Leitfaden "Cloud Computing - Recht, Datenschutz & Compliance" erschienen

LeitfadenIch habe in der Expertengruppe "Recht und Compliance" des EuroCloud Deutschland_eco e.V. an einem Leitfaden zum Thema Cloud Computing und Datenschutz mitgearbeitet. Das gemeinsam mit Kollegen erarbeitete 34seitige Werk ist nun fertig und erschienen. Wenn Sie eine kostenlose, gedruckte Fassung des Leitfadens möchten, kontaktieren Sie mich bitte.

Aus der Einleitung: "Mit dem Leitfaden Recht, Datenschutz & Compliance bekommen sowohl Anbieter als auch Anwender eine Richtlinie an die Hand, die bei der sicheren Vertragsgestaltung und der Auswahl des richtigen Dienstleisters hilft. Der Leitfaden bildet die Grundlage für die richtige Einordnung der rechtlichen Bestimmungen. Dabei konzentriert er sich auf den Bereich „Software as a Service“ als „Public Cloud“-Dienst und erörtert die besonderen Anforderungen hinsichtlich des Datenschutzes und die – je nach Anwendungszweck – erweiterten Vorgaben im steuerrechtlichen und betrieblichen Bereich. Die Themenübersicht ist abgeleitet aus den Prüfkriterien des Euro-Cloud SaaS-Gütesiegels, das „Software as a Service“-Angebote in Bezug auf Serviceerbringung, Datensicherheit, Datenschutz, Vertragsgestaltung und Interoperabilität untersucht.

UPDATE 9. Okt 2011: Zwischenzeitlich liegt auch die Entschließung der 82. Konferenz der Datenschutzaufsichtsbehörden vom 28./29. September 2011 zur datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing vor, sowie die Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder

Wenn Sie Fragen zu diesen Dokumenten oder zum Thema Cloud Computing und Datenschutz, Vertragsgestaltung und Compliance haben, kontaktieren Sie mich bitte gerne.

Beitrag lesen

Vortrag CloudConf 2010 Stuttgart - Cloud Computing / SaaS: Verträge und Datenschutz

Der Beitrag enthält Links zu den Folien meiner Präsentation auf der CloudConf 2010 in Stuttgart zum Thema "Cloud Computing/ SaaS: Verträge datenschutzkonform und rechtssicher gestalten".

Die Folien des Vortrags können sie hier herunterladen.

Wenn Sie Fragen, Anregungen oder Kritik haben, kontaktieren Sie mich.

Beitrag lesen

Datenschutz im Konzern - Einsatz der EU-Standardvertragsklauseln in der Praxis (Teil 3)

Von Rechtsanwalt Dr. Thomas Helbing


Nachdem in den ersten beiden Teilen des Beitrages die einzelnen Instrumente zur Sicherstellung eines angemessenen Datenschutzniveaus vorgestellt (Teil 1) und Ihre Vor- und Nachteile erläutert wurden (Teil 2), soll im vorliegenden dritten und letzten Part auf die konkrete Umsetzung der Standardvertragsklauseln eingegangen werden. Safe Harbor und Binding Corporate Rules werden aufgrund ihrer Komplexität gegebenenfalls in späteren gesonderten Beiträgen dargestellt.


Jeder Transfer von Daten von einer Gesellschaft in der EU an eine Konzerngesellschaft in einem Drittland muss bei der Lösung über Standardvertragsklauseln von einem entsprechenden Vertrag abgedeckt werden, der die EU-Klauseln enthält.

Beitrag lesen

Facebook Social Plugins und Datenschutzrecht

Von Rechtsanwalt Dr. Thomas Helbing


Der Beitrag erläutert Hintergrund und Funktionsweise der Facebook Social Plugins und erklärt, wie Webseitenbetreiber ihre Nutzer über den Einsatz der Plugins in den Datenschutzhinweisen informieren müssen. Darüber hinaus wird diskutiert, ob die Einbindung von Facebook Social Plugins nach deutschem Datenschutzrecht zulässig ist.

