WHITEPAPER: Symantec.cloud Rechtliche Aspekte der Cloud-Dienstleistung. Rechtliche Aspekte der Cloud- Dienstleistung

Größe: px
Ab Seite anzeigen:

Download "WHITEPAPER: Symantec.cloud Rechtliche Aspekte der Cloud-Dienstleistung. Rechtliche Aspekte der Cloud- Dienstleistung"

Transkript

1 Version 1.0 Stand der Bearbeitung: 2012 WHITEPAPER: Symantec.cloud Rechtliche Aspekte der Cloud-Dienstleistung Rechtliche Aspekte der Cloud- Dienstleistung Unternehmen und Behörden unterliegen beim Thema des Jahres Cloud-Computing vielfältigen gesetziichen Anforderungen, die sich insbesondere aus dem Datenschutzrecht ergeben. Die Kostenvorteile liegen auf der Hand, aber auch die Sicherheitsthemen müssen beleuchtet werden. Dies fordert die Verantwortlichen für IT, Datenschutz oder Recht auf, sich über die juristischen Rahmenbedingungen zu informieren. Wie kann die Auftragsdatenverarbeitung rechtssicher umgesetzt, wie das IT-Sicherheitskonzept beim Dienstleister geprüft werden, welche gesetzlichen Vorgaben sind zu beachten? Aufgabe des vorliegenden Compliance-Leitfadens ist die kompakte Beantwortung der rechtlichen Fragen rund um die Themenfelder Cloud-Computing und Auftragsdatenverarbeitung auch bei globalen Datenströmen. Hinweis Disclaimer Dieses Dokument ist keine Rechtsberatung, sondern ein allgemeiner Leitfaden ohne Bezug zum konkreten Einzelfall. Es ersetzt nicht die verbindliche Rechtsauskunft durch einen spezialisierten Anwalt. Bitte haben Sie Verständnis, dass trotz Sorgfalt bei der Erstellung eine Garantie oder Haftung für die inhaltliche Richtigkeit nicht übernommen wird. Grundsätzlich ist jedem Unternehmen anzuraten, sich bei informations- oder datenschutzrechtlichen Fragen vor jeglicher Implementierung individuell rechtlich beraten zu lassen.

2 Seite 2 Seite 2

3 Inhalt Autor 5 A. Die Symantec.cloud 6 B. Grundbausteine des Datenschutzes 6 I. Präventives Verbot mit Erlaubnisvorbehalt 6 II. Auftragsdatenverarbeitung (ADV) 7 III. Personenbezogene Daten 7 IV. Einwilligung 8 V. Betriebs- oder Dienstvereinbarung 8 C. Auftragsdatenverarbeitung (ADV) 9 I. Definition 9 II. Neuregelung des 11 BDSG Zehn-Punktekatalog 10 III. Kontrolle der Sicherheitsmaßnahmen 11 IV. Subunternehmer 12 V. Abgrenzung zur Funktionsübertragung 12 D. Das notwendige Sicherheitskonzept 13 I. Technisch-organisatorische Sicherheit nach 9 BDSG 13 II. Konkrete Sicherheitsmaßnahmen Zutrittskontrolle Zugangskontrolle Weitergabekontrolle Zugriffskontrolle Eingabekontrolle Auftragskontrolle Verfügbarkeitskontrolle Trennungskontrolle 19 Seite 3

4 E. Globaler Datentransfer 19 I. Erlaubnistatbestand 20 II. Angemessenes Datenschutzniveau Europäische Union - Europäischer Wirtschaftsraum Sichere Drittstaaten Datentransfer in die USA - Safe Harbor Abkommen EU-Standardvertragsklauseln Binding Corporate Rules, BCR 22 F. Management Summary 23 Seite 4

5 Autor RA Horst Speichert Rechtsanwalt und Partner Kanzlei esb Rechtsanwälte in Stuttgart, spezialisiert auf IT-Recht Seminarleiter IT-Compliance, IT-Sicherheit, Datenschutz Ausbilder für Datenschutzbeauftragte Fachbuchautor IT-Recht in der Praxis, Vieweg, 2. Auflage Lehrbeauftragter der Universität Stuttgart für Informationsrecht Internet: Seite 5

6 Der vorliegende Leitfaden behandelt in kompakter Form die rechtlichen Aspekte der Cloud-Dienstleistungen. A. Die Symantec.cloud Vor Erörterung der rechtlichen Rahmenbedingungen wollen wir zunächst auf die technisch-organisatorische Ausgangssituation eingehen. Die Symantec.cloud bietet Cloud-Dienstleistungen im IT-Sicherheitsumfeld zur Kosteneinsparung und Steigerung von Effizienz, Sicherheit und Professionalität. Die cloudbasierten Dienste umfassen im Einzelnen AntiSpam.cloud AntiVirus.cloud Image Control.cloud Content Control.cloud Boundary Encryption.cloud Policy Based Encryption.cloud Continuity.cloud Enterprise Vault.cloud Web Security.cloud IMS.cloud Symantec Endpoint Protection.cloud BackupExec.cloud Einen vollständigen Überblick zu den cloudbasierten IT-Sicherheitsdiensten der Symantec finden Sie in der Anlage dieses Leitfadens oder auf der Webseite: Die cloudbasierten Dienste werden im Rahmen von vertraglichen Dienstleistungsbeziehungen des Kunden (Auftraggebers) zur Symantec Deutschland GmbH, der Symantec Ltd. in UK und verschiedenen Resellern mit Sitz in Deutschland unter Einbeziehung eines oder mehrerer europäischer Standorte der Rechenzentren erbracht. Kunde (Auftraggeber) SymantecDeutschland GmbH SymantecLtd.inUK verschiedenereseller RZFrankfurt RZ London RZ Amsterdam B. Grundbausteine des Datenschutzes Die wesentlichen rechtlichen Anforderungen an cloudbasierte Dienste ergeben sich aus den gesetzlichen Datenschutzbestimmungen. I. Präventives Verbot mit Erlaubnisvorbehalt Gemäß 4 Abs. 1 BDSG ist die Erhebung, Verarbeitung und Nutzung personenbezogener Daten nur zulässig, soweit das BDSG oder eine andere Rechtsvorschrift dazu ermächtigt oder eine Einwilligung der Betroffenen vorliegt. Nach diesem präventiven Verbot mit Erlaubnisvorbehalt ist auch für die Verarbeitung von personenbezogenen Daten im Zuge einer Cloud-Dienstleistung stets ein Erlaubnistatbestand erforderlich, also entweder eine gesetzliche Ermächtigungsgrundlage (wozu auch Betriebs- oder Dienstvereinbarungen gehören) oder eine Einwilligung der betroffenen Mitarbeiter bzw. Kunden. Seite 6

7 II. Auftragsdatenverarbeitung (ADV) Nach 3 Abs. 8 S. 3 BDSG sind Personen und Stellen, die innerhalb der EU oder des Europäischen Wirtschaftsraums (EWR) personenbezogene Daten im Auftrag verarbeiten, keine Dritten. Das BDSG betrachtet den Auftragsdatenverarbeiter (= Auftragnehmer oder Dienstleister) rechtlich als Einheit mit der verantwortlichen Stelle. Dies hat zur Folge, dass der Datentransfer zu und von dem Auftragsdatenverarbeiter nicht als Übermittlung im Sinne von 3 Abs. 4 S. 2 Nr. 3 BDSG einzustufen ist. Somit greift das präventive Verbot mit Erlaubnisvorbehalt nicht, weshalb der Datentransfer ohne gesetzliche Ermächtigungsgrundlage oder Einwilligung des Betroffenen zulässig ist. Dies ist allerdings nur der Fall, sofern die Konstellation der Auftragsdatenverarbeitung nach 11 BDSG innerhalb der EU oder des EWR vorliegt. III. Personenbezogene Daten Der Anwendungsbereich der Datenschutzbestimmungen ist auf die Verwendung personenbezogener Daten beschränkt. Personenbezogene Daten sind gemäß 3 Abs. 1 BDSG Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (Betroffener). Somit ist der Personenbezug der Daten nicht nur bei tatsächlich bereits bekannten Personen, sondern auch bei bloßer Bestimmbarkeit der Identität (=Personenbeziehbarkeit) gegeben, was Anlass zu zahlreichen Diskussionen gibt. So ist beispielsweise strittig, ob IP-Adressen personenbezogene Daten darstellen oder nicht. Nach der sehr weitgreifenden Auslegung der Datenschutz-Aufsichtsbehörden ist der Personenbezug von IP-Adressen auch dann gegeben, wenn lediglich eine theoretische Möglichkeit der Identifikation gegeben ist, ohne dass die verarbeitende Stelle die Daten tatsächlich personifizieren kann (Beschluss der obersten Aufsichtsbehörden für den Datenschutz im nicht-öffentlichen Bereich, sog. Düsseldorfer Kreis vom 26./27. November 2009). Abb: Endpoint Protection.cloud Im Rahmen der Symantec.cloud kommen als personenbezogene Daten der Auftraggeber insbesondere s, Kontaktund Personaldaten in Betracht, die auf den Servern der Rechenzentren in Frankfurt, Amsterdam und London vorgehalten werden. Bezüglich der in der Symantec.cloud anfallenden Logfiles ist der Personenbezug wie dargestellt strittig, da die vorliegend tätigen Dienstleister in der Regel keine Möglichkeit haben, einen Personenbezug der Logfiles herzustellen bzw. die betroffenen Nutzer zu identifizieren. Trotzdem wird im vorliegenden Leitfaden auf Basis der weiten Auslegung des Düsseldorfer Kreises bezüglich der anfallenden Logfiles von personenbezogenen Daten ausgegangen. Seite 7

