Datenschutz und Datensicherheit bei Webservices/Portalen durch Verschlüsselung? SSW Schneider Schiffer Weihermüller Rechtsanwalt Dominik Hausen it-sa, Nürnberg, Lawyer meets IT, 11.10.2011 Beispiel Unternehmen der Medizinbranche (Krankenhaus, Krankenversicherung) Web-Portal für Patienten/Versicherte Dienste: Patienten-/Versicherungsdaten einsehen und verwalten Terminvereinbarungen vornehmen Versicherungskonditionen ändern und Versicherungsfälle melden Betrieb Webportal durch technischen Dienstleister Dienstleister setzt wiederum einen Dienstleister (Speicherplatz-Anbieter) ein Vertragsverhältnisse 1
Datenflüsse Compliance-Anforderungen Datenübermittlung an Dienstleister datenschutzrechtlich erlaubnispflichtig ( 4 BDSG). - Durchführung Vertrag erforderlich? - Berechtigte Interessen der auslagernden Stelle? - Teuer, da in der Regel schriftlich einzuholen - unpraktikabel, da jederzeit widerruflich - Soll sicherstellen, dass DV so sicher ist, als wenn sie nicht outgesourct worden wäre - Hohe Anforderungen an Fremdvergabe von DV Anforderungen 11 BDSG Feststellung Eignung anhand: - Sicherheitskonzept (techn. + org. Maßnahmen) - Zertifizierungen - Referenzen Festlegung von - Gegenstand, Umfang, Art, Zweck der DV - Weisungsbefugnisse des AG - Kontrollrechte des AG - Einschaltung von Subunternehmern - Eigenkontrolle vor Ort oder - Kontrolle durch beauftragte Dritte - str., ob Selbstauskunft ausreichend AG bleibt für DV verantwortlich (z.b. Auskunftspflicht, 34 BDSG) 2
Nachteil einer ADV-Lösung (1) an - Auswahl - vertragliche Ausgestaltung - Kontrolle des AN für nicht richtige/vollständige Erteilung des Auftrags oder nicht sorgfältige Auswahl bis zu 50.000 ( 43 BDSG) Verhandeln des ADV- Vertrags u.u. schwierige Verhandlungsposition bei Anbietern aus Ländern mit geringerem Datenschutzniveau oder großer Marktmacht Nachteil einer ADV-Lösung (2) Festlegung von Zutrittskontrollen, Admin-Rechte etc. in allen RZ? AG muss Ort, Zeit und Umfang der DV vollständig beherrschen mit allen Leistungsbestandteilen vor deren Einschaltung durch den AN Verschlüsselung als technische Lösung für mehr Datenschutz und Datensicherheit? VerschlüsselungVerschl sselung 3
Datenschutz/Datensicherheit Das Datenschutzrecht schützt natürliche Personen vor der Gefahr der Verletzung ihres Persönlichkeitsrechts. Die Datensicherheit schützt IT-Systeme, also insbesondere Hardware, Software, Daten vor der Gefahr des Verlustes, der Zerstörung oder des Missbrauchs durch Unbefugte. Einordnung der Verschlüsselung in die Begrifflichkeit des BDSG (1) - Herstellung des Personenbezugs absolut unmöglich oder - erfordert unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft. BDSG nicht anwendbar Def: Name und andere Identifikationsmerkmale der Person werden zu dem Zweck, die Identifizierung der Person auszuschließen oder zu erschweren, durch ein Kennzeichen ersetzt. Pseudonymisierung - Schutzmaßnahme bei der Verarbeitung personenbezogener Daten - kann die Weitergabe solcher Daten an Personen erleichtern, die die Zuordnungsregel nicht kennen. BDSG weiter anwendbar, da Zuordnung über Zuordnungsregel möglich. Einordnung der Verschlüsselung in die Begrifflichkeit des BDSG (2) dem Dienstleister nur unter einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft eine Wiederherstellung des Personenbezugs möglich ist. 4
