Die Präsentation wird geladen. Bitte warten

Die Präsentation wird geladen. Bitte warten

Cloud Computing – datenschutzkonform gestaltet

Ähnliche Präsentationen


Präsentation zum Thema: "Cloud Computing – datenschutzkonform gestaltet"—  Präsentation transkript:

1 Cloud Computing – datenschutzkonform gestaltet
Name, Vorname Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php?title=Datei:Preuss_Abteilwagen_C3_P JPG&filetimestamp=

2 Dunkle Wolken am Cloud-Himmel?
Quelle Jorge Corcuera CC-BY-SA

3 Grundlagen des Datenschutzes
Grundrecht, Anwendung und Grundsätze des BDSG Quelle. William Warby CC BA

4 Grundlagen des Datenschutzes Grundrechtsschutz
Jeder Mensch soll selbst bestimmen, wer was wann über ihn weiß. Irgendwer darf irgendwo auf der Welt irgendetwas mit irgendwelchen Daten machen !? Urteil des Bundesverfassungsgerichts Datenschutz=Grundrecht Recht auf informationelle Selbstbestimmung (Ausprägung des allg. Persönlichkeitsrechts GG) Schutz des Einzelnen vor dem Missbrauch „seiner“ personenbezogenen Daten bzw. Schutz seiner Privatsphäre BVerfGE 65, 1 (Volkszählungsurteil) vom „Recht auf informationelle Selbstbestimmung“

5 Grundlagen des Datenschutzes Das Bundesdatenschutzgesetz
Irgendwer darf irgendwo auf der Welt irgendetwas mit irgendwelchen Daten machen !?

6 BDSG Räumlicher Geltungsbereich
Wo gilt das Bundesdatenschutzgesetz? In der Bundesrepublik Deutschland Auch für ausländische Unternehmen mit einer Niederlassung in Deutschland

7 BDSG Geschützt - Personenbezogene Daten
„Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. (§ 3 Abs. 1 BDSG)

8 BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD)
alle Angaben, die sich auf eine bestimmte oder aber auch nur bestimmbare natürliche Person beziehen Beispiele: IT-Abteilung Geburtsjahr Telefon- nummer Wohn- verhältnisse Name Kreditkarten- nummer Vermögens- verhältnisse Gehalt Adresse

9 BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD)
Bestimmt : Identität ergibt sich direkt aus dem Datum selbst Name

10 BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD)
IP-Adresse Abgleich mit Providerdaten Bestimmbar: Identität feststellbar durch Kombination des Datums mit anderer Information Bestimmt : Identität ergibt sich direkt aus dem Datum selbst

11 BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD)
Studie Carnegie Mellon University, 2000 : Geschlecht + ZIP-Code (PLZ) + Geburtsdatum 87 % der US-Bürger

12 BDSG: Kein/eingeschränkter Personenbezug Anonymisierung / Pseudonymisierung
„bestimmbar“ IP-Adresse Abgleich … 1Ax?3%4$# Name

13 Cloud: meist pbD von Kunden oder Mitarbeitern !
BDSG: Der Anwendungsbereich Anonymisierung / Pseudonymisierung in der Cloud? Cloud: meist pbD von Kunden oder Mitarbeitern ! 1Ax?3%4$# Name

14 BDSG: Kein Anwendungsbereich Ungeschützt - juristische Personen
e.G. GmbH AG KGaA e.V. Quelle: Ben Schumin CC BY-SA,,

15 Grundlagen des Datenschutzes Anwendungsbereich des BDSG
Umgang mit personenbezogenen Daten mittels automatisierter Verarbeitung oder in nicht automatisierter Datei Anwendungsbereich des BDSG Erheben Verarbeiten Nutzen speichern verändern übermitteln sperren löschen

16 BDSG: Verbot mit Erlaubnisvorbehalt
Erhebung/Verarbeitung/Nutzung personenbezogener Daten ist unzulässig ,sofern nicht ein Gesetz dies erlaubt/anordnet oder Betroffener einwilligt (§ 4 Abs. 1 BDSG) Verbot mit Erlaubnisvorbehalt (Gesetz oder Einwilligung) Verhältnismäßigkeit: steht der Zweck des Datenumgangs in einem angemessenen Verhältnis zum Eingriff in die betroffenen Persönlichkeitsrechte Zweckbindung: keine Erhebung oder Speicherung pb Daten auf Vorrat Transparenz: der Betroffene soll wissen was mit seinen Daten geschieht Quelle: .aditya CC-BY-SA

