10.2015, C-362/14) unzulässig34 Feststellung der Rechtswidrigkeit der derzeit existierenden Beschlüsse hinsichtlich der Angemessenheitsentscheidungen für Drittländerals auch hinsichtlich der Vertragsklauseln!!! Berufung der Art. 29 Datenschutzgruppe zur Stellungnahme zu den Entwürfen

/ Microsoft Cloud DeutschlandEin deutsches CloudkonzeptBildnachweis: 5.jpg35

/ Microsoft Cloud DeutschlandDas Verfahren Microsoft Corporation vs. United States of America14-2985-CVAmerikanische Behörden verlangten von Microsoft die Herausgabe von persönlichen E-Mailsdie auf einem Server in Irland gespeichert waren Microsoft weigerte sich und zog vor Gericht. Sie stützten sich dabei darauf, dass eine solcheHerausgabe nicht allein auf amerikanische Gesetze und Beschlüsse gestützt werden könne,sondern ein Rechtshilfeersuchen notwendig sei. sowohl der Magistrate als auch der District Court lehnten das Gesuch von Microsoft ab mit Urteil vom 14.07.2016 entschied der United States Court of Appeals for the Second CircuitNew York zugunsten von Microsoft 36 Die drei Richter stimmten einstimmig zugunsten von Microsoft Einschlägiges Gesetz entfalte keine extraterritoriale WirkungMicrosoft wurde in diesem Verfahren sowohl von anderen Unternehmen (wie bspw. Googleund Apple) als auch von Datenschützern und der Irischen Republik unterstützt.Bildnachweis: ase/512/meanicons 64-512.png

/ Microsoft Cloud DeutschlandDas Verfahren Microsoft Corporation vs. United States of America14-2985-CV37

/ Microsoft Cloud DeutschlandDas Verfahren Microsoft Corporation vs. United States of America14-2985-CVUS- Regierung hält am Konzept Durchsuchungsbeschluss fest 38Stellung eines sog. „rehearing bzw. rehearing en banc“ (erneute Anhörung vor allen aktiven Richtern des Gerichts) durch diezuständige US- Staatsanwaltschaft als Reaktion auf das Urteil vom 14.07.2016 Überzeugung der US- Regierung, dass sich das Gericht bei seinem Urteil geirrt hat Kein Vorliegen einer exterritorialenAngelegenheit Sollte das „rehearing“ das Urteil vom 14.07.2016 bestätigen, stünde der Staatsanwaltschaft als letzte Station der Gang zumSupreme Court of the United States offen, um dort eine Grundsatzentscheidung zu erwirken

/ Microsoft Cloud DeutschlandEin deutsches CloudkonzeptMicrosoft Cloud Deutschland als Beispiel für eine solche Möglichkeit Ausrichtung auf den deutschen Markt, damit entsteht kein „minimum contact“ mit den USA Erhebliche Einschränkung des Zugangs zu Kundendaten auf Seiten von Microsoft durch ein Datentreuhändermodell Serverstandorte innerhalb von Deutschland um Datentransfer ins Ausland auszuschließen 39Durch die Einschaltung des Datentreuhändermodells wird „possession, custody or control“ auf Seiten Microsoft hinsichtlichKundendaten verhindertBeide Rechenzentren sind durch eigenes Netzwerk verbunden um bei Datentransfers zwischen den Rechenzentrenauszuschließen, dass Daten das Land verlassenServerarchitektur und bereitgestellte Services entsprechen den global angebotenen Leistungen, nur in einem eigenen,abgeschotteten UmfeldBildnachweis: -512@x.png

/ Microsoft Cloud DeutschlandEin deutsches Cloudkonzept – Praktische UmsetzungUSAkein/nur beschränkt ZugriffZugriffZugriffIrlandRZFrankfurt 40Online Service TermsDPA/ADV VereinbarungZusatzvereinbarung„TreuhandStellt Infrastruktur undSoftwareRZMagdeburg ZugriffZugriffKunde AuftragsdatenverarbeitungTreuhandvertragStellt Operations in dengesondert verbundenenRechenzentren