8 White Paper: Symantec.cloud - Rechtliche Aspekte der Cloud-Diens stleistung IV. Einwilligung Die Einwilligung ist zwar formalrechtlich als Erlaubnistatbestand gemäß 4 Abs. 1 BDSG denkbar, im Rahmen von Arbeits- und Kundenverhältnissenn aber aus zweierlei Gründenn die Ausnahme. Zum einenn scheitern diee Voraussetzungen einer zu- lässigen Einwilligung der betroffenen Mitarbeiter i.d.r. an der notwendigen Freiwilligkeit, die im Rahmen von abhängigg Beschäftigten starken Zweifeln unterliegt und nur imm Ausnahmefall gegeben ist; zum anderen sind Einwilligungen nicht praktikabel, da bei Verweigerung einzelner Mitarbeiter oder Kunden, mit der immer zu rechnen ist, das Gesamtkonzeptt scheitern würde. Plant ein Unternehmen z.b. die Verlagerung der -Archivie erung in die Cloud, so ist die Einwilligungg der Mitarbeiter keine sinnvolle Legitimationsgrundlage. Es verbleibt deshalb für cloudbasierte Dienste wie die Symantec.cloud bei den Möglichkeiten der gesetzlichen Ermächtigungsgrundlagen. Lediglich im Rahmen der erlaubten Privatnutzung sind legitimierende Einwilligungen der Mitarbeiter bzw. Nutzer i.d.r.. erforderlich und zulässig. Im Gegensatzz zur rein dienstlichen Nutzung kann bei der d erlaubten Privatnutzungg von der Frei- willigkeit der Einwilligungg ausgegangenn werden, da die Mitarbeiter eine echte Wahlfreiheit W besitzen. Wer sich z.b. gegen private Internet- oder Telefonnutzung entscheidet, e muss nicht mit negativen Konsequenzen rechnen. Geht ess dagegen z.b.. um die Auslagerung der Personaldaten in die Cloud, wird man einee Wahlfreiheit für f die betroffenen Mitarbeiter im Zweifel nicht unterstellen können. Abb2: Kompletter Ablauf der Sicherheit über die Wolke V. Betriebs- oder Dienstvereinbarung Da die Datenschutzfragenn der Beschäftigten dem Mitbestimmungsrecht unterliegen, können Betriebs- und Personalräte am Entscheidungsprozesss über Cloud-Dienste in Formm von Vereinbarungen mitwirken. Das Mitbestimmungsrecht der Betriebs- und Personalräte besteht gemäß 87 Abs. 1 Nr. 1 und 6 BetrVG und denn entsprechenden Personalvertretungsge- setzen für die Bereiche: Ordnung des Betriebes, Arbeitnehmer-Verhalten technische Kontrolleinrichtungen Die arbeitsgerichtliche Rechtsprechungg legt den Begriff der technischen Kontrolleinrichtungen weit aus. Ein Mitbe- stimmungsrecht besteht nicht erst für tatsächlich ausgeübte Verhaltenskontrollen, sondern bereits bei Funktionalitäten, die optionall eine Kontrolle ermöglichen. Damit erstreckt sich das Mitbestimmun gsrecht faktisch auf nahezu sämtliche IT- Sicherheitssysteme. Seite 8

9 White Paper: Symantec.cloud - Rechtliche Aspekte der Cloud-Diens stleistung Für die Ausübung der Mitbestimmung kommen k insbesondere der Abschluss von Betriebs- B und Dienstvereinbarungen mit entsprechenden Nutzungs- und Kontrollregelungen z..b. für die Internet- und -Nutzung inn Betracht. Bei der Betriebs- /Dienstvereinbarung handelt es sich um einen schriftlichen Vertrag zwischen Arbeitgeber undd Mitarbeitervertretung, der zur Lösung der Datenschutzfragen auch im Zusammenhang mit Cloud-Dienstleistungen geschlossen werden kann. Die Betriebs-/Dienstvereinbarung hat rechtssetzenden Charakter und ist als gesetzliche Ermächtigungsgrundlage im Sinne des Datenschutzes einzustufen. Im Rahmen ihres zulässigen Regelungskreises können Betriebs-/Dienstvereinbarungen zur Legitimation auch für die vorliegenden Datenverarbeitungen in der Cloud verwendet werden. C. Auftragsdatenverarbeitung (ADV) Übernimmt eine aus Sicht des Kunden (Auftraggebers) externe Stelle wie die Symantec.cloudd (nachfolgend auch Dienst- leister oder Auftragnehmer) IT-Sicherheitsdienste, welche auch die Verarbeitung von personenbezogenen Daten betreffen, so kann dies im Wege der sog. Auftragsdatenverarbeitung (ADV) geschehen. Abb: Security.cloud I. Definitionn ADV im Sinne des BDSG ist dadurch charakterisiert,, dass sich ein Auftraggeber eines Dienstleistungsunternehmens be- dient, das nach detaillierten Vorgaben betreffend Art und Umfang die Verarbeitung personenbezogener Daten ausführt. Der Dienstleister fungiert als verlängerter Arm oder als ausgelagerte Abteilung der verantwortlichen Stelle, die als Herrin der Daten die volle Verfügbarkeit behält und damit auch allein über ihre Verarbeitungen und Nutzungen bestimmtt (Simitis, BDSG, 11 RN 17 ff.). Für eine Ausgestaltung der Dienstleistung als ADV sind also bestimmte, nachfolgend dar- gestellte Anforderungen einzuhalten. Seite 9

10 II. Neuregelung des 11 BDSG Zehn-Punktekatalog Voraussetzung für die Einhaltung der Grenzen der ADV ist die Beachtung von 11 BDSG, dessen Voraussetzungen durch die Novellierung des BDSG erheblich verschärft und konkretisiert wurden. Die 11 Abs. 2 und 3 BDSG bestimmen, dass der Auftragnehmer unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen ist. Der Vertrag mit dem Dienstleister ist zwingend in Schriftform abzuschließen und muss nach dem Zehn-Punktekatalog des 11 Abs. 2 BDSG insbesondere im Detail regeln: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 BDSG zu treffenden technischen und organisatorischen Maßnahmen, 4. die Berichtigung, Löschung und Sperrung von Daten, 5. die bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6. die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7. die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9. der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10. die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Der Auftragnehmer darf die Daten nur im Rahmen der Weisungen des Auftraggebers erheben, verarbeiten oder nutzen. Ist er der Ansicht, dass eine Weisung des Auftraggebers gegen das BDSG oder andere Vorschriften über den Datenschutz verstößt, hat er den Auftraggeber darauf hinzuweisen. Weisungen kann der Auftragnehmer z.b. durch Konfigurationseinstellungen auf dem Admin-Portal oder durch Anweisungen gegenüber dem Support erteilen. Die vorgenannten Voraussetzungen können durch eine detaillierte Vertragsgestaltung erfüllt werden, welche insbesondere Regelungen zu Kontrollbefugnissen, zu notwendigen Subunternehmern, zum Zugriffsrechtekonzept und zum technisch-organisatorischen Sicherheitskonzept enthält. Die Auftraggeber müssen dafür sorgen, dass ihre personenbezogenen Mitarbeiter- und Kundendaten geregelt auf den Systemen der externen Dienstleister vorgehalten werden, um die Grenzen der ADV einzuhalten. Symantec.cloud hält zur Umsetzung des geforderten Zehn-Punktekatalogs einen schriftlichen Zusatzvertrag zur ADV für die Kunden bereit, der auf Nachfrage jederzeit erhältlich ist. Seite 10

11 III. Kontrolle der Sicherheitsmaßnahmen Der Auftraggeber hat sich gemäß 11 Abs. 2 Satz 4 BDSG vor Beginn der Datenverarbeitung (bereits vor Vertragsschluss) und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Sicherheitsmaßnahmen zu überzeugen. Der Gesetzgeber stellt sich hierbei in erster Linie Vor-Ort-Kontrollen vor, die jedoch nach der Gesetzesbegründung nicht zwingend sind, so dass auch eine Überprüfung anhand von aussagekräftigen Unterlagen des Dienstleisters ausreichend ist. Dabei müssen die Unterlagen prüffähig sein, also Rückschlüsse auf das Sicherheitskonzept des Cloud-Anbieters zulassen. Eine bloße Zusicherung des Cloud-Anbieters alleine genügt nicht. Das Ergebnis der Überprüfung ist zu dokumentieren. Abb: Endgeräteschutz über die Wolke mit Symantec.cloud Erleichtert wird die Überprüfung der technisch-organisatorischen Maßnahmen durch Zertifizierungen (insbesondere nach ISO 27001, SAS 70 Type II, oder ISAE 3402) und ausreichend detaillierte IT-Sicherheitsrichtlinien, welche das Sicherheitskonzept des Dienstleisters abbilden. Eine Prüfung der technisch-organisatorischen Sicherheitsmaßnahmen kann auch anhand der Prüfberichte externer Auditoren, von Wirtschaftsprüfern oder der Konzernrevision des Dienstleisters erfolgen. Dabei handelt es sich in der Regel um prüffähige Unterlagen, die für eine Kontrolle durch den Auftraggeber ausreichend sind. (vgl. Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom , Seite 9). Für die Symantec.cloud besteht ein Informationssicherheitsmanagementsystem (ISMS), das nach den Vorgaben von ISO zertifiziert und in das regelmäßige Risk Assesment eingebettet ist. Die Zertifizierung der Symantec.cloud nach ISO ist für den Auftraggeber nachprüfbar. Der entsprechende Anforderungskatalog nach IS mit den eingehaltenen Kontrollzielen ist in einem Statement of Applicability im Detail dargestellt. Um die geforderte Überprüfung der getroffenen technischen und organisatorischen Sicherheitsmaßnahmen zu ermöglichen, stellt Symantec.cloud dem Kunden die notwendigen Unterlagen auf Wunsch jederzeit zur Einsichtnahme zur Verfügung (z.b. Prüfberichte internationaler Wirtschaftsprüfungsgesellschaften oder das Statement of Applicability neben weiteren IT-Sicherheitsrichtlinien zur System-Architektur, Rechenzentren, Backbone etc.). Ein Assurance Letter für die Symantec.cloud nach dem Standard ISAE 3402 befindet sich in der Umsetzungsphase. Seite 11

