Willkommen zum Webinar Rechtliche Aspekte vs. Bauchgefühl Was sollten Sie beachten?

Transkript

1 Willkommen zum Webinar Rechtliche Aspekte vs. Bauchgefühl Was sollten Sie beachten? Start: Sprecher: 10:00 Uhr Jürgen Falkner Leiter Softwaretechnik Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO Fraunhofer IAO, IAT Universität Stuttgart Slide 1

2 Agenda Rechtliche Aspekte und Anforderungen Anbieter außerhalb der EU Vertrauen in Cloud Services Trustfaktoren Fraunhofer IAO, IAT Universität Stuttgart Slide 2

3 RECHTLICHE ASPEKTE Fraunhofer IAO, IAT Universität Stuttgart Slide 3

4 Rechtliche Anforderungen Die juristischen Anforderungen an die Datenverarbeitung in der Cloud ergeben sich aus den zu verarbeitenden Datentypen Nicht- Personenbezogen Personenbezogen Juristische Anforderungen Besondere Arten personenbezogener Daten Finanz-/ Buchhaltungsdaten Fraunhofer IAO, IAT Universität Stuttgart Slide 4

5 Besondere Arten personenbezogener Daten sind gemäß 3 Abs. 9 BDSG besonders schutzbedürftig Hierzu zählen: Gesundheitsdaten Informationen über die rassische oder ethnische Herkunft Politische Orientierung Religiöse Orientierung Gewerkschaftliche Orientierung Sexuelle Orientierung Insbesondere im Umgang mit diesen Daten gilt vor allem das Prinzip der Datensparsamkeit! Nicht vorhandene Daten müssen auch nicht geschützt werden. Fraunhofer IAO, IAT Universität Stuttgart Slide 5

6 Auftragsdatenverarbeitung in der Public Cloud (Prinzip: Controller Processor) Verarbeitung nach Weisungen und im Auftrag innerhalb EU: keine»übermittlung«schriftlicher Vertrag nach $11 Bundesdatenschutzgesetz (BDSG) erforderlich! 10 Punkte-Katalog umzusetzen Bußgeld bis bei mangelhaften Verträgen EuroCloud Star Audit beinhaltet diese Prüfung der Provider Fraunhofer IAO, IAT Universität Stuttgart Slide 6

7 Auskunftsrecht Nach dem BDSG kann jeder Kunde / Patient Auskunft verlangen über: die zu seiner Person gespeicherten Daten, auch soweit sie sich auf Herkunft und Empfänger beziehen den Zweck der Speicherung Personen und Stellen, an die seine Daten regelmäßig übermittelt werden, wenn seine Daten automatisiert verarbeitet werden. => Provider sollten in der Lage sein, Auskunft über Speicherorte zu geben und dies auch vertraglich zusichern Fraunhofer IAO, IAT Universität Stuttgart Slide 7

8 Zusammenfassung Rechtliche Anforderungen unterscheiden sich nach Datenarten Auftragsdatenverarbeitung Unterliegt dem Bundesdatenschutzgesetz Cloud-Kunde bleibt Auftraggeber und Verantwortlicher Fraunhofer IAO, IAT Universität Stuttgart Slide 8

9 ANBIETER AUßERHALB DER EU Fraunhofer IAO, IAT Universität Stuttgart Slide 9

10 Anbieter außerhalb der EU EU angemessenes Schutzniveau wird angenommen Von der EU gleichgestellte Staaten Schweiz, Kanada, Argentinien angemessenes Schutzniveau wird angenommen USA kein angemessenes Schutzniveau! Ausweg: Safe Harbor Agreement Rest der Welt Kein angemessenes Schutzniveau Ausweg: Nutzungsvertrag mit EU Standardvertragsklauseln (geht auch für USA) Subunternehmer berücksichtigen! Auftraggeber Auftragnehmer SU SU SU SU SU SU Fraunhofer IAO, IAT Universität Stuttgart Slide 10

11 Anbieter außerhalb der EU Fazit Wer seine Daten außerhalb der EU verarbeiten lassen möchte kann dies tun wenn er die rechtlichen Auflagen beachtet Die Entscheidung darüber muss jedes Unternehmen selbst treffen Der Zugriff für ausländische Regierung ist außerhalb der EU leichter Eine Datenverarbeitung innerhalb der EU (auch innerhalb Deutschlands) garantiert noch nicht Datensicherheit und Datenschutz Eine Datenverarbeitung innerhalb des eigenen Unternehmens garantiert ebenfalls noch nicht Datensicherheit und Datenschutz Fraunhofer IAO, IAT Universität Stuttgart Slide 11

12 Das Recht und das Bauchgefühl Fraunhofer IAO, IAT Universität Stuttgart Slide 12

13 Auswege aus dem Datenschutzproblem Zwei Möglichkeiten Proaktiv: Vor der Umsetzung in Datenschutz investieren Reaktiv: Systeme nachträglich patchen oder nach der Verletzung des Datenschutzes in Schadensbegrenzung investieren Privacy by Design (proaktiv) Sicherheitstechnologien (Verschlüsselte Kommunikation und Speicherung, Authentifizierung, Autorisierung etc.) Organisations- und Betriebskonzepte Regeln für den Umgang mit Daten Minimierung der Sammlung von Daten Minimierung des Transfers von Daten Datenkontrolle durch den Nutzer Verhältnismäßigkeit beachten Fraunhofer IAO, IAT Universität Stuttgart Slide 13

14 Zusammenfassung Standorte der Datenverarbeitung und Datenhaltung sind wichtig Zuliefererketten bei Cloud Providern beachten Eigene Anforderungen können von den rechtlichen Vorgaben abweichen Eine Risikoabschätzung hilft dabei die Sicherheitsmaßnahmen vernünftig zu dimensionieren und die Verhältnismäßigkeit zu wahren Fraunhofer IAO, IAT Universität Stuttgart Slide 14

15 VERTRAUEN IN CLOUD SERVICES Fraunhofer IAO, IAT Universität Stuttgart Slide 15

16 Problemstellung Public Cloud Security Fraunhofer IAO, IAT Universität Stuttgart Slide 16

17 Vertrauen in Cloud Services Fraunhofer IAO, IAT Universität Stuttgart Slide 17

18 Zusammenfassung Cloud Sicherheit setzt sich zusammen aus Sicherer Infrastruktur Sicherer Kommunikation Sicheren Prozessen Das Vertrauen in den Anbieter ist dabei entscheidend, aber nicht der einzige Faktor Fraunhofer IAO, IAT Universität Stuttgart Slide 18

19 TRUSTFAKTOREN Fraunhofer IAO, IAT Universität Stuttgart Slide 19

20 Trustfaktoren in der Cloud Performanz und Geschwindigkeit (z.b. Bandbreitengarantien) Daten- / Sicherheitsaspekte Erreichbarkeit / Verfügbarkeit Rechtliche Aspekte Ausfallsicherheit / Redundanter Betrieb Produkt- und Servicemerkmale Anbieter- und Verkäufermerkmale Risiken Zielgruppen und deren Merkmale Backup und Sicherungskonzept Zertifikate Einhaltung technischer Standards Preismodell Merkmale der Anwenderschnittstelle Einstiegshürden (z.b. Trial vorhanden und kostenfrei) Einfache Bedienbarkeit Offene Service- Schnittstellen für die Integration mit anderen Services Design Fraunhofer IAO, IAT Universität Stuttgart Slide 20

21 Soll-Bestandteile von Cloud-Verträgen (SLAs) Garantierte Responseund Recoveryzeiten, Vorgehensweisen, Zertifizierungen Business Continuity / Disaster Recovery Uptime Garantien Festlegung der Zeiträume Prozessbezogene Kennzahlen Technische Parameter Monitoring Messmethoden Speicherorte Eigentum an den Daten Datenschutz und Privatsphäre Sicherheit / Security Service Levels Gerichtsstand, Festlegung von Datenformaten Verbleib der Daten Datensicherheit Nachprüfbarkeit Kündigungsfristen, Vermeidung von Ausschlusskriterien Aussetzung von Dienstleistungen Anbieterhaftung Vertragsstrafen (Pönalen), Versicherungen Bildquelle: Louise Gagnon - Fotolia Fraunhofer IAO, IAT Universität Stuttgart Slide 21

22 Einige praktische Dinge Vereinbarung zur Rückgabe von Daten zu welchem Zeitpunkt ist eine Rückforderung der kompletten Daten vom Cloud Provider möglich? => am Ende der Vertragslaufzeit?... => besser: jederzeit! wie erfolgt der Datenrücktransport? Download Übermittlung von Datenträgern Datenlöschung werden die Daten nur einfach gelöscht? (d.h. die Pointer auf die Daten) werden die Daten physikalisch überschrieben? wie wird das gemacht? wann und wie oft? können Daten gezielt entfernt werden? auf allen Replikas? Fraunhofer IAO, IAT Universität Stuttgart Slide 22

23 Zusammenfassung Verschiedene Aspekte müssen beachtet werden: Datensicherheit/IT-Sicherheit z.b. Verfügbarkeit Rechtliche Aspekte/Compliance z.b. Datenschutz Produkt- und Servicemerkmale z.b. User Interface Anbieter- und Verkäufermerkmale z.b. Referenzkunden Umgang mit Risiken z.b. Haftungsfragen, Versicherungen Welche Zielgruppe hat der Service-Anbieter? Auseinandersetzung mit sinnvollen Vertragsbestandteilen in Service Level Agreements ist sinnvoll und wichtig Fraunhofer IAO, IAT Universität Stuttgart Slide 23

24 Schlusswort Rechtliche Anforderungen sind kein Grund für Cloud-Skepsis Nahezu alles was gewünscht ist kann rechtlich auch abgesichert werden man muss nur die Vorgaben des Bundesdatenschutzgesetzes beachten Einschränkungen bestehen je nach Datentyp teilweise bezüglich des Standorts der Datenverarbeitung und speicherung Zuliefererketten sind auch bei Cloud Providern zu beachten Verhältnismäßigkeit sollte durch eine vernünftige Risikoabschätzung gewahrt werden Die individuellen Vertrauensfaktoren sollten in den Nutzungsverträgen abgebildet und geregelt sein Datenschutz und Sicherheit sind kein Show-Stopper! Fraunhofer IAO, IAT Universität Stuttgart Slide 24

25 Weitere Webinar-Termine: Webinar Uhr Titel: Mit der richtigen Cloud Strategie zum Geschäftserfolg Inhalte: Kosten von Cloud Lösungen, Vorgehensweise für Start-ups Fraunhofer IAO, IAT Universität Stuttgart Slide 25

26 Die Comarch Cloud Produkte Lösungen aus einer Hand ERP Cloud Umfangreiche Warenwirtschaft mit integrierter Finanzbuchhaltung E-Commerce Cloud E-Commerce Plattform mit Warenwirtschaft, Webshop und Payment-Anbindung EDI Cloud Elektronischer Dokumentenaustausch SFA Cloud Die Lösung zur Unterstützung und Steuerung Ihres Außendienstes ibard Datensicherung und Zusammenarbeit in der Cloud Weitere Informationen unter: Fraunhofer IAO, IAT Universität Stuttgart Slide 26

27 Zeit für den Selbstversuch in der Public Cloud Probieren Sie die Comarch Lösungen für ERP, SFA, EDI und Backup aus! So einfach geht es: 1. Gehen Sie auf 2. Wählen Sie die für Ihr Unternehmen passende Lösung. 3. Testen sie 30 Tage lang. 4. Einfach bestellen und beliebig lange weiterarbeiten. Fraunhofer IAO, IAT Universität Stuttgart Slide 27

28 Kontakt Fraunhofer-Institut für Arbeitswirtschaft und Organisation IAO Nobelstraße Stuttgart Jürgen Falkner Leiter Softwaretechnik Sprecher der Fraunhofer-Allianz Cloud Computing Fraunhofer IAO, IAT Universität Stuttgart Slide 28