Datenschutz und Datensicherheit bei Webservices/Portalen durch Verschlüsselung?



Ähnliche Dokumente
Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Datenverarbeitung im Auftrag

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

1. bvh-datenschutztag 2013

Cloud Computing und Datenschutz

Nutzung dieser Internetseite

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

3. Verbraucherdialog Mobile Payment

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Datenschutz und E-Commerce - Gegensätze in der digitalen Wirtscheft?

Fachbericht zum Thema: Anforderungen an ein Datenbanksystem

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Big Data in der Medizin

Bestandskauf und Datenschutz?

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Der Schutz von Patientendaten

Cloud Computing, M-Health und Datenschutz. 20. März 2015

Datenschutz-Management

Das digitale Klassenund Notizbuch

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Checkliste zur Erfüllung der Informationspflichten bei Datenerhebung

Google Analytics - Kostenloser Service mit Risiken? RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH koecher@dfn-cert.de

Das RSA-Verschlüsselungsverfahren 1 Christian Vollmer

Drei Fragen zum Datenschutz im. Nico Reiners

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SUBSCRIPTION-VERTRÄGE VERWALTEN

Arbeitshilfen zur Auftragsdatenverarbeitung

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Leitfaden einrichtung Outlook Stand vom:

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Anleitung zum Computercheck Windows Firewall aktivieren oder eine kostenlose Firewall installieren

Microsoft Update Windows Update

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Weil Ihre Sicherheit für uns an erster Stelle steht. Wir sind für Sie da immer und überall! Online Banking. Aber sicher.

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutz-Vereinbarung

Datenschutzbeauftragte

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Installationsanleitung CLX.PayMaker Home

Die Gesellschaftsformen

Rechtssichere Nutzung von Cloud Services nach Prism Kann man der Cloud noch vertrauen?

2.4.7 Zugriffsprotokoll und Kontrollen

Freie Universität Berlin

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Jörg Datenschutz in der BRD. Jörg. Einführung. Datenschutz. heute. Zusammenfassung. Praxis. Denitionen Verarbeitungsphasen

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Anleitung Thunderbird Verschlu sselung

Einrichtung des KickMail- Benutzerkontos der gematik

Asymmetrische. Verschlüsselungsverfahren. erarbeitet von: Emilia Winkler Christian-Weise-Gymnasium Zittau

Handreichung: Verschlüsselte Versendung von Protokollen bei elektronischer Kommunikation mit Ehrenamtlichen

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Rechtssicher in die Cloud so geht s!

Handbuch für Nutzer von Zertifikaten der Zertifizierungsstellen (CAs) des Bayerischen Behördennetzes (BYBN) zur Sicherung von s Teil D2:

DATENSCHUTZERKLÄRUNG

Datenschutz beim Smart Metering Eine Herausforderung für die Wohnungsunternehmen?

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Inhalt. 1 Einleitung AUTOMATISCHE DATENSICHERUNG AUF EINEN CLOUDSPEICHER

ENTDECKEN SIE DIE VORTEILE VON SUBSCRIPTION SOFTWARE HERUNTERLADEN

Installationsanleitung CLX.NetBanking

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

ecommerce und Datenschutz

AUSWERTUNGEN ONLINE Online-Bereitstellung von Auswertungen

Bei der Kelter Bietigheim-Bissingen. Terminbörse 26. September 2015

Tag des Datenschutzes

Teilnahmebedingungen für Guidefinder Gewinnspiele und Rabattaktionen

Qualitätskriterien patientenorientierter Forschung: Der rechtliche Rahmen im Spannungsfeld von Datenschutz und Wissenschaftsfreiheit

Sicherer Datenaustausch mit Sticky Password 8

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

10. Kryptographie. Was ist Kryptographie?

Auftrag zum Fondswechsel

Leitfaden einrichtung Outlook Stand vom:

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

DFN-AAI Sicherheitsaspekte und rechtliche Fragen

Leichte-Sprache-Bilder

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Elternumfrage Kita und Reception. Campus Hamburg

Internet- und -Überwachung in Unternehmen und Organisationen

Informationen und Richtlinien zur Einrichtung eines Online Kontaktformulars auf Ihrer Händlerwebseite

Datenschutz und Qualitätssicherung

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

WLAN und VPN im b.i.b. mit Windows (Vista Home Premium SP1) oder Windows 7

- durch die Pax-Familienfürsorge Krankenversicherung AG im Raum der Kirchen selbst (unter 2.1.),

Installationsanleitung CLX.PayMaker Office

Einsatz von Software zur Quellen-Telekommunikationsüberwachung 74. Sitzung des Innen- und Rechtsausschusses am 26. Oktober 2011, TOP 2

Elektronische Übermittlung von vertraulichen Dateien an den Senator für Wirtschaft, Arbeit und Häfen, Referat 24

Datenbank-Verschlüsselung mit DbDefence und Webanwendungen.

