Cloud-Rechtssicherheit

Transkript

1 Cloud-Rechtssicherheit TechDay Kramer & Crew 30 Minuten Stefan Fischerkeller Diplomverwaltungswirt (FH) Geprüfter, fachkundiger Datenschutzbeauftragter 1

2 Profil DDK Standorte: München, Bodensee, Stuttgart, Frankfurt a.m., Freiburg i. Br., Köln (im Aufbau) Einzugsgebiet: deutschlandweit + 10 Beschäftigte/Partner Bestandsaufnahmen / Auditierungen bspw. Workshops in Bezug auf Datenschutz / Archivierung Projektbezogen Initialer Aufbau eines Datenschutz-Konzepts Unterstützung von internen DSBs etc. Externe Datenschutzbeauftragte Fokus praktisch und anwendbar mehr als eine Insellösung (Teil der compliance-architektur) der DSB in der aktiven Rolle (Outsourcing) 2

3 Cloud?! Cloud Computing ist ein Modell, das es erlaubt bei Bedarf, jederzeit und überall bequem über ein Netz auf einen geteilten Pool von konfigurierbaren Rechnerressourcen (z.b. Netze, Server, Speichersysteme, Anwendungen und Dienste) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden können Quelle: NIST (National Institute of Standards and Technology) Für uns: Software as a Service (SaaS) Infrastructure as a Serice (IaaS) Platform as a Service (PaaS) private cloud (je nach dem) public cloud hybrid cloud Der Einfachheit halber: Alles was mit externen Anbietern/RZ zu tun hat Personenbezogene Daten (bspw. Beschäftigten-/Kundendaten) Schützenswerte/vertrauliche Informationen 3

4 Vorteile/Nachteile Vorteile u.a.: Flexibilität / on-demand-bezug Datenverfügbarkeit Verringerte Komplexität Finanzielles Einsparungspotential Verantwortlichkeiten außer Haus Höheres Sicherheits-/Schutzniveau?! Nachteile u.a.: Fragen der Vertragsgestaltung Gesetzliche Anforderungen an den Datenschutz oder auch Handelsund Steuerrecht Grenzüberschreitende Rechtsanwendung Einflussmöglichkeit auf Datenverarbeitung selbst Abhängigkeiten 4

5 Rechtliches Fakt ist: cloud-dienste Aus Deutschland, EU/EWR (EU Staaten + Island, Liechtenstein, Norwegen), oder sicherer Drittstaat (bspw. Schweiz, Kanada, Neuseeland etc. ) möglich, aus Drittstaaten (nicht EU, EWR) nahezu unmöglich (auch wenn Anbieter aus den USA, RZ in EU/EWR) Hauptkritikpunkte zur cloud in Drittstaaten Datenschutz-Niveau in Drittstaaten (aktuelles Bsp. USA, 5-Eyes etc.) Prüfbarkeit des Datenschutz-Niveaus Prüfbarkeit der Datenverarbeitung selbst (bspw. Orte, Übertragung) Durchsetzung von eigenen Rechten, bzw. Rechten von Betroffenen (bspw. Löschung, Sperrung) 5

6 Rechtliches Was ist mit Amazon (AWS), Google, Microsoft Azure, Office 365? Auftraggeber bleibt verantwortlich! Anbieter hat Standort in EU/EWR und kann Datenverarbeitung auf EU/EWR-Boden gewährleisten (prüfbar?) Standort in Irland ausreichend? kommt drauf an Anbieter aus Drittstaat / DV in Drittstaat (zu klären!) DSB nimmt 2-Stufen-Prüfung vor ( 4b,c BDSG) Rechtsgrundlage der Datenverarbeitung? Angemessenes Datenschutz-Niveau? Verschiedene Kriterien (Safe-Harbor, Zertifizierung, DIN ISO/IEC 27001, (bspw. Microsoft), Art. 29 Gruppe (bspw. AWS) Vertragliche Regelungen EU-Standardvertragsklauseln Ergänzungen der Auftragsdatenverarbeitung nach 11 BDSG Verschlüsselte Daten?! es kommt drauf an Rechtskonforme Gestaltung sehr schwierig Aktuelle Lage (NSA, Patriot Act etc.) erschweren Situation erheblich EU-Datenschutz-Grundverordnung, evtl. ab 2018 (Territorialprinzip) 6

