Rechtssicher in die Cloud



Ähnliche Dokumente
Cloud-Update Rechtssicher in die Wolke. RA Jan Schneider Fachanwalt für Informationstechnologierecht

Cloud 2012 Schluss mit den rechtlichen Bedenken!

Rechtssicher in die Cloud so geht s!

Erfolgreiche Vertragsgestaltung bei M2M-Lösungen

Cloud Computing und Datenschutz

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

1. bvh-datenschutztag 2013

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

(Rechts-)Sicher in die Cloud

All about Mobility. Mobile Device Management nach PRISM, Tempora & Co GECKO Hausmesse

Aktuelle Herausforderungen im Datenschutz

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Datenverarbeitung im Auftrag

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Die Enterprise Mobility-Strategie Mobile Endgeräte rechts- und datenschutzkonform einsetzen

Datenschutz und Schule

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Datenschutz im Unternehmen

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Bestandskauf und Datenschutz?

Rechtsfolgen der Digitalen Identität

EuGH erklärt Datentransfer in die USA für illegal 6. Oktober. Rechtsanwalt Arnd Böken

UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Rechtliche Aspekte der IT-Security.

Erläuterungen zur Untervergabe von Instandhaltungsfunktionen

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

BÜV-ZERT NORD-OST GMBH Zertifizierungsstelle für Managementsysteme der Baustoffindustrie

Erlaubnisscheine bei der Instandhaltung

PRÜFMODUL D UND CD. 1 Zweck. 2 Durchführung. 2.1 Allgemeines. 2.2 Antrag

Mythen rund um Cloud Computing. Veröffentlicht von Microsoft Corporate, External and Legal Affairs (CELA) Deutschland Stand: Dezember 2015

Cloud Computing für den Mittelstand rechtliche Risiken erkennen und vermeiden

Neue Kooperationsmodelle für unsere GbRen: Zweigpraxen, u. a.

Fragen und Antworten zur Prüfmöglichkeit für ausländische Investitionen (Änderung des Außenwirtschaftsgesetzes und der Außenwirtschaftsverordnung)

Erfahrungen und Wünsche eines Güterichterhandlungs- Kunden

Was sagt der Anwalt: Rechtliche Aspekte im BEM

Drei Fragen zum Datenschutz im. Nico Reiners

Vortrag Social Media Guidelines - Warum Unternehmen und Mitarbeiter klare Richtlinien brauchen -

Datenschutz bei Collaborative Work am Beispiel von GoToMeeting

Kirchengesetz über den Einsatz von Informationstechnologie (IT) in der kirchlichen Verwaltung (IT-Gesetz EKvW ITG )

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Überblick. Zugriffskontrolle. Protokollierung. Archivierung. Löschung

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Die Betriebssicherheitsverordnung (BetrSichV) TRBS 1111 TRBS 2121 TRBS 1203

Wo bleibt Med-Cloud? Rechtliche Herausforderungen externer (Patienten-) Datenhaltung. RA Jan Schneider Fachanwalt für Informationstechnologierecht

ECM für Güterwagen die Behördensicht

Der Schutz von Patientendaten

Cloud Computing - und Datenschutz

Cloud Services. Cloud Computing im Unternehmen Rechtliche Anforderungen für Unternehmern beim Umgang mit Cloud-Diensten

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Rechtssicher mobil werben! Chancen und rechtliche Risiken der Werbung im Mobile Web

Vertragsnummer: Deutsche Krankenhaus TrustCenter und Informationsverarbeitung GmbH im folgenden "DKTIG"

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

emetrics Summit, München 2011 Special: Datenschutz im Online-Marketing HÄRTING Rechtsanwälte Chausseestraße Berlin

Umzug der abfallwirtschaftlichen Nummern /Kündigung

Entbürokratisierung in der Pflege Strukturmodell Effizienzsteigerung der Pflegedokumentation. - Sozialrechtliche und heimrechtliche Einordnung -

Anhang E: Checkliste Projektauswahlkriterien der Lokalen Aktionsgruppe Landkreis Freyung-Grafenau e. V.

Social Media Monitoring Rechtliche Fallstricke und Lösungsansätze

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Bundesanstalt für Straßenwesen V4z - lf (ANERK)

Anlage zur Auftragsdatenverarbeitung

Rechtssicherer Umgang mit Kundendaten. Referent: RA Christoph Göritz, Fachanwalt für ITRecht, GHI-Rechtsanwälte, Mannheim

Kirchlicher Datenschutz

Datenverwendung und Datenweitergabe - was ist noch legal?