UPDATE 19. August 2011: Das Unabhängige Landeszentrum für Datenschutz (ULD), die Datenschutz-Aufsichtsbehörde für Unternehmen in Schleswig Holstein, hält den Einsatz des Facebook Like-Buttons für rechtswidrig und fordert Seitenbetreiber auf, diesen zu entfernen.


Beitrag lesen

Datenschutz im Konzern: Internationale Datentransfers (Teil 2)

Von Rechtsanwalt Dr. Thomas Helbing

Dies ist der zweite Teil des Beitrages "Datenschutz im Konzern: Internationale Datentransfers".

Beitrag lesen

Datenschutz im Konzern: Internationale Datentransfers (Teil 1)

von Rechtsanwalt Dr. Thomas Helbing

Dies ist der zweite Beitrag aus meiner Artikel-Reihe "Datenschutz im Konzern", in der ich auf Fragestellungen des Datenschutzes eingehe, wie sie sich typischerweise in Konzernen stellen.

Im ersten Beitrag habe ich mich mit der Organisation des Datenschutzes im Konzern beschäftigt, insbesondere der Ausgestaltung der Position des Konzerndatenschutzbeauftragten und dessen Aufgaben.

In diesem Beitrag geht es um die Sicherstellung der datenschutzrechtlichen Anforderungen bei internationalen Datentransfers in einem Konzern, zum Beispiel wenn eine zentrale Kundendatenbank oder ein konzernweites Personalinformationssystem eingerichtet werden. Erläutert werden dabei unter anderem die EU Standardvertragsklauseln, das Safe Harbor Programm und Binding Corporate Rules. Im Vordergrund steht die Auswahl und Umsetzung der Instrumente in der Praxis. Der Aufbau des Beitrages orientiert sich an einer schrittweisen Handlungsempfehlung, wie in der Unternehmenspraxis an die nicht leichte Aufgabe herangetreten werden kann, konzerninterne Datenflüsse datenschutzrechtlich in den Griff zu bekommen. Der Fokus liegt auf dem deutschen Recht wobei stets die Bezüge zur EG-Richtlinie dargestellt werden und auf einzelne nationale Besonderheiten hingewiesen wird.

Aufgrund des Umfangs des Themas ist dieser Beitrag in mehrere Teile untergliedert, die nacheinander erscheinen:

Beitrag lesen

Verschärfte Anforderungen für Datentransfers in die USA unter Safe Harbor

von Rechtsanwalt Dr. Thomas Helbing

Die obersten deutschen Datenschutz-Aufsichtsbehörden stellen seit April 2010 verschärfte formale Anforderungen an die Übermittlung personenbezogener Daten an Unternehmen in den USA nach dem "Safe Harbor" Programm.

Mit dem Beschluss des "Düsseldorfer Kreises" vom 29. April 2010 haben die Datenschutzbehörden mitgeteilt, dass sich Datenexporteure in Deutschland nicht auf die Behauptung einer Safe Harbor Zertifizierung von US Unternehmen verlassen dürfen. Die Aufsichtsbehörden verlangen, dass sich das exportierende Unternehmen die Safe Harbor Zertifizierung und Beachtung der Safe Harbor Grundsätze nachweisen lässt.

Beitrag lesen

Datenschutz im Konzern: Der Konzerndatenschutzbeauftragte und die Organisation der Datenschutz Compliance

von Dr. Thomas Helbing

Dies ist der einleitende Beitrag aus meiner neuen Artikel-Reihe "Datenschutz im Konzern". In den einzelnen Beiträgen möchte ich auf Fragestellungen des Datenschutzes eingehen, wie sie sich typischerweise in Konzernen stellen.

Im einleitenden Teil geht es um die Organisation des Datenschutzes im Konzern, insbesondere die Ausgestaltung der Position des Konzerndatenschutzbeauftragten und dessen Aufgaben.