12 IV. Subunternehmer Die eingeschalteten Subunternehmer sollen im Zusatzvertrag für die ADV geregelt werden, soweit sie bereits bekannt sind, oder ihre Einschaltung muss unter dem Zustimmungsvorbehalt des Auftraggebers stehen, soweit sie erst künftig bekannt werden. Oftmals wird der Auftraggeber der Cloud-Dienstleistung nicht wissen, an welchem Ort im jeweiligen Augenblick die Datenverarbeitung stattfindet. Hierbei ist es ausreichend, wenn der Auftraggeber über sämtliche mögliche Verarbeitungsorte vorab informiert ist (vgl. Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom , Seite 10).. Vorliegend setzt Symantec.cloud nur bekannte und zertifizierte Dienstleister und Rechenzentrums-Betreiber mit Sitz in Frankfurt, Amsterdam oder London als Subunternehmen ein. V. Abgrenzung zur Funktionsübertragung Je nach Art der Zusammenarbeit und gewählten Vertragsgestaltung kann eine externe IT-Dienstleistung nicht nur in Form der dargestellten ADV, sondern auch im Wege der selbständigen Funktionsübertragung ausgeführt werden. Für die vorliegende Symantec.cloud stellt sich die Frage, welche der beiden Varianten gegeben ist. Hierzu ist eine Abgrenzung der ADV zur Funktionsübertragung vorzunehmen. Der Bereich der ADV wird verlassen, sobald dem Dienstleister eine rechtliche Zuständigkeit oder eine tatsächliche Entscheidungskompetenz für die ausgelagerte Aufgabe zugewiesen wird. Wird nicht nur die Verarbeitung von Daten, sondern die Aufgabe selbst übertragen, so liegt ein Fall einer Funktionsübertragung vor. Im Gegensatz zur ADV ist mit der Funktionsübertragung zwingend eine Datenübermittlung verbunden, die gemäß dem präventiven Verbot mit Erlaubnisvorbehalt nur aufgrund gesetzlicher Ermächtigungsgrundlage oder Einwilligung des Betroffenen zulässig ist (siehe z.b. Aufsichtsbehörde Baden-Württemberg, Hinweis zum BDSG Nr. 26, Staatsanzeiger). Zur Unterscheidung zwischen ADV und Funktionsübertragung kann auf nachfolgende Kriterien abgestellt werden (vgl. LDSB Niedersachsen, Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Vom Bürgerbüro zum Internet Empfehlungen zum Datenschutz für eine serviceorientierte Verwaltung, S. 39). Für eine ADV spricht: Das Fehlen einer Entscheidungsbefugnis des Auftragnehmers über die Daten Ein Auftragsschwerpunkt, der auf die praktische technische Durchführung einer Datenverarbeitung gerichtet ist. Das Fehlen einer eigenständigen rechtlichen Beziehung des Auftragnehmers zu den Betroffenen. Für eine Funktionsübertragung spricht: Die Nutzung der herausgegebenen Daten für eigene Zwecke des Auftragnehmers. Eine Dienstleistung, die über die praktische technische Datenverarbeitung hinausgeht. Das Fehlen der Möglichkeit des Auftraggebers, auf einzelne Phasen der Verarbeitung oder Nutzung Einfluss zu nehmen. Die auf den Auftragnehmer abgewälzte Verantwortlichkeit für die Zulässigkeit und Richtigkeit der Datenverarbeitung. Ein Fall der selbständigen Erledigung der Aufgabe liegt vor, wenn der Dienstleister die Datenverarbeitung (z.b. die - Archivierung) nicht nur tatsächlich betreibt, sondern gleichzeitig auch die damit verbundenen Aufgaben übernimmt (Gola/Wronka, Handbuch zum Arbeitnehmerdatenschutz, RN 504), indem er selbständig entscheidet, wie die Aufgabe beim Auftraggeber konkret ausgestaltet wird. Man spricht dann auch von Outsourcing mit Funktionsübertragung. Seite 12

13 White Paper: Symantec.cloud - Rechtliche Aspekte der Cloud-Diens stleistung Verkürzt ausgedrückt ist entscheidend, ob nur die technische Realisierung oder die materielle Aufgabe samt Entschei- dungsbefugnissen ausgelagert wird. Hilfreiche Kontrollfragen: wer trifft die Entscheidungen hinsichtlich der Aufgabe, wer gestaltet und entscheidet die ablaufenden Prozessee und Organisationsvorgaben für die Aufgabe liegt der Auftragsschwerpunktt allein auf derr praktisch-technischen Durchführung oder umfasst err auch die Ent- scheidungsbefugnisse für die Aufgabe selbstt D. Das notwendige Sicherheitskonzept Für die vorliegende Symantec.cloud istt maßgeblich, dass Symantec sich auf eine software- und hardware-technischee Dienstleistung beschränkt, welche im Rahmen der unselbständigen ADV gestaltet werden kann, sofern die Vorgaben des 11 BDSG eingehalten werden. Eine materielle Übernahme der Aufgaben durch die eingesetzten Dienstleister oder Re- chenzentrenn ist damit nicht verbunden. Im Rahmen der Vorgaben des BDSG, insbesondere auch gemäß 11 BDSG, wird für die Verarbeitung personenbezogener Daten als Kernelement ein technisch-organisatorischenachfolgend dargestellt werden. Sicherheitskonzept nach 9 BDSG nebst Anlage gefordert, dessen Voraussetzungen I. Technisch-organisatorische Sicherheit nach 9 BDSG Das technisch-organisatorische Sicherheitskonzept gemäß Anlage zu 9 BDSG ist in acht verschiedene Kontrollbereichee gegliedert. Danach sind insbesondere Maßnahmen zuu treffen, die je nach der Artt der zu schützenden personenbezogenenn Daten oder Datenkategorien geeignet sind, 1. Unbefugten den Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitett oder genutztt werden, zu verwehren (Zutrittskontrolle), 2. zu verhindern, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können (Zugangskontrolle), 3. zu gewährleisten, dasss die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlichh auf die ihrerr Zugriffsberechtigung unterliegenden Daten zugreifenn können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entferntt werden können (Zugriffs-- kontrolle), Abb.: Web Sicherheit über die Wolke mit Symantec.cloud Seite 13

14 4. zu gewährleisten, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist (Weitergabekontrolle), 5. zu gewährleisten, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind (Eingabekontrolle), 6. zu gewährleisten, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können (Auftragskontrolle), 7. zu gewährleisten, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind (Verfügbarkeitskontrolle), 8. zu gewährleisten, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können (Trennungskontrolle). II. Konkrete Sicherheitsmaßnahmen In IT-technischen Begrifflichkeiten ausgedrückt, bedeuten die technisch-organisatorischen Maßnahmen nach 9 BDSG nebst Anlage insbesondere: (nachfolgende technische Vorgaben sind ratsam, aber nicht abschließend, sondern beispielhaft, auf konkrete Nachfrage können weitere Details mitgeteilt werden) 1. Zutrittskontrolle verlangt räumlich-physische Sicherungsmaßnahmen, wie z.b. einbruchsicheres Glas, Personenkontrollen, Authentifizierung etc. Empfohlen werden zertifizierte Rechenzentren (z.b. ISO oder SAS 70 Type II-Zertifizierung). Die Nutzung eines zertifizierten Rechenzentrums erleichtert dem Auftraggeber die Prüfung der technischorganisatorischen Vorgaben, ist daher ratsam, aber nicht zwingend. Konkrete Beschreibung des Zutrittskontrollsystems der Symantec.cloud: Die vorliegenden Dienstleister, eingesetzten Rechenzentren und Business Units der Symantec.cloud sind zum Teil gemäß ISO zertifiziert bzw. gemäß SAS 70 Type II oder ISAE 3402 geprüft (Detailinformationen sind auf Nachfrage erhältlich) Die Produktions-Infrastruktur wird in Rechenzentren betrieben, welche die hohen Anforderungen an physikalische Sicherheitsmaßnahmen erfüllen bzw. übertreffen: o Zutritt nur nach vorheriger Anmeldung o Ständig anwesendes Sicherheitspersonal am Empfang o Zwei oder mehr der folgenden Zutritts-Kontrollmechanismen: biometrisch (Handabdruck, Retina-Scan, Fingerabdruck), numerische Code Eingabe, Smart Card Zugangskontrolle, klassische Abschließsysteme o Ausweisleser, kontrollierte Schlüsselvergabe o Voneinander unabhängige redundante Strom- und Netzwerk-Versorgung o Generator und UPS bei Stromausfall o Dedizierte stark abgesicherte Bereiche ( Cages & Suites ) o eigene CCTV Überwachungskameras innerhalb dieser abgesicherten Bereiche Klassische Verschlüsselungssysteme, die von unserem Mitarbeitern kontrolliert werden (zusätzlich zu den physikalischen Abschließsystemen des RZ-Betreibers) Seite 14