Cloud Computing Security

ISA Server 2004 Erstellen einer Webverkettung (Proxy-Chain) - Von Marc Grote

Vorschlag für eine DURCHFÜHRUNGSVERORDNUNG DES RATES

Smart Home - Rechtskonforme Gestaltung eines intelligent vernetzten Haushalts

Mehr Transparenz für optimalen Durchblick. Mit dem TÜV Rheinland Prüfzeichen.

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

M e r k b l a t t. Neues Verbrauchervertragsrecht 2014: Beispiele für Widerrufsbelehrungen

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Sind wir auf dem Weg zu einem Weltrecht? Sind die Cyberrechtler Pioniere. für ein Weltrecht?

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Nicht dem Zufall überlassen: Datenschutz Datenschutzmanagement als Basis für zuverlässigen Auftragsdatenschutz

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Deutschland, rechtliche Herausforderungen gelöst mit Drupal

Zentrum für Informationssicherheit

Sichere Anleitung Zertifikate / Schlüssel für Kunden der Sparkasse Germersheim-Kandel. Sichere . der

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

Drei Wege zur sicheren Luftfracht Alternativen nach Einführung des zertifizierten bekannten Versenders

Welche Vorteile bietet die Anmeldung eines Kindes mit dem kita finder+?

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Transkript:

Rechtssicher in die Cloud Aktuelle Lösungsansätze für rechtskonforme Cloud Services Fachanwalt für Informationstechnologierecht Cloud Conf 2011, München den 21. November 2011

Ist Cloud Computing nicht... ein Kontrollverlust?... unsicher?...eine unerlaubte Datenübermittlung?... rechtlich problematisch?... datenschutzwidrig?

Herausforderung: Rechtskonforme Datenübermittlung 3

Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. 4

Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. Angaben, anhand derer natürliche Personen bestimmbar sind 5

Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. Angaben, anhand derer natürliche Personen bestimmbar sind z. B. Name, Anschrift - auch E-Mail-Anschrift -, Alter, Geschlecht, Beruf, Konfession, aber ggf. auch Fotos - 6

Herausforderung Datenübermittlung (auch) personenbezogene Daten sollen in die Cloud? Nein: à keine datenschutzrechtlichen Anforderungen! Z. B. bei Anonymisierung der Daten Verschlüsselung der Daten 7

Herausforderung Datenübermittlung (auch) personenbezogene Daten sollen in die Cloud? Ja: à Datenschutzgesetze finden Anwendung (TMG, BDSG, LandesDSG) à Grundsatz: Datenübermittlung ist nur dann zulässig, wenn hierzu ausdrückliche gesetzliche Ermächtigungsgrundlage auffindbar ist à zentrale Herausforderung: Sicherstellung der datenschutzrechtlichen Zulässigkeit der Datenübermittlung 8

Lösungsansatz: Auftragsdatenverarbeitung ( ADV ) ADV ist gesetzliches Konstrukt, beschrieben in 11 BDSG vertragliche Gestaltung erforderlich schriftlich und ausführlich! Regelungskatalog des 11 BDSG! Einrichtung technischer und organisatorischer Maßnahmen durch den Cloud Service Provider ( CSP ), 9 BDSG Prüfung der Maßnahmen durch den Cloud Nutzer 9

Lösungsansatz: Auftragsdatenverarbeitung ( ADV ) Konsequenz einer rechtmäßigen ADV: Nutzer bleibt per Gesetz Herr seiner Daten 10

Ein sicherer Hafen? Serverfarmen in Übersee 11

Ein sicherer Hafen? Serverfarmen in Übersee Herausforderung: Datenübermittlung an Server außerhalb der EU zulässig? 12

Ein sicherer Hafen? Serverfarmen in Übersee Diskussion der Datenschutzexperten: Kann eine Datenübermittlung nach Übersee zulässige Auftragsdatenverarbeitung (oder anderweit gesetzlich legitimiert) sein? 13

Ein sicherer Hafen? Serverfarmen in Übersee Möglicher Lösungsansatz für die USA: Safe Harbor - Abkommen 14

Was ist Safe Harbor? Abkommen zwischen EU-Kommission und US-Regierung aus dem Jahre 2000 Festlegung bestimmter datenschutzrechtlicher Maßnahmen Anerkennung der Maßnahmen durch die Unternehmen, die sich verbindlich zu den Grundsätzen des Safe Harbor bekennen ( Selbstverpflichtung ) Safe Harbor führt zu angemessenem Datenschutzniveau 15

