IT-Sicherheit und Datenschutz im Cloud Computing

Transkript

1 Definition von bezeichnet das dynamische Bereitstellen von Ressourcen wie Rechenkapazitäten, Datenspeicher oder fertiger Programmpakete über Netze, insbesondere über das Internet. und dazu passende Geschäftsmodelle wie Software-as-a- Service gewinnen an Bedeutung. Für das wird mit möglichen Kosteneinsparungen und größerer Flexibilität geworben.

2 Geschäftsmodelle: - Effizientere Nutzung vorhandener Ressourcen durch Zusammenschaltung vorhandener Systeme. (Internal Cloud) - Zusätzliche Ressourcen werden bei Bedarf hinzugemietet und zusätzlich zur vorhandenen IT genutzt. (Hybrid Cloud) - Ressourcen werden (nahezu) vollständig angemietet. (External Cloud)

3 Rechtlicher Rahmen & Anfoderungen: Bundesdatenschutzgesetz (BDSG) und die EU Datenschutzrichtlinie (Richtlinie 95/46/EG) sehen für das grundsätzlich nur die Möglichkeit der Auftragsdatenverarbeitung. 1.Schriftlicher Auftrag i.s.d. 11 BDSG 2.Der Auftraggeber muss sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der technisch-organisatorischen Maßnahmen überzeugen ( 11 Abs. 2 BDSG). 3.Eine wirksame Datenschutzkontrolle muss beim Cloud-Anbieter (Auftragnehmer) gewährleistet sein. 4.Erhebt der Cloud-Anbieter die Daten außerhalb der EU oder des EWR, müssen zusätzlich die Bedingungen der 4b, 4c BDSG erfüllt sein. Problematisch, wenn es sich um unsichere Drittstaaten (USA, China, etc.) handelt.

4 Steuerlich relevante Aufzeichnungen in der Cloud? Die Archivierung von Daten in grenzüberschreitenden Clouds hat bzgl. steuerlich relevanter Aufzeichnungen Bedeutung, da diese nach 146 Abs. 2 S. 1 AO grundsätzlich im Inland zu führen und aufzubewahren sind. Auf Antrag kann die zuständige Finanzbehörde nach dem zum eingefügten 146 Abs. 2a AO bewilligen, dass die Dokumente in einem Mitgliedstaat der Europäischen Union (EU) oder des Europäischen Wirtschaftsraums mit Amtshilfeübereinkommen (EWR) archiviert werden. Die ausländische Finanzbehörde muss zustimmen, und die deutsche Finanzbehörde muss auf die Dokumente zugreifen können. Nach 148 AO dürfen steuerrechtliche Unterlagen außerhalb des EU/EWR-Raumes nach Bewilligung der Finanzbehörde nur aufbewahrt werden, wenn das Aufbewahren im Inland für den Steuerpflichtigen Härten mit sich brächte und die Besteuerung nicht beeinträchtigt wird. Nach dem Handelsrecht müssen Buchungsbelege und Handelsbriefe im Inland aufbewahrt werden Es besteht nach 257 Abs. 4 HGB eine gesetzliche Aufbewahrungsfrist von 6 bzw. 10 Jahren. Eine explizites Verbot zur Nutzung eines Cloud Archiving besteht nicht. ( und Datenschutz von Thilo Weichert)

5 Fälle aus der Praxis Microsoft durchsucht die bei Windows Live Skydrive gesicherten Bilder eines Profifotografen und sperrt sie wegen Nacktheit Der Aachener Fotograf konnte nicht mehr auf die virtuelle Festplatte Skydrive bei Windows Live zugreifen. Er hatte den Dienst für die Synchronisation von Daten mit dem Smartphone HD7 von HTC eingerichtet, das mit Microsofts Windows Phone 7 läuft. Das auch vom PC aus zugängliche Skydrive hatte er für die Datensicherung seiner Fotos genutzt. Nicht nur den Zugang zu seinen eigenen Bildern sperrte ihm Microsoft, sondern drohte zugleich mit Kontokündigung Erst auf seine Nachfrage wurde ihm die Begründung per nachgereicht: Vier Fotos in einem seiner Alben hätten wegen Nacktheit gegen die Allgemeinen Geschäftsbedingungen von Microsoft verstoßen Wie aber kommt ein Unternehmen überhaupt dazu, die Datensicherung ihrer Kunden zu durchsuchen und Anstoß zu nehmen? (Quelle: vom )

