Cloud Computing - Rechtliche Lösungen für den Mittelstand -
iTEC 10 Hanau 24. November 2010
Präsentation von Dr. Kai Westerwelle Rechtsanwalt Fachanwalt für Informationstechnologierecht 1
KANZLEI DES JAHRES IT-RECHT
Überblick 01 > Cloud Computing – Bedeutung für den Mittelstand 1. Was ist eigentlich Cloud Computing … ? 02 > 2. Cloud ArtenComputing von Clouds– Rechtliche Lösungen 3. Cloud Computing – Nutzen für den Mittelstand
2
Teil 1 > Bedeutung fßr den Mittelstand 1. Was ist eigentlich Cloud Computing ‌? Ein riesiger globaler Computer!
3
Teil 1 > Bedeutung für den Mittelstand 2. Arten von Clouds - Überblick DEDICATED CLOUD
PUBLIC CLOUD
PRIVATE CLOUD
4
Teil 1 > Bedeutung für den Mittelstand 2. Arten von Clouds – Einsatzmöglichkeiten Public Cloud Umgebung
Private Cloud Umgebung Unternehmenseigen UnternehmensRechenzentrum
Keine Cloud
Service Provider betrieben
Service Provider gehosted
UnternehmensRechenzentrum
Unternehmen
Keine Cloud
gehostete Private Cloud
Vom ServiceProvider betrieben
Service-Provider eigen und betrieben
Kundeneigene Infrastruktur Entweder vom Kunden oder Dritten betrieben Fixpreise oder Time and Materials Services Internes Netzwerk & fest zugeordnete Assets
Service Providereigen und betrieben Zentralisierter, sicherer Leistungsort “Pay as you consume”
5
Gemeinsam genutzte Cloud Services Unternehmsn A Unternehmen B Unternehmen C
Public Cloud Services User A
User E
User C User B
User D
Service Provider Cloud
Service Provider Cloud
Mix gemeinsam genutzter und zugewiesener Resourcen Gemeinsam genutzte Anlagen und Personal “Pay as you consume”
Gemeinsam genutzte Resourcen Flexible Skalierbarkeit “Pay as you consume” Öffentliches internet
Teil 1 > Bedeutung für den Mittelstand 3. Cloud Computing - Nutzen für den Mittelstand Früher: Individual-Outsourcing
Mit Cloud Computing: Gemeinschafts-Outsourcing
>Nur „Kleine Lösungen“ für den Mittelstand > Outsourcing einzelner IT-Anwendungen ins (stationäre) Rechenzentrum
>Partizipation an „Skaleneffekten der Großen“ > Betrieb der (kompletten) IT in hochprofessioneller virtueller Umgebung
> Hohe Fixkosten – unabhängig vom Bedarf > Hohe Kosten für „Vorhalt“ der Resourcen im Rechenzentrum
> Hohe Skalierbarkeit – niedrige Kosten > Flexible Nutzung „on demand“ > „Pay as you consume“
> Nur regionale / nationale Lösungen > Nur eingeschränkte Service-Levels > Hohes Kostenniveau in Deutschland
>Internationalität in der Cloud > „Follow the Sun“ - Service rund um die Uhr > Niedriges Kostenniveau weltweit
6
Überblick 01 > Cloud Computing – Bedeutung für den Mittelstand 02 > Cloud Computing – Rechtliche Lösungen 1. Rechtliche Themen 2. Gemischter Vertrag 3. Gestaltung der Verträge 4. Datenschutz 5. Leitfaden für die Praxis
7
Teil 2 > Rechtliche Lรถsungen 1. Rechtliche Themen VertragsVertragsRecht Recht
IPIPRechte Rechte
Cloud Cloud Computing Computing
Datenschutz Datenschutz
8
Internationale Internationale Aspekte Aspekte
Teil 2 > Rechtliche Lösungen 2. Gemischter Vertrag Vertragsbestandteile
Rahmenvertrag
IaaS Platform Service Maintenance Ergebnis: Klassischer „gemischter“ Vertrag (Infrastructure) (Software) > Komplexes rechtliches Gebilde > Erschwerte Zuordnung der Leistungen zu einzelnen Vertragstypen > Komplizierte Abbildung gesetzlicher Anforderungen im Vertrag Mietvertrag Dienstvertrag (für ASP) (Training) Werkvertrag SaaS (Software)
Rechtliche Einordnung
(Instandhaltung- und Setzung)
Werkvertrag
(Verfügbarkeit, Speicherkapazität)
Dienstvertrag (Bandbreite)
9
Teil 2 > Rechtliche Lösungen 3. Gestaltung der Verträge Rahmenvertrag
Schritt 1: Leistungen identifizieren
Schritt 2: Themen umsetzen
Software (SaaS)
Gewährleistung, Haftung
Hardware (Serverkapazität)
Festlegung Service Level
Eskalationsmechanismen
10
Services (Wartung ect.)