15 2. Zugangskontrolle Weitergabekontrolle verlangt z.b. Passwortverwaltung, Firewall, Verschlüsselung, Protokollierung und regelmäßige Auswertung von Missbrauchsversuchen Konkrete Beschreibung des Zugangs- und Weitergabekontrollsystems der Symantec.cloud: Verschlüsselungsverfahren entsprechend dem Stand der Technik. Zugang zur Produktions-Infrastruktur nur via einem getrennten Management-Netzwerk (MPLS) und verschlüsselter Netzwerk-Kommunikation (SSH, RDP via TLS, SSL). Es werden nur robuste Verschlüsselungs-Protokolle eingesetzt (z.b. keine export-ciphers, kein SSLv2, kein SSHv1) Es werden nur hochsichere WLAN-Systeme verwendet (WPA2, 802.1x zertifikatbasierte EAP/TLS- Authentifizierung). Zugangsdaten werden niemals unverschlüsselt übermittelt. Zugriff auf Produktionssysteme ist nur via 2-Faktor Authentifizierung möglich. Passwörter werden nur als salted hashes gespeichert. Automatisch kontrollierte Passwortrichtlinien erlauben nur starke Passwörter und Benutzer müssen regelmäßig ihr Kennwort ändern (z.b. wiederholte Verwendung von Passwörtern ist nicht erlaubt). Robuste Web-Anwendungen implementieren secure session management Kontrollen und session expiry nach 15 Minuten. Beschreibung der verwendeten Einrichtungen und Übermittlungsprotokolle, z.b. Identifizierung und Authentifizierung, automatischer Rückruf u.a. Firewallsysteme und ständig aktualisierte Virensoftware sichern neben einer Secure Socket Layer (SSL) Verschlüsselung und dem Einsatz von VPN-Technologie die Kommunikation im Internet. Ansonsten werden so genannte "geschlossene" Datennetze verwendet. Symantec führt regelmäßige Penetrationstests durch, um Sicherheitslücken aufzudecken. Neue Software, Hardware und Updates werden vor Einführung getestet. Die öffentlich zugänglichen IP-Adressen werden vierteljährlich, sicherheitsrelevante Dienste jährlich gescannt. Zum Beispiel erfolgen bei der Archivierungslösung der Symantec.cloud -Übertragungen in das Archiv per SMTP über eine TLS (Transport Layer Security)-Verbindung mit 128-Bit-Verschlüsselung. Nachrichten werden während der Übertragung verschlüsselt, nach dem Eingang ins Archiv wieder entschlüsselt sowie mithilfe einer digitalen MD5-Hash-Signatur verifiziert. Die Daten werden über SSL (Secure Sockets Layer)-Verbindungen mit 128-Bit-Verschlüsselung an die Rechenzentren übertragen und so vor unberechtigten Zugriffen durch Dritte sowie Verlust geschützt. Der verschlüsselte Datenaustausch zwischen Mailserver und Archiv wird durch Aktivierung der TLS-Verschlüsselung im SMTP Connector gewährleistet (vgl. zur Verdeutlichung den nachfolgenden Screenshot). Seite 15

16 Externer Absender Z Abb.: Fluss bei Archivierung Seite 16

17 3. Zugriffskontrolle verlangt z.b. effektive, rollenbasierte Rechteverwaltung; Berechtigungskonzept Konkrete Beschreibung des Zugriffskontrollsystems der Symantec.cloud: Beschreibung von systemimmanenten Sicherungsmechanismen Initiale Zugangsdaten werden dem Auftraggeber mit einem temporären Passwort per zugesandt, auf Anfrage des Auftraggebers können Zugänge gesperrt oder temporäre Passworte zurückgesetzt werden. Der Zugriff ist nur über das getrennte Management-VPN möglich. Der Zugriff auf das Netz wird streng kontrolliert; nur Systemadministratoren und Techniker haben darauf Zugriff, es werden regelmäßig Berechtigungsprüfungen durchgeführt, um sicherzustellen, dass niemand unnötigen Zugriff hat. Kein Entwicklerzugriff auf Produktiv-Systeme Detaillierte, formale Change-Control-Prozesse, um sicherzustellen, dass keine unbefugten Änderungen vorgenommen werden Regelmäßige Zugriffsberechtigungsprüfungen, um genau nachzuprüfen, ob nur eine Zugriffsberechtigung für alle Systeme mit einem eigenen Authentifizierungssystem (z.b. Windows-Domänenbenutzer, Mail-Control- Towers, TACACS, Source Control, ClientNet etc.) aktiviert ist Die Netze enthalten branchenübliche Firewalls, und es sind mehrere zusätzliche Schichten für die Netzzugriffskontrolle vorhanden. Redundante Festplatten in Produktionssystemen werden physisch zerstört. Für interne Geschäftsaktivitäten werden Netzkonten angelegt und Zugangsberechtigungen gewährt, welche für die Aktivitäten jeweils erforderlich sind, wird über definierte Prozesse in Koordination mit der Personalabteilung und dem Security-Management ausgelöst. Neu beantragte Zugänge müssen vom Vorgesetzten genehmigt werden gemäß Richtlinien des Security- Verantwortlichen (hier finden zusätzlich regelmäßige Stichproben der Einhaltung statt). Symantec überprüft bezüglich bestimmter Produktionssysteme Zugriffskontrolllisten (Access Control Lists, ACLs) auf der Dateisystemebene, um Gewissheit zu schaffen, dass Benutzer nur Zugriff auf Daten haben, welche zur Erfüllung ihrer normalen beruflichen Pflichten notwendig sind. NOC (Network Operations Center) Mitarbeiter sowie Support und Engineers erhalten Sicherheits-Schulungen angepasst an ihre entsprechenden Rollen. Mitarbeiter mit Zugriff auf Produktions-Infrastruktur werden vor der Einstellung eingehend geprüft. Administrative Aktivitäten können immer eindeutig einer Person zugeordnet werden (z.b. durch Verwendung von sudo ). Support-Mitarbeiter haben keinen direkten Zugriff auf Kunden-Daten wie z.b. Spam Quarantäne oder Archiv. Zentrales Logging bietet die Möglichkeit nachträglicher Auditierung von Security-Events und Daten-Zugriff. Das Kunden-Portal ermöglicht granulare Rollenbasierte ZugriffsKontrolle 4. Eingabekontrolle verlangt z.b. Protokollierung der Zugriffe und Veränderungen, regelmäßige Auswertung der Protokollierungen, Aktivitätsprotokolle sind empfehlenswert Konkrete Beschreibung des Eingabekontrollsystems der Symantec.cloud: Sämtliche Systemaktivitäten inklusive Daten-Zugriff werden protokolliert Der Kundenbereitstellungsprozess erfordert, dass Daten vor ihrer Eingabe verifiziert werden. Seite 17

18 White Paper: Symantec.cloud - Rechtliche Aspekte der Cloud-Diens stleistung 5. Auftragskontrolle Konkrete Beschreibung der Auftragskontrollen der Symantec.cloud: Die Weisungen des Auftraggebers ergeben sich aus den Leistungsbesch hreibungen und Konfigurationseinstellun- gen im Kunden-Portal sowie Support-Anfragen. Mitarbeiter werden zum Thema Datenschutzz geschult. 6. Verfügbarkeitskontrolle verlangt z.b. vorbeugende, erkennende und behebende Maßnahmen gegen Computerviren, Datensicherung (Backup), Monitoring von Sicherheitsapplikationen, Aktualisierung der Virensignature n etc. Konkrete Beschreibung des Verfügbarkeitskontrollsystems der Symantec.cloud: Sicherungskopien des Datenbestand des werden in folgenden Verfahren V hergestellt: Beschreibung von Rhythmus, Medium, Aufbewahrungszeitt und Aufbewahrungsort für Back-up-Kopien. Abb.: Backup.cloud mit Symantec.cloud Symantec unterhält Datenzentren an mehr als nur einem Standort, umm bei einem Ausfall an einem Standort Da- tenverluste zu vermeiden. Cluster bestehen aus mehreren Mail Control Towers, die geographisch verteiltt innerhalb einer Region per DNS-Loadbalancing angesprochen werden und somit für Hochverfügbarkeit sorgen.. An jedem Standort werden Lastspitzen abgefangen durch maximale Regel-Auslastungg von 40%. Innerhalb der einzelnen Mail Control Tower sorgen Loadbalancer für Lastverteilung und Hochverfügbarkeit über mehrere MTAs. Regelmäßige Kapazitäts- Berichte werden wöchentlich einem e Ausschuss vorgelegt, um rechtzeitigg auf Entwicklungen in der Auslastung re- agieren zu können. Dazu existieren Überwachungsmechanismen für diee Verfügbarkeit und Performanz der Infra- struktur die 24/7 beobachtet werden bzw. per automatischem Alerting auf a Mißständee aufmerksam machen. Ähn- liche Mechanismen existieren für die Web Security Dienste. Seite 18

