Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste. Stephan Di Nunzio

Transkript

1 Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste Stephan Di Nunzio

2 MOTIVATION Vorteile der Datenschutz-Zertifizierung für Cloud-Dienste für Anbieter und für Nutzer: Nachweis der Erfüllung der gesetzlichen Datenschutzanforderungen (Compliance); modulare Prüfung und Zertifizierung für Anbieter: Zertifizierung der Erfüllung der Datenschutzanforderungen für eine bestimmte Schutzklasse durch unabhängige Dritte; Reduktion der Kontrollen durch eine Vielzahl von Nutzern für Nutzer: Entscheidungshilfe bei der Auswahl eines Cloud-Dienstes passend zum Nutzer-individuellen Schutzbedarf für die Datenverarbeitung anhand einer Zertifikatsaussage; Erfüllung der Kontrollpflichten aufgrund der Prüfung und Zertifizierung durch unabhängige Dritte 1

3 DATENSCHUTZRECHT IM TECHNOLOGIEPROGRAMM TRUSTED CLOUD Arbeitsgruppe Rechtsrahmen des Cloud-Computing Leitung: Prof. Dr. Georg Borges Mitglieder der Arbeitsgruppe Vertreter der Trusted Cloud-Projekte externe Experten Datenschutzbehörden Verbände, Cloud-Anbieter und Cloud-Nutzer Rechtsanwaltschaft Wissenschaft Ziel: Lösungsvorschläge für rechtliche Herausforderungen in den Bereichen Datenschutz, Vertragsgestaltung und Haftungsfragen 2

4 TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN 9 BDSG Technische und organisatorische Maßnahmen Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. Anlage (zu 9 Satz 1) Zutrittskontrolle Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle (mit Verschlüsselung nach Stand der Technik) Eingabekontrolle, Verfügbarkeitskontrolle, Trennungsgebot 3

5 TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN 11 Abs. 2 BDSG Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1. der Gegenstand und die Dauer des Auftrags, 2. der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3. die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, ( ) Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. 4

6 TECHNISCHE UND ORGANISATORISCHE MAßNAHMEN Kontrollen durch den Auftraggeber vor Beginn der Auftragsdatenverarbeitung und dann regelmäßig mit Dokumentation Cloud-Anbieter haben viele Auftraggeber Konsequenz: Audittourismus Vladislav Bezrukov CC-BY (bearbeitet) 5

7 DATENSCHUTZKONFORMITÄT DURCH ZERTIFIZIERUNG Nr. 1: Thesenpapier Datenschutzrechtliche Lösungen für Cloud Computing 6

8 Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste Phase 1 7

9 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 November 2013 April 2015 Leitung: Prof. Dr. Georg Borges Ziel: Entwicklung eines Datenschutz-Zertifizierungsverfahrens für Cloud-Dienste Projektbeteiligte 7 Datenschutzbehörden 3 Verbände 4 Cloud-Anbieter 2 Rechtsanwaltssozietäten 2 Anbieter von IT-Prüfungen DIN, Stiftung Datenschutz 8

10 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 Beobachterstatus Europäische Kommission Bundesministerium des Innern Bundesamt für Sicherheit in der Informationstechnik 9

11 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 Ziel: Erarbeitung der Grundlagen einer Datenschutz-Zertifizierung Grundlage: Konzept der AG Rechtsrahmen des Cloud Computing (Thesenpapier Datenschutzrechtliche Lösungen für Cloud Computing ) 10

12 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 Arbeitsauftrag Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP) Konzepte zu zentralen Aspekten der Zertifizierung Untersuchungen zum Verfahren der datenschutzrechtlichen Prüfung- und Zertifizierung 11

13 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 Prüfanforderungen Maßstab: Bundesdatenschutzgesetz (BDSG) Herausforderung: Umsetzung gesetzlicher Vorgaben zu prüfbare Anforderungen Entwicklung eines Prüfkatalogs (Datenschutz-Standard) Lösung: Trusted-Cloud Datenschutz-Profil für Cloud Dienste (TCDP) Basis: ISO/IEC und ISO/IEC

14 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 Prüfanforderungen Herausforderung: individueller Maßstab des Gesetzes Lösung: Schutzklassenkonzept Anwendung der Schutzklassen: Feststellung des Nutzer-individuellen Schutzbedarfs für die Datenverarbeitung Eignung eines Dienstes für eine bestimmte Schutzanforderung Auswahl eines geeigneten Dienstes 13

15 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 Effizienz der Zertifizierung Herausforderung: Cloud-Dienst als Zertifizierungsgegenstand Zertifizierung dynamischer Dienste Lösung: modulare Zertifizierung 14

16 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 Zertifizierungsstelle Herausforderung: Qualität der Zertifizierungsstelle Lösung: Akkreditierung 15

17 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 1 Prüf- und Zertifizierungsverfahren Herausforderung: Qualität des Verfahrens Lösung: Verfahrensgrundsätze und Haftung Grundsätze: Differenzierung zwischen Prüfstelle und Zertifizierungsstelle 16

18 Das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste Phase 2 17

19 DAS PILOTPROJEKT DATENSCHUTZ-ZERTIFIZIERUNG FÜR CLOUD-DIENSTE PHASE 2 Zeitraum: September 2015 April 2016 TÜV Informationstechnik GmbH (TÜViT) Projektleitung Pilot-Prüfung und -Zertifizierung ausgewählter Dienste Prof. Dr. Georg Borges Wissenschaftliche Leitung Konzeptionelle Aspekte der Datenschutz-Zertifizierung Europäische EDV-Akademie des Rechts ggmbh (EEAR) Konzeptionelle Aspekte der Datenschutz-Zertifizierung Projektbüro 18

20 AUFGABEN DES PILOTPROJEKTS PHASE 2 Pilot-Zertifizierung von Cloud-Diensten Überprüfung und Weiterentwicklung des TCDP Verfahren der Datenschutz-Prüfung und -Zertifizierung Die europäische Dimension der Zertifizierung 19

21 DIE PILOTPRÜFUNG UND -ZERTIFIZIERUNG 1 Scoping-Workshop Festlegung des Target of Audit (ToA) Gegenstand Daten Qualifizierungsziele Anbieter / Prüfer Zertifizierungsstelle 2 Dokumentenprüfung Vor-Ort-Audit Prüfbericht Auditoren-/ Prüferteam 3 Zertifizierungsstelle DuD 2016 TÜV Informationstechnik GmbH

22 STAND DES PILOTPROJEKTS Geplant: Prüfung von 6 Diensten 4 Dienste vor Ort geprüft 2 Dienste zertifiziert (Zertifikatsvergabe: CeBIT 2016) 21

23 NÄCHSTE SCHRITTE Prüfung und Zertifizierung der Dienste Erarbeiten von einer Verfahrensordnung (in Arbeit) Weiterentwicklung des TCDP (zu einer Version 1.0, September 2016 fast abgeschlossen) Öffentliche Anhörung zum Datenschutz-Standard TCDP am ( Vorbereitung eines TCDP DSGVO (außerhalb des Pilotprojekts) 22

24 Vielen Dank für Ihre Aufmerksamkeit! 23

25 Ihre Ansprechpartner Dipl.-Phys. Stephan Di Nunzio Zertifizierung IT Infrastructure Monika Wójtowicz, LL.M. Projektleiterin TCDP IT Security TÜV Informationstechnik GmbH