Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php?title=Datei:Preuss_Abteilwagen_C3_P9030016.JPG&filetimestamp=2006102

Ähnliche Präsentationen


Präsentation zum Thema: "S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php?title=Datei:Preuss_Abteilwagen_C3_P9030016.JPG&filetimestamp=2006102"—  Präsentation transkript:

1 S Sparkasse Rosenheim-Bad Aibling Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php?title=Datei:Preuss_Abteilwagen_C3_P JPG&filetimestamp=

2 Quelle Jorge Corcuera CC-BY-SA Dunkle Wolken am Cloud-Himmel?

3 Quelle. William Warby CC BA Grundlagen des Datenschutzes Grundrecht, Anwendung und Grundsätze des BDSG

4 Jeder Mensch soll selbst bestimmen, wer was wann über ihn weiß. Grundlagen des Datenschutzes Grundrechtsschutz BVerfGE 65, 1 (Volkszählungsurteil) vom Recht auf informationelle Selbstbestimmung Irgendwer darf irgendwo auf der Welt irgendetwas mit irgendwelchen Daten machen !?

5 Grundlagen des Datenschutzes Das Bundesdatenschutzgesetz Irgendwer darf irgendwo auf der Welt irgendetwas mit irgendwelchen Daten machen !?

6 In der Bundesrepublik Deutschland Auch für ausländische Unternehmen mit einer Niederlassung in Deutschland Wo gilt das Bundesdatenschutzgesetz? BDSG Räumlicher Geltungsbereich

7 BDSG Geschützt - Personenbezogene Daten Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). (§ 3 Abs. 1 BDSG)

8 BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD) alle Angaben, die sich auf eine bestimmte oder aber auch nur bestimmbare natürliche Person beziehen Beispiele: Kreditkarten- nummer Name Adresse Gehalt Geburtsjahr Vermögens- verhältnisse Telefon- nummer Wohn- verhältnisse IT-Abteilung

9 Name Bestimmt : Identität ergibt sich direkt aus dem Datum selbst BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD)

10 Bestimmbar: Identität feststellbar durch Kombination des Datums mit anderer Information IP-Adresse Abgleich mit Providerdaten BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD) Bestimmt : Identität ergibt sich direkt aus dem Datum selbst

11 BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD) Studie Carnegie Mellon University, 2000 : Geschlecht + ZIP-Code (PLZ) + Geburtsdatum 87 % der US-Bürger

12 Kein/eingeschränkter Personenbezug BDSG: Kein/eingeschränkter Personenbezug Anonymisierung / Pseudonymisierung Name 1Ax?3%4$# bestimmbar IP-Adresse Abgleich …

13 1Ax?3%4$# BDSG: Der Anwendungsbereich Anonymisierung / Pseudonymisierung in der Cloud? Name Cloud: meist pbD von Kunden oder Mitarbeitern !

14 Kein BDSG: Kein Anwendungsbereich Ungeschützt - juristische Personen GmbH AG Quelle: Ben Schumin CC BY-SA,, K G aA e.V. e.G.

15 Grundlagen des Datenschutzes Anwendungsbereich des BDSG Umgang mit personenbezogenen Daten speichernverändernübermitteln sperren löschen ErhebenVerarbeitenNutzen mittels automatisierter Verarbeitung oder in nicht automatisierter Datei Anwendungsbereich des BDSG

16 BDSG: Verbot mit Erlaubnisvorbehalt Quelle:.aditya CC-BY-SA Erhebung/Verarbeitung/Nutzung personenbezogener Daten ist unzulässig,sofern nicht ein Gesetz dies erlaubt/anordnet oder Betroffener einwilligt (§ 4 Abs. 1 BDSG)

17 Dritter Grundbegriffe des BDSG: Übermittlung für Durchführung erforderlich Abwägung mit schutzwürdigen Interessen des Betroffenen Gem. § 28 BDSG zulässig, soweit…