19 Kritische Konfigurationsdaten werden überregional repliziert, um zusätzlich für erhöhte Verfügbarkeit der Dienste zu sorgen. Symantec hat ein Business Continuity und Disaster Recovery Management mit einer entsprechenden Notfallplanung nach dem international anerkannten Standard BS implementiert. Symantec hat ein Incident Management Response Team, das Sicherheitsvorfälle bearbeitet. 7. Trennungskontrolle verlangt z.b. Trennbarkeit der Datenbestände, Mandantenfähigkeit der Systeme Konkrete Beschreibung des Trennungskontrollsystems der Symantec.cloud: Test- und Produktionsumgebungen sind voneinander getrennt. Es findet eine strikte sachlogische Trennung der Mandantendaten statt. Weitere Detailbeschreibungen und Unterlagen über das technisch-organisatorische Sicherheitskonzept können dem interessierten Kunden jederzeit zur Verfügung gestellt werden. E. Globaler Datentransfer Nach der Europäischen Datenschutzrichtlinie 95/46/EG und der entsprechenden Umsetzung im BDSG können zwei Voraussetzungen für eine rechtmäßige Datenübermittlung ins Ausland unterschieden werden. Notwendig ist demnach stets eine zweistufige Prüfung: 1. Stufe: Erlaubnistatbestand 2. Stufe: angemessenes Datenschutzniveau I. Erlaubnistatbestand Für die rechtmäßige Übermittlung der Daten ist ein Erlaubnistatbestand erforderlich. Ein solcher kann sich ergeben aus einer gesetzlichen Ermächtigungsgrundlage einer Einwilligung oder im Falle der ADV aus 11 BDSG. In Frage kommen als Erlaubnisnorm für den Transfer von Beschäftigtendaten insbesondere 32 BDSG sowie einschlägige Betriebs- oder Dienstvereinbarungen. Für den Transfer von Kundendaten (und ergänzend auch für Beschäftigtendaten) kommt insbesondere die Wahrnehmung berechtigter Interessen gemäß 28 Abs. 1 Nr. 2 BDSG in Betracht (vgl. Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom , Seite 11). Für den Fall einer ADV innerhalb der Europäischen Union (EU) oder einem Vertragsstaat des Abkommens über den Europäischen Wirtschaftsraum (EWR) genügt die Einhaltung des 11 BDSG, ohne dass es einer zusätzlichen Ermächtigungsgrundlage bedarf. Die Wahrnehmung berechtigter Interessen gemäß 28 Abs. 1 Nr. 2 BDSG erfordert für die Cloud-Dienstleistung ein überwiegendes betriebliches Interesse des Auftraggebers an der Übermittlung personenbezogener Daten ins Ausland. Aufgrund einer Güterabwägung nach dem Verhältnismäßigkeitsprinzip ist zu beurteilen, ob der Auslandstransfer personenbezogener Daten für den Auftraggeber erforderlich und für die Betroffenen angemessen ist. In die einzelfallbezogene Gesamtabwägung der relevanten Belange sind alle beteiligten Interessen mit einzubeziehen. Zugunsten des betrieblichen Interesses können insbesondere Aspekte der cloudbasierten Dienstleistung wie die höhere Effizienz, Sicherheit und Professionalität die Zusicherung von Service Levels Kosteneinsparung (Betriebskosten, Investitionskosten in Hardware & Software Lizenzen, zusätzlich benötigtes Personal), geringerer Administrationsaufwand Serverstandort in Deutschland oder EuropaZertifizierung der Dienstleister etc. einbezogen werden. Sofern die Vorteile für den konkreten Auftraggeber die möglichen Nachteile deutlich überwiegen, ist eine Legitimation nach 28 Abs. 1 Nr. 2 BDSG gegeben. Seite 19

20 II. Angemessenes Datenschutzniveau Auf der zweiten Stufe geht es um die Sicherstellung eines angemessenen Datenschutzniveaus, das beim Datenempfänger (=Cloud-Anbieter) am Sitz seiner Niederlassung im Ausland gewährleistet sein muss. Diese Vorgabe findet sich in Artikel 25 der Datenschutzrichtlinie, in Deutschland umgesetzt durch 4b BDSG. 1. Europäische Union - Europäischer Wirtschaftsraum Hat der Cloud-Anbieter seinen Sitz in einem Mitgliedstaat der EU oder einem Vertragsstaat des EWR so ist wegen der Harmonisierung durch die Europäischen Datenschutzrichtlinien automatisch ein ausreichendes Datenschutzniveau sichergestellt. Im Falle der ADV innerhalb der EU oder des EWR genügt also die Einhaltung des 11 BDSG für die Sicherstellung eines angemessenen Datenschutzniveaus am Sitz der Auslandsniederlassung des Cloud-Anbieters, ohne dass es zusätzlicher Erlaubnistatbestände bedarf. Der Datentransfer zu und von dem Auftragsdatenverarbeiter wird gemäß 3 Abs. 8 S. 3 BDSG nicht als Datenübermittlung im Sinne des BDSG eingestuft. Somit greift das präventive Verbot mit Erlaubnisvorbehalt nicht, weshalb der Datentransfer ohne weitere gesetzliche Ermächtigungsgrundlage oder Einwilligung des Betroffenen zulässig ist. Symantec.cloud hält zur Umsetzung der Anforderungen des 11 BDSG (Zehn-Punktekatalog) einen schriftlichen Zusatzvertrag zur ADV für die Kunden bereit, der auf Nachfrage jederzeit erhältlich ist. 2. Sichere Drittstaaten Darüber hinaus hat die EU-Kommission für bestimmte Länder (z.b. Argentinien, Israel, Kanada, Schweiz) entschieden, dass die dortigen Datenschutzbestimmungen generell ein angemessenes Datenschutzniveau sicherstellen. Für Datenempfänger (=Cloud-Anbieter) mit Sitz in diesen sog. sicheren Drittstaaten ist daher die 2. Stufe (angemessenes Datenschutzniveau) ebenso unproblematisch erfüllt wie innerhalb der EU oder des EWR. Mindestvoraussetzung für die Sicherstellung eines angemessenen Datenschutzniveaus im sicheren Drittstaat ist aber stets die Einhaltung der Voraussetzungen der ADV analog 11 BDSG. Die dortigen Vorgaben, insbesondere ein schriftlicher Vertrag und die Vorabprüfung des Sicherheitskonzepts, müssen also eingehalten werden. Der Datentransfer zu und von dem Datenverarbeiter (=Cloud-Anbieter) im sicheren Drittstaat wird im Gegensatz zur ADV nach 11 BDSG als Datenübermittlung im Sinne des BDSG eingestuft, da die Fiktion des 3 Abs. 8 S. 3 BDSG nicht greift. Somit muss nach dem präventiven Verbot mit Erlaubnisvorbehalt eine gesetzliche Ermächtigungsgrundlage, z.b. gemäß 28 Abs. 1 Nr. 2 BDSG, erfüllt sein. Eine entsprechende Prüfung ist im Gegensatz zur ADV nach 11 BDSG erforderlich. 3. Datentransfer in die USA - Safe Harbor Abkommen Für einen Datentransfer in die USA besteht das sog. Safe Harbor Frameworks. Demnach können Datenempfänger (=Cloud-Anbieter) in den USA beauftragt werden, wenn sie sich im Wege der Selbstverpflichtung den Maßgaben von Safe Harbor unterwerfen und auf der dafür vorgesehenen Liste des US-Handelsministeriums registrieren lassen (sog. Certification). Darüber hinaus verlangen die deutschen Datenschutzaufsichtsbehörden für den US-Datenempfänger (=US-Cloud- Anbieter) i.d.r. eine Überprüfung durch ein internes oder externes Audit sowie eine Privacy Policy (sog. Verification). Stets kommen ergänzend auch die Regelungen der ADV analog 11 BDSG zur Anwendung. Die dortigen Vorgaben, insbesondere ein schriftlicher Vertrag und die Vorabprüfung des Sicherheitskonzepts, müssen als Mindestniveau in jedem Falle eingehalten werden (vgl. Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder vom , Seite 12). Verbleiben Zweifel bezüglich der Einhaltung des Safe Harbor Framework oder der unabdingbaren Mindestanforderungen, so soll der Auftraggeber mit dem US- Dienstleister die EU-Standardvertragsklauseln vereinbaren (vgl. Beschluss des Düsseldorfer Kreises zu Safe Harbor vom ). Seite 20

Web-Security als Cloud-Service

Web-Security als Cloud-Service Web-Security als Cloud-Service Die datenschutzrechtlichen Rahmenbedingungen Version 2.0 Inhaltsverzeichnis Autor... 1 Hinweis - Disclaimer... 2 I. Management Summary... 3 II. Ausgangssituation... 3 III.

Mehr

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder Rechtsanwalt Marcus Beckmann Beckmann und Norda - Rechtsanwälte Rechtsanwalt Marcus Beckmann Rechtsanwalt Marcus

Mehr

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Praktische Rechtsprobleme der Auftragsdatenverarbeitung Praktische Rechtsprobleme der Auftragsdatenverarbeitung Linux Tag 2012, 23.05.2012 Sebastian Creutz 1 Schwerpunkte Was ist Auftragsdatenverarbeitung Einführung ins Datenschutzrecht ADV in der EU/EWR ADV

Mehr

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1 1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl

Mehr

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG) Der Auftraggeber beauftragt den Auftragnehmer FLYLINE Tele Sales & Services GmbH, Hermann-Köhl-Str. 3, 28199 Bremen mit

Mehr

Cloud Computing und Datenschutz

Cloud Computing und Datenschutz Cloud Computing und Datenschutz Kurzvortrag CeBIT 2012 Christopher Beindorff Rechtsanwalt und Fachanwalt für IT-Recht Beindorff & Ipland Rechtsanwälte Rubensstraße 3-30177 Hannover Tel: 0511-6468098 Fax:

Mehr

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung Rechtliche Anforderungen an Cloud Computing in der Verwaltung Dr. Sönke E. Schulz Geschäftsführender wissenschaftlicher Mitarbeiter 19. Berliner Anwenderforum egovernment 19./20. Februar 2013 Bundespresseamt,

Mehr

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datendienste und IT-Sicherheit am 11.06.2015. Cloud Computing und der Datenschutz (k)ein Widerspruch? Datendienste und IT-Sicherheit am 11.06.2015 Cloud Computing und der Datenschutz (k)ein Widerspruch? Datensicherheit oder Datenschutz? 340 Datenschutz Schutz des Einzelnen vor Beeinträchtigung seines 220

Mehr

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT Technische und organisatorische Maßnahmen nach 9 BDSG - Regelungsinhalte von 9 BDSG sowie Umsetzungsmöglichkeiten der Datenschutzgebote Fraunhofer

