Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1
1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl und Kontrolle des/der Service Provider 3. Gesetzliche Anforderungen an das Vertragsmanagement gegenüber dem /den Service Provider(n) im Bereich IT-Security 4. Praxisfälle / Anwendungsbeispiele: Welche Cloud Computing Modelle funktionieren aus rechtlicher Sicht? 2
3
Nur für personenbezogene Daten, vgl. 3 Abs. 1 BDSG Das sind vereinfacht gesagt alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person (=Mensch) beziehen oder einen Bezug zu einer solchen Person herstellen können und Angaben zu persönlichen oder sachlichen Verhältnissen der betreffenden Person beinhalten. 4
Nur für personenbezogene Daten Angaben zu persönlichen Verhältnissen: Identität, Charakter, Religion, sexuelle Orientierung, Überzeugungen, Aussehen, Gesundheit etc. Angaben zu sachlichen Verhältnissen: Vermögen, Beziehungen zu Dritten, Geodaten, Nutzerverhalten, IP-Adressen etc. 5
Das BDSG stellt explizite Anforderungen an die technische Sicherheit bei der Verarbeitung von personenbezogenen Daten. 6
Ausgangspunkt ist 9 BDSG: Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 7
Detailliert wird 9 durch die Anlage zum BDSG. Diese fordert insb. die auf den folgenden Folien dargestellten Maßnahmen. 8
Maßnahmen nach der Anlage zum BDSG Zutrittskontrolle Unbefugten muss der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden. Beispiele : Gebäudeschutz durch fensterlose Räume, Spezialglas, Alarmanlagen, Schließtechnik 9
Maßnahmen nach der Anlage zum BDSG Zugangskontrolle Es muss verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Beispiele : Verschlüsselung von Daten, Authentifizierungssysteme (Passwörter, biometrische Erkennungssysteme), Protokollierung von Anmeldungen, VPN 10
Maßnahmen nach der Anlage zum BDSG Zugriffskontrolle Es muss gewährleistet werden, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Beispiele: Rechtemanagement, Datenverschlüsselung, Blockieren von Schnittstellen, Zuverlässige Datenträgervernichtung 11
Maßnahmen nach der Anlage zum BDSG Weitergabekontrolle Es muss gewährleistet werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Beispiele: Abgesicherte Leitungen, sichere Transportbehälter für Datenträger, Kontrolle von Fernwartungsarbeiten 12
Maßnahmen nach der Anlage zum BDSG Eingabekontrolle Es muss gewährleistet werden, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Beispiele: Protokollierung der Erstellung, Veränderung oder Löschung von Daten, Integration der Nutzeridentität in den Datensatz 13
Maßnahmen nach der Anlage zum BDSG Auftragskontrolle Es muss gewährleistet werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Beispiele: Schaffung von Prozessen zur Erfassung und Übermittlung der Weisungen, Festlegung von Kompetenzabgrenzungen zwischen Auftraggeber und Auftragnehmer 14
Maßnahmen nach der Anlage zum BDSG Verfügbarkeitskontrolle Es muss gewährleistet werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Beispiele: Unterbrechungsfreie Stromversorgung (USV), Regelmäßige Datensicherung, externe Lagerung von Sicherungsmedien 15
Maßnahmen nach der Anlage zum BDSG Trennungsgebot Es muss gewährleistet werden, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Beispiele: Trennung der Daten durch voneinander abgegrenzte virtuelle Server, Trennung der Datenbanken verschiedener Kunden 16
17
Beim Cloud Computing werden personenbezogene Daten der Nutzer generiert und in der Cloud abgelegt, an die Cloud übertragen etc. 18
Jeder solche Vorgang würde eigentlich eine Einwilligung der Betroffenen erfordern. Warum? 19
Zentraler Grundsatz des Datenschutzrechts in Europa: Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1 BDSG, 12 TMG): Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist verboten, außer der Betroffene willigt (aufgeklärt) ein, oder das Gesetz erlaubt es. 20
Ausweg: Die sog. Auftragsdatenverarbeitung ( 11 BDSG) Werden die Anforderungen aus 11 BDSG eingehalten, so fingiert das Gesetz, dass keine Weitergabe an Dritte erfolgt. 21
ACHTUNG: Die Anforderungen aus 11 BDSG müssen auch gegenüber verbundenen Unternehmen eingehalten werden, da auch diese Dritte im Sinne des BDSG sind. 22
Werden die Anforderungen aus 11 BDSG nicht eingehalten, so drohen für den Auftraggeber Bußgelder von bis zu EUR 50.000 im Einzelfall. 23
Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber für die Einhaltung aller einschlägigen Datenschutzvorschriften verantwortlich. Deshalb verlangt 11 BDSG vom Auftraggeber (1/2): Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 24
Deshalb verlangt 11 BDSG vom Auftraggeber (2/2): Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das kann gemäß der Gesetzesbegründung durch Prüfung vor Ort, Entgegennahme geeigneter Zertifikate oder Selbstauskünfte des Auftragnehmers geschehen. 25
26
Der Auftrag ist schriftlich zu erteilen. Schriftlich bedeutet: Es muss ein analoges Dokument mit Originalunterschrift des Auftraggebers vorliegen, E-Mail, Telefax etc. reichen nicht. 27
Der Auftrag muss Folgende Regelungen enthalten (1/4): Den Gegenstand und die Dauer des Auftrags, Den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, Die nach 9 BDSG vom Auftragnehmer zu treffenden technischen und organisatorischen Maßnahmen, 28
Der Auftrag muss Folgende Regelungen enthalten (2/4): Regelungen zur Berichtigung, Löschung und Sperrung von Daten, Die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, Die etwaige Berechtigung des Auftragnehmers zur Begründung von Unterauftragsverhältnissen, 29
Der Auftrag muss Folgende Regelungen enthalten (3/4): Die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 30
Der Auftrag muss Folgende Regelungen enthalten (4/4): Den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, Die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 31
Das Datenschutzrecht unterscheidet beim Verlagern personenbezogener Daten ins Ausland zwischen Ländern mit angemessenem Datenschutzniveau und Ländern ohne ein solches Datenschutzniveau. 32
Länder mit angemessenem Datenschutzniveau sind EU-Staaten, EWR-Staaten = EU + Island, Liechtenstein und Norwegen, und die Länder, bei denen die EU-Kommission das angemessene Datenschutzniveau festgestellt hat (Argentinien, Australien, Guernsey, Isle of Man, Jersey, Kanada, Schweiz). 33
Länder ohne angemessenes Datenschutzniveau sind alle anderen Länder, mit Ausnahme der USA, die einen Sonderfall darstellt. 34
Sonderfall USA (1/2): Es gilt im Verhältnis zur USA das sog. Safe Harbor - Abkommen. Das Safe Harbor -Abkommen ist ein völkerrechtlicher Vertrag zwischen den USA und der EU. Danach können sich US-Firmen nach bestimmten Datenschutz- und Sicherheitskriterien zertifizieren und in eine öffentliche Liste der zertifizierten Unternehmen aufnehmen lassen. 35
Sonderfall USA (2/2): Das Verlagern personenbezogener Daten zu derart zertifizierten Unternehmen ist nach inzwischen nicht mehr einhelliger Meinung rechtlich zulässig. Die Mehrheit der Landesdatenschutzbeauftragten bestreitet seit Kurzem, dass diese Zertifizierung alleine ausreicht, um den EU-Datenschutzstandards zu entsprechen. 36
In Länder mit angemessenem Datenschutzniveau dürfen personenbezogene Daten unter den Voraussetzungen des 11 BDSG ausgelagert werden. 37
In Länder ohne angemessenes Datenschutzniveau dürfen personenbezogene Daten unter den Voraussetzungen des 11 BDSG ausgelagert werden, aber nur, wenn mit den betreffenden Providern zusätzlich zur Einhaltung der Voraussetzungen des 11 BDSG bestimmte Standardklauseln vereinbart werden, die die EU- Kommission herausgegeben hat. 38
Das auf der vorherigen Folie Gesagte gilt nach der Mehrheit der Landesdatenschutzbeauftragten (trotz Safe Harbor Abkommen!) auch für die USA, falls das Datenschutzniveau bei dem Empfänger in den USA nicht nachweisbar den Safe Harbour Standards entspricht. Diesen Nachweis muss nach der Mehrheit der Landesdatenschutzbeauftragten das deutsche Unternehmen erbringen. 39
40
Konzerntochter 1 (Frankreich) Konzernmutter (Deutschland) Konzerntochter 3 (Deutschland) 18.10.2012 Cloud Computing - IT-Sicherheit - Recht Konzerntochter 2 (Österreich) 41
Datenschutzrechtlich machbar? Falls ja, unter welchen Voraussetzungen? 42
Kunde (Deutschland) Provider (Deutschland) 18.10.2012 Cloud Computing - IT-Sicherheit - Recht 43
Datenschutzrechtlich machbar? Falls ja, unter welchen Voraussetzungen? 44
Kunde (Deutschland) Provider 1 (USA) Provider 1 (Deutschland) Provider 2 (Indien) Vertrag / Daten 18.10.2012 Cloud Computing - IT-Sicherheit - Recht 45
Datenschutzrechtlich machbar? Falls ja, unter welchen Voraussetzungen? 46
Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 47