17 Grundbegriffe des BDSG: Übermittlung
Gem. § 28 BDSG zulässig, soweit… Abwägung mit schutzwürdigen Interessen des Betroffenen für Durchführung erforderlich Datenübermittlung Erfordernis einer speziellen Rechtsgrundlage für die Übermittlung (§ 4 Abs. 1 BDSG) Dritter

18 Interessenabwägung als Rechtfertigung
Glaubhaftmachung kann im Einzelfall schwierig sein Probleme: Zusätzliche Vertragsgestaltung zum Betroffenen- schutz (§ 11 BDSG analog) Abwägung mit schutzwürdigen Interessen des Betroffenen

19 BDSG – die Einwilligung Wirksamkeitsvoraussetzungen
freiwillig transparent schriftlich

20 BDSG - die Einwilligung Unpraktikabel für die Cloud
„Wenn es dem Cloud-Nutzer um eine pauschale Verlagerung von Teilen oder der kompletten Daten- verarbeitung geht, dürfte der Weg über Einwilligungen regelmäßig unpraktikabel sein, da bei nicht erteilten oder später widerrufenen Einwilligungen eine Auslagerung aufgrund fehlender Rechtsgrund- lage nicht (mehr) zulässig wäre.“

21 Die Auftragsdatenverarbeitung Die Vorgaben des § 11 BDSG
Quelle. William Warby CC BA

22 Was ist Auftragsdatenverarbeitung?
bleibt „Herr der Daten“ pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten weisungsgebunden

23 Auftragsdaenverarbeitung: Ihre „Abteilung“ – Ihre Verantwortung
Rechtsfolge: Ihr Unternehmen bleibt als Cloud-Nutzerin „verantwortliche Stelle“ i.S.d. Bundesdatenschutzgesetzes auch für Anbieter und Unteranbieter und Unterunteranbieter …!

24 Erkennungsmerkmale der Auftragsdatenverarbeitung
fehlende Entscheidungsbefugnis des Auftragnehmers Weisungsgebundenheit des Auftragsnehmers bezüglich dessen, was mit den Daten geschieht Umgang nur mit Daten, welche der Auftraggeber zur Verfügung stellt, es sei denn, der Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet der Auftrag ist auf die praktisch-technische Durchführung gerichtet, die aber nach außen hin vom Auftraggeber vertreten wird. Cloud ist klassische Auftragsdatenverarbeitung!

25 Auftragsdatenverarbeitung - zentrale Probleme Auswahl und Prüfung des Auftragnehmers
Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.

26 Das Ergebnis ist zu dokumentieren.“…
Auftragsdatenverarbeitung - zentrale Probleme Auswahl und Prüfung des Auftragnehmers … „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“… Der AG hat sich vor Beginn der DV und sodann regelmäßig von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

27 Auftragsdatenverarbeitung - zentrale Probleme Auswahl des Auftragnehmers
Vor-Ort-Prüfung ? Wo sind meine Daten? Für das „sich überzeugen“ sieht die Begründung des Gesetzentwurfs insbesondere diese 3 Möglichkeiten vor: AG überzeugt sich selbst vor Ort ( Siehe Checkliste) Testat eines Sachverständigen dem AG reicht eine schriftliche Auskunft des AN Hierbei sind Angemessenheit und Verhältnismäßigkeit zu berücksichtigen.

28 Testierung: Zertifizierung:
Auftragsdatenverarbeitung - zentrale Probleme Auswahl des Auftragnehmers Testierung: Zertifizierung: Wirtschaftsprüfer Rechtsanwalt … „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.“ (§ 11 Abs. 2 Satz 1 BDSG) „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“ (§ 11 Abs. 2 Satz 4 BDSG) „Das Ergebnis ist zu dokumentieren.“ (§ 11 Abs. 2 Satz 5 BDSG)

29 Auftragsdatenverarbeitung - zentrale Probleme Der Vertrag
Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.

30 Auftragsdatenverarbeitung – zentrale Probleme Der 10-Punkte-Katalog
Im Vertrag müssen in einem exakten Leistungsverzeichnis und Pflichtenkatalog „im Einzelnen“ festgelegt werden (können) Gegenstand und Dauer des Auftrags, Umfang, Art und Zweck von Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen, technische und organisatorische Maßnahmen, Berichtigung, Löschung und Sperrung von Daten, Pflichten des Auftragnehmers, insbesondere von ihm vorzunehmende Kontrollen, etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungs-pflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder im Auftrag getroffene Festlegungen, Umfang der Weisungsbefugnisse, die sich der Auftraggeber vorbehält, Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