18 Interessenabwägung als Rechtfertigung Glaubhaftmachung kann im Einzelfall schwierig sein Probleme:Zusätzliche Vertragsgestaltung zum Betroffenen- schutz (§ 11 BDSG analog) Abwägung mit schutzwürdigen Interessen des Betroffenen

19 BDSG – die Einwilligung Wirksamkeitsvoraussetzungen freiwillig transparent schriftlich

20 BDSG - die Einwilligung Unpraktikabel für die Cloud Wenn es dem Cloud-Nutzer um eine pauschale Verlagerung von Teilen oder der kompletten Daten- verarbeitung geht, dürfte der Weg über Einwilligungen regelmäßig unpraktikabel nicht unpraktikabel sein, da bei nicht erteilten später widerrufenen erteilten oder später widerrufenen Einwilligungen eine Auslagerung aufgrund fehlender Rechtsgrund- lage nicht (mehr) zulässig wäre.

21 Quelle. William Warby CC BA Die Auftragsdatenverarbeitung Die Vorgaben des § 11 BDSG

22 Was ist Auftragsdatenverarbeitung? bleibt Herr der Daten weisungsgebunden

23 Auftragsdaenverarbeitung: Ihre Abteilung – Ihre Verantwortung Rechtsfolge: Ihr Unternehmen bleibt als Cloud-Nutzerin verantwortliche Stelle i.S.d. Bundesdatenschutzgesetzes auch für Anbieter und Unteranbieter und Unterunteranbieter …!

24 Erkennungsmerkmale der Auftragsdatenverarbeitung fehlende Entscheidungsbefugnis des Auftragnehmers Weisungsgebundenheit des Auftragsnehmers bezüglich dessen, was mit den Daten geschieht Umgang nur mit Daten, welche der Auftraggeber zur Verfügung stellt, es sei denn, der Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet der Auftrag ist auf die praktisch-technische Durchführung gerichtet, die aber nach außen hin vom Auftraggeber vertreten wird. Cloud ist klassische Auftragsdatenverarbeitung!

25 auswählen 1.Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. 2.Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) 3.Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. 4.Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen. Auftragsdatenverarbeitung - zentrale Probleme Auswahl und Prüfung des Auftragnehmers

26 vor Beginn sodann regelmäßig überzeugen … Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. dokumentieren Das Ergebnis ist zu dokumentieren.… Auftragsdatenverarbeitung - zentrale Probleme Auswahl und Prüfung des Auftragnehmers

27 Auftragsdatenverarbeitung - zentrale Probleme Auswahl des Auftragnehmers Vor-Ort-Prüfung ? Wo sind meine Daten?

28 Testierung: Zertifizierung: Auftragsdatenverarbeitung - zentrale Probleme Auswahl des Auftragnehmers Wirtschaftsprüfer Rechtsanwalt …

29 Auftragsdatenverarbeitung - zentrale Probleme Der Vertrag 1.Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. schriftlich 2.Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) 3.Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. 4.Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.

30 Auftragsdatenverarbeitung – zentrale Probleme Der 10-Punkte-Katalog exakten Leistungsverzeichnis und Pflichtenkatalog Im Vertrag müssen in einem exakten Leistungsverzeichnis und Pflichtenkatalog im Einzelnen festgelegt werden (können) 1.Gegenstand und Dauer des Auftrags, 2.Umfang, Art und Zweck von Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen, 3.technische und organisatorische Maßnahmen, 4.Berichtigung, Löschung und Sperrung von Daten, 5.Pflichten des Auftragnehmers, insbesondere von ihm vorzunehmende Kontrollen, 6.etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7.Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungs-pflichten des Auftragnehmers, 8.mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder im Auftrag getroffene Festlegungen, 9.Umfang der Weisungsbefugnisse, die sich der Auftraggeber vorbehält, 10.Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