7 Rechtliches Verantwortlichkeit Wichtig: cloud ist in der Regel Datenverarbeitung im Auftrag ( 11 BDSG) Auftraggeber ist und bleibt verantwortliche Stelle ( 3 Abs. 7 BDSG) Ihm obliegen die Pflichten zur sorgfältigen Auswahl und laufende Prüfung, sowie Vertragserstellung Dazu gehört u.a. Haftungsfragen werden immer erst beim Auftraggeber geprüft Sicherstellung der Rechte von Betroffenen (Auskunft, Löschung/Sperrung) Gewährleistung desselben Schutzniveaus bzw. getroffene technische und organisatorische Maßnahmen nach 9 BDSG Dokumentationspflichten (Prüfungsprotokolle des DSB, Wiederkehrende Prüfungen des Auftragnehmers) Mit dem ADV-Vertrag ist es nicht getan! FRAGEN SIE IHREN DSB! 7

8 Risiken/Haftung Risiken Bußgeld von bis zu wirtschaftlich erlangter Vorteil Imageschäden Evtl. Informationspflichten nach 42a BDSG Schadenersatz ( 7 BDSG) Maßnahmen der Aufsichtsbehörden (bis hin zur Stilllegung der Datenverarbeitung, Ordnungsgelder, weitere Prüfungen) Haftung Grundsätzlich haftet das Unternehmen, bzw. GF/Vorstand im Innenverhältnis Nebenvertragliche Pflichten der Arbeitnehmer (Sorgfaltspflicht) Schutz-, Mitwirkungs-, Geheimhaltungs- und Aufklärungspflichten Im Einzelfall zu klären Aber es gilt: zum Verantwortungsbereich von leitenden IT-Mitarbeitern gehören sowohl Identifikation von Bedrohungsszenarien und damit verbundenen Risiken/Konsequenzen, als auch Planungen zur Vermeidung und Vorbeugung von Schadensentwicklungen 8

9 Was tun? (Neubeauftragung) Vorgehensweise bei/vor Beauftragung FRAGEN SIE IHREN DSB WICHTIG: sollte im Beschaffungsprozess implementiert sein Legen Sie den Schutzbedarf der Daten fest / Risikoanalyse Sorgfältige Auswahl VOR Beauftragung ( 11 Abs. 1 BDSG) Kontakt mit dem dortigen DSB (Indiz für adäquates Datenschutz- Niveau) Weitere Indizien: Reaktionszeiten, Gesamteindruck, Fachkunde des DSB Einfordern von Unterlagen (Dokumentation der technischen und organisatorischen Maßnahmen nach 9 BDSG) Aktueller Zertifikate / Auditierungen / Gutachten externer Dritter Entwurf eines Vertrags nach 11 BDSG Falls erforderlich Vor-Ort-Prüfung Wichtig: dokumentieren Sie Ihre Überlegungen in Form eines Protokolls Vertragserstellung nach Maßgabe 11 Abs. 2 BDSG (Aufgabe des DSB) Laufende Prüfungen des Dienstleisters (bspw. im Jahresturnus) mit Dokumentation Achtung: Aufsichtsbehörden prüfen i.d.r. diese Punkte! 9

10 Was tun? (Bestand) Sind bereits Dienstleister beauftragt? Nicht nur cloud -Dienste sind betroffen, sondern auch Support/Wartung durch Fremdfirmen (unabhängig ob Fernwartung oder Vor-Ort) Es sind alle eingeschlossen bei denen NICHT-AUSGESCHLOSSEN werden kann, das personenbezogene Daten zur Kenntnis genommen werden können ( 11 Abs. 5 BDSG) Was tun? Erstellung einer Übersicht der eingesetzten Dienstleister Prüfung ob ein datenschutzrechtliches Verhältnis vorliegt (Sache des DSB, Funktionsübertragung vs. Auftragsdatenverarbeitung) Prüfung des Datenschutz-Niveaus (wie oben) und Abschluss entsprechender Vereinbarungen Beteiligung des DSB sollte dringend in den Beschaffungsprozess! 10

11 FAZIT Zusammenfassung Cloud? JA Unternehmen bleibt verantwortliche Stelle Abhängig von Schutzbedarf der Daten Führen Sie eine (kleine) Risikoanalyse durch Nur unter bestimmten Voraussetzungen BRD EU / EWR Rechtzeitige Beteiligung des DSB Vertragliche Regelungen ( 11 BDSG) Sorgfältige Auswahl Dokumentation Fragen Sie Ihren DSB! 11

12 Deutsche Datenschutzkanzlei Vielen Dank für Ihre Aufmerksamkeit Stefan Fischerkeller Geprüfter, fachkundiger Datenschutzbeauftragter 12