Cloud Computing – datenschutzkonform gestaltet Name, Vorname Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php?title=Datei:Preuss_Abteilwagen_C3_P9030016.JPG&filetimestamp=20061022235944 28.03.2017

Dunkle Wolken am Cloud-Himmel? Quelle Jorge Corcuera CC-BY-SA http://www.flickr.com/photos/51035727351@N01/6805523738

Grundlagen des Datenschutzes Grundrecht, Anwendung und Grundsätze des BDSG Quelle. William Warby CC BA http://www.flickr.com/photos/26782864@N00/5106781173

Grundlagen des Datenschutzes Grundrechtsschutz Jeder Mensch soll selbst bestimmen, wer was wann über ihn weiß. Irgendwer darf irgendwo auf der Welt irgendetwas mit irgendwelchen Daten machen !? Urteil des Bundesverfassungsgerichts Datenschutz=Grundrecht Recht auf informationelle Selbstbestimmung (Ausprägung des allg. Persönlichkeitsrechts GG) Schutz des Einzelnen vor dem Missbrauch „seiner“ personenbezogenen Daten bzw. Schutz seiner Privatsphäre BVerfGE 65, 1 (Volkszählungsurteil) vom 15.12.1983 „Recht auf informationelle Selbstbestimmung“

Grundlagen des Datenschutzes Das Bundesdatenschutzgesetz Irgendwer darf irgendwo auf der Welt irgendetwas mit irgendwelchen Daten machen !?

BDSG Räumlicher Geltungsbereich Wo gilt das Bundesdatenschutzgesetz? In der Bundesrepublik Deutschland Auch für ausländische Unternehmen mit einer Niederlassung in Deutschland

BDSG Geschützt - Personenbezogene Daten „Personenbezogene Daten sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener)“. (§ 3 Abs. 1 BDSG)

BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD) alle Angaben, die sich auf eine bestimmte oder aber auch nur bestimmbare natürliche Person beziehen Beispiele: IT-Abteilung Geburtsjahr Telefon- nummer Wohn- verhältnisse Name Kreditkarten- nummer Vermögens- verhältnisse Gehalt Adresse

BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD) Bestimmt : Identität ergibt sich direkt aus dem Datum selbst Name

BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD) IP-Adresse Abgleich mit Providerdaten Bestimmbar: Identität feststellbar durch Kombination des Datums mit anderer Information Bestimmt : Identität ergibt sich direkt aus dem Datum selbst

BDSG: Der Anwendungsbereich Personenbezogene Daten (pbD) Studie Carnegie Mellon University, 2000 : Geschlecht + ZIP-Code (PLZ) + Geburtsdatum 87 % der US-Bürger

BDSG: Kein/eingeschränkter Personenbezug Anonymisierung / Pseudonymisierung „bestimmbar“ IP-Adresse Abgleich … 1Ax?3%4$# Name

Cloud: meist pbD von Kunden oder Mitarbeitern ! BDSG: Der Anwendungsbereich Anonymisierung / Pseudonymisierung in der Cloud? Cloud: meist pbD von Kunden oder Mitarbeitern ! 1Ax?3%4$# Name

BDSG: Kein Anwendungsbereich Ungeschützt - juristische Personen e.G. GmbH AG KGaA e.V. Quelle: Ben Schumin CC BY-SA,, http://www.flickr.com/photos/64873675@N00/9722786672

Grundlagen des Datenschutzes Anwendungsbereich des BDSG Umgang mit personenbezogenen Daten mittels automatisierter Verarbeitung oder in nicht automatisierter Datei Anwendungsbereich des BDSG Erheben Verarbeiten Nutzen speichern verändern übermitteln sperren löschen

BDSG: Verbot mit Erlaubnisvorbehalt Erhebung/Verarbeitung/Nutzung personenbezogener Daten ist unzulässig ,sofern nicht ein Gesetz dies erlaubt/anordnet oder Betroffener einwilligt (§ 4 Abs. 1 BDSG) Verbot mit Erlaubnisvorbehalt (Gesetz oder Einwilligung) Verhältnismäßigkeit: steht der Zweck des Datenumgangs in einem angemessenen Verhältnis zum Eingriff in die betroffenen Persönlichkeitsrechte Zweckbindung: keine Erhebung oder Speicherung pb Daten auf Vorrat Transparenz: der Betroffene soll wissen was mit seinen Daten geschieht Quelle: .aditya CC-BY-SA www.flickr.com/photos/7517448@NOO/37276833263

