Pearl Harbor, Safe Harbor und datenschutzkonformes Cloud Computing

Transkript

1 Pearl Harbor, Safe Harbor und datenschutzkonformes Cloud Computing GI ITSECMGT, Frankfurt, H. Eiermann Folie 1

2 Helmut Eiermann Gruppenleiter Technik Hintere Bleiche Mainz Tel (06131) Fax (06131) H. Eiermann Folie 2

3 Agenda Safe Harbor-Urteil Ursache und Folgen Aktuelle Situation Konsequenzen / Lösungsansätze 3 H. Eiermann Folie 3

4 Safe Harbor Safe Harbour Prinzipien: Informationspflicht Wahlmöglichkeit Weitergabe Zugangsrecht Sicherheit Datenintegrität Durchsetzung H. Eiermann Folie 4

5 Was ist geschehen? H. Eiermann Folie 5

6 Compliance / Verantwortlichkeit Unsicheres Drittland H. Eiermann Folie 6

7 Sicherer Datenschutzhafen USA DV beschränkt auf den Bereich der EU / EWR Unsicheres Drittland Safe Harbour-Richtlinien (2000) H. Eiermann Folie 7

8 Compliance / Verantwortlichkeit Untersuchung zur Verlässlichkeit von Safe Harbour Vereinbarungen Safe Harbour Prinzipien: Informationspflicht Wahlmöglichkeit Weitergabe Zugangsrecht Sicherheit Datenintegrität Durchsetzung safe_harbor_fact_or_fiction.pdf H. Eiermann Folie 8

9 Sicherer Datenschutzhafen USA? Untersuchung zur Verlässlichkeit von Safe Harbour Vereinbarungen Eine Selbsterklärung der Unternehmen ist ausreichend In aller Regel erfolgt keine Überprüfung (z.b. durch die FTC) Lediglich 348 Unternehmen hatten die Mindestvoraussetzungen des Abkommens erfüllt. 206 Unternehmen behaupteten, Mitglied von Safe Harbor zu sein, waren es aber in Wirklichkeit nicht Verstöße werden selten geahndet H. Eiermann Folie 9

10 Compliance / Verantwortlichkeit Entschließung der deutschen Datenschutzaufsichtsbehörden (2010) * Solange eine flächendeckende Kontrolle der Selbstzertifizierungen US-amerikanischer Unternehmen [ ] nicht gewährleistet ist, trifft auch die Unternehmen in Deutschland eine Verpflichtung, gewisse Mindestkriterien zu prüfen, bevor sie personenbezogene Daten an ein auf der Safe Harbor-Liste geführtes US-Unternehmen übermitteln. Gültigkeit und Nachweis der Selbst-Zertifizierung Einhaltung der Safe Harbour Grundsätze Einhaltung der Informationspflichten an die Betroffenen Dokumentation der Prüfungen * H. Eiermann Folie 10

11 Sicherer Datenschutzhafen USA? LIBE_ET(2012)462509_EN.pdf H. Eiermann Folie 11

12 I0II 0I0I... USA Redmond Patriot Act Foreign Intelligence Surveillance Act (FISA) 1881a H. Eiermann Folie 12

13 H. Eiermann Folie 13

14 I0II 0I0I... USA Redmond Great Britain London Patriot Act Foreign Intelligence Surveillance Act (FISA) 1881a H. Eiermann Folie 14

15 IT-Sicherheit in der Cloud H. Eiermann Folie 15

16 Art. 29-Gruppe Die von den Zugriffen der ausländischen Behörden betroffenen personenbezogenen Daten unterliegen in den jeweiligen Staaten oft keinen datenschutzrechtlichen Restriktionen, die europäischen Standards auch nur ansatzweise genügen könnten. Die Zweckbindung, die Beachtung des Erforderlichkeitsgrundsatzes, die Datenlöschung nach Zweckerfüllung, die Gewährleistungen der Betroffenenrechte und des Rechtsschutzes in Datenschutzfragen sind unseres Wissens z.b. in den USA nicht gewährleistet. H. Eiermann Folie 16

17 Juni 2013 H. Eiermann Folie 17

19 PRISM & Co H. Eiermann Folie 19

20 NSA-Cloud. A free Backup of your Life! H. Eiermann Folie 20

21 Cloud Dienstleister H. Eiermann Folie 21

23 Geheimdienst html H. Eiermann Folie 23

24 Facebook-Co-EuGH-erklaert-Safe-Harbor-fuer-ungueltig html H. Eiermann Folie 24

25 EuGH-Urteil C-362/14 [ ] H. Eiermann Folie 25

26 Sicherer Datenschutzhafen USA DViA Beschränkt auf den Bereich der EU / EWR Safe Harbour-Richtlinien (2000) H. Eiermann Folie 26

27 Compliance / Verantwortlichkeit Beschränkt auf den Bereich der EU / EWR Safe Harbour-Richtlinien (2000) EU-Standard-Vertragsklauseln Binding Corporate Rules Patriot Act?? Foreign Intelligence Surveillance Act (FISA) 1881a H. Eiermann Folie 27

28 Cloud Dienstleister H. Eiermann Folie 28

29 Name der Präsentation H. Eiermann Folie 29

31 Wie ist die aktuelle Situation? H. Eiermann Folie 31

32 Datenübermittlung in die USA Safe Harbour-Richtlinien - angemessenes Datenschutzniveau - Feststellung durch EU-Kommission EU-Standard-Vertragsklauseln (EU SCC) - ausreichende Garantien - Genehmigung durch die Aufsichtsbehörde Verbindliche Unternehmensregelungen (BCR) - ausreichende Garantien - Genehmigung durch die Aufsichtsbehörde?? Einwilligung Vertragserfüllung im Interesse der Betroffenen H. Eiermann Folie 32

33 Datenübermittlung aufgrund Safe Harbor unzulässig EU-Standard-Vertragsklauseln und BCR fraglich Derzeit keine weiteren Genehmigungen von SCC und BCR Einwilligung nicht widerholt, massenhaft und routinemäßig _Positionspapier_DSK_Safe_Harbor.pdf H. Eiermann Folie 33

34 _RLP_zum_EuGH-Urteil_Safe_Harbor.pdf H. Eiermann Folie 34

35 Position LfDI Rheinland-Pfalz Datenübermittlungen auf Safe Harbor-Grundlage unzulässig Standard-Vertragsklauseln prüfungsbedürftig (Kündigung) keine neuen Genehmigungen für Binding Corporate Rules Einwilligung nur in Ausnahmefällen; unzulässig im Beschäftigteverhältnis Datenübermittlungen in die USA nur noch ausnahmsweise zulässig / Genehmigungsvorbehalt keine Sanktion zurückliegender Datenübermittlungen _RLP_zum_EuGH-Urteil_Safe_Harbor.pdf H. Eiermann Folie 35

36 Prüfungspflicht der Unternehmen Prüfung der Rechtsgrundlage Prüfung der außerordentlichen Kündigung von Verträgen nach EU-Standard-Vertragsklauseln keine neuen Genehmigungen für Binding Corporate Rules Prüfung alternativer Übermittlungsmöglichkeiten Prüfung technischer Lösungsansätze _RLP_zum_EuGH-Urteil_Safe_Harbor.pdf H. Eiermann Folie 36

37 Aktuelle Situation Art. 29-Gruppe Verhandlungen mit den USA rechtliche & technische Lösungen Frist bis Ende Januar H. Eiermann Folie 37

38 Safe Harbor H. Eiermann Folie 38

39 Robuste Verpflichtungen für Unternehmen / FTC-Kontrolle Transparenzverpflichtungen für Behördenzugriffe FTC-Beschwerde / Ombudsmann Absichtserklärung / keine Unterlagen (April an Art. 29-Gruppe) Keine Anpassung der Rechtslage in den USA Kein formeller Rechtsbehelf (Gericht) H. Eiermann Folie 39

40 Umfrage LfDI Rheinland-Pfalz TOP 120-Unternehmen in Rheinland-Pfalz 47 % mit erheblichen Defiziten 15 % konnten die Fragen nicht innerhalb der Monatsfrist beantworten 15 % mit fehlerhafter Auffassung zum Datenschutzniveau in den USA 17 % mit fehlerhafter Auffassung zu Datenübermittlungen in die USA z.b.: Cloud-Lösungen zur Datenspeicherung (IaaS, PaaS) SaaS-Lösungen (Office 365, Salesforce) Windows 10 / Office365 Online-Shops Dropbox, Onedrive, WeTransfer Virtuelle Telefonanlagen Fernwartung durch US-Stellen... Alltagsdaten / Beschäftigtendaten nicht personebezogen H. Eiermann Folie 40

41 Let the Cloud make your Life easier! H. Eiermann Folie 41

42 Was kann man Unternehmen raten? H. Eiermann Folie 42

43 Was kann man Unternehmen raten? Situation klären Übermittlungsgrundlage prüfen / ändern IT-Strukturen umstellen Ggf. Anbieter wechseln Technische Lösungsansätze prüfen H. Eiermann Folie 43

44 Möglichkeit 1: Umstrukturierung / Wechsel von Cloud-Lösungen H. Eiermann Folie 44

46 Was kann man Unternehmen raten? H. Eiermann Folie 46

50 Ménage à Trois Lizenzen Technischer Support Kunden-Support Datenspeicherung IT-Sicherheit WAN-Anbindung USA Redmond Great Britain London H. Eiermann Folie 50

51 Möglichkeit 2: Kryptografische Lösungen H. Eiermann Folie 51

52 Lösungsansatz Verschlüsselung (IaaS) Verfahren Schlüssel unter der Kontrolle des Auftraggebers Krypto-Reglementierung Key Recovery Key Escrowing Kunde H. Eiermann Folie 52

53 Lösungsansatz Verschlüsselung (SaaS, PaaS) Database HTML/XML Kunde Krypto Gateway H. Eiermann Folie 53

54 Lösungsansatz Verschlüsselung (SaaS, PaaS) HTML/XML Database Artikel Preis Datum Krypto Gateway Name Artikel Preis Datum Adresse H. Eiermann Folie 54

55 Lösungsansatz Verschlüsselung (SaaS, PaaS) Artikel Preis Datum HTML/XML Database Krypto Gateway Name Artikel Preis Datum Adresse H. Eiermann Folie 55

56 Was kann man Unternehmen raten? ix 12/2015 H. Eiermann Folie 56

57 Was kann man Unternehmen raten? 16 % der mittelständische Unternehmen setzen derzeit Cloud Dienste ein 19 % davon kennen die Sicherheitsanforderungen und rechtlichen Rahmenbedingungen nicht 42 % kennen sie teilweise. Fast 2/3 der Cloud-Anwender lassen ihre Daten unter teils ungeklärten Bedingungen verarbeiten * Quelle: H. Eiermann Folie 57

58 Sicherheit + Datenschutz Gewährleistung einer angemessenen IT-Sicherheit Verlust von Einwirkungs- und Kontrollmöglichkeiten Compliance / Verantwortlichkeit H. Eiermann Folie 58

59 Entschließung der 82. Konferenz der Datenschutzbeauftragten des Bundes und der Länder Datenschutzkonforme Gestaltung und Nutzung von Cloud-Computing Transparenz über die technischen, organisatorischen und rechtlichen Rahmenbedingungen verlässliches IT-Sicherheits- und Datenschutzkonzept Vereinbarungen zum Ort der Datenverarbeitung und zur Benachrichtigung bei geplanten Veränderungen Kontroll- und Einwirkungsmöglichkeiten der Cloud- Nutzerinnen und -Nutzer Regelungen zur Umsetzung von Auskunftsansprüchen Betroffener und zur Datenlöschung aussagekräftige Nachweise (z.b. Zertifikate anerkannter und unabhängiger Prüfungsorganisationen) Orientierungshilfe Cloud Computing: H. Eiermann Folie 59

60 Bedeutung Cloud Computing H. Eiermann Folie 60

61 TClouds-Projekt Cloud Computing, angereichert mit einer Prise Vertrauen Prototypische Entwicklung einer vertrauenswürdigen Cloud- Infrastruktur, die den europäischen Datenschutzanforderungen entspricht. H. Eiermann Folie 61

64 Aspekte bei der Auswahl von Cloud-Lösungen Name der Präsentation H. Eiermann Folie 64