Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Transkript

1 Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

2 Herausforderungen Cloud Übermittlung von Daten an einen Dritten und ggf. Verarbeitung durch den Dritten: Meist auch personenbezogene Daten Datenschutzrechtlich zulässige Übermittlung? Datenschutzgerechte Übermittlung und Verarbeitung? Übermittlung in einen Drittstaat? Geheimhaltungsbedürftige Informationen Verhinderung unbefugte Kenntnisnahme (aus vertraglicher oder gesetzlicher Pflicht) USA: Patriot Act, PRISM

3 Lösungen (1) Sorgfältige Planung von Cloud-Lösungen Festlegung ausgelagerter Bereiche Möglichst keine sensiblen Daten auslagern Sorgfältige Auswahl des Anbieters Zuverlässigkeit Datenspeicherung erfolgt in einem RZ innerhalb EU/EWR Anderenfalls: Datenschutzniveau gewährleistet?

4 Lösungen (2) Vertragliche Bindung des Anbieters Einzuhaltende Sicherheits- und Datenschutzstandards Haftung / Pflichten bei Vertragsbeendigung Festlegung von Kontrollrechten Selbst zu treffende Maßnahmen: Gewährleistung sicherer Übermittlung Geeignete Regelungen zur Verwendung (i.d.r. durch Dienstanweisungen)

5 Datenschutzrecht (1) Überlassung von Daten an einen Dritten: Funktionsübertragung Der Dritte hat ein eigenes Entscheidungsermessen Keine Weisungsgebundenheit des Dritten Der Dritte muss die für seinen Dienst geltenden datenschutzrechtlichen Vorgaben einhalten Vorteil: Die Verantwortung wird weitgehend an den Dritten delegiert Nachteil: Es bedarf einer Rechtsgrundlage in Form einer Einwilligung durch jeden einzelnen Betroffenen (Freiwilligkeit!)

6 Datenschutzrecht (2) Überlassung von Daten an einen Dritten: Auftragsdatenverarbeitung Der Dritte hat nur insoweit ein eigenes Ermessen wie durch den Auftraggeber eingeräumt Weisungsgebundenheit Der Auftraggeber bleibt für die Datenverarbeitung verantwortlich Vorteile: Der Dritte wird wie eine interne Stelle behandelt Verbleibende Kontrolle über die Daten Nachteil: Vertrag mit Auftragnehmer erforderlich, Anforderungen Form und Inhalt

7 Vertrag: Inhaltliche Anforderungen (1) Auftragsdatenverarbeitung 11 BDSG und entsprechende Regelungen in den LDSGen Gesetzliche Schriftform Zwingende inhaltliche Elemente, insbesondere: Umfang, Art und Zweck der Verarbeitung Die zu treffenden technischen und organisatorischen Maßnahmen Kontrollrechte, Duldungs- und Mitwirkungspflichten Weisungsbefugnisse Regelungen zur Beendigung des Auftrags

8 Vertrag inhaltliche Anforderungen (2) Funktionsübertragung Keine gesetzlichen Anforderungen an diesbezügliche Verträge Aber: Bezüglich der Auswahl eines Vertragspartners besteht eine Verantwortung der auftraggebenden Einrichtung: Folgendes sollte zumindest geregelt werden: Einzuhaltende Sicherheits- und Datenschutzstandards Haftung / Pflichten bei Vertragsbeendigung Festlegung von Kontrollrechten

9 Zwischenfazit Es besteht bei beiden Alternativen der Bedarf das gegenseitige Vertrauen zu bestärken: Vertragliche Regelungen Einbindung sachverständiger Dritter zur unabhängigen Auditierung Gegebenenfalls Durchführung von Zertifizierungen

10 IT-Sicherheit und Datenschutz IT-Sicherheit Maßnahmen ohne direkte Relevanz für den Datenschutz (z.b. Einhaltung DIN-Normen, Blitzschutz) Datenschutz Spezifische Maßnahmen zum Datenschutz (Meldepflichten, Führen von Verfahrensverzeichnissen) IT-Sicherheit und Datenschutz Maßnahmen zur IT-Sicherheit mit gleichzeitiger Datenschutzrelevanz (z.b. Passwortsicherheit, Protokollierung, Sicherheitsbereiche, zutrittsbeschränkende Maßnahmen, Verschlüsselung)

11 IT-Sicherheit Gewährleistung eines angemessenen Niveaus der IT-Sicherheit Gewährleistung der nach den Datenschutzgesetzen erforderlichen technischen und organisatorischen Maßnahmen Anerkannt: Voraussetzungen sind erfüllt, wenn der IT-Grundschutz des BSI umgesetzt ist

12 Zertifizierungen IT-Sicherheit ISO Zertifikat auf der Basis von IT- Grundschutz Zwischenstufen hin zur Zertifizierung Auditor-Testat IT-Grundschutz Einstiegsstufe Auditor-Testat IT-Grundschutz Aufbaustufe Testate und Zertifizierung nur durch BSIzertifizierte Auditoren

13 Datenschutz Über die technischen und organisatorischen Maßnahmen hinaus: Datenschutzgerechte Organisation z.b. Datenschutzbeauftragter, Verpflichtung der Mitarbeiter auf das Datengeheimnis Rechtskonforme Datenverarbeitung Realisierbarkeit der Betroffenenrechte z.b. Auskunft, Berichtigung, Löschung Bestehen besondere Gefährdungen? Werden adäquate Maßnahmen ergriffen?

14 Zertifizierungen/Audits Datenschutz (1) 9a BDSG: Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen. Die näheren Anforderungen an die Prüfung und Bewertung, das Verfahren sowie die Auswahl und Zulassung der Gutachter werden durch besonderes Gesetz geregelt.

15 Zertifizierungen/Audits Datenschutz (2) Bis heute besteht kein Gesetz zu Datenschutzaudits auf Bundesebene Andere Zertifizierungen: Datenschutzstandard DS-BvD-GDD-01 Für Anbieter von Auftragsdatenverarbeitung Verbände BvD und GDD Datenschutzgütesiegel des ULD Schleswig- Holstein Für Anbieter von IT-Produkten für öffentliche Stellen in Schleswig-Holstein Zertifizierungen verschiedener Anbieter

16 Audit ohne Zertifizierung (1) Prüfung durch einen sachverständigen und unabhängigen Dritten Dokumentation des Vorgehens und der Ergebnisse in einem Prüfbericht DFN-CERT: Vorgehen nach den Kriterien einer Vorabkontrolle in Bezug auf den Cloud-Dienst Vorteil: Beauftragenden Einrichtungen wird die eigene Vorabkontrolle vereinfacht DFN-CERT: Ergebnisse werden um Handlungsempfehlungen ergänzt. Prüfung der Umsetzung in Folgeaudits

17 Audit ohne Zertifizierung (2) Möglichkeit der Weitergabe der Ergebnisse an Auftragnehmer bzw. in der Vertragsanbahnung Vereinfachte Kontrolle von vereinbarten Standards Vermeidung von Prüftourismus Vor-Ort Kontrollen können nicht gänzlich ausgeschlossen werden Verfügbarkeit von Auditberichten reduziert aber das Bedürfnis von Vor-Ort Kontrollen deutlich

18 Vielen Dank für Ihre Aufmerksamkeit RA Dr. Jan K. Köcher