31 Voraussetzungen des § 11 BDSG Beispiel: Technisch und organisatorische Maßnahmen

32 Voraussetzungen des § 11 BDSG TOMs: Was meint die Aufsicht? Security by obscurity ungeeignet !

33 Voraussetzungen des § 11 BDSG 1.Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. 2.Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) Weisungen 3.Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. 4.Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen. Kompensation durch Options- angebote (Ressourcen, Länder, Sicherheitsniveaus…)

34 Musterhaft gelöst https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Auftragsdatenverarbeitung/Inhalt/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG.php

35 Auftragsdatenverarbeitung – zentrale Probleme Stellungnahme 05/2012 zum Cloud Computing Das Ungleichgewicht in der Vertragsposition zwischen einem kleinen für die Verarbeitung Verantwortlichen und großen Dienstleistern darf nicht als Rechtfertigung dafür gelten, dass für die Verarbeitung Verantwortliche Vertragsklauseln und –bedingungen akzeptieren, die gegen das Datenschutzrecht verstoßen.

36 Cross Border: Über den Wolken muss die Freiheit wohl grenzenlos sein … Grundsatz: angemessenes Datenschutzniveau im jeweiligen Staat, in dem die Daten verarbeitet werden sollen, muss ein angemessenes Datenschutzniveau bestehen. (EG-DatenschutzRiLi und § 4 b Abs. 2 S. 2 BDSG) Konsequenz: unzulässig Datentransfer in Drittland ohne angemessenes Datenschutzniveaus unzulässig

37 inner Cross Border – das angemessene Datenschutzniveau: Die inner europäische Cloud Harmonisiertes Datenschutzniveau (EG-Datenschutzrichtlinie 95/46/EG - DSRL) nicht der Europäischen Union Europäischen Wirtschaftsraum im Auftrag … verarbeiten § 3 Abs. 8 BDSG:Dritte sind nicht … Stellen, die …, in … der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag … verarbeiten …. Auftragsdatenver- arbeitung möglich

38 Quelle. William Warby CC BA Die Übermittlung in Drittländer

39 Cloud Computing in Drittländern als Auftragsdatenverarbeitung nicht möglich, weil Empfänger ein Dritter ist (§ 3 Abs. 8 S. 2 BDSG) deshalb nur Übermittlung außer Cross Border Die außer europäische Cloud – nur als Übermittlung Rechtsgrundlage erforderlich !

40 - Jersey -Australien -Guersney - Argentinien Derzeit bestehen grundsätzlich Angemessenheitsentscheidungen gem. Art. 25 Abs. 6 DSRL für Cross Border – das angemessene Datenschutzniveau Die EU-Kommission hat gesprochen -Schweiz - Isle of Man - Kanada Quelle. William Warby CC BA

41 Cross Border: Die USA – (k)ein sicherer Hafen? Quelle: David Cohen CC BY Safe Harbor –eigentlich kein angemessenes Schutzniveau in den USA –Safe Harbor : Abkommen zwischen der EU und den USA –Übermittlung dann möglich, wenn Unterwerfung unter Safe Harbor

42 Cross Border: Die USA – (k)ein sicherer Hafen? Quelle: David Cohen CC BY –Probleme:Faktischer Prozess der Selbstzertifizierung FTC-Liste nicht aktuell Erhebliche Vollzugsdefizite der FTC –Folge: Weitere Maßnahmen erforderlich (Zertifikat gültig und pbD hiervon erfasst, Verpflichtung zur Zusammenarbeit mit EU- DSB, Infos für Auskünfte an Betroffene), lfd. Kontrolle (analog § 11 Abs. 2 S. 3 BDSG) –Absicherung/Nachweis der Compliance, bestenfalls durch EU Standardvertragsklauseln oder § 11 –BDSG-Vertrag

43 Cloud-Dienste) Safe-Harbor-Abkommens … auszusetzen Allerdings hat die Kommission stets betont, dass die nationalen Aufsichts- behörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. …Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel … Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens … auszusetzen sind. Konferenz der Datenschutzbeauftragten vom Cross Border: Die USA – (k)ein sicherer Hafen? Europarechtlich zweifelhaft (?) Zuständig EU-Kommission (Art. 25 Abs. 6 DSRL) ?