31 Voraussetzungen des § 11 BDSG Beispiel: Technisch und organisatorische Maßnahmen
„Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.“ (§ 11 Abs. 2 Satz 1 BDSG) „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“ (§ 11 Abs. 2 Satz 4 BDSG) „Das Ergebnis ist zu dokumentieren.“ (§ 11 Abs. 2 Satz 5 BDSG)

32 Voraussetzungen des § 11 BDSG TOMs: Was meint die Aufsicht?
„Security by obscurity“ ungeeignet ! „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.“ (§ 11 Abs. 2 Satz 1 BDSG) „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“ (§ 11 Abs. 2 Satz 4 BDSG) „Das Ergebnis ist zu dokumentieren.“ (§ 11 Abs. 2 Satz 5 BDSG)

33 Voraussetzungen des § 11 BDSG
Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen. Kompensation durch Options-angebote (Ressourcen, Länder, Sicherheitsniveaus…) Kontrollhäufigkeit je nach Sachverhalt Fristen zwischen 1 und 3 Jahren abhängig von mehreren Faktoren -Berichterstattung in den Medien zu Datenschutzverletzungen - eigene und fremde Erfahrungen mit dem Dienstleister bzw. der Branche

34 Musterhaft gelöst https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Auftragsdatenverarbeitung/Inhalt/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG.php

35 Auftragsdatenverarbeitung – zentrale Probleme Stellungnahme 05/2012 zum Cloud Computing
„Das Ungleichgewicht in der Vertragsposition zwischen einem kleinen für die Verarbeitung Verantwortlichen und großen Dienstleistern darf nicht als Rechtfertigung dafür gelten, dass für die Verarbeitung Verantwortliche Vertragsklauseln und –bedingungen akzeptieren, die gegen das Datenschutzrecht verstoßen.“

36 Cross Border: Über den Wolken muss die Freiheit wohl grenzenlos sein …
Grundsatz: im jeweiligen Staat, in dem die Daten verarbeitet werden sollen, muss ein angemessenes Datenschutzniveau bestehen (EG-DatenschutzRiLi und § 4 b Abs. 2 S. 2 BDSG) Konsequenz: Datentransfer in Drittland ohne angemessenes Datenschutzniveaus unzulässig

37 Auftragsdatenver-arbeitung möglich
Cross Border – das angemessene Datenschutzniveau: Die innereuropäische Cloud Harmonisiertes Datenschutzniveau (EG-Datenschutzrichtlinie 95/46/EG - DSRL) § 3 Abs. 8 BDSG: „Dritte sind nicht … Stellen, die …, in … der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag … verarbeiten ….“ Auftragsdatenver-arbeitung möglich

38 Die Übermittlung in Drittländer
Quelle. William Warby CC BA

39 Cross Border Die außereuropäische Cloud – nur als Übermittlung
Cloud Computing in Drittländern als Auftragsdatenverarbeitung nicht möglich, weil Empfänger ein „Dritter“ ist (§ 3 Abs. 8 S. 2 BDSG) deshalb nur Übermittlung Rechtsgrundlage erforderlich !

40 Cross Border – das angemessene Datenschutzniveau Die EU-Kommission hat gesprochen
Derzeit bestehen grundsätzlich Angemessenheitsentscheidungen gem. Art. 25 Abs. 6 DSRL für -Schweiz - Isle of Man - Kanada Jersey Australien Guersney - Argentinien pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten Quelle. William Warby CC BA

41 Cross Border: Die USA – (k)ein sicherer Hafen?
Safe Harbor eigentlich kein angemessenes Schutzniveau in den USA Safe Harbor : Abkommen zwischen der EU und den USA Übermittlung dann möglich, wenn Unterwerfung unter Safe Harbor Quelle: David Cohen CC BY

