s sparkasse rosenheim-bad aibling 12.03.2014 name, vorname seite 1 cloud computing –...
TRANSCRIPT
Sparkasse Rosenheim-Bad Aibling
26.04.23Name, Vorname
Seite 1
Cloud Computing – datenschutzkonform
gestaltet Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php?title=Datei:Preuss_Abteilwagen_C3_P9030016.JPG&filetimestamp=20061022235944
Quelle Jorge Corcuera CC-BY-SAhttp://www.flickr.com/photos/51035727351@N01/6805523738
Dunkle Wolken am Cloud-Himmel?
Quelle. William Warby CC BA
http://www.flickr.com/photos/26782864@N00/5106781173
Grundlagen des
Datenschutzes
Grundrecht, Anwendung und Grundsätze
des BDSG
Jeder Mensch soll selbst bestimmen,
wer
was
wann
über ihn weiß.
Grundlagen des DatenschutzesGrundrechtsschutz
BVerfGE 65, 1 (Volkszählungsurteil) vom 15.12.1983„Recht auf informationelle Selbstbestimmung“
Irgendwer darf Irgendwer darf irgendwo auf der irgendwo auf der
WeltWeltirgendetwas irgendetwas
mit irgendwelchen mit irgendwelchen Daten machen !?Daten machen !?
Grundlagen des Datenschutzes Das Bundesdatenschutzgesetz
Irgendwer darf Irgendwer darf irgendwo auf der Weltirgendwo auf der Welt
irgendetwas irgendetwas mit irgendwelchen mit irgendwelchen Daten machen !?Daten machen !?
In der Bundesrepublik Deutschland
Auch für ausländische Unternehmen mit einer Niederlassung in Deutschland
Wo gilt das Bundesdatenschutzgesetz?
BDSGRäumlicher Geltungsbereich
BDSGGeschützt - Personenbezogene Daten„Personenbezogene Daten sind
Einzelangaben über
persönliche und sachliche Verhältnisse
einer bestimmten oder bestimmbaren
natürlichen Person (Betroffener)“.
(§ 3 Abs. 1
BDSG)
BDSG: Der AnwendungsbereichPersonenbezogene Daten (pbD)
alle Angaben, die sich auf eine bestimmte oder aber auch nur bestimmbare natürliche Person beziehen
Beispiele:
Kreditkarten-nummer
Name
Adresse Gehalt
Geburtsjahr
Vermögens-verhältnisse
Telefon-nummerWohn-
verhältnisse
IT-Abteilung
Name
Bestimmt :Identität ergibt sich direkt aus dem Datum selbst
BDSG: Der AnwendungsbereichPersonenbezogene Daten (pbD)
Bestimmbar: Identität feststellbar durch Kombination des Datums mit anderer Information
IP-Adresse
Abgleich mit Providerdaten
BDSG: Der AnwendungsbereichPersonenbezogene Daten (pbD)
Bestimmt :Identität ergibt sich direkt aus dem Datum selbst
BDSG: Der AnwendungsbereichPersonenbezogene Daten (pbD)
Studie Carnegie Mellon University, 2000 :
Geschlecht
+ ZIP-Code (PLZ)
+ Geburtsdatum
87 % der US-Bürger
BDSG: Kein/eingeschränkter PersonenbezugKein/eingeschränkter PersonenbezugAnonymisierung / Pseudonymisierung
Name1Ax?3%4$#
„bestimmbar“
IP-Adresse
Abgleich …
1Ax?3%4$#
BDSG: Der AnwendungsbereichAnonymisierung / Pseudonymisierung in der Cloud?
Name
Cloud: meist pbD von Kunden oder Mitarbeitern !
BDSG: KeinKein AnwendungsbereichUngeschützt - juristische Personen
GmbH AG
Quelle: Ben Schumin CC BY-SA,, http://www.flickr.com/photos/64873675@N00/9722786672
KGaA e.V.
e.G.