Grundbegriffe des BDSG: Übermittlung Gem. § 28 BDSG zulässig, soweit… Abwägung mit schutzwürdigen Interessen des Betroffenen für Durchführung erforderlich Datenübermittlung Erfordernis einer speziellen Rechtsgrundlage für die Übermittlung (§ 4 Abs. 1 BDSG) Dritter

Interessenabwägung als Rechtfertigung Glaubhaftmachung kann im Einzelfall schwierig sein Probleme: Zusätzliche Vertragsgestaltung zum Betroffenen- schutz (§ 11 BDSG analog) Abwägung mit schutzwürdigen Interessen des Betroffenen

BDSG – die Einwilligung Wirksamkeitsvoraussetzungen freiwillig transparent schriftlich

BDSG - die Einwilligung Unpraktikabel für die Cloud „Wenn es dem Cloud-Nutzer um eine pauschale Verlagerung von Teilen oder der kompletten Daten- verarbeitung geht, dürfte der Weg über Einwilligungen regelmäßig unpraktikabel sein, da bei nicht erteilten oder später widerrufenen Einwilligungen eine Auslagerung aufgrund fehlender Rechtsgrund- lage nicht (mehr) zulässig wäre.“

Die Auftragsdatenverarbeitung Die Vorgaben des § 11 BDSG Quelle. William Warby CC BA http://www.flickr.com/photos/26782864@N00/5106781173

Was ist Auftragsdatenverarbeitung? bleibt „Herr der Daten“ pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten weisungsgebunden

Auftragsdaenverarbeitung: Ihre „Abteilung“ – Ihre Verantwortung Rechtsfolge: Ihr Unternehmen bleibt als Cloud-Nutzerin „verantwortliche Stelle“ i.S.d. Bundesdatenschutzgesetzes auch für Anbieter und Unteranbieter und Unterunteranbieter …!

Erkennungsmerkmale der Auftragsdatenverarbeitung fehlende Entscheidungsbefugnis des Auftragnehmers Weisungsgebundenheit des Auftragsnehmers bezüglich dessen, was mit den Daten geschieht Umgang nur mit Daten, welche der Auftraggeber zur Verfügung stellt, es sei denn, der Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet der Auftrag ist auf die praktisch-technische Durchführung gerichtet, die aber nach außen hin vom Auftraggeber vertreten wird. Cloud ist klassische Auftragsdatenverarbeitung!

Auftragsdatenverarbeitung - zentrale Probleme Auswahl und Prüfung des Auftragnehmers Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.

Das Ergebnis ist zu dokumentieren.“… Auftragsdatenverarbeitung - zentrale Probleme Auswahl und Prüfung des Auftragnehmers … „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.“… Der AG hat sich vor Beginn der DV und sodann regelmäßig von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren.

Auftragsdatenverarbeitung - zentrale Probleme Auswahl des Auftragnehmers Vor-Ort-Prüfung ? Wo sind meine Daten? Für das „sich überzeugen“ sieht die Begründung des Gesetzentwurfs insbesondere diese 3 Möglichkeiten vor: AG überzeugt sich selbst vor Ort ( Siehe Checkliste) Testat eines Sachverständigen dem AG reicht eine schriftliche Auskunft des AN Hierbei sind Angemessenheit und Verhältnismäßigkeit zu berücksichtigen.

Testierung: Zertifizierung: Auftragsdatenverarbeitung - zentrale Probleme Auswahl des Auftragnehmers Testierung: Zertifizierung: Wirtschaftsprüfer Rechtsanwalt … „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.“ (§ 11 Abs. 2 Satz 1 BDSG) „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“ (§ 11 Abs. 2 Satz 4 BDSG) „Das Ergebnis ist zu dokumentieren.“ (§ 11 Abs. 2 Satz 5 BDSG)

Auftragsdatenverarbeitung - zentrale Probleme Der Vertrag Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.

Auftragsdatenverarbeitung – zentrale Probleme Der 10-Punkte-Katalog Im Vertrag müssen in einem exakten Leistungsverzeichnis und Pflichtenkatalog „im Einzelnen“ festgelegt werden (können) Gegenstand und Dauer des Auftrags, Umfang, Art und Zweck von Erhebung, Verarbeitung oder Nutzung von Daten, Art der Daten und Kreis der Betroffenen, technische und organisatorische Maßnahmen, Berichtigung, Löschung und Sperrung von Daten, Pflichten des Auftragnehmers, insbesondere von ihm vorzunehmende Kontrollen, etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, Kontrollrechte des Auftraggebers und Duldungs- und Mitwirkungs-pflichten des Auftragnehmers, mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder im Auftrag getroffene Festlegungen, Umfang der Weisungsbefugnisse, die sich der Auftraggeber vorbehält, Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Voraussetzungen des § 11 BDSG Beispiel: Technisch und organisatorische Maßnahmen „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.“ (§ 11 Abs. 2 Satz 1 BDSG) „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“ (§ 11 Abs. 2 Satz 4 BDSG) „Das Ergebnis ist zu dokumentieren.“ (§ 11 Abs. 2 Satz 5 BDSG)