Mehr

Cloud Computing & Datenschutz

Cloud Computing & Datenschutz Cloud Computing & Datenschutz Fabian Laucken Fachanwalt für Informationstechnologierecht und Fachanwalt für Gewerblichen Rechtsschutz Handlungsfeldkonferenz Internet der Dienste Mit freundlicher Genehmigung

Mehr

Datenschutz-Vereinbarung

Datenschutz-Vereinbarung Datenschutz-Vereinbarung zwischen intersales AG Internet Commerce Weinsbergstr. 190 50825 Köln, Deutschland im Folgenden intersales genannt und [ergänzen] im Folgenden Kunde genannt - 1 - 1. Präambel Die

Mehr

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion) I. Ziel des Datenschutzkonzeptes Das Datenschutzkonzept stellt eine zusammenfassende Dokumentation der datenschutzrechtlichen Aspekte

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2 4

Mehr

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos Kirstin Brennscheidt Cloud Computing und Datenschutz o Nomos Inhaltsverzeichnis Abkürzungsverzeichnis I Einleitung 1. Motivation und Begriff des Cloud Computing 11. Gegenstand der Untersuchung III. Gang

Mehr

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen......... - Auftraggeber - und yq-it GmbH Aschaffenburger Str. 94 D 63500 Seligenstadt - Auftragnehmer

Mehr

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten? Rechtsanwalt Dr. Oliver Hornung Rechtsanwalt Dr. Matthias Nordmann

Mehr

Checkliste: Technische und organisatorische Maßnahmen

Checkliste: Technische und organisatorische Maßnahmen Checkliste: Technische und organisatorische Maßnahmen Folgende technische und organisatorische Maßnahmen wurden nach 9 BDSG für folgende verantwortliche Stelle getroffen: Musterstein GmbH Musterweg 2-4

Mehr

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung 1. DFN Workshop Datenschutz Rechtliche Aspekte der Auftragsdatenverarbeitung Hamburg, 28.11.2012 Dr. Jens Eckhardt Rechtsanwalt und Fachanwalt für IT-Recht JUCONOMY Rechtsanwälte 1 1 Grundverständnis der

Mehr

BYOD Bring Your Own Device

BYOD Bring Your Own Device BYOD Bring Your Own Device Was ist das Problem? So könnt ihr es regeln. Bruno Schierbaum Berater bei der BTQ Niedersachsen GmbH BTQ Niedersachsen GmbH Donnerschweer Straße 84; 26123 Oldenburg Fon 0441/8

Mehr

Leseprobe zum Download

Leseprobe zum Download Leseprobe zum Download Eisenhans / fotolia.com Sven Vietense / fotlia.com Picture-Factory / fotolia.com Liebe Besucherinnen und Besucher unserer Homepage, tagtäglich müssen Sie wichtige Entscheidungen

Mehr

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft Cloud Computing und Datenschutz: Was sind die rechtlichen Probleme und wie löst man diese? Oberhausen, 09.11.2011 Dr.

Mehr

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen Zweck und Zielsetzung Die Anforderungen nach Bundesdatenschutzgesetz (BDSG) sowie der anderen Datenschutzgesetze

Mehr

Datenschutz und Systemsicherheit

Datenschutz und Systemsicherheit Datenschutz und Systemsicherheit Gesetze kennen! Regelungen anwenden! Dipl.-Informatiker Michael Westermann, Gesundheitsinformatik GmbH, Mannheim 21.04.2005 Gesetze (Auszug) Bundesdatenschutzgesetz Landesdatenschutzgesetz

Mehr

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013)

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: 22.03.2013) 1. Pflichten von BelWü (Auftragnehmer) 1.1. Der Auftragnehmer darf Daten nur im Rahmen dieses Vertrages und nach den Weisungen der Schule verarbeiten. Der Auftragnehmer wird in seinem Verantwortungsbereich

Mehr

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012

IT-Outsourcing aus der Perspektive einer bdsb. Bettina Robrecht Datenschutzbeauftragte 17. März 2012 IT-Outsourcing aus der Perspektive einer bdsb Bettina Robrecht Datenschutzbeauftragte 17. März 2012 Agenda I. Überblick: Definitionen und anwendbares Recht II. Outsourcing innerhalb der EU/EWR III. Outsourcing

Mehr

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit Agenda Definitionen Verantwortlichkeiten

Mehr

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Cloud Computing Praxistipps für den rechtssicheren Einsatz in Unternehmen Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Dr. Müller & Kollegen Rechtsanwälte, Fachanwälte & Notare

Mehr

Heiter bis wolkig Datenschutz und die Cloud

Heiter bis wolkig Datenschutz und die Cloud Heiter bis wolkig Datenschutz und die Cloud Inhaltsüberblick 1) Kurzvorstellung Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein 2) TClouds Datenschutz in Forschung und Entwicklung 3) Cloud

Mehr

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Jahresbericht 2015. Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT Jahresbericht 2015 über den Stand der Umsetzung Datenschutz Grundschutzes gemäß definiertem Schutzzweck bei der ecs electronic cash syländer gmbh Aichet 5 83137 Schonstett erstellt durch Lothar Becker

Mehr

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports

Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports Vereinbarung zur Auftragsdatenverarbeitung für jcloud und Remote-Zugriff im Rahmen des Softwaresupports 1. Anwendungsbereich Im Rahmen des Supports für das JURION Portal, die jdesk-software einschließlich

Mehr

IT-Sicherheit: So schützen Sie sich vor Angriffen

IT-Sicherheit: So schützen Sie sich vor Angriffen IT-Sicherheit: So schützen Sie sich vor Angriffen Rechtliche Aspekte der IT-Sicherheit und des Datenschutzes Kathrin Schürmann, Rechtsanwältin 01 Datensicherheit und Datenschutz Die Datensicherheit schützt

Mehr

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutz und Datensicherung (BDSG) Inhaltsübersicht Datenschutzziel Datenschutz und Datensicherung Personenbezogene Daten Datenverarbeitung Zulässigkeit personenbezogener Datenverarbeitung Zulässigkeit

Mehr

Thementag Cloud Computing Datenschutzaspekte

Thementag Cloud Computing Datenschutzaspekte Thementag Cloud Computing Datenschutzaspekte Gabriel Schulz Stellvertreter des Landesbeauftragten für Datenschutz und Informationsfreiheit Mecklenburg-Vorpommern Heise online 30. Juni 2011: US-Behörden

Mehr

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für 02.06.2015 1 Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) 13889 205; wiatr@datenschutz-berlin.de

Mehr

Continum * Datensicherheitskonzept

Continum * Datensicherheitskonzept Continum * Datensicherheitskonzept Dieses Dokument ist öffentlich. Weitergabe an Dritte, Kopie oder Reproduktion jedweder Form ohne vorherige schriftliche Zustimmung der Continum AG ist untersagt. Continum

Mehr

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt

Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main (Auftragnehmer) stellt 1. Präambel Die Matrix42 Marketplace GmbH, Elbinger Straße 7 in 60487 Frankfurt am Main ("Auftragnehmer") stellt _ (Vollständige Firma und Adresse des Kunden) ("Auftraggeber") gemäß den "Allgemeine Geschäftsbedingungen

Mehr

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV) koecher@dfn-cert.de Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung

Mehr

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex

Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Bastian Wetzel Dokumentation der technischen und organisatorischen Maßnahmen zur Einhaltung des Datenschutzes bei Collmex Verteiler: Alle Mitarbeiter sowie interessierte Kunden der Collmex GmbH, Anlage

Mehr

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG Datensicherheit bei gem. 9 BDSG Der Auftragnehmer verpflichtet sich gegenüber dem Auftraggeber zur Einhaltung nachfolgender technischer und organisatorischer Maßnahmen, die zur Einhaltung der anzuwendenden

Mehr

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht

Cloud Computing. Praxistipps für den rechtssicheren Einsatz in Unternehmen. Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Cloud Computing Praxistipps für den rechtssicheren Einsatz in Unternehmen Dr. jur. Sebastian Karl Müller Fachanwalt für Informationstechnologierecht Dr. Müller & Kollegen Rechtsanwälte, Fachanwälte & Notare

Mehr

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen Uniscon universal identity control GmbH Agnes-Pockels-Bogen 1 80992 München für das Verfahren IDGARD Datenschutzkasse,

Mehr

Was ein Administrator über Datenschutz wissen muss

Was ein Administrator über Datenschutz wissen muss Was ein Administrator über Datenschutz wissen muss Berlin, 14.05.2014 Rechtsanwalt Thomas Feil Fachanwalt für IT-Recht und Arbeitsrecht Datenschutzbeauftragter TÜV 1 "Jeder Mensch soll grundsätzlich selbst

Mehr

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung Channel-Sales Kongress Cloud Computing, München 9. Mai 2012 Rechtsanwalt Dr. Sebastian Kraska Externer Datenschutzbeauftragter

Mehr

Auftragsdatenverarbeitung nach 11 BDSG

Auftragsdatenverarbeitung nach 11 BDSG . Mustervereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG für BMI und Geschäftsbereich Mustervereinbarung zur Auftragsdatenverarbeitung Stand:Mai 2012 Vereinbarung zur Auftragsdatenverarbeitung Als

Mehr

Rechtliche Aspekte des Cloud Computing

Rechtliche Aspekte des Cloud Computing Rechtliche Aspekte des Cloud Computing Cloud Computing Impulse für die Wirtschaft ecomm Brandenburg, 23.06.2011 Themen 1. Überblick 2. Cloud und Datenschutz 3. Aspekte bei der Vertragsgestaltung 4. Fazit

Mehr

Name : Hochschule für angewandte Wissenschaften München

Name : Hochschule für angewandte Wissenschaften München 1 Verantwortliche Stelle Name : Hochschule für angewandte Wissenschaften München Straße : Lothstraße 34 Postleitzahl : 80335 Ort : München Telefon* : 089 1265-1405 Telefax* : 089 1265-1949 Mail* : annette.hohmann@hm.edu

Mehr

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.

Cloud Services. Cloud Computing im Unternehmen 02.06.2015. Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06. Business mit der Cloudflexibler, einfacher, mobiler? Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten 02.06.2015 Cloud Services www.res-media.net 1 Was ist Cloud-Computing? neue

Mehr

IT-Compliance und Datenschutz. 16. März 2007

IT-Compliance und Datenschutz. 16. März 2007 IT-Compliance und Datenschutz 16. März 2007 Die Themen Agenda Vorstellung Deutsche Post Adress GmbH IT-Compliance und Datenschutz allgemein Bundesdatenschutzgesetz (BDSG) Der Datenschutzbeauftragte Verbot

Mehr

Cloud Computing Datenschutz und richtig gute Cloud-Verträge

Cloud Computing Datenschutz und richtig gute Cloud-Verträge Cloud Computing Datenschutz und richtig gute Cloud-Verträge Dr. Jörg Alshut iico 2013 Berlin, 13.05.2013 Rechtsberatung. Steuerberatung. Luther. Überblick. Cloud Computing Definition. Datenschutz Thesen.

Mehr

Rechtssicher in die Cloud so geht s!

Rechtssicher in die Cloud so geht s! Rechtssicher in die Cloud so geht s! RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud Computing Services für die Wirtschaft IHK Niederrhein, 14. Februar 2013 Ist die (Public-)Cloud nicht...

Mehr

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud

Vertrauenswürdiges Cloud Computing - ein Widerspruch? www.datenschutzzentrum.de. Die Verantwortlichkeit für Datenverarbeitung in der Cloud Vertrauenswürdiges Cloud Computing - ein Widerspruch? Was ist Cloud Computing? Geltung des BDSG für Cloud Computing Inhaltsüberblick Die Verantwortlichkeit für Datenverarbeitung in der Cloud Auftragsdatenverarbeitung

Mehr

Gesetzliche Grundlagen des Datenschutzes

Gesetzliche Grundlagen des Datenschutzes Gesetzliche Grundlagen des Datenschutzes Informationelle Selbstbestimmung Bundesdatenschutzgesetz Grundgesetz Gesetzliche Grundlagen des Datenschutzes allg. Persönlichkeitsrecht (Art. 1, 2 GG) Grundrecht

Mehr

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013 Karsten U. Bartels LL.M. HK2 Rechtsanwälte 1 Meine Punkte Cloud Service Provider 2 IT-Outsourcing

Mehr

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG: Geprüftes Unternehmen: Firmenname: oberste Leitung; EDV-Abteilung: Datenschutzbeauftragter: Firmensitz: Niederlassungen: Prüfdaten: Prüfung

Mehr

Cloud-Update 2012. Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht

Cloud-Update 2012. Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud-Update 2012 Rechtssicher in die Wolke Fachanwalt für Informationstechnologierecht Cloud Conf 2011, Frankfurt am Main den 21. November 2011 Cloud-Update 2012 Rechtssicher in die Wolke Fachanwalt für

Mehr

Checkliste zum Umgang mit Personalakten

Checkliste zum Umgang mit Personalakten Checkliste zum Umgang mit Personalakten 1.1 Was müssen Sie über den rechtskonformen Umgang mit Personalakten wissen? Personalakten, ob digital oder analog, beinhalten personenbezogene und damit schützenswerte

Mehr

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem!

David Herzog. Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! David Herzog Rechtliche Rahmenbedingungen des Cloud Computing... und wir machen es trotzdem! 1. Rechtliche Rahmenbedingungen Auftrag: Gegen welche Personen bestehen ausgehend von den Erkenntnissen aus

Mehr

Sicherheit in Cloud-Diensten

Sicherheit in Cloud-Diensten Informationstag "IT-Sicherheit im Arbeitsrecht" Berlin, 15.04.2014 Sicherheit in Cloud-Diensten Karsten U. Bartels LL.M. Rechtsanwalt, HK2 Rechtsanwälte Rechtsanwalt Lehrbeauftragter der TH Wildau Zertifizierter

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG und der IT-Sicherheit Musterlösung zur 1. Übung vom 05.05.2014: Einführung in den Datenschutz nach dem BDSG 1.1 Legaldefinitionen Aufgabe: Stellen Sie gegenüber, in welchen Fällen von einer "Übermittlung"

Mehr

Datenschutzvereinbarung

Datenschutzvereinbarung Datenschutzvereinbarung Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG zwischen dem Nutzer der Plattform 365FarmNet - nachfolgend Auftraggeber genannt - und

Mehr

Datenschutzvereinbarung. Auftragsdatenverarbeitung gemäß 11 BDSG. Datenschutzvereinbarung zwischen. (im nachfolgenden Auftraggeber genannt) und der

Datenschutzvereinbarung. Auftragsdatenverarbeitung gemäß 11 BDSG. Datenschutzvereinbarung zwischen. (im nachfolgenden Auftraggeber genannt) und der 1/6 Datenschutzvereinbarung zwischen (im nachfolgenden Auftraggeber genannt) und der GSG Consulting GmbH -vertreten durch deren Geschäftsführer, Herrn Dr. Andreas Lang- Flughafenring 2 44319 Dortmund (im

Mehr

Datenübermittlung ins Ausland

Datenübermittlung ins Ausland Die Landesbeauftragte für den Datenschutz Niedersachsen Datenübermittlung ins Ausland I) Allgemeines Unternehmen übermitteln häufig personenbezogene Daten ins Ausland, z.b. beim Outsourcing von einzelnen

Mehr

Fachkundig beraten. Rechtssicherheit in der Cloud Die neuen datenschutzrechtlichen Vorgaben und ihre Umsetzung in der Praxis

Fachkundig beraten. Rechtssicherheit in der Cloud Die neuen datenschutzrechtlichen Vorgaben und ihre Umsetzung in der Praxis Fachkundig beraten Rechtssicherheit in der Cloud Die neuen datenschutzrechtlichen Vorgaben und ihre Umsetzung in der Praxis Dr. Christiane Bierekoven, Rechtsanwältin, Fachanwältin für IT-Recht it-sa Nürnberg

Mehr

Vereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG

Vereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG Vereinbarung zur Auftragsdatenverarbeitung nach 11 BDSG (die Vereinbarung ) zwischen dem Endkunden -Auftraggeber- und Freespee AB Villavägen 7 75236 Uppsala Schweden -Auftragnehmer- gemeinsam oder einzeln

Mehr

Cloud Computing im Mittelstand IT-Kosten reduzieren und Datensicherheit gewährleisten

Cloud Computing im Mittelstand IT-Kosten reduzieren und Datensicherheit gewährleisten Cloud Computing im Mittelstand IT-Kosten reduzieren und Datensicherheit gewährleisten Torsten Schneider, Global Community Director, Elster Group SE Peter Huppertz, Rechtanwalt und Fachanwalt für Informationstechnologierecht

Mehr

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt

... - nachstehend Auftraggeber genannt - ... - nachstehend Auftragnehmer genannt Vereinbarung zur Auftragsdatenverarbeitung gemäß 11 Bundesdatenschutzgesetz zwischen... - nachstehend Auftraggeber genannt - EDV Sachverständigen- und Datenschutzbüro Michael J. Schüssler Wirtschaftsinformatiker,

Mehr

Vertrag Auftragsdatenverarbeitung

Vertrag Auftragsdatenverarbeitung Bonalinostr. 1-96110 Scheßlitz - Telefon: +49 (0)9542 / 464 99 99 email: info@webhosting-franken.de Web: http:// Vertrag Auftragsdatenverarbeitung Auftraggeber und Webhosting Franken Inhaber Holger Häring

Mehr

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG

NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG NOVELLIERUNG DES BUNDESDATENSCHUTZGESETZES ÄNDERUNGEN SEPTEMBER 2009 TEIL 1: AUFTRAGSDATENVERARBEITUNG Autoren: Daniela Weller (DIIR e.v.) In Zusammenarbeit mit Uwe Dieckmann (GDD e.v.) und Volker Hampel

Mehr

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen

Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Datenschutzfokussiertes Sicherheitsmanagement einer elektronischen FallAkte (EFA) im Universitätsklinikum Aachen Focussing on Data Protection Security Management of an Electronic Case Record (EFA) at the

Mehr

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena

Rechtsanwalt Dr. Mathis Hoffmann SUFFEL & DE BUHR, Jena. Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Rechtsgrundlagen der IT-Sicherheit Workshop der ComputerDienst GmbH am 18. Oktober 2006 in Jena Einführungsbeispiel OLG Hamm MMR 2004, 487 Problem: Existiert ein Regelwerk, dessen Beachtung die zivil-

Mehr

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG

Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG Vereinbarung zum Datenschutz und Datensicherheit im Auftragsverhältnis nach 11 BDSG zwischen dem Auftraggeber (AG) und WVD Dialog Marketing GmbH onlinepost24 Heinrich-Lorenz-Straße 2-4 09120 Chemnitz -

Mehr

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 -

Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - DER LANDESBEAUFTRAGTE FÜR DEN DATENSCHUTZ Auftragsdatenverarbeitung und Funktionsübertragung - Stand: 31. Dezember 2012 - Seite 2 Der Landesbeauftragte für den Datenschutz Baden-Württemberg Königstraße

Mehr

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet? Datum:... - 1 Uhrzeit:... Betrieb:... AP:... Fragenkatalog für Kontrollen TLfDI - nichtöffentlicher Bereich - Allgemeine Fragen 1. Welche Arten von personenbezogenen Daten werden in Ihrem Unternehmen verarbeitet?