44 cross-border: EU-Standardvertragsklauseln Vertragliche Regelungen zur Datenübermittlung unverändertmüssen unverändert übernommen werden

45 cross-border: EU-Standardvertragsklauseln –Zusätzlich analoge Anwendung des § 11 Abs. 2 BDSG erforderlich –Empfehlung: Abschluss eines zweiten Vertrages oder eines Annex mit der 10-Punkte-Regelung nach § 11 Abs. 2 BDSG

46 § 43 BDSG Bußgeldvorschrift (1)Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig … nicht richtig nicht vollständig vorgeschriebenen Weise 2b.entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, … fünfzigtausend Euro dreihunderttausend Euro (3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaft-lichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.

47

48 Überlegenswert: Verschlüsseln Praxistipps für die Nutzung von Cloud Computing

49 Wählen Sie den Cloud-Anbieter sorgfältig aus! Zertifizierungen, Audits, Angebotsmaterial, … Praxistipps für die Nutzung von Cloud Computing

50 Fragen Sie nach, in wo der Cloud-Anbieter einschl. evtl. Niederlassungen/Subunternehmer seinen Sitz und (!) seine Server-Standorte hat ! (Deutschland, innerhalb/außerhalb EU/EWR)? Praxistipps für die Nutzung von Cloud Computing

51 Vorsicht bei Cloud-Anbietern aus den USA: Erkundigen Sie sich zumindest danach, ob der Anbieter dem U.S. Safe Harbor-Abkommen beigetreten ist und ob er Nachweise zur Einhaltung dieses Abkommens vorlegen kann. Praxistipps für die Nutzung von Cloud Computing

52 Datenübermittlung in Clouds außerhalb EWR problematisch und ohne konkrete Prüfung nicht empfehlenswert. Praxistipps für die Nutzung von Cloud Computing

53 Vergewissern Sie sich, dass rechtlich und tatsächlich allein Ihr Unternehmen die vollständige Weisungs- und Verfügungsbefugnis über die Daten hat. Vergewissern Sie sich, dass rechtlich und tatsächlich allein Ihr Unternehmen die vollständige Weisungs- und Verfügungsbefugnis über die Daten hat. Marketing o.ä. mit Ihren Daten? Praxistipps für die Nutzung von Cloud Computing

54 Treffen Sie mit dem Cloud-Anbieter eine schriftliche Auftragsdatenverarbeitungsvereinbarung. Praxistipps für die Nutzung von Cloud Computing

55 Kontrollieren und dokumentieren Sie die Einhaltung der technischen-organisatorischen Maßnahmen beim Cloud- Anbieter vor Vertragsbeginn und dann regelmäßig. Kontrolle vor Ort nicht immer zwingend, andere Prüfmaßnahmen genügen im Einzelfall. Praxistipps für die Nutzung von Cloud Computing

56 Für Leseratten: BSI-Eckpunktepapier https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile Sicherheitsempfehlungen für Cloud Computing Anbieter, für Nutzer interessant weitergehende Ausarbeitungen und Detaillierungen zum Themenbereich Cloud Computing werden (…) im IT-Grundschutz einfließen, beispielsweise in Form von IT- Grundschutz-Bausteinen. Geplant ist die Entwicklung von IT- Grundschutzbausteinen Q4 2013

57 Für Leseratten: Orientierungshilfe Cloud Computing

58 Fazit: Thilo Weichert

59 Vielen Dank für die Aufmerksamkeit !!!


Herunterladen ppt "S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php?title=Datei:Preuss_Abteilwagen_C3_P9030016.JPG&filetimestamp=2006102"

Ähnliche Präsentationen


Google-Anzeigen