Datenschutzrechtliche Anforderungen an eine Verschlüsselungslösung Maßgeblich für Beurteilung des Personenbezugs verschlüsselter Daten: Verschlüsselungsverfahren müssen dem Stand der Technik entsprechen müssen, vgl. Anlage zu 9 BDSG, Satz 3. Keine harten Vorgaben hinsichtlich Verschlüsselungsverfahren und Schlüssellänge. Empfehlung für IT-Grundschutz-Katalog und technische Richtlinien des BSI. Schlüsselmanagement Nicht ausreichend: Schlüssel befindet sich im Machtbereich des Dienstleisters + Anweisung an Mitarbeiter, auf den Schlüssel nicht zuzugreifen. Ausreichend: Schlüssel befindet sich im alleinigen Gewahrsam der Daten auslagernden Stelle und/oder des Nutzers. Problem: Wie soll der Dienstleister Daten verarbeiten, wenn er zu keiner Zeit Zugriff auf die entschlüsselten Daten nehmen kann, eine Verarbeitung aber Gegenstand seiner Beauftragung ist? Praxisbeispiel 1 Cloud Storage-Anbieter: Keine Datenverarbeitung im eigentlichen Sinne geschuldet Dateibasierte Verschlüsselung mit Hilfe einer Client-Software umsetzbar Verschlüsselung erfolgt auf dem PC des Nutzers Nur verschlüsselte Dateien verlassen den Rechner des Nutzers Der Schlüssel verbleibt zu jedem Zeitpunkt auf dem PC des Nutzers Nachteile: - kein Zugriff auf Dateien über Webfrontend möglich - keine (einfache) Deduplizierung von Daten möglich 5
Praxisbeispiel 2 Web-Portal: Daten sollen über das Web-Portal verarbeitet werden können Dateibasierte Verschlüsselungslösung nicht ausreichend, da Speicherung in Datenbank(feldern) Datenfeld-basierte Verschlüsselungslösung erforderlich Homomorphe Verschlüsselung sselung als Lösung? Homomorphe Verschlüsselung Erlaubt Verarbeitungsvorgänge an verschlüsselten Daten, d.h.: Eine Rechenoperation an Daten und die anschließende Entschlüsselung des Resultats liefert dasselbe Ergebnis wie dieselbe Rechenoperation an den unverschlüsselten Daten. Bsp. für eine additiv homomorphe Verschlüsselung: Der Trick ist, mathematische Funktionen zu finden, die additiv und multiplikativ homomorph sind und zugleich schwer zu entschlüsseln. Die Forschung steht noch am Anfang: https://research.microsoft.com/pubs/148825/ccs2011_submission_412.pdf Verschlüsselung darf nicht zu viel Rechenleistung erfordern Ausblick Verschlüsselung ist ein probates Mittel, um die Datensicherheit bei Webanwendungen zu erhöhen. Die verschlüsselte Speicherung von Kunden- bzw. Nutzerdaten kann insb. den aus einem Einbruch in Webserver/Datenbanken resultierenden Schaden gering halten. Der Einsatz aktueller Verschlüsselungslösungen, lassen Vereinbarungen zur Gewährleistung von Datenschutz überwiegend nicht überflüssig werden. Insb. für den Betrieb von Webservices/Portale durch Dienstleister führt gegenwärtig kein Weg an einer Auftragsdatenverarbeitung vorbei. Homomorphe Verschlüsselungslösungen haben bei entsprechendem Schlüsselmanagement das Potential, das Versprechen Datenschutz durch Verschlüsselung einzulösen. 6
Noch Fragen? Rechtsanwalt Dominik Hausen Beethovenstraße 6 80336 München dominik.hausen@ssw-muc.de JUVE Handbuch Wirtschaftskanzleien 2010/2011 über SSW: Eine der führenden IT-Boutiquen, die unangefochten auf Augenhöhe mit internationalen Kanzleien agiert und von Mandanten hoch gelobt wird. IT-Rechts-Team: 16.5.2011 Rechtsanwalt Dominik Hausen 19 7