ANYWHERE Zugriff von externen Arbeitsplätzen

Datenschutzvereinbarung

IMMANUEL DIAKONIE. Datenschutz Grundsätzlich ist verboten, was nicht ausdrücklich erlaubt ist.

Transkript:

Datenschutz und Datensicherheit bei Webservices/Portalen durch Verschlüsselung? SSW Schneider Schiffer Weihermüller Rechtsanwalt Dominik Hausen it-sa, Nürnberg, Lawyer meets IT, 11.10.2011 Beispiel Unternehmen der Medizinbranche (Krankenhaus, Krankenversicherung) Web-Portal für Patienten/Versicherte Dienste: Patienten-/Versicherungsdaten einsehen und verwalten Terminvereinbarungen vornehmen Versicherungskonditionen ändern und Versicherungsfälle melden Betrieb Webportal durch technischen Dienstleister Dienstleister setzt wiederum einen Dienstleister (Speicherplatz-Anbieter) ein Vertragsverhältnisse 1

Datenflüsse Compliance-Anforderungen Datenübermittlung an Dienstleister datenschutzrechtlich erlaubnispflichtig ( 4 BDSG). - Durchführung Vertrag erforderlich? - Berechtigte Interessen der auslagernden Stelle? - Teuer, da in der Regel schriftlich einzuholen - unpraktikabel, da jederzeit widerruflich - Soll sicherstellen, dass DV so sicher ist, als wenn sie nicht outgesourct worden wäre - Hohe Anforderungen an Fremdvergabe von DV Anforderungen 11 BDSG Feststellung Eignung anhand: - Sicherheitskonzept (techn. + org. Maßnahmen) - Zertifizierungen - Referenzen Festlegung von - Gegenstand, Umfang, Art, Zweck der DV - Weisungsbefugnisse des AG - Kontrollrechte des AG - Einschaltung von Subunternehmern - Eigenkontrolle vor Ort oder - Kontrolle durch beauftragte Dritte - str., ob Selbstauskunft ausreichend AG bleibt für DV verantwortlich (z.b. Auskunftspflicht, 34 BDSG) 2

Nachteil einer ADV-Lösung (1) an - Auswahl - vertragliche Ausgestaltung - Kontrolle des AN für nicht richtige/vollständige Erteilung des Auftrags oder nicht sorgfältige Auswahl bis zu 50.000 ( 43 BDSG) Verhandeln des ADV- Vertrags u.u. schwierige Verhandlungsposition bei Anbietern aus Ländern mit geringerem Datenschutzniveau oder großer Marktmacht Nachteil einer ADV-Lösung (2) Festlegung von Zutrittskontrollen, Admin-Rechte etc. in allen RZ? AG muss Ort, Zeit und Umfang der DV vollständig beherrschen mit allen Leistungsbestandteilen vor deren Einschaltung durch den AN Verschlüsselung als technische Lösung für mehr Datenschutz und Datensicherheit? VerschlüsselungVerschl sselung 3

Datenschutz/Datensicherheit Das Datenschutzrecht schützt natürliche Personen vor der Gefahr der Verletzung ihres Persönlichkeitsrechts. Die Datensicherheit schützt IT-Systeme, also insbesondere Hardware, Software, Daten vor der Gefahr des Verlustes, der Zerstörung oder des Missbrauchs durch Unbefugte. Einordnung der Verschlüsselung in die Begrifflichkeit des BDSG (1) - Herstellung des Personenbezugs absolut unmöglich oder - erfordert unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft. BDSG nicht anwendbar Def: Name und andere Identifikationsmerkmale der Person werden zu dem Zweck, die Identifizierung der Person auszuschließen oder zu erschweren, durch ein Kennzeichen ersetzt. Pseudonymisierung - Schutzmaßnahme bei der Verarbeitung personenbezogener Daten - kann die Weitergabe solcher Daten an Personen erleichtern, die die Zuordnungsregel nicht kennen. BDSG weiter anwendbar, da Zuordnung über Zuordnungsregel möglich. Einordnung der Verschlüsselung in die Begrifflichkeit des BDSG (2) dem Dienstleister nur unter einem unverhältnismäßig großen Aufwand an Zeit, Kosten und Arbeitskraft eine Wiederherstellung des Personenbezugs möglich ist. 4

