Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Transkript

1 Cloud Computing Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Dozenten Katharina Wiatr Referentin für Beschäftigtendatenschutz (030) ; wiatr@datenschutz-berlin.de Oliver Berthold Referent für Internet, Cloud Computing, mobile Anwendungen, Next Generation Networks (NGN) (030) ; berhold@datenschutz-berlin.de

2 Einführung Datenverarbeitung in der Wolke => eine über Netze angeschlossene Rechnerlandschaft, in welche die eigene Datenverarbeitung ausgelagert wird Public bis Private Cloud Z. B. Community Cloud wie die Verwaltungs-Cloud des ITDZ Software as a Service, Platform as a Service und Infrastructure as a Service Die rechtlichen Rahmenbedingungen Verantwortliche Stelle ist der Cloud-Anwender Nimmt der Cloud-Anwender (AG) von einem Cloud- Anbieter (AN) IT-Dienstleistungen in Anspruch liegt ein Auftragsdatenverarbeitungsvertrag nach 11 BDSG vor Cloud- Anbieter muss vertraglich verpflichtet werden, sämtliche Unter-Anbieter zu benennen; Frist zum Widerspruch Kontrolle nach 11 Abs. 2 Satz 4 BDSG (problematisch)

3 Die rechtlichen Rahmenbedingungen Cloud-Anwender bleibt als Auftraggeber für die Einhaltung der Betroffenenrechte zuständig, 34 und 35 BDSG => daher vertragsstrafenbewehrte Weisungsrechte einräumen Nutzung Clouddienste durch nicht-öffentliche Stellen 1. Serverstandort außerhalb EU/EWR Raum Stufe 1: müsste nach Vorgaben des BDSG zulässig sein, Problem: Privilegierung der Auftragsdatenverarbeitung gilt nicht = Übermittlung Folge: Rechtsgrundlage erforderlich (z. B. 28 Abs. 1 Satz 1 Nr. 2 BDSG oder Einwilligung etc.) Stufe 2: angemessenes Datenschutzniveau ( 4b, 4c BDSG)

4 Nutzung Clouddienste durch nicht-öffentliche Stellen Abschluss Standardvertragsklauseln (Problem: Zuverlässigkeit des Auftragsnehmers aufgrund des FISA Acts) oder Binding Corporate Rules Safe Harbor (gleiche Sachlage) Nutzung Clouddienste durch nicht-öffentliche Stellen 2. Serverstandort EU-Raum Sofern Zugriffe zu Wartungszwecke außerhalb des EU-Raumes: Privilegierung des ADV greift nicht Produkte noch nicht abschließend technisch überprüft Zugriffe US-Behörden aufgrund des FISA-Acts möglich

5 Nutzung Clouddienste durch öffentliche Stellen 1. Serverstandort außerhalb EU/EWR Raum 1. Stufe: Rechtsgrundlage für die Übermittlung erforderlich (nach jeweiligen Landesgesetz, vgl. 6 BlnDSG bzw. zwischenstaatliche Vereinbarungen) 2. Stufe: sieht das Landesgesetz eine Datenübermittlung in einem Drittstaat vor? Nutzung Clouddienste durch öffentliche Stellen 2. Serverstandort innerhalb EU/EWR Raum? Privilegierung der Auftragsdatenverarbeitung? Nur, wenn es zu keine Wartungszugriffe außerhalb des EU/EWR Raum kommt Produkte noch nicht abschließend technisch überprüft Zugriffe der US-Behörden aufgrund des FISA-Acts möglich

6 Technische und organisatorische Aspekte Vertraulichkeit Verfügbarkeit Integrität Schutzziele Auch Herkunft personenbezogener Daten Datensparsamkeit Nur notwendige Daten, frühzeitigstes Löschen Intervenierbarkeit Auskunft, Berichtigung und Löschung ermöglichen Nicht-Verkettbarkeit Zweckbindung, Mandantentrennung

7 Wie erreicht man die Schutzziele? IT-Sicherheitsmaßnahmen Risikoanalyse (insbesondere bei Daten mit hohem Schutzbedarf Sicherheitskonzept / Zertifizierung möglichst konkret und nachvollziehbar z.b. nach BSI Datenschutz-Zertifizierung (z. B. Umsetzung Betroffenenrechte) Verschlüsselung der Übertragung Verschlüsselung der gespeicherten Daten Verschlüsselung der Daten in der Cloud Verschiedene Ansätze 1. Ver- und Entschlüsselung beim Nutzer 2. Schlüssel beim Nutzer, nur temp. auf Server 3. Schlüssel in zertifizierten Kryptoboxen beim Anbieter 4. Schlüssel im RAM 5. Auf der Festplatte 1 -> 5: Sinkende Sicherheit, aber geringerer Aufwand mehr Möglichkeiten Bei 1. eingeschränkte Funktionalität; derzeit nur reiche Cloud- Speicherdienste

8 Klassische Risiken Natürlich auch beim Cloud-Computing Innentäter Sicherheitslücken, Patchmanagement Missbrauch der Infrastruktur z.b. für Spam- Versand, Botnetzserver etc. Unzureichende Sicherheitskonzepte Cloudspezifische Probleme / Risiken Keine Gewissheit über Speicherort/Betreiber Schnelles Verschieben/Kopieren von Daten, VMs oder Containern Vollständige Löschung von Daten Transparenz: wo erfolgt die Verarbeitung Protokollierung unter Kontrolle eines Dritten/Vierten Vervielfältigung und Verteilung Kontrollrechte/pflichten schwer umsetzbar Datentrennung kein physisch eigener Server, theoretische Möglichkeit des Zugriffs durch andere Anwendungen Ggf. unklare Verfügbarkeit Abhängigkeit von Anbieter (insbesondere bei SaaS) Tatsächlich verfügbare Ressourcen nicht überprüfbar, kann sich jederzeit ändern

9 Unterschiede nach Betriebsmodellen Je höheres Level des Cloud-Dienstes, um so höherer Kontrollverlust, Vertrauen in Anbieter nötig SaaS: Anbieter und Angreifer finden standardisiertes Datenmodell vor, Diebstahl/Manipulation gezielter möglich, Schutz durch Verschlüsslung schwieriger Speicher-Cloud: möglichst immer mit Ver- /Entschlüsselung auf den Clients Fazit Rechtlich vergleichbar mit traditioneller ADV Probleme mit Vertrauen in Anbieter und Technik, da höhere Dynamik, viel Subverarbeiter Außerhalb des EWR problematisch (Datenschutz- und IT-Sicherheit) Zertifizierung Ersetzt u. U. eigene Kontrollpflichten (in Datenschutz- Grundverordnung wohl vorgesehen) Technische Schutzmaßnahmen möglichst ergreifen insbesondere Verschlüsselung Orientierungshilfe: (Kommunikation und Internet => Orientierungshilfe Cloud Computing)

10 Vielen Dank für Ihre Aufmerksamkeit!