Vertraulichkeit
IP
Teil 2 > Rechtliche Lösungen 4. Datenschutz – Idee des Cloud Computing Provider (Irland)
Kunde (Deutschland)
Kanada USA
„Cloud Computing und Datenschutz passen Frankreich nicht zusammen!“ (Leiter der Datenschutzaufsicht RLP vom 14.04.2010) Brasilien Südafrika
11
Indien
Teil 2 > Rechtliche Lösungen 4. Datenschutz – Ihre Aufgaben > Cloud Computing = Outsourcing = Auftragsdatenverarbeitung (ADV) > ADV: Strenge formale Anforderungen beachten
> Schriftformerfordernis für vertragliche Mindestanforderungen, u.a.: > Umfang, Art und Zweck der Datenverwendung, Art der Daten, Kreis der Betroffenen > technische Schutzmaßnahmen nach § 9 BDSG > Berechtigung zu Unterauftragsverhältnissen > Kontrollrechte des Auftraggebers, Duldungs- und Mitwirkungspflichten
> Prüf- und Dokumentationspflichten
> To do: Kontrolle der Einhaltung des Datenschutzrechts beim Provider > Kontrolle bereits vor Beginn, dann regelmäßig > Ausführliche Dokumentation durchgeführter Audits (SV-Testat, IT-Zertifikat; umstr.)
12
Teil 2 > Rechtliche Lösungen 4. Datenschutz – In der weltweiten Wolke > Problem: Restriktion für Datentransfer ins Ausland / Verarbeitung im Ausland Anbieter
Kunde (Deutschland)
USA Frankreich
Indien
>Verarbeitung innerhalb der EU >Verarbeitung in den USA (Safe Harbour / BCR, EU – Standardvertragsklauseln) >Verarbeitung in sonstigen Ländern (EU – Standardvertragsklauseln) >To do: Anbieter auf Einhaltung vertraglicher Anforderungen prüfen!
13
Teil 2 > Rechtliche LÜsungen 4. Datenschutz – Alternative Angebote
Anbieter
Kunde (Deutschland)
USA Frankreich > Variante 1: EU/EWR - Cloud > Variante 2: EU/EWR/USA - Cloud > Variante 3: Globale Cloud
14
Indien
Teil 2 > Rechtliche Lösungen
Partner Cloud
Private Cloud
4. (Daten-) Sicherheit – Strukturierungsmöglichkeiten
Public Cloud
15
Teil 2 > Rechtliche Lösungen 5. Leitfaden für die Praxis > Schritt 1: Eigene Zielsetzungen und Anforderungen definieren > Notwendige Service Levels („Follow the sun“) bestimmen > Kosten-Nutzen Relation bestimmen > Sensibilität der eigenen Geschäftsdaten und Prozesse bestimmen
> Schritt 2: Auswahl passender Anbieter > Entscheidung für territorial begrenzte Modelle (EU / USA / global) > Wahl passender Cloud-Modelle (Public, Private, Hybrid) > Prüfung der Garantien, Zertifikate ect.