Weitere (geplante Themen) sind:

  • Internationale Datentransfers im Konzern (mittlerweile alle drei Teile erschienen)
  • Datenschutz bei Hinweisgeber-Systemen (Whistleblowing)
  • Zentrale Speicherung von Mitarbeiterdaten im Konzern (Personal-Informations-Systeme)

Sie wollen zukünftige Beiträge nicht verpassen? Dann abbonieren Sie meinen kostenlosen Newsletter. Ich freue mich auf Ihre Kommentare, Fragen, Anregungen und Hinweise, die ich gerne in bestehende oder zukünftige Beiträge integriere.

Beitrag lesen

Datenschutz bei Software as a Service (SaaS): Verträge zur Auftragsdatenverarbeitung nach § 11 BDSG praktikabel und gesetzeskonform gestalten

von Dr. Thomas Helbing

Obwohl sich Software as a Service (SaaS) immer größerer Beliebtheit erfreut, herrscht noch viel Unsicherheit und zum Teil Unkenntnis im Hinblick auf die datenschutzrechtlichen Anforderungen. Kaum ein SaaS-Vertrag, den ich zur Prüfung oder Überarbeitung erhalten habe, erfüllte die Vorgaben des neuen § 11 Bundesdatenschutzgesetz (BDSG). Kunden aber auch Anbieter dürfen sich der Materie nicht verschließen.

Nach dem BDSG bleibt der Kunde für die Rechtmäßigkeit der Verarbeitung seiner Mitarbeiter- und Kundendaten durch den SaaS-Anbieter voll verantwortlich und ist verpflichtet, den Anbieter sorgfältig auszuwählen, regelmäßig zu kontrollieren und das Ergebnis der Kontrollen zu dokumentieren. Das BDSG enthält zudem seit dem 1. September 2009 einen 10-Punkte Katalog mit Regelungsgegenständen, die in einem schriftlichen Vertrag zur Auftragsdatenverarbeitung zwingend umgesetzt werden müssen. Bei mangelhaften Verträgen drohen Kunden Bußgelder bis zu € 50.000.

Aber auch Anbieter sollten darauf achten, dass Ihre Standardvertragsbedingungen (AGB) den gesetzlichen Anforderungen genügen. Leider ignorieren noch immer viele Anbieter die datenschutzrechtlichen Compliance Anforderungen ihrer Kunden. Dabei würden SaaS-Provider, deren AGB den Vorgaben des BDSG genügen, bei potentiellen Kunden und deren Datenschutzbeauftragten leicht Pluspunkte sammeln; oder anders gesagt: wessen AGB den gesetzlichen 10-Punkte Katalog ignorieren, fällt oftmals schon von vorne herein heraus, weil sich der Kunde nicht auf mühsame Vertragsverhandlungen einlassen will.

Beitrag lesen

BMI-Eckpunktepapier zum Beschäftigtendatenschutz

Bitte beachten Sie die UPDATES am Ende des Beitrages.

Das Innenministerium hat am 31.März 2010 ein Eckpunktepapier zur geplanten Regelung für den Beschäftigtendatenschutz veröffentlicht.

Bereits im Koalitionsvertrag hatten Union und FDP vereinbart, den Arbeitnehmerdatenschutz in einem eigenen Kapitel im BDSG auszugestalten. Damit soll die oft uneinheitliche und lückenhafte Rechtsprechung der Arbeitsgerichte kodifiziert werden. Grundlegende Neuerung dürften indes nicht zu erwarten sein aber ein Plus an Rechtsklarheit und -sicherheit. Vorallem sollen "praxisgerechte Regelungen für Bewerber und Arbeitnehmer geschaffen und gleichzeitig Arbeitgebern eine verlässliche Regelung für den Kampf gegen Korruption an die Hand gegeben werden."

Ziel einer gesetzlichen Regelung ist: "Durch umfassende, allgemeingültige Regelungen für den Datenschutz am Arbeitsplatz soll die Rechtslage für Arbeitgeber und Beschäftigte gleichermaßen deutlich gemacht und insgesamt mehr Rechtssicherheit erreicht werden."

Eckpunkte des geplante Beschäftigungsdatenschutzes sind:

Beitrag lesen