Voraussetzungen des § 11 BDSG TOMs: Was meint die Aufsicht? „Security by obscurity“ ungeeignet ! „Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen.“ (§ 11 Abs. 2 Satz 1 BDSG) „Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen.“ (§ 11 Abs. 2 Satz 4 BDSG) „Das Ergebnis ist zu dokumentieren.“ (§ 11 Abs. 2 Satz 5 BDSG) http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/auftragsdatenverarbeitung.pdf

Voraussetzungen des § 11 BDSG Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog) Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen. Kompensation durch Options-angebote (Ressourcen, Länder, Sicherheitsniveaus…) Kontrollhäufigkeit je nach Sachverhalt Fristen zwischen 1 und 3 Jahren abhängig von mehreren Faktoren -Berichterstattung in den Medien zu Datenschutzverletzungen - eigene und fremde Erfahrungen mit dem Dienstleister bzw. der Branche

Musterhaft gelöst https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Auftragsdatenverarbeitung/Inhalt/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG.php

Auftragsdatenverarbeitung – zentrale Probleme Stellungnahme 05/2012 zum Cloud Computing „Das Ungleichgewicht in der Vertragsposition zwischen einem kleinen für die Verarbeitung Verantwortlichen und großen Dienstleistern darf nicht als Rechtfertigung dafür gelten, dass für die Verarbeitung Verantwortliche Vertragsklauseln und –bedingungen akzeptieren, die gegen das Datenschutzrecht verstoßen.“

Cross Border: Über den Wolken muss die Freiheit wohl grenzenlos sein … Grundsatz: im jeweiligen Staat, in dem die Daten verarbeitet werden sollen, muss ein angemessenes Datenschutzniveau bestehen. (EG-DatenschutzRiLi und § 4 b Abs. 2 S. 2 BDSG) Konsequenz: Datentransfer in Drittland ohne angemessenes Datenschutzniveaus unzulässig

Auftragsdatenver-arbeitung möglich Cross Border – das angemessene Datenschutzniveau: Die innereuropäische Cloud Harmonisiertes Datenschutzniveau (EG-Datenschutzrichtlinie 95/46/EG - DSRL) § 3 Abs. 8 BDSG: „Dritte sind nicht … Stellen, die …, in … der Europäischen Union oder in einem anderen Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum personenbezogene Daten im Auftrag … verarbeiten ….“ Auftragsdatenver-arbeitung möglich

Die Übermittlung in Drittländer Quelle. William Warby CC BA http://www.flickr.com/photos/26782864@N00/5106781173

Cross Border Die außereuropäische Cloud – nur als Übermittlung Cloud Computing in Drittländern als Auftragsdatenverarbeitung nicht möglich, weil Empfänger ein „Dritter“ ist (§ 3 Abs. 8 S. 2 BDSG) deshalb nur Übermittlung Rechtsgrundlage erforderlich !

Cross Border – das angemessene Datenschutzniveau Die EU-Kommission hat gesprochen Derzeit bestehen grundsätzlich Angemessenheitsentscheidungen gem. Art. 25 Abs. 6 DSRL für -Schweiz - Isle of Man - Kanada Jersey Australien Guersney - Argentinien pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten Quelle. William Warby CC BA http://www.flickr.com/photos/26782864@N00/5106781173

Cross Border: Die USA – (k)ein sicherer Hafen? Safe Harbor eigentlich kein angemessenes Schutzniveau in den USA Safe Harbor : Abkommen zwischen der EU und den USA Übermittlung dann möglich, wenn Unterwerfung unter Safe Harbor Quelle: David Cohen CC BY http://www.flickr.com/photos/55838353@N00/2940114880

Cross Border: Die USA – (k)ein sicherer Hafen? Probleme: Faktischer Prozess der Selbstzertifizierung FTC-Liste nicht aktuell Erhebliche Vollzugsdefizite der FTC Folge: Weitere Maßnahmen erforderlich (Zertifikat gültig und pbD hiervon erfasst, Verpflichtung zur Zusammenarbeit mit EU- DSB , Infos für Auskünfte an Betroffene) , lfd. Kontrolle (analog § 11 Abs. 2 S. 3 BDSG) Absicherung/Nachweis der Compliance, bestenfalls durch EU Standardvertragsklauseln oder § 11 –BDSG-Vertrag Quelle: David Cohen CC BY http://www.flickr.com/photos/55838353@N00/2940114880