Grundlagen des DatenschutzesAnwendungsbereich des BDSG
Umgangmit personenbezogenen
Daten
speichern verändern
übermitteln sperren löschen
Erheben Verarbeiten Nutzen
mittels automatisierter Verarbeitung
oder in nicht automatisierter Datei Anwendungsbereich des BDSG
BDSG:Verbot mit Erlaubnisvorbehalt
Quelle: .aditya CC-BY-SAwww.flickr.com/photos/7517448@NOO/37276833263
Erhebung/Verarbeitung/Nutzung personenbezogener Daten
ist unzulässig
,sofern nicht ein Gesetz dies erlaubt/anordnet
oder
Betroffener einwilligt
(§ 4 Abs. 1 BDSG)
Dritter
Grundbegriffe des BDSG: Übermittlung
für Durchführung erforderlich
Abwägung mit
schutzwürdigen Interessen
des Betroffenen
Gem. § 28 BDSGzulässig, soweit…
Interessenabwägung als Rechtfertigung
Glaubhaftmachung kann im Einzelfall schwierig sein
Probleme:Zusätzliche Vertragsgestaltung zum Betroffenen- schutz (§ 11 BDSG analog)
Abwägung mit Abwägung mit schutzwürdigen schutzwürdigen Interessen des Interessen des
BetroffenenBetroffenen
BDSG – die Einwilligung Wirksamkeitsvoraussetzungen
• freiwillig
• transparent
• schriftlich
BDSG - die EinwilligungUnpraktikabel für die Cloud
„Wenn es dem Cloud-Nutzer um eine pauschale Verlagerung vonTeilen oder der kompletten Daten-verarbeitung geht, dürfte der Weg über Einwilligungen regelmäßig unpraktikabelunpraktikabel sein, da bei nicht nicht erteiltenerteilten oder später widerrufenenspäter widerrufenen Einwilligungen eine Auslagerung aufgrund fehlender Rechtsgrund-lage nicht (mehr) zulässig wäre.“
Quelle. William Warby CC BA
http://www.flickr.com/photos/26782864@N00/5106781173
Die
Auftragsdatenverarbeitung
Die Vorgaben
des § 11 BDSG
Was ist Auftragsdatenverarbeitung?
bleibt „Herr der Daten“
weisungsgebunden
Auftragsdaenverarbeitung:Ihre „Abteilung“ – Ihre Verantwortung
Rechtsfolge:
Ihr Unternehmen bleibt als Cloud-Nutzerin„verantwortliche Stelle“ i.S.d.Bundesdatenschutzgesetzes
auch für Anbieter
und Unteranbieterund Unterunteranbieter …!
Erkennungsmerkmale der Auftragsdatenverarbeitung
• fehlende Entscheidungsbefugnis des Auftragnehmers• Weisungsgebundenheit des Auftragsnehmers bezüglich
dessen, was mit den Daten geschieht• Umgang nur mit Daten, welche der Auftraggeber zur
Verfügung stellt, es sei denn, der Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet
• der Auftrag ist auf die praktisch-technische Durchführung gerichtet, die aber nach außen hin vom Auftraggeber vertreten wird.
Cloud ist klassische Auftragsdatenverarbeitung!
1. Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählenauswählen.
2. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog)
3. Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen.
4. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.
Auftragsdatenverarbeitung - zentrale ProblemeAuswahl und Prüfung des Auftragnehmers
… „Der Auftraggeber hat sich vor Beginnvor Beginn der Datenverarbeitung und sodann sodann regelmäßigregelmäßig von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen zu überzeugenüberzeugen. Das Ergebnis ist zu dokumentierendokumentieren.“…
Auftragsdatenverarbeitung - zentrale ProblemeAuswahl und Prüfung des Auftragnehmers
Auftragsdatenverarbeitung - zentrale ProblemeAuswahl des Auftragnehmers
Vor-Ort-Prüfung ?
Wo sind meine Daten?
Testierung:
Zertifizierung:
Auftragsdatenverarbeitung - zentrale ProblemeAuswahl des Auftragnehmers
Wirtschaftsprüfer
Rechtsanwalt …
Auftragsdatenverarbeitung - zentrale ProblemeDer Vertrag
1. Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.
2. Der Auftragnehmer ist schriftlichschriftlich zu beauftragen. (10-Punkte-Katalog)
3. Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen.
4. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.
Auftragsdatenverarbeitung – zentrale ProblemeDer 10-Punkte-Katalog
Im Vertrag müssen in einem exakten Leistungsverzeichnis und exakten Leistungsverzeichnis und Pflichtenkatalog Pflichtenkatalog „„im Einzelnen“ festgelegt werden (können)
1. Gegenstand und Dauer des Auftrags,2. Umfang, Art und Zweck von Erhebung, Verarbeitung oder
Nutzung von Daten, Art der Daten und Kreis der Betroffenen,3. technische und organisatorische Maßnahmen,4. Berichtigung, Löschung und Sperrung von Daten,5. Pflichten des Auftragnehmers, insbesondere von ihm
vorzunehmende Kontrollen, 6. etwaige Berechtigung zur Begründung von
Unterauftragsverhältnissen,7. Kontrollrechte des Auftraggebers und Duldungs- und
Mitwirkungs-pflichten des Auftragnehmers,8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm
beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder im Auftrag getroffene Festlegungen,
9. Umfang der Weisungsbefugnisse, die sich der Auftraggeber vorbehält,
10. Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.