Mehr

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey Cloud Computing Datenschutzrechtliche Aspekte Diplom-Informatiker Hanns-Wilhelm Heibey Berliner Beauftragter für Datenschutz und Informationsfreiheit Was ist Cloud Computing? Nutzung von IT-Dienstleistungen,

Mehr

Hinweise zum Erstellen eines Verfahrensverzeichnisses

Hinweise zum Erstellen eines Verfahrensverzeichnisses Hinweise zum Erstellen eines Verfahrensverzeichnisses Eine Information des Datenschutzbeauftragten der PH Freiburg Stand: 11.03.2010 Inhalt Hinweise zum Erstellen eines Verfahrensverzeichnisses... 1 Vorbemerkung...

Mehr

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung

Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Vertragsgestaltung und Kontrolle bei Auftragsdatenverarbeitung Matthias Bergt Rechtsanwälte v. Boetticher Hasse Lohmann www.dsri.de Begriff der Auftragsdatenverarbeitung, 11 BDSG Auslagerung von Verarbeitungsvorgängen

Mehr

Datenschutz in Rechnernetzen

Datenschutz in Rechnernetzen Datenschutz in Rechnernetzen Regierungsdirektor W. Ernestus Bundesbeauftragter für den Datenschutz Referat VI (Technologischer Datenschutz) Motivation Auf meine Daten darf im Netzwerk nur ich Hacking zugreifen

Mehr

9 plus Anlage BDSG. Dokumentation der. technischen und organisatorischen Maßnahmen. Unternehmen: Bezeichnung Straße PLZ Ort

9 plus Anlage BDSG. Dokumentation der. technischen und organisatorischen Maßnahmen. Unternehmen: Bezeichnung Straße PLZ Ort UNTERNEHMENSLOGO 9 plus Anlage BDSG. Dokumentation der. technischen und organisatorischen Maßnahmen. Unternehmen: Bezeichnung Straße PLZ Ort Muster erstellt vom: EDV Sachverständigen- und Datenschutzbüro

Mehr

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Lösungen des 9. Übungsblattes Praktischer Datenschutz und der IT-Sicherheit Lösungen des 9. Übungsblattes Praktischer Datenschutz 9.1 Gegensätze von Datenschutz und IT-Sicherheit Datenschutz: Grundsatz der Datensparsamkeit IT-Sicherheit: Datensicherung durch

Mehr

Alexander Jung, Managing Consultant / legitimis GmbH

Alexander Jung, Managing Consultant / legitimis GmbH Alexander Jung, Managing Consultant / legitimis GmbH Strategische Managementberatung mit Schwerpunkt Datenschutz International operierende Strategie- und Managementberatung mit den Schwerpunkten Datenschutz,

Mehr

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16

HerzlichWillkommen. ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 HerzlichWillkommen ABI-Partnertage 2013, Vortrag Stefan Herold, Aarcon GbR Unternehmensberatung, München 1 von 16 Datenschutz bei Fernzugriff; Risiken und Lösung stefan.herold@aarcon.net www.aarcon.net

Mehr

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH

Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz. von Paul Marx Geschäftsführer ECOS Technology GmbH Kosten optimieren Moderne Telearbeitsplätze im Behördeneinsatz von Paul Marx Geschäftsführer ECOS Technology GmbH ECOS Technology Die Spezialisten für einen hochsicheren Datenfernzugriff Seit 1999 am Markt

Mehr

!"#$ %!" #$ % " & ' % % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 5 )/ )

!#$ %! #$ %  & ' % % $ (  ) ( *+!, $ ( $ *+!-. % / ). ( , )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 $$ $ 4 9$ 4 5 )/ ) !"#$ %!" #$ % " & ' % &$$'() * % "$ ( " ) ( *+!, "$ ( $ *+!-. % / ). ( ", )$ )$,.. 0 )$ 1! 2$. 3 0 $ )$ 3 4 5$ 3 *+!6 78 3 +,#-. 0 4 "$$ $ 4 9$ 4 % / $-,, / )$ "$ 0 #$ $,, "$" ) 5 )/ )! "#, + $ ,: $, ;)!

Mehr

Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gem. 11 Bundesdatenschutzgesetz

Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gem. 11 Bundesdatenschutzgesetz Vereinbarung über die Verarbeitung personenbezogener Daten im Auftrag gem. 11 Bundesdatenschutzgesetz zwischen....... - nachstehend Auftraggeber genannt - und Sage Software GmbH Emil-von-Behring-Straße

Mehr

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de

Datenschutz im Betriebsratsbüro. Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im Betriebsratsbüro Referent: Lorenz Hinrichs TBS Niedersachsen GmbH lh@tbs-niedersachsen.de Datenschutz im BR-Büro Seite 2 Ausgangssituation Ausgangssituation Kurz gefasst ist es Euer Job

Mehr

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke.

diesem Thema von Herrn Dr. Peter Münch, dem ich hiermit für seine Unterstützung bei der Gestaltung des vorliegenden Tools herzlich danke. Vorbemerkungen 1 Mit dem Tool»Datenschutzaudit nach BSI Grundschutz«wurde ein Management-Tool vorgestellt, das es ermöglicht, einen Überblick über den Gesamtzustand einer Datenschutzorganisation unter

Mehr

Astaro Mail Archiving Service Version 1.0

Astaro Mail Archiving Service Version 1.0 Astaro Mail Archiving Service Version 1.0 Verfahrensdokumentation Inhaltsverzeichnis 1. Einleitung... 2 2. Übersicht... 2 2.1 Production-Cloud... 3 2.2 Backup-Cloud... 3 2.3 Control-Cloud... 3 2.4 Zugangsschutz...

Mehr

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution Dr. Johannes Juranek, Partner bei CMS Reich-Rohrwig Hainz Rechtsanwälte GmbH Ebendorferstraße 3, 1010 Wien WS 2011 1.

Mehr

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation)

Mehr

Datenschutzrechtliche Aspekte des Cloud Computing Gustav-Stresemann-Ring 1 65189 Wiesbaden Telefon 0611 / 1408-0 http://www.datenschutz.hessen.de E-Mail: poststelle@datenschutz.hessen.de Definitionen Cloud-Anwender

Mehr

Rechtssicher in die (Geo-) Cloud so geht s! RA Jan Schneider Fachanwalt für Informationstechnologierecht

Rechtssicher in die (Geo-) Cloud so geht s! RA Jan Schneider Fachanwalt für Informationstechnologierecht Rechtssicher in die (Geo-) Cloud so geht s! RA Jan Schneider Fachanwalt für Informationstechnologierecht Geoinformation in der Cloud Die Praxis von Morgen Deutsches Zentrum für Luft- und Raumfahrt, Bonn,

Mehr

Brüssel, Berlin und elektronische Vergabe

Brüssel, Berlin und elektronische Vergabe Brüssel, Berlin und elektronische Vergabe Mainz, 23. Februar 2015 Prof. Dr. Zeiss 1 1 2 3 4 5 6 7 8 9 Vorstellung Was bringen die Richtlinien? Was macht Berlin? evergabe was ist das? Pflicht zur evergabe!

Mehr

Datenschutz im Client-Management Warum Made in Germany

Datenschutz im Client-Management Warum Made in Germany Datenschutz im Client-Management Warum Made in Germany Wolfgang Schmid 2013 baramundi software AG IT einfach clever managen Wolfgang Schmid, Rechtsanwalt und Fachanwalt IT-Recht Bundesdatenschutzgesetz

Mehr

IT-Sicherheit und Datenschutz im Cloud Computing

IT-Sicherheit und Datenschutz im Cloud Computing Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle

Mehr

Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010

Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010 Rechtsprobleme des Cloud Computing Vortrag auf dem 6. Darmstädter Informationsrechtstag am 26. November 2010 Prof. Dr. Rainer Erd Rechtsanwalt Schmalz Rechtsanwälte Hansaallee 30-32, 60322 Frankfurt am

Mehr

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen

Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Anforderungen an Datenschutz und Sicherheit von Cloud-Dienstleistungen Forum Kommune21 auf der DiKOM Süd 4. Mai 2011, Frankfurt Marit Hansen Stellvertretende Landesbeauftragte für Datenschutz Schleswig-Holstein

Mehr

Risiken für den Servicenehmer. Fabian Laucken Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Fachanwalt für gewerblichen Rechtsschutz

Risiken für den Servicenehmer. Fabian Laucken Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Fachanwalt für gewerblichen Rechtsschutz Rechtsanwalt, Fachanwalt für Informationstechnologierecht und Fachanwalt für gewerblichen Rechtsschutz 1. novedia business day 9. September 2010 Inhaltsübersicht Begriffsbestimmung SaaS Vertragsrecht Urheberrecht

Mehr

Datenschutz und Datensicherheit

Datenschutz und Datensicherheit Datenschutz und Datensicherheit HR.Payroll.Benefits. Wir gehen gut mit Ihrem Namen um Seit über 60 Jahren erstellt ADP täglich Personalabrechnungen für Menschen auf der ganzen Welt. Heute sind es mehr

Mehr

Die neue EU-Datenschutzgrundverordnung

Die neue EU-Datenschutzgrundverordnung Datenschutz und Datensicherheit in kleinen und mittelständischen Unternehmen Die neue EU-Datenschutzgrundverordnung Landshut 19.03.2013 Inhalt Hintergrund: Von der Datenschutz-Richtline zur Datenschutz-Verordnung

Mehr

2.4.7 Zugriffsprotokoll und Kontrollen

2.4.7 Zugriffsprotokoll und Kontrollen 2.4.7 Zugriffsprotokoll und Kontrollen Die Vermeidung der missbräuchlichen Nutzung von personenbezogenen oder personenbeziehbaren Daten ist ein Kernpunkt der Regelungen zum Einsatz von Personalinformationssystemen.

Mehr