Datenschutzrechtliche Anforderungen an eine Verschlüsselungslösung Maßgeblich für Beurteilung des Personenbezugs verschlüsselter Daten: Verschlüsselungsverfahren müssen dem Stand der Technik entsprechen müssen, vgl. Anlage zu 9 BDSG, Satz 3. Keine harten Vorgaben hinsichtlich Verschlüsselungsverfahren und Schlüssellänge. Empfehlung für IT-Grundschutz-Katalog und technische Richtlinien des BSI. Schlüsselmanagement Nicht ausreichend: Schlüssel befindet sich im Machtbereich des Dienstleisters + Anweisung an Mitarbeiter, auf den Schlüssel nicht zuzugreifen. Ausreichend: Schlüssel befindet sich im alleinigen Gewahrsam der Daten auslagernden Stelle und/oder des Nutzers. Problem: Wie soll der Dienstleister Daten verarbeiten, wenn er zu keiner Zeit Zugriff auf die entschlüsselten Daten nehmen kann, eine Verarbeitung aber Gegenstand seiner Beauftragung ist? Praxisbeispiel 1 Cloud Storage-Anbieter: Keine Datenverarbeitung im eigentlichen Sinne geschuldet Dateibasierte Verschlüsselung mit Hilfe einer Client-Software umsetzbar Verschlüsselung erfolgt auf dem PC des Nutzers Nur verschlüsselte Dateien verlassen den Rechner des Nutzers Der Schlüssel verbleibt zu jedem Zeitpunkt auf dem PC des Nutzers Nachteile: - kein Zugriff auf Dateien über Webfrontend möglich - keine (einfache) Deduplizierung von Daten möglich 5

Praxisbeispiel 2 Web-Portal: Daten sollen über das Web-Portal verarbeitet werden können Dateibasierte Verschlüsselungslösung nicht ausreichend, da Speicherung in Datenbank(feldern) Datenfeld-basierte Verschlüsselungslösung erforderlich Homomorphe Verschlüsselung sselung als Lösung? Homomorphe Verschlüsselung Erlaubt Verarbeitungsvorgänge an verschlüsselten Daten, d.h.: Eine Rechenoperation an Daten und die anschließende Entschlüsselung des Resultats liefert dasselbe Ergebnis wie dieselbe Rechenoperation an den unverschlüsselten Daten. Bsp. für eine additiv homomorphe Verschlüsselung: Der Trick ist, mathematische Funktionen zu finden, die additiv und multiplikativ homomorph sind und zugleich schwer zu entschlüsseln. Die Forschung steht noch am Anfang: https://research.microsoft.com/pubs/148825/ccs2011_submission_412.pdf Verschlüsselung darf nicht zu viel Rechenleistung erfordern Ausblick Verschlüsselung ist ein probates Mittel, um die Datensicherheit bei Webanwendungen zu erhöhen. Die verschlüsselte Speicherung von Kunden- bzw. Nutzerdaten kann insb. den aus einem Einbruch in Webserver/Datenbanken resultierenden Schaden gering halten. Der Einsatz aktueller Verschlüsselungslösungen, lassen Vereinbarungen zur Gewährleistung von Datenschutz überwiegend nicht überflüssig werden. Insb. für den Betrieb von Webservices/Portale durch Dienstleister führt gegenwärtig kein Weg an einer Auftragsdatenverarbeitung vorbei. Homomorphe Verschlüsselungslösungen haben bei entsprechendem Schlüsselmanagement das Potential, das Versprechen Datenschutz durch Verschlüsselung einzulösen. 6

Noch Fragen? Rechtsanwalt Dominik Hausen Beethovenstraße 6 80336 München dominik.hausen@ssw-muc.de JUVE Handbuch Wirtschaftskanzleien 2010/2011 über SSW: Eine der führenden IT-Boutiquen, die unangefochten auf Augenhöhe mit internationalen Kanzleien agiert und von Mandanten hoch gelobt wird. IT-Rechts-Team: 16.5.2011 Rechtsanwalt Dominik Hausen 19 7

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback