Cloud und Datenschutz

Transkript

1 Cloud und Datenschutz Cloudspeicher und Datenschutz bei der Stammorganisation Jens Hoffmann

2 Inhalt Datenschutz Rechtsgrundlagen Personenbezogene Daten Besondere Arten personenbezogener Daten Cloudspeicher Maßnahmen Selektierung Verschlüsselung Selbst hosten

3 Datenschutz - Warum? Daten sind wertvoll Google, Facebook, Microsoft, Amazon Big Data Kinder können noch nicht die Tragweite ihrer Veröffentlichungen abschätzen Jugendliche nur teilweise

4 Datenschutz - Prinzipien Transparenz - Was passiert mit den Daten Datensparsamkeit Zweckbindung Informationelle Selbstbestimmung Löschung, Korrektur Datensicherheit nicht berechtigten Zugriff verhindern

5 Datenschutz - Verbotsvermutung und Erlaubnisvorbehalt Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten. Ausnahmen: Rechtliche Grundlage erlaubt es Einwilligung des Betroffenen vorhanden (rechtsgültig, d.h. z.b. auf Papier)

6 Datenschutz - Rechtsgrundlage Das Bundesdatenschutzgesetz (BDSG) findet Anwendung für Vereine (auch nicht rechtskräftige) Einzige Ausnahme: persönliche oder familiäre Nutzung

7 Datenschutz - Rechtsgrundlage Wir dürfen Daten speichern und verarbeiten 28 Abs. 1 BDSG für die Erfüllung unseres Zwecks (z.b. Camp) Wir dürfen auch besondere Arten von personenbezogenen Daten speichern und verarbeiten 28 Abs. 9 BDSG Ohne Zweck dürfen Daten nur nach Einwilligung gespeichert werden. 4a Abs. 1 BDSG

8 Datenschutz - Personenbezogene Daten Alle Daten die eine Person auch indirekt beschreiben. Name, Adresse, Geburtsdatum Familienstand, Kinder, Beruf, Telefonnr., - Adresse persönliche Interessen Leistungen und Ergebnisse (Stufenpfadabzeichen)

9 Datenschutz - Besondere Arten personenbezogener Daten 3 Abs. 9 BDSG rassische und ethnische Herkunft politische Meinung religiöse Überzeugung philosophische Überzeugung Gewerkschaftszugehörigkeit Gesundheit Sexualleben

10 Datenschutz - Stammbeitritt

11 Campanmeldung Datenschutzpassus nicht vergessen Zur Sicherheit Einwilligung zur Verarbeitung holen Gesundheitsdaten dürfen erhoben werden (Allergien, Medikamente) ( 28 Abs. 6 BDSG) Zweckbindung Besonders Schützen Songwart muss keine Medikamentenunverträglichkeiten wissen

12 Technisch-organisatorische Maßnahmen Zutrittskontrolle Büro abschließen Zugangskontrolle Login Passwort des PCs Zugriffskontrolle Nur berechtigte Nutzer dürfen an die Daten Weitergabekontrolle Sicherung gegen unbefugtes Lesen, Kopieren und Veränderung bei der Weitergabe (auch elektronisch) der Daten Verschlüsselung

13 Eingabekontrolle Wer führt die Daten? Auftragskontrolle Datenweitergabe zur externen Verarbeitung Es muss sicher gestellt sein, dass die Daten nur gemäß deiner Weisung verarbeitet werden können Verfügbarkeitskontrolle Datensicherung, Virenschutz Trennungsgebot Daten für unterschiedliche Zwecke getrennt verarbeiten (Adressliste und Kontoverbindungen trennen)

14 Cloudspeicher Geschäftsmodell Verkauf von mehr Speicher Verkauf und Vermietung von Software Problempunkte Zugriffsschutz häufig nur Benutzername und Passwort Die Daten liegen für den Anbieter lesbar auf den Servern Speicherort der Daten häufig nicht garantiert (Wichtig für personenbezogene Daten) Zugriff für ausländische Behörden nicht eingeschränkt BDSG gilt nur in Deutschland

15 Cloudspeicher "Besonders kritisch wird die Nutzung von Cloud Computing, wenn Sie personenbezogene Daten Dritter bei einem Anbieter speichern. Hier kann schnell ein Verstoß gegen das Bundesdatenschutzgesetz vorliegen. Dazu reicht es bereits, Termine mit Adressen und Daten von Kunden in einem Google Kalender abzulegen. "

16 Cloudspeicher Welche Auswirkungen drohen, wenn die Daten in fremde Hände gelangen? Man sollte nur über eine verschlüsselte Verbindung auf die Daten zugreifen Kann ich alle meine Daten leicht in der Cloud löschen? Zertifizierte Anbieter auswählen Was passiert mit den Daten im Todesfall?

17 Maßnahmen - Verschlüsselung s komplett verschlüsseln S/Mime PGP Datei verschlüsseln Funktion innerhalb des Programms Zip-Programm oder Dateiverschlüsselungsprogramm

18 Cloudspeicher verschlüsseln BoxCryptor kostenlos für Privatnutzer mit zwei Geräten Sharing mit anderen Nutzern möglich mobil nutzbar Cryptomator Sharing durch händischen Austausch des Schlüssels möglich mobil nutzbar

19 Alternativen Peer 2 Peer Syncthing Resilio Sync Self Hosting OwnCloud / Nextcloud Seafile SimpleDrive Tonido

20 Passwort Qualität keine Trivialpasswörter Sonderzeichen Groß- und Kleinschreibung Zahlen Weitergabe getrennte Kommunikationswege z.b. Bekanntgabe des Passworts für Campdaten bei der ersten Besprechung PKI

21 Cloudspeicher Fotos ok allgemeine Campinfo ok personenbezogene Daten verschlüsselt ok

22 Quellen Datenschutz im Verein: Information des Landesbeauftragten für den Datenschutz Niedersachsen Bundesdatenschutzgesetzt: BSI für Bürger: Orientierungshilfe Cloud Computing f Datenschutz-im-Verein.pdf