Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Transkript

1 Datenschutz in der Cloud Stephan Oetzel Teamleiter SharePoint CC NRW

2 Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit

3 Agenda Definitionen Verantwortlichkeiten Grenzübergreifende Datenverarbeitung Schutz & Risiken Fazit

4 Definitionen Cloud Anwender Cloud-Anbieter Unteranbieter Public Cloud Private Cloud Hybrid Cloud IaaS (Infrastructure as a Service) PaaS (Platform as a Service) SaaS (Software as a Service)

5 Grundsätzlich gilt: Die Erfassung von personenbezogenen Daten ist auch in der Cloud erlaubt Bei Cloud-Diensten handelt es sich um Auftragsdatenverarbeitung Es sind die geltenden Datenschutzbestimmungen zu beachten (GG, BDSG, ggf. SGB) Grenzüberschreitende Datenverarbeitungen sind zu prüfen, außerhalb des EWR bedürfen sie einer Rechtsgrundlage

6 Verantwortlichkeiten Verantwortliche Stelle ist jede Person oder Stelle, die personenbezogene Daten für sich selbst erhebt, verarbeitet oder nutzt oder dies durch andere im Auftrag vornehmen lässt. 3, Abs. 7 BDSG Der Cloud-Anwender ist im Normalfall die Verantwortliche Stelle, da er die Daten erfasst/erfassen lässt und selbst verarbeitet. Auch der Cloud-Anbieter kann verantwortliche Stelle sein, wenn er selbst Dienstleistungen anbietet

7 Der Auftrag (2) Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen, wobei insbesondere im Einzelnen festzulegen sind: 1.der Gegenstand und die Dauer des Auftrags, 2.der Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, 3.die nach 9 zu treffenden technischen und organisatorischen Maßnahmen, 4.die Berichtigung, Löschung und Sperrung von Daten, 5.die nach Absatz 4 bestehenden Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, 6.die etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen, 7.die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, 8.mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 9.der Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, 10.die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. Er kann bei öffentlichen Stellen auch durch die Fachaufsichtsbehörde erteilt werden. Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. 11, Abs. 2 BDSG

8 Unter-Anbieter Der Cloud-Anbieter muss alle Unter-Anbieter dem Cloud- Anwender offen legen. Versandhändler Rechenleistung Cloud-Anbieter A Cloud-Anbieter B

9 Der richtige Cloud-Anbieter Vertrauen ist gut, Kontrolle ist besser! Vor-Ort-Kontrolle meist nicht möglich Anerkannte Gütesiegel können die Kontrolle des Anbieters erleichtern, entbinden aber nicht von der Kontrollpflicht des Cloud-Anwenders Bei Unter-Anbietern muss der Cloud-Anbieter vor Unterbeauftragung eine Kontrolle nach 11 Abs. 2, Satz 4 BDSG durchführen

10 Rechte des Betroffenen Der Cloud-Anwender ist nach 11 Abs. 1 BDSG zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet und muss somit personenbezogene Daten: berichtigen löschen sperren Auskünfte gegenüber dem Betroffenen über die zu seiner Person gespeicherten Daten und zur Herkunft sind ebenfalls zu erteilen ( 34, 35 BDSG)

11 Grenzübergreifende Datenverarbeitung Cloud-Anwender sollte sich im Vorhinein über die möglichen Verarbeitungsorte des Cloud-Anbieters informieren Zu beachten: 4b, 4c BDSG Innerhalb des Europäischen Wirtschaftsraums: Cloud-Anwender, -Anbieter und Unter-Anbieter unterliegen den weitgehend gleichen Datenschutzanforderungen Klärung, ob sich die physikalische Infrastruktur auf dem Gebiet des EWR befindet

12 Grenzübergreifende Datenverarbeitung Außerhalb des Europäischen Wirtschaftsraumes: Verifizierung, ob im Drittstaat ein adäquates Datenschutzniveau besteht ( Übernahme der Standardvertragsklauseln der EU Kommission, sowie Binding Corporate Rules Der Cloud-Anbieter agiert als Datenimporteur, sofern er in einem Drittstaat ansässig ist Zusätzliche Vertragsvereinbarungen und Garantien sollten zwischen Cloud-Anwender und Cloud-Anbieter geschlossen werden Haftung für Schäden gegenüber dem Betroffenen liegt beim Cloud- Anwender