/ Microsoft Cloud DeutschlandEin deutsches Cloudkonzept – Praktische UmsetzungDer Kunde ist Herr über seine Daten Microsoft bzw. das Personal hat keine originären Zugriffsrechte auf die Daten Sofern ein Zugriff (physisch oder digital) notwendig wird (bspw. im Rahmen von Troubleshooting,Support), ist eine Freigabe vom Datentreuhänder einzuholen diese ist auf den einzelnen Zugriff begrenzt wird nach deutschem Recht geprüft wird technisch durch das Rechtemanagment und einem Auslaufen der Berechtigung nach kurzer Zeit abgesichert Zugriff wird durch den Datentreuhänder überwacht (sog. Escort-Modell) Ein grundlegendes System-Monitoring erfolgt weiterhin durch Microsoft Wenn von Behörden die Herausgabe von Daten verlangt wird, ist das Begehren an den Datentreuhänder zu richten 41dieser überprüft die Rechtmäßigkeit der Herausgabe, gibt gegebenenfalls die Daten heraus und informiert die BetroffenenEs werden regelmäßige externe Audits durchgeführt um die Wahrung dieser Regeln zu überprüfenBildnachweis: t-deutschland-cloud-news.png

/ Microsoft Cloud DeutschlandEin deutsches Cloudkonzept – Vertragliche Gestaltung Kunde hat zwei Vertragsbeziehungen Mit Microsoft Irland über die Bereitstellung der Dienste. Dieser Vertrag entspricht dem Standardvertrag, wird aber umZusatzregelungen hinsichtlich der „deutschen Cloud“ erweitert Vertrag mit dem Datentreuhänder über AuftragsdatenverarbeitungDiese Konstruktion verhindert eine Subunternehmersituation des Datentreuhänders gegenüber Microsoft 42Dadurch auch wieder keine „possession, custody or control“Bildnachweis: g

/ Everybody thinks about cloud43

/ Prof. Dr. Peter BräutigamProf. Dr. Peter Bräutigam ist ausgewiesener Spezialist auf dem Gebiet des Rechts der Informationstechnologie. SeinBeratungsspektrum umfasst alle Fragestellungen des IT-Rechts und der Digitalisierung/ Industrie 4.0 mit folgendenSchwerpunkten: Softwareerstellungs- und Wartungsverträgen, Rahmen- und Projektverträgen sowie OutsourcingVerträgen und Service Level Agreements, Datenschutz, Recht an Daten, Cyber Security, Haftungsfragen,(Software-)lizenzrechtliche Themen, Vernetzung und Problemstellungen im IP Umfeld.Prof. Dr. Peter Bräutigam ist Honorarprofessor für Medien- und Internetrecht an der Universität Passau und ist Dozentfür IT-Recht.Prof. Dr. Peter BräutigamRechtsanwalt, Fachanwalt fürInformationstechnologierechtPartner 49 89 28628145peter.braeutigam@noerr.com44Kompetenzen IT-Recht Digitalisierung/Industrie 4.0 Softwareerstellungs- und Wartungsverträgen Rahmen- und Projektverträge Outsourcing-Verträge Service Level Agreements Datenschutz Cyber Security

/ Noerr ist Exzellenz und unternehmerisches DenkenMit Teams aus starken Persönlichkeiten findetNoerr Lösungen für komplexe und anspruchsvolleFragestellungen. Vereint durch gemeinsame Werte,haben die über 500 Berater immer das gemeinsame Ziel vor Augen: den Erfolg der Mandanten.Auf den Rat der Kanzlei vertrauen börsennotierteKonzerne und mittelständische Unternehmenebenso wie Finanzinstitute und -investoren.Auch international ist Noerr als eine führendeeuropäische Wirtschaftskanzlei bestens aufgestellt:mit Büros in elf Ländern und einem weltweitenNetzwerk an befreundeten Top-Kanzleien.Zudem ist Noerr exklusives deutsches Mitglied vonLex Mundi, dem global führenden Netzwerkunabhängiger Wirtschaftskanzleien mitumfangreicher Erfahrung in mehr als 100 Ländern.45