6 Möchten Sie die Kontrolle wirklich abgeben? Natürlich kann wirtschaftliche Vorteile bringen. Die rechtliche Zulässigkeit ist noch nicht völlig gegeben. Die Risiken aus dem Bereich Datenschutz & Informationssicherheit sind hoch. Un- oder beabsichtigtes Löschen oder Manipulation von Daten Wenn Ressourcen gesperrt werden müssen, weil ein Hacker sich Zugang verschafft hat oder sie wegen Insolvenz des Cloud-Anbieters ausfallen, hängt der Datenschutz und das Unternehmen in der Luft. (Unsicherheit, Aufwände und Folgekosten).

7 Technische Lösungen schön und gut..., In der Praxis bedeutet dies, dass Dienstleister, die im Auftrag ihrer Kunden Daten verarbeiten, im Detail nachweisen müssen, wie sie die Anforderungen des BDSG und aus dem Vertrag erfüllen. Im Gegenzug sind die Auftraggeber verpflichtet ihren Auftragnehmer zu kontrollieren und mögliche Nachweise einzufordern und dies entsprechend zu dokumentieren. Vor dem Hintergrund der Pflichten aus 11 BDSG in Verbindung mit den technischen und organisatorischen Maßnahmen gem. 9 BDSG, haben Auftragnehmer nun eine Vielzahl von Datenschutzanforderungen in der Organisation zu etablieren und nachvollziehbar zu erfüllen. Dies führt zu Rechenschaftspflichten gegenüber dem Kunden und zu Auditprüfungen beim Auftragnehmer. Je größer der Dienstleister ist umso größer ist der einzelne Kontroll- bzw. Auditaufwand, was wiederum zur Kostensteigerung auf Seiten des Prüfers (Auftraggeber) und des Geprüften (Auftragnehmers) führt, nicht aber das Datenschutzniveau erhöht. (Quelle: Marco Wichtermann, WIK-Zeitschrift, SecuMedia Verlag, 2011/1)

8 Datenschutz ist eine Management-Disziplin Der Landesbeauftragte für den Datenschutz begrüßt daher die Initiative der Loomans & Matz AG zur Implementierung eines Datenschutz Managementsystems und unterstützt diese nach Kräften. Dies gilt sowohl hinsichtlich der Entwicklung und Fortentwicklung dieses neuen Standards, als auch für die Frage seiner möglichst umfangreichen Verbreitung. Gleichzeitig wird der LfD das nunmehr vorgelegte Datenschutz Managementsystem im Kreis der Aufsichtsbehörden von Bund und Ländern (Düsseldorfer Kreis) vorstellen und für dessen breite Erörterung Sorge tragen, die der weiteren Verbesserung des Datenschutz Managements und damit der Erhebung des tatsächlichen Datenschutzniveaus in Deutschland dient. Edgar Wagner Landesbeauftragter für Datenschutz Rheinland-Pfalz

9

10 ist von der Politik und Wirtschaft gewollt. Das zentrale Problem des besteht darin, die Integrität und Vertraulichkeit der Datenverarbeitung, nicht nur für die Verarbeitung personenbezogener, sondern sämtlicher Daten (z.b. für Betriebs- und Geschäftsgeheimnisse, für Forschungsdaten) zu gewährleisten. Es geht um den Schutz der Daten gegenüber Zugriffe durch Dritter. war Leitthema der CeBIT 2011 BITKOM begrüßt Aktionsprogramm der Bundesregierung

11