Voraussetzungen des § 11 BDSGBeispiel: Technisch und organisatorische Maßnahmen
Voraussetzungen des § 11 BDSGTOMs: Was meint die Aufsicht?
„Security by obscurity“
ungeeignet !
http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/auftragsdatenverarbeitung.pdf
Voraussetzungen des § 11 BDSG
1. Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.
2. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog)
3. Der Auftraggeber muss dem Auftragnehmer WeisungenWeisungen zur Verarbeitung und/oder Nutzung der Daten erteilen.
4. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.
Kompensation durch Options-
angebote (Ressourcen, Länder,
Sicherheitsniveaus…)
Musterhaft gelöst
https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Auftragsdatenverarbeitung/Inhalt/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG.php
Auftragsdatenverarbeitung – zentrale ProblemeStellungnahme 05/2012 zum Cloud Computing
„Das Ungleichgewicht in der Vertragsposition zwischen einem kleinen für die Verarbeitung Verantwortlichen und großen Dienstleistern darf nicht als Rechtfertigung dafür gelten, dass für die Verarbeitung Verantwortliche Vertragsklauseln und –bedingungen akzeptieren, die gegen das Datenschutzrecht verstoßen.“
Cross Border: Über den Wolken muss die Freiheit wohl grenzenlos sein …
Grundsatz:
im jeweiligen Staat, in dem die Daten verarbeitet werden sollen, muss ein angemessenes angemessenes Datenschutzniveau Datenschutzniveau bestehen. (EG-DatenschutzRiLi und § 4 b Abs. 2 S. 2 BDSG)
Konsequenz:
Datentransfer in Drittland ohne angemessenes Datenschutzniveaus unzulässigunzulässig
Cross Border – das angemessene Datenschutzniveau:Die innerinnereuropäische Cloud
Harmonisiertes Datenschutzniveau
(EG-Datenschutzrichtlinie 95/46/EG - DSRL)§ 3 Abs. 8 BDSG: „Dritte sind nichtnicht … Stellen, die
…, in … der Europäischen der Europäischen Union Union oder in einem anderen
Vertragsstaat des Abkommens
über den Europäischen Europäischen WirtschaftsraumWirtschaftsraum
personenbezogene Daten im im Auftrag … verarbeiten Auftrag … verarbeiten ….“
Auftragsdatenver-Auftragsdatenver-arbeitung möglicharbeitung möglich
Quelle. William Warby CC BA
http://www.flickr.com/photos/26782864@N00/5106781173
Die Übermittlung in
Drittländer
Cloud Computing in Drittländern
• als Auftragsdatenverarbeitung nicht möglich, weil Empfänger ein „Dritter“ ist (§ 3 Abs. 8 S. 2 BDSG)
• deshalb nur Übermittlung
Cross Border Die außeraußereuropäische Cloud – nur als Übermittlung
Rechtsgrundlage erforderlich Rechtsgrundlage erforderlich !!
- Jersey
-Australien
-Guersney
- Argentinien
Derzeit bestehen grundsätzlich Angemessenheitsentscheidungen gem.Art. 25 Abs. 6 DSRL für
Cross Border – das angemessene DatenschutzniveauDie EU-Kommission hat gesprochen
-Schweiz
- Isle of Man
- Kanada
Quelle. William Warby CC BA
http://www.flickr.com/photos/26782864@N00/5106781173
Cross Border:Die USA – (k)ein sicherer Hafen?
Quelle: David Cohen CC BY
http://www.flickr.com/photos/55838353@N00/2940114880
Safe Harbor
– eigentlich kein angemessenes Schutzniveau in den USA
– Safe Harbor : Abkommen zwischen der EU und den USA
– Übermittlung dann möglich, wenn Unterwerfung unter Safe Harbor
Cross Border:Die USA – (k)ein sicherer Hafen?
Quelle: David Cohen CC BY
http://www.flickr.com/photos/55838353@N00/2940114880
– Probleme: Faktischer Prozess der SelbstzertifizierungFTC-Liste nicht aktuellErhebliche Vollzugsdefizite der FTC
– Folge: Weitere Maßnahmen erforderlich (Zertifikat gültig und pbD hiervon erfasst, Verpflichtung zur Zusammenarbeit mit EU- DSB , Infos für Auskünfte an Betroffene) , lfd. Kontrolle (analog § 11 Abs. 2 S. 3 BDSG)
– Absicherung/Nachweis der Compliance, bestenfalls durch EU Standardvertragsklauseln oder § 11 –BDSG-Vertrag
„Allerdings hat die Kommission stets betont, dass die nationalen Aufsichts-behörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. …Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel … Nutzung bestimmter Cloud-Dienste) Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Safe-Harbor-Abkommens … auszusetzen Abkommens … auszusetzen sind.“
Konferenz der Datenschutzbeauftragten vom 24.07.2013
Cross Border:Die USA – (k)ein sicherer Hafen?