42 Cross Border: Die USA – (k)ein sicherer Hafen?
Probleme: Faktischer Prozess der Selbstzertifizierung FTC-Liste nicht aktuell Erhebliche Vollzugsdefizite der FTC Folge: Weitere Maßnahmen erforderlich (Zertifikat gültig und pbD hiervon erfasst, Verpflichtung zur Zusammenarbeit mit EU- DSB , Infos für Auskünfte an Betroffene) , lfd. Kontrolle (analog § 11 Abs. 2 S. 3 BDSG) Absicherung/Nachweis der Compliance, bestenfalls durch EU Standardvertragsklauseln oder § 11 –BDSG-Vertrag Quelle: David Cohen CC BY

43 Cross Border: Die USA – (k)ein sicherer Hafen?
Konferenz der Datenschutzbeauftragten vom „Allerdings hat die Kommission stets betont, dass die nationalen Aufsichts-behörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. …Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel … Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens … auszusetzen sind.“ Europarechtlich zweifelhaft (?) Zuständig EU-Kommission (Art. 25 Abs. 6 DSRL) ?

44 cross-border: EU-Standardvertragsklauseln
pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten Vertragliche Regelungen zur Datenübermittlung müssen unverändert übernommen werden

45 cross-border: EU-Standardvertragsklauseln
Zusätzlich analoge Anwendung des § 11 Abs. 2 BDSG erforderlich Empfehlung: Abschluss eines zweiten Vertrages oder eines Annex mit der 10-Punkte-Regelung nach § 11 Abs. 2 BDSG

46 § 43 BDSG Bußgeldvorschrift
Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig 2b.entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, … (3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaft-lichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. Beispiel aus NRW Bußgeld für Easycash GmbH über € (Abwicklung von LA-Verfahren bei EC-Kartenzahlungen

47

48 Praxistipps für die Nutzung von Cloud Computing
Überlegenswert: Verschlüsseln pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

49 Praxistipps für die Nutzung von Cloud Computing
Wählen Sie den Cloud-Anbieter sorgfältig aus! Zertifizierungen, Audits, Angebotsmaterial, pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

50 Praxistipps für die Nutzung von Cloud Computing
Fragen Sie nach, in wo der Cloud-Anbieter einschl. evtl. Niederlassungen/Subunternehmer seinen Sitz und (!) seine Server-Standorte hat ! (Deutschland, innerhalb/außerhalb EU/EWR)? pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

51 Praxistipps für die Nutzung von Cloud Computing
Vorsicht bei Cloud-Anbietern aus den USA: Erkundigen Sie sich zumindest danach, ob der Anbieter dem „U.S. Safe Harbor-Abkommen“ beigetreten ist und ob er Nachweise zur Einhaltung dieses Abkommens vorlegen kann. pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

52 Praxistipps für die Nutzung von Cloud Computing
Datenübermittlung in Clouds außerhalb EWR problematisch und ohne konkrete Prüfung nicht empfehlenswert. pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

53 Praxistipps für die Nutzung von Cloud Computing
Vergewissern Sie sich, dass rechtlich und tatsächlich allein Ihr Unternehmen die vollständige Weisungs- und Verfügungsbefugnis über die Daten hat. Marketing o.ä. mit Ihren Daten? pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

54 Praxistipps für die Nutzung von Cloud Computing
Treffen Sie mit dem Cloud-Anbieter eine schriftliche Auftragsdatenverarbeitungsvereinbarung. pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

55 Praxistipps für die Nutzung von Cloud Computing
Kontrollieren und dokumentieren Sie die Einhaltung der technischen-organisatorischen Maßnahmen beim Cloud-Anbieter vor Vertragsbeginn und dann regelmäßig. Kontrolle vor Ort nicht immer zwingend, andere Prüfmaßnahmen genügen im Einzelfall. pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

56 Für Leseratten: BSI-Eckpunktepapier
Sicherheitsempfehlungen für Cloud Computing Anbieter , für Nutzer interessant „weitergehende Ausarbeitungen und Detaillierungen zum Themenbereich Cloud Computing werden (…) im IT-Grundschutz einfließen, beispielsweise in Form von IT- Grundschutz-Bausteinen.“ „Geplant ist die Entwicklung von IT- Grundschutzbausteinen“ Q4 2013 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile

57 Für Leseratten: Orientierungshilfe Cloud Computing

58 Fazit: Thilo Weichert

59 Vielen Dank für die Aufmerksamkeit !!!


Herunterladen ppt "Cloud Computing – datenschutzkonform gestaltet"

Ähnliche Präsentationen


Google-Anzeigen