Safe Harbor noch zeitgemäß? Beschluss des Düsseldorfer Kreises vom 28.04.2010; Festlegungen für Cloud Computing: Inhalt: Prüfung des Nachweises über Beitritt zu Safe Harbor Nachweis über die Einhaltung der Informationspflichten nach Safe Harbor durch den Cloud Service Provider Festlegungen entfalten keine unmittelbare Rechtswirkung, gleichwohl beachtlich Festlegungen sind in der Diskussion 17

Checkliste Ist der CSP beim Safe Harbor-Programm des US- Handelsministeriums registriert? Gewährleistet der CSP ausdrücklich die Einhaltung der Safe Harbor-Prinzipien? Erfolgt ein Nachweis über die Einhaltung von Safe Harbor, z. B. durch Zertifikate (ggf. SSAE 16, ISAE 3402 u. SAS 70 Type II)? 18

Ausblick Safe Harbor hat nach Potential Alternative zu EU-Standardvertragsklauseln (+ ergänzende Regelungen) 19

Projekt Datensicherheit! 20

Projekt Datensicherheit! Herausforderungen: Etablierung der technischen und organisatorischen Maßnahmen zum Datenschutz ( 9 BDSG) optimale IT-Sicherheit herstellen 21

Projekt Datensicherheit! Lösung: moderne Rechenzentren der großen CSP s Dokumentation der Maßnahmen in Datensicherheitskonzepten à Notwendiger Bestandteil der vertraglichen Vereinbarungen! 22

Projekt Datensicherheit! Checkliste : Modernes Hochsicherheits-Rechenzentrum? Standort des Rechenzentrums? Ausführliche, verbindliche und belastbare Beschreibung der vom CSP getroffenen technischen und organisatorischen Maßnahmen? 23

Showstopper Patriot Act? 24

Showstopper Patriot-Act? USA PATRIOT Act Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act US-amerikanisches Bundesgesetz, verabschiedet am 25. Oktober 2001 25

Showstopper Patriot-Act? Patriot Act erlaubt den US-Behörden unter bestimmten Voraussetzungen einen Zugriff auf Unternehmensdaten Alle US-Unternehmen unterliegen dem Patriot Act (Cloud-) Kunden werden über die Datenherausgabe ggf. nicht informiert. 26

Überlegungen zum Patriot Act Regierungen verfügen in aller Regel über Möglichkeiten, Zugriff auf Daten und Informationen zu erlangen Anwendungsbereich des PA ist eng Terrorismus à Bekämpfung des Anwendung des PA dürfte eher selten bleiben 27

Überlegungen zum Patriot Act Maßnahmen d. PA seit Mai 2011 gerichtlich überprüfbar à vertragliche Handlungspflicht aufnehmen? Gegenmittel ggf.: Verschlüsselung der Daten? Gegenmittel ggf.: Vertragsschluss mit EU-Tochter? Sicherheit durch vertragliches Herausgabeverbot? 28

Odyssee in die Cloud? Prüfung der Maßnahmen zum Datenschutz 29

Eine Odyssee in die Cloud? - Prüfung der Maßnahmen Herausforderung: Prüfung der Einhaltung der technischen und organisatorischen Maßnahmen durch den Cloud Nutzer ( 11 BDSG) 30

Eine Odyssee in die Cloud? Schwierigkeit: Prüfung vor Ort beim CSP durch den Cloud Nutzer häufig nicht praktikabel 31

Eine Odyssee in die Cloud? Lösungsansatz: 11 BDSG schreibt keine Prüfung vor Ort durch den Nutzer vor. 32

Checkliste Testate bzw. Auditierung durch unabhängige Stellen - z. B. Wirtschaftsprüfer? Zertifizierung des CSP? Z. B. nach ISO 27001, SSAE 16, ISAE 3402 u. SAS 70 Type II, Sonstige Nachweise? 33

Fazit und Ausblick Cloud Computing hat Potential! Die rechtlichen Herausforderungen sind lösbar mit einem konstruktiven und praxisnahen Ansatz. Datenschutzrechtler und -behörden, anwaltliche Berater, Rechtsprechung und Gesetzgeber sind gemeinsam aufgerufen, praxisnahe Lösungen zu erarbeiten 34

Bei Fragen oder Anmerkungen: Jan Schneider Rechtsanwalt Fachanwalt für IT-Recht 40212 Düsseldorf Steinstraße 1 / KÖ T +49 (0)211 82 89 59 0 j.schneider@skwschwarz.de www.skwschwarz.de Herzlichen Dank für Ihre Aufmerksamkeit! Abbild. S. 2, 3, 111, 20, 24, 29, 31, 34 istockphoto.com 35

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback