Verwendung von Cloud-Dienstleistungen mit Transfer(s) von Personendaten in Clouds von US-Anbietern/in die USA

Der Transfer von personenbezogenen Daten in Clouds der USA regt immer wieder zur Diskussion an. Die zunehmenden regulatorischen Anforderungen bezüglich der Nutzung von US-Clouds, erschweren Unternehmen den Überblick über die einzuhaltenden Pflichten. Die vorliegende Arbeit soll die Hintergründe dieser Problematik aufzeigen und den Nutzern von Cloud Dienstleistungen aus den USA die aktuelle Situation in diesem Rechtsgebiet aufzeigen. Um ein solides Basiswissen über die datenschutzrechtlichen Vorgaben zu erhalten, wird zuerst auf das Schweizer Datenschutzrecht und dessen Weiterentwicklung eingegangen. Da das Schweizer Recht in diesem Gebiet stark vom EU-Recht abhängig ist, wird auch auf diese Rechtsnormen eingegangen und wichtige Eckdaten dazu erläutert. Um den rechtlichen Rahmen dieser Arbeit abzurunden, wird anschliessend das amerikanische Recht insbesondere der US-Cloud Act analysiert. Damit der Überblick möglichst umfassend ist, werden die aktuellen Entwicklungen der Datenübermittlung beobachtet und der Hintergrund des EU-US Verhältnis in Bezug auf den Datenschutz erläutert. Dabei liegt der Fokus besonders auf den Urteilen des EuGH, welche verschiedene Absprachen zwischen diesen zwei Parteien für ungültig erklärt hat. Mit dem Schrems I Urteil kippte das EuGH das Safe-Harbor Abkommen zwischen den USA und der EU. Auch das später entstandene Privacy Shield konnte die Sicherheitsbedenken des EuGH bei der Datenübermittlung nicht beseitigen. Durch die Ungültigkeit dieses Beschlusses mittels Schrems II Urteil, ist der Transfer von personenbezogenen Daten aus der EU in die USA nur noch über Standardvertragsklauseln möglich. Auch für die Schweiz hatte das Schrems II Urteil einen grossen Einfluss. Die Standardvertragsklauseln der Schweiz sind jedoch stark an diese der EU angelehnt und in vielen Fällen werden diese übernommen. Im Jahre 2021 veröffentlichte die EU-Kommission neue Standardvertragsklauseln, welche wichtige Neuerungen beinhalten. So muss bei diesen neuen Standardvertragsklauseln jeweils das geeignete Modul für den Datenexporteur und -importeur ausgewählt werden und es sind zusätzliche Schutzmassnahmen zu ergreifen. Dabei sind die technischen und organisatorischen Massnahmen, welche zur Gewährleistung der Datensicherheit beitragen klar zu benennen. Zusätzlich dazu müssen die Parteien Garantien sicherstellen, aufgrund welcher der Datenimporteur seinen Pflichten nachkommen kann, ohne dass er durch die Gesetze und Praktiken des Drittlandes daran gehindert wird. Diese Regelung ist von ausserordentlicher Bedeutung da durch die Parteien garantiert werden muss, dass die US-Behörden nicht auf die personenbezogenen Daten in der Cloud des Datenimporteurs zugreifen können. Personendaten in US-Clouds zu übermitteln und gleichzeitig den Anforderungen der europäischen und Schweizer Datenschutzbestimmungen gerecht zu werden, erweist sich als schwierig. Die einfachste, jedoch unrealistischste Option zur Garantie der Datensicherheit ist der Verzicht der Nutzung von US-Clouds. Andere Möglichkeiten liegen in Auftragsverarbeiterverträgen mittels Standardvertragsklauseln oder internen Datentransfer-Folgenabschätzungen, wie sie anhand der dieser Arbeit vorliegenden Checkliste durchgeführt werden können

DNA-Profiling and information technology:A new weapon for crime detection and prevention?

Since DNA-profiling involves complicated micro-biological issues, it is imperative to have an understanding of what DNA is and how the DNA-profiling is conducted. Therefore, in the first part the author will very briefly explain what DNA is and how the DNA-profiling is performed. In the second part, the issue is discussed whether the DNAprofiling can be a new wonder weapon for crime prevention and detection in general. For this purpose author outlines the legal status of DNA- profiling in various countries. Thereafter, the impact that DNA-profiling can and will have in conjunction with information technology on crime prevention and privacy rights will be analyzed. At the end the article will give an outlook to future developments and some critical remarks about DNA-profiling in general This article was previously published in European Journal of Crime, Criminal Law and Criminal Justice 1994,issue 4, pp. 359-37

Datenschutz und transatlantische Freihandelszone

Der „Karlsruher Dialog zum Informationsrecht“ ist eine Vortragsreihe des Instituts für Informations- und Wirtschaftsrecht am Karlsruher Institut für Technologie (KIT). Diese richtet sich an Wissenschaft, Wirtschaft und Praxis gleichermaßen. Sie bietet ein Forum für den Austausch über aktuelle rechtliche Problemstellungen, aber auch Grundsatzfragen aus allen Bereichen des Informationsrechts. Mit der gleichnamigen Schriftenreihe wird den Vortragenden Gelegenheit gegeben, ihren Vortrag und die Erkenntnisse der anschließenden Diskussion in einer erweiterten Fassung zu veröffentlichen. Datenschutz ist kein national zu bewältigendes Problem mehr. Datenhandel findet weltweit statt, und viele Anbieter nehmen Datenverwendungen außerhalb Deutschlands und Europas wahr. An einem international gültigen Rechtsregime fehlt es indes, ebenso wie an Kollisionsregelungen, welche nationalen Regelungen im Konfliktfall anwendbar sein sollen

Das Grundrecht auf Datenschutz im Unternehmen unter besonderer Berücksichtigung gesellschaftsrechtlicher Umstrukturierungen

Die vorliegende Arbeit untersucht Fragestellungen bzw Implikationen, die sich in unternehmerischen Abläufen der wirtschaftlichen Praxis iZm mit dem verfassungsgesetzlich gewährleisteten Recht auf Geheimhaltung personenbezogener Daten stellen können. Ein Schwerpunkt wird hierbei auf den Vorgang gesellschaftsrechtlicher Umstrukturierungen gelegt. Der Erwerb von Unternehmen, bzw von Anteilen an solchen, gehört in der Wirtschaft mittlerweile zum täglichen Geschäft. Damit gehen zumeist zwangsläufig Veränderungen in den rechtlichen Strukturen der Unternehmen einher, insb werden bei diesen Vorgängen oftmals große Mengen personenbezogener Daten verwendet. Die für den Kaufinteressenten besonders wichtige Information über die wirtschaftlichen Umstände des entsprechenden Unternehmens erfolgt dabei im Rahmen sog Due Diligence Prüfungen. Im Zuge derer kann gerade die umfassende Zurverfügungstellung personenbezogener Daten wesentliche Voraussetzung für den Erfolg einer geplanten Akqusition sein. Die Untersuchung des datenschutzrechtlichen Schicksals der dabei verwendeten Informationen ist vorrangige Zielsetzung dieser Arbeit; insb wird auseinandergesetzt, ob durch das zivilrechte Institut der Gesamtrechtsnachfolge ein datenschutzrechtlicher Tatbestand erfüllt wird, oder nicht. Weiters werden besondere Fragestellungen im Konzern erörtert sowie ein Überblick über datenschutzrechtlich relevante Sachverhalte in den Bereichen IT-Sicherheit, Arbeitsverhältnis und E-Commerce gegeben. Ein Exkurs widmet sich letztlich dem Datenschutz in der staatlichen Verwaltung im Bezug auf die wirtschaftliche Nutzung der dort verfügbaren Informationen.The present dissertation analyses possible implications arising from the fundamental right of the protection of personal data within corporations in their every day business. A focus is laid on the mergers and acquisition business, as the acquisition of corporations (as well as shares in those corporations) meanwhile means a common transaction in today’s business life. Due to this procedures, legal restructurings of the concerned corporations are almost unavoidable. These restructurings regularly also cause the use of a big amount of personal data. For the potential purchaser especially important information are usually unfolded in due diligences, thereby it is often a comprehensive providing with personal data, which in the end can be crucial for the success or failure of an acquisition. Analysing the legal circumstances of the use of this personal data is one of the main subjects of the dissertation, a detailed examination is given on the question, whether the universal succession in civil law also results a data protection fact. Furthermore specific questions in corporate concern structures are examined, as well as an overlook about the category groups IT-security, employer-employee relationship and e-commerce under a data protection point of view is given. The analyses ceases in an excursus concerning data protection in the field of public sector information

Confidential Computing : eine Chance für die datenschutzkonforme Ausgestaltung von risikoreichen Datenbearbeitungen?

Seit der Jahrtausendwende ist die Zunahme leistungsfähiger IT-Infrastrukturen und die Beschaffung und Analyse von grossen Datenmengen klar erkennbar. Die Vertrauenswürdigkeit und die Integrität von IT-Infrastrukturen und Daten waren und sind zentrale Themen. Bereits damals wurde mit Trusted Computing eine Technologie eingeführt, um die Vertrauenswürdigkeit eines Computersystems zu gewährleisten. Dazu wird eine Vertrauenskette zwischen der Hardware und dem Betriebssystem geschaffen, welche vor bösartigen Plattformmanipulationen schützt. Diese Technologie wird heutzutage standardmässig eingesetzt. Durch die zunehmende digitale Vernetzung, insbesondere die Speicherung und Bearbeitung von personenbezogenen Daten innerhalb einer Cloud, haben sich neue rechtliche Anforderungen hinsichtlich der Datenbearbeitung ergeben. Trusted Computing allein ist längst nicht mehr ausreichend. Eine Auslagerung von Daten bringt immer einen Kontrollverlust mit sich. Einerseits kann der Serverstandort des Anbieters datenschutzrechtlich hohe Risiken für die Privatsphäre der betroffenen Person auslösen, da der Datenschutz international unterschiedlich ausgelegt wird. Zum anderen ist die Art des genutzten Cloud-Services ausschlaggebend. Werden in einer Cloud lediglich personenbezogene Daten gespeichert, können Verantwortliche diese durch Ver-schlüsselung vor Zugriff schützen. Werden Daten jedoch in einer Cloud bearbeitet, braucht der Anbieter vollen Zugriff auf die Daten. Diese Zugriffsrisiken können nicht mit jeder Art von personenbezogenen Daten, insbesondere besonders schützenswerte Daten, vereinbart werden. Confidential Computing bietet als innovative Technologie in dieser Hinsicht eine Lösung. Während Trusted Computing den Fokus auf der Vertrauenswürdigkeit der Plattform selbst hat, setzt Confidential Computing bei der Vertraulichkeit der Datenbearbeitung an. Es handelt sich um ergänzende Technologien. Die Forschungsarbeit zeigt auf, dass mit Confidential Computing eine isolierte Enklave eingeführt wird, welche die Möglichkeit bietet, risikoreiche Datenbearbeitungen durchzuführen, welche bisher nicht datenschutzkonform ausgeführt werden konnten. Der Schutz der Daten wird zu jederzeit – auch in einer Cloud – gewährleistet und der Zweck der Datenbearbeitung wird im Voraus technisch definiert. Die Technologie findet namentlich in der Gesundheits- und Marketingbranche sowie in der Nutzung von Sekundärdaten Anwendung. Dazu benötigt es praktikable, regulatorische Bestimmungen und Best-Practice-Beispiele, welche mehr Klarheit sowie Vertrauen in die Technologie schaffen.Since the turn of the millennium, the increase in powerful IT infrastructures and the acquisition and analysis of large amounts of data has been clearly visible. The trustworthiness and integrity of IT infrastructures and data were and are central issues. Already at that time, a technology was introduced with Trusted Computing to guarantee the trustworthiness of a computer system. For this purpose, a chain of trust is created between the hardware and the operating system, which protects against malicious platform manipulation. This technology is used by default today. The increasing digital networking, especially the storage and processing of personal data within a cloud, has resulted in new legal requirements with regard to data handling. Trusted computing alone is no longer sufficient. Outsourcing data always entails a loss of control. On the one hand, the server location of the provider can trigger high risks for the privacy of the person concerned in terms of data protection law, as data protection is interpreted differently internationally. On the other hand, the type of cloud service used is decisive. If only personal data is stored in a cloud, data controllers can protect it from access through encryption. However, if data is processed in a cloud, the provider needs full access to the data. These access risks cannot be reconciled with every type of personal data, especially data requiring special protection. Confidential computing, as an innovative technology, offers a solution in this regard. While Trusted Computing focuses on the trustworthiness of the platform itself, Confidential Computing focuses on the confidentiality of data processing. These are complementary technologies. The research paper shows that Confidential Computing introduces an isolated enclave that offers the possibility of performing risky data processing that could not previously be accomplished in accordance with data protection. Data protection is guaranteed at all times - even in a cloud - and the purpose of the data processing is technically defined in advance. The technology is used particularly in the health and marketing sectors as well as in the use of secondary data. This requires practicable regulatory provisions and best-practice examples that create more clarity and trust in the technology

Kritische Betrachtung der Sicherheitsaspekte von BPM in der Cloud

Das Thema Cloud Computing hat in den letzten Jahren immer mehr an Bedeutung gewonnen, insbesondere Klein- und mittelständische Firmen können von der Cloud profitieren, da z.B. weniger in den Aufbau einer eigenen IT investiert werden muss. Die Kombination von BPM und Cloud Computing steht allerdings noch am Anfang ihrer Entwicklung. Zwar bieten schon einige Unternehmen BPM in der Cloud an (BPMaaS) und der Markt wächst stetig aber das Angebot ist momentan noch überschaubar, in Bezug auf Benutzung und Entwicklung. Der Vorteil Geschäftsprozesse in der Cloud zu bearbeiten geht Hand in Hand mit den Vorteilen des Cloud Computing im Allgemeinen. Allerdings muss auch, ungeachtet der Vorteile, die die Cloud mit sich bringt, genau bedacht werden, welche Daten in die Cloud übermittelt werden und welcher Cloudanbieter ausgewählt wird. Insbesondere der Datenschutz und die Datensicherheit spielen hier eine große Rolle. Denn wenn in Deutschland personenbezogene Daten in die Cloud ausgelagert werden, müssen diese gemäß den Regelungen des Bundesdatenschutzgesetzes behandelt werden. Da der Cloudnutzer für den Schutz dieser Daten verantwortlich bleibt, auch wenn diese auf den Servern des Cloud Service Provider liegen, besteht hierbei große Vorsicht bei der Auswahl des Cloudanbieters. Vor allem wenn die Server desjenigen außerhalb des Europäischen Wirtschaftsraumes (EWR) liegen, wie z.B. in den USA, da dort ein weitaus geringeres Datenschutzniveau besteht als in Deutschland. Das Ziel dieser Diplomarbeit ist es, diese Schwierigkeiten in Bezug auf Datenschutz und Datensicherheit offenzulegen. Mittels eines Kriterienkataloges werden die wichtigsten Anforderungen und Sicherheitskriterien an die Cloud aufgelistet und mit denen der Cloudanbieter verglichen und eingeordnet. Vor diesem Hintergrund werden auch Möglichkeiten betrachtet, inwiefern und mit welchen Mitteln sensible Daten anonymisiert werden können, um eine rechtskonforme Speicherung der Daten, gemäß dem Bundesdatenschutzgesetzes, gewährleisten zu können.The topic of cloud computing became more important in the last few years, especially in relation to small enterprises, because they can benefit from the advantages of the Cloud, such as less investment in the own IT infrastructure. But the combination of BPM and Cloud Computing is only just beginning to develop. Although some companies offer Business Process Management in the Cloud and the market continues to grow, but the offer is relatively modest. The benefits of moving business processes into the cloud (such as BPMaaS) are the same as those which offers cloud computing in general. What need to be considered, however, is which data is to be outsourced in the cloud and which provider needs to be selected. In particular, data protection and data security play an important role in this topic. If german personal data are transferred into the cloud, the data must be treated in accordance with the German Federal Data Protection Act. The cloud computing user stays responsible for all content and data, even if this data will be stored on the provider’s server, so caution is also recommended in this case. Especially when these servers are outside of the European Economic Area, such as USA, because there consist a much lower level of data privacy protection than in Germany. The purpose of this diploma thesis is to explore these difficulties in relation to data protection and data security. By means of a catalog of criteria, the most important requirements and security criteria will be listed and compared with those of the provider. Against this background a number of possible opportunities for a concept of "anonymization" of data are considered, to secure that the data storage complies with legal requirements, such as the German Federal Data Protection Act

Digitale Schwellen: Freiheit und Privatheit in der digitalisierten Welt

Eine Welt digitaler Techniken im weitesten Sinne verändert die Kommunikationsbeziehungen, die sozialen Beziehungen der Menschen untereinander und damit auch die sozialen Verhältnisse der Menschen in der Gesellschaft in fundamentaler Weise. Wir stehen ganz offensichtlich erst an der Schwelle des Verstehens dieser komplexen und alle Lebensbereiche verändernden Revolution. Die technischen Möglichkeiten, die unser Leben ja auch erleichtern können und schöner und klüger machen, werden in großer Geschwindigkeit erweitert, immer neue Schwellen des Mach- und Denkbaren werden permanent überschritten. Redaktionsschluss: April 201

Datenschutzrechtliche Rahmenbedingungen medizinischer Forschung

The European Data Protection Regulation applies since May 25th, 2018. It creates a uniform data protection legal framework within the EU. National and international medical research projects, regardless of whether they were started before or after the introduction of the GDPR, are obliged to follow this new regulation and implement it promptly. This raises various challenges for a large number of medical research projects. The University Medicine Greifswald commissioned this legal report, that was prepared by DIERKS+COMPANY. Two real-world research projects, the Baltic Fracture Competence Centre (BFCC) as well as the German Centre for Cardiovascular Research (DZHK) provide use cases, questions, and context for this legal report. It addresses questions regarding all steps of data processing. The report provides practical answers to a wide array of technical and organisational questions in the area of data protection-compliant processing of research data. A comprehensive guide to GDPR-compliant data processing has been developed, which both summarises the broad legal environment and provides specific assistance in the design and implementation of GDPR-compliant data management processes, including Informed Consent, Legal Consequences of Withdrawal, and Privacy by Design

Datenschutzrechtliche Rahmenbedingungen medizinischer Forschung

The European Data Protection Regulation applies since May 25th, 2018. It creates a uniform data protection legal framework within the EU. National and international medical research projects, regardless of whether they were started before or after the introduction of the GDPR, are obliged to follow this new regulation and implement it promptly. This raises various challenges for a large number of medical research projects. The University Medicine Greifswald commissioned this legal report, that was prepared by DIERKS+COMPANY. Two real-world research projects, the Baltic Fracture Competence Centre (BFCC) as well as the German Centre for Cardiovascular Research (DZHK) provide use cases, questions, and context for this legal report. It addresses questions regarding all steps of data processing. The report provides practical answers to a wide array of technical and organisational questions in the area of data protection-compliant processing of research data. A comprehensive guide to GDPR-compliant data processing has been developed, which both summarises the broad legal environment and provides specific assistance in the design and implementation of GDPR-compliant data management processes, including Informed Consent, Legal Consequences of Withdrawal, and Privacy by Design