Europarechtlich zweifelhaft (?)
Zuständig EU-Kommission (Art. 25 Abs. 6 DSRL) ?
cross-border:EU-Standardvertragsklauseln
• Vertragliche Regelungen zur Datenübermittlung
• müssen unverändert unverändert übernommen werden
cross-border:EU-Standardvertragsklauseln
– Zusätzlich analoge Anwendung des § 11 Abs. 2 BDSG erforderlich
– Empfehlung:
Abschluss eines zweiten Vertrages oder eines Annex mit der 10-Punkte-Regelung nach § 11 Abs. 2 BDSG
§ 43 BDSG Bußgeldvorschrift
(1)Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig …
2b.entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht nicht richtigrichtig, nicht vollständignicht vollständig oder nicht in der vorgeschriebenen Weisevorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, …
(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Eurofünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Eurodreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaft-lichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.
Überlegenswert: Überlegenswert:
VerschlüsselnVerschlüsseln
Praxistipps für die Nutzung von Cloud Computing
Wählen Sie den Cloud-Anbieter sorgfältig aus!Wählen Sie den Cloud-Anbieter sorgfältig aus!Zertifizierungen, Audits, Angebotsmaterial,
…
Praxistipps für die Nutzung von Cloud Computing
Fragen Sie nach, in wo der Cloud-Anbieter Fragen Sie nach, in wo der Cloud-Anbieter einschl. einschl.
evtl. Niederlassungen/Subunternehmer evtl. Niederlassungen/Subunternehmer seinen Sitz und (!) seine Server-Standorte hat !seinen Sitz und (!) seine Server-Standorte hat !
(Deutschland, innerhalb/außerhalb EU/EWR)?
Praxistipps für die Nutzung von Cloud Computing
Vorsicht bei Cloud-Anbietern aus den USA:Vorsicht bei Cloud-Anbietern aus den USA:Erkundigen Sie sich zumindest danach, ob der Anbieter dem
„U.S. Safe Harbor-Abkommen“ beigetreten ist und ob er Nachweise zur Einhaltung dieses Abkommens vorlegen kann.
Praxistipps für die Nutzung von Cloud Computing
DatenübermittlungDatenübermittlungin Clouds außerhalb EWR problematisch in Clouds außerhalb EWR problematisch
und und ohne konkrete Prüfung nicht ohne konkrete Prüfung nicht
empfehlenswert.empfehlenswert.
Praxistipps für die Nutzung von Cloud Computing
Vergewissern Sie sich, dass rechtlich und Vergewissern Sie sich, dass rechtlich und tatsächlich allein Ihr Unternehmen die tatsächlich allein Ihr Unternehmen die
vollständige Weisungs- und vollständige Weisungs- und Verfügungsbefugnis über die Daten hat.Verfügungsbefugnis über die Daten hat.
Marketing o.ä. mit Ihren Daten?
Praxistipps für die Nutzung von Cloud Computing
Treffen Sie mit dem Cloud-Anbieter eine Treffen Sie mit dem Cloud-Anbieter eine schriftliche schriftliche
Auftragsdatenverarbeitungsvereinbarung.Auftragsdatenverarbeitungsvereinbarung.
Praxistipps für die Nutzung von Cloud Computing
Kontrollieren und dokumentieren Sie die Einhaltung Kontrollieren und dokumentieren Sie die Einhaltung der technischen-organisatorischen Maßnahmen der technischen-organisatorischen Maßnahmen
beim Cloud-Anbieter vor Vertragsbeginn und dann beim Cloud-Anbieter vor Vertragsbeginn und dann regelmäßig.regelmäßig.
Kontrolle vor Ort nicht immer zwingend, andere Prüfmaßnahmen genügen im Einzelfall.
Praxistipps für die Nutzung von Cloud Computing
Für Leseratten:BSI-Eckpunktepapier
https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile
• Sicherheitsempfehlungen für Cloud Computing Anbieter , für Nutzer interessant
•„weitergehende Ausarbeitungen und Detaillierungen zum Themenbereich Cloud Computing werden (…) im IT-Grundschutz einfließen, beispielsweise in Form von IT- Grundschutz-Bausteinen.“
•„Geplant ist die Entwicklung von IT- Grundschutzbausteinen“
• Q4 2013
Für Leseratten:Orientierungshilfe Cloud Computing
http://www.bfdi.bund.de/DE/Themen/TechnologischerDatenschutz/TechnologischeOrientierungshilfen/Artikel/OHCloudComputing.html?nn=409206
Fazit:Thilo Weichert
Vielen Dank für die
Aufmerksamkeit !!!