Cross Border: Die USA – (k)ein sicherer Hafen? Konferenz der Datenschutzbeauftragten vom 24.07.2013 „Allerdings hat die Kommission stets betont, dass die nationalen Aufsichts-behörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. …Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel … Nutzung bestimmter Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Abkommens … auszusetzen sind.“ Europarechtlich zweifelhaft (?) Zuständig EU-Kommission (Art. 25 Abs. 6 DSRL) ?

cross-border: EU-Standardvertragsklauseln pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten Vertragliche Regelungen zur Datenübermittlung müssen unverändert übernommen werden

cross-border: EU-Standardvertragsklauseln Zusätzlich analoge Anwendung des § 11 Abs. 2 BDSG erforderlich Empfehlung: Abschluss eines zweiten Vertrages oder eines Annex mit der 10-Punkte-Regelung nach § 11 Abs. 2 BDSG

§ 43 BDSG Bußgeldvorschrift Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig … 2b.entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht richtig, nicht vollständig oder nicht in der vorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, … (3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaft-lichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden. Beispiel aus NRW Bußgeld für Easycash GmbH über € 60.000 (Abwicklung von LA-Verfahren bei EC-Kartenzahlungen

Praxistipps für die Nutzung von Cloud Computing Überlegenswert: Verschlüsseln pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

Praxistipps für die Nutzung von Cloud Computing Wählen Sie den Cloud-Anbieter sorgfältig aus! Zertifizierungen, Audits, Angebotsmaterial, … pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

Praxistipps für die Nutzung von Cloud Computing Fragen Sie nach, in wo der Cloud-Anbieter einschl. evtl. Niederlassungen/Subunternehmer seinen Sitz und (!) seine Server-Standorte hat ! (Deutschland, innerhalb/außerhalb EU/EWR)? pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

Praxistipps für die Nutzung von Cloud Computing Vorsicht bei Cloud-Anbietern aus den USA: Erkundigen Sie sich zumindest danach, ob der Anbieter dem „U.S. Safe Harbor-Abkommen“ beigetreten ist und ob er Nachweise zur Einhaltung dieses Abkommens vorlegen kann. pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

Praxistipps für die Nutzung von Cloud Computing Datenübermittlung in Clouds außerhalb EWR problematisch und ohne konkrete Prüfung nicht empfehlenswert. pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

Praxistipps für die Nutzung von Cloud Computing Vergewissern Sie sich, dass rechtlich und tatsächlich allein Ihr Unternehmen die vollständige Weisungs- und Verfügungsbefugnis über die Daten hat. Marketing o.ä. mit Ihren Daten? pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

Praxistipps für die Nutzung von Cloud Computing Treffen Sie mit dem Cloud-Anbieter eine schriftliche Auftragsdatenverarbeitungsvereinbarung. pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

Praxistipps für die Nutzung von Cloud Computing Kontrollieren und dokumentieren Sie die Einhaltung der technischen-organisatorischen Maßnahmen beim Cloud-Anbieter vor Vertragsbeginn und dann regelmäßig. Kontrolle vor Ort nicht immer zwingend, andere Prüfmaßnahmen genügen im Einzelfall. pb Daten werden ausschließlich nach Weisung verarbeitet Hilfsfunktion, nicht die Aufgabe selbst wird ausgelagert Der Auftraggeber bleibt „Herr der Daten“ und ist für die Einhaltung datenschutzrechtl. Bestimmungen verantwortlich externer Dienstleister wird als verlängerter Arm des Auftraggebers tätig ADV = Gesetzliche Privilegierung Datenschutzrechtl. ist ADV keine Übermittlung von Daten

Für Leseratten: BSI-Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter , für Nutzer interessant „weitergehende Ausarbeitungen und Detaillierungen zum Themenbereich Cloud Computing werden (…) im IT-Grundschutz einfließen, beispielsweise in Form von IT- Grundschutz-Bausteinen.“ „Geplant ist die Entwicklung von IT- Grundschutzbausteinen“ Q4 2013 https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile

Für Leseratten: Orientierungshilfe Cloud Computing http://www.bfdi.bund.de/DE/Themen/TechnologischerDatenschutz/TechnologischeOrientierungshilfen/Artikel/OHCloudComputing.html?nn=409206

Fazit: Thilo Weichert

Vielen Dank für die Aufmerksamkeit !!!