13 Grenzübergreifende Datenverarbeitung Sonderfall USA Ist der Sitz des Cloud-Anbieters in den USA und verpflichtet er sich zur Einhaltung der Safe Harbor Grundsätze, können die EU- Standardvertragsklauseln und Binding Corporate Rules entbehrlich sein Kontrollpflicht des Cloud-Anwenders entfällt nicht

14 Schutz und Risiken Schutzziele: Verfügbarkeit Vertraulichkeit Integrität Revisionssicherheit Transparenz

15 Klassische Risiken Versehentliches/ Vorsätzliches Handeln von Mitarbeiten des Providers Sicherheitslücken durch Angriffe Dritter Mangelhafte Löschung defekter Speichermedien vor deren Austausch oder Aussonderung Man-In-The- Middle- Attacken Cloud-unabhängige Sicherheitsmängel der technischen Infrastruktur Angriffe durch Schadsoftware auf die Dienste in der Cloud Nutzung von Sicherheitslücken beim Provider Nutzung von Sicherheitslücken in dem vom Provider zur Nutzung bereitgestellte APIs und Schnittstellen Missbrauch der Plattform des Providers (z.b. durch Brute- Force-Angriffe) missbräuchlicher Umgang mit Datensicherungen Computerkriminalität durch schlecht kontrollierte Registrierungsmodalitäten zur Nutzung von Cloud- Diensten

16 Cloudspezifische Risiken Datentrennung Zugriff auf Daten anderer VMs keine getrennte Verarbeitung von Daten verschiedener Kunden Transparenz der Datenverarbeitung in der Cloud Zugriff durch staatliche und private Stellen auf die Daten in Drittländern möglich und nicht kontrollierbar Keine Information, wo die Daten verarbeitet werden und wie sie dort hinkommen Keine Kontrolle, ob der Anbieter die Maßnahmen aus den Verträgen zur Auftragsdatenverarbeitung einhält Keine Kontrolle über Datenspuren

17 Cloudspezifische Risiken Verfügbarkeit in der Cloud Leistungsverweigerung durch betrügerisches Handeln des Anbieters Ausfall der Hardware oder der Anbindung des Anbieters Löschung von Daten (versehentlich oder vorsätzlich) durch den Anbieter erschwerte Erstellung von Backups

18 Fazit Egal ob IaaS, PaaS oder SaaS: Cloud Computing ist die Nutzung von Leistungen, die wegen Ihrer Skalierbarkeit an den jeweils aktuellen Bedarf angepasst werden können und nach Verbrauch bezahlt werden. Die Bestimmt- oder Unbestimmtheit der Verarbeitungsorte, die Einflussmöglichkeiten der Anwender auf die örtlichen, infrastrukturellen und qualitativen Rahmenbedingungen der Verarbeitung ist bei den verschiedenen Arten jedoch höchst unterschiedlich.

19 Fazit Worauf sollten Sie achten? offene, transparente und detailierte Informationen der Anbieter über technische, organisatorische und rechtliche Rahmenbedingungen der angebotenen Dienste transparente, detailierte und eindeutige vertragliche Regelungen der Cloud-gestützen Datenverarbeitung Umsetzung von abgestimmten Sicherheitsmaßnahmen auf Siten vn Cloud-Anbieter und Cloud-Anwender aktuelle und aussagekräftige Nachweise (z.b. Zertifikate) über die Infrastruktur (mit einem Augenmerk auf Informationssicherheit, Portabilität und Interoperabilität)

20 Fazit Neben der rein wirtschaftlichen Betrachtung, ob die Cloud das richtige Modell für Sie als Anwender ist, müssten Sie auch verschiedenste Datenschutz-technische Aspekte berücksichtigen und evaluieren, ob die Cloud für Ihr Vorhaben in Frage kommt.

21 Vielen Dank für Ihr Interesse DATALOG Software AG Zschokkestr München +49 (89) (89) Vertraulichkeitshinweis Der Inhalt dieser Unterlagen ist vertraulich zu behandeln und unterliegt deutschem Urheberrecht. Die Weitergabe an Dritte ohne Zustimmung der DATALOG Software AG ist nicht gestattet.