> Schritt 3: Ordentliche Vertragsgestaltung
> Umsetzung der klassischen Vertragsthemen (Haftung, SLA, IP) > Vereinbarung anbieterseitiger Garantien > Beachtung formeller Anforderungen des Datenschutzrechts (oft: Zusatzvereinbarungen)
16
Dr. Kai Westerwelle Partner, Frankfurt am Main
Informationstechnologierecht
Kai Westerwelle berät nationale und internationale Unternehmen in allen Bereichen des ITRechts, insbesondere im Hinblick auf die verschiedenen Lizenzmodelle, unterschiedliche Arten von Serviceverträgen, OEM, F&E, Beschaffungswesen, Datenschutz und andere regulatorische Anforderungen, E-Commerce und Multimediarecht, elektronische Bezahlsysteme, Open Source Anforderungen sowie Telekommunikationsrecht. Daneben hat er eine erhebliche Anzahl von nationalen und internationalen Restrukturierungsmaßnahmen und Outsourcingvorhaben, auch in besonderen Beschränkungen unterliegenden Wirtschaftsbereichen, wie beispielsweise Banken und Versicherungen, sowie viele M&A Transaktionen und IPOs begleitet. Kai Westerwelle studierte an den Universitäten Bonn und Lausanne/Schweiz und absolvierte sein Referendariat in Aachen, Speyer und Toronto/Kanada. Er arbeitete sodann als Assistent an der Universität Trier, wo er 1996 zum Dr. jur. promovierte. Nach Stationen bei Clifford Chance Pünder und Freshfields Bruckhaus Deringer in Frankfurt und San Francisco/USA wurde er 2003 Partner bei Taylor Wessing. Kai Westerwelle ist Autor zahlreicher Veröffentlichungen, schwerpunktmäßig in den Bereichen Wettbewerbsrecht, anwaltliches Berufsrecht und insbesondere Recht der Informationstechnologie und Multimediarecht. Er hält regelmäßig Vorträge bei Fortbildungsveranstaltungen, Seminaren, nationalen und internationalen Kongressen und gibt Vorlesungen an der Universität Dresden und der Frankfurt School of Finance and Management. Er ist aktives Mitglied der Deutschen Gesellschaft für Recht und Informatik (DGRI) sowie der Deutschen Vereinigung für gewerblichen Rechtsschutz und Urheberrecht (GRUR). Er ist von der iam 250 in „The World‘s Leading Patent & Technology Licensing Lawyers 2010“ gelistet und für die „ILO Client Choice Award 2011“ als der hervorragende Experte für IT-Recht in Deutschtland nominiert. Kai Westerwelle ist Mitlied des Aufsichtsrats verschiedener Unternehmen in den Bereichen Technologie und Venture Capital.
Kontaktdetails T: +49 (0)69 97130-110
17
E: k.westerwelle@taylorwessing.com
Unsere Standorte Berlin Ebertstraße 15 10117 Berlin T. +49 (0)30 88 56 36 0 F. +49 (0)30 88 56 36 100 Brussels Trône House 4 Rue du Trône 1000 Brussels T. +32 (0)2 289 6060 F. +32 (0)2 289 6070 Cambridge 24 Hills Road Cambridge, CB2 1JP T. +44 (0)1223 446400 F. +44 (0)1223 446401
Dubai P.O. Box 33675 28th Floor Al Moosa Tower II Sheikh Zayed Road Dubai, United Arab Emirates T. +971 (0)4 332 3324 F. +971 (0)4 332 3325 Düsseldorf Benrather Straße 15 40213 Düsseldorf T. +49 (0)211 83 87 0 F. +49 (0)211 83 87 100
London 5 New Street Square London EC4A 3TW T. +44 (0)20 7300 7000 F. +44 (0)20 7300 7100
Frankfurt a.M. Senckenberganlage 20-22 60325 Frankfurt a.M. T. +49 (0)69 971 30 0 F. +49 (0)69 971 30 100
Representative offices Beijing Unit 1503, Tower 2, Prosper Center No. 5, Guanghua Road Chaoyang District Beijing 100020 T. +86 10 8587 5886 F. +86 10 8587 5885
Hamburg Hanseatic Trade Center Am Sandtorkai 41 20457 Hamburg T. +49 (0)4 0 36 80 30 F. +49 (0)4 0 36 80 3280
Associated offices Shanghai Unit 1509, United Plaza No. 1468, Nanjing West Road Shanghai 200040 T. +86 21 6247 7247 F. +86 21 6247 6248
BSJP Legal Warsaw Al Armii Ludowej 26 PL-00-609 Warsaw T. +48 (0) 22 579 89 00 F. +48 (0) 22 579 89 01
18
Munich Türkenstraße 16 80333 Munich T. +49 (0)89 2 10 38 0 F. +49 (0)89 2 10 38 300 Paris 42 avenue Montaigne 75008 Paris T. +33 (0)1 72 74 03 33 F. +33 (0)1 72 74 03 34