/ Ausgezeichnete Rechtsberatung46Germany Law Firm of the YearLaw Firm of the Year:GermanyGlobal Dispute of the Year:U.K. LitigationKanzlei des Jahres für IP,Kartellrecht und Marken- undWettbewerbsrechtChambers Europe Awards 2015The Lawyer European Awards 2015The American Lawyer Global LegalAwards 2015JUVE Awards 2015Kanzlei des JahresKanzlei des Jahres für M&AInternational Firm of the Year2014Kanzlei des Jahresfür InformationstechnologieEuropean Law Firm of the YearJUVE Awards 2014Legal Business Awards 2014JUVE Awards 2013The Lawyer European Awards 2012

/ Vernetztes Denken & wirtschaftliche KompetenzRechtsgebiete47Branchen & Lösungen Aktien- & Kapitalmarktrecht Automobilindustrie Arbeitsrecht Compliance & Interne Ermittlungen Banking & Finance Einkauf, Logistik & Vertrieb Gesellschaftsrecht/Mergers & Acquisitions Energie Gewerblicher Rechtsschutz & Medien Gesundheitswesen (Pharma, Medizintechnik) Kartellrecht IT, Outsourcing & Datenschutz Prozessführung, Schiedsverfahren & ADR Private Equity & Venture Capital Regulierung & Governmental Affairs Telekommunikation Restrukturierung & Insolvenz The Real Estate Investment Group Steuerrecht & Private Clients Versicherung & Rückversicherung Advisory

/ In Good Company(Öffentliche Nennung gestattet)48

/ Über Lex MundiNoerr ist exklusives Mitglied von Lex Mundi, dem führendenNetzwerk unabhängiger Wirtschaftskanzleien mitumfangreicher Erfahrung in mehr als 100 Ländern.Als Teil des weltweiten Lex Mundi-Netzwerks bieten wirunseren Mandanten über einen Ansprechpartner bevorzugtZugang zu über 21.000 Anwälten weltweit.Jedes Lex Mundi-Mitglied ist in seinem nationalen bzw.regionalen Markt führend. Gemeinsam bieten die Lex MundiKanzleien globale Rechtsberatung von einzigartiger Qualitätund Bandbreite. In Zusammenarbeit mit anderen Lex MundiKanzleien können wir anspruchsvollste grenzübergreifendeTransaktionen und Streitfälle unserer Mandanten aus einerHand begleiten.Lex Mundi NetworkGlobal Law Firm 1Global Law Firm 2Global Law Firm 3Global Law Firm 4Global Law Firm 5Global Law Firm 6Global Law Firm 7Global Law Firm 8Global Law Firm 9Global Law Firm 10PLC Which Lawyer? 2012Aggregated Rankings Lex Mundi and Global Firms049100020003000400050006000

/StandorteAlicanteBudapestFrankfurt am MainNew YorkNoerr Alicante IP, S.L.Avenida México 2003008 AlicanteSpanienT 34 965 980480Kanzlei Noerr & PartnerFő utca 14-181011 BudapestUngarnT 36 1 2240900Noerr LLPBörsenstraße 160313 Frankfurt am MainDeutschlandT 49 69 9714770BerlinBukarestLondonNoerr LLPRepresentative Office885 Third Avenue, Suite 2610New York, NY 10022USAT 1 212 4331396Noerr LLPCharlottenstraße 5710117 BerlinDeutschlandT 49 30 20942000S.P.R.L. Menzer & Bachmann - NoerrStr. General ConstantinBudişteanu nr. 28 C, Sector 1010775 BukarestRumänienT 40 21 3125888Noerr LLPTower 4225 Old Broad StreetLondon EC2N 1HQGroßbritannienT 44 20 75624330PragNoerr s.

/Cloud Computing -Die sechs Phasen Erste Phase: Ablehnung „Cloud omputing ist ein Sicherheitsalptraum (omputerwoche vom 23.04.2009) Datenschutzbehörde Brandenburg: Nicht mit Datenschutz in Einklang zu bringen Thilo Weichert: „Persönliche Daten in der Cloud generell rechtswidrig Zweite Phase: Akzeptanz 26.09.2011: Orientierungshilfe Cloud Computing 1.0 der 82.