Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de

Ähnliche Dokumente
WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Anforderungen an die technischen und organisatorischen Maßnahmen des Auftragnehmers

Datenschutz-Vereinbarung

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Datenschutz und Systemsicherheit

Rechtlicher Rahmen für Lernplattformen

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Cloud Computing und Datenschutz

Lutz Grammann Datenschutz für Administratoren. St. Pius-Stift Cloppenburg 13. Oktober 2010

Checkliste: Technische und organisatorische Maßnahmen

Forschungsdaten und Datenschutz 2. Workshop des AK Forschungsdaten

Technische und organisatorische Maßnahmen des Auftragnehmers gemäß 9 BDSG

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Vernetzung ohne Nebenwirkung, das Wie entscheidet

Checkliste: Technische und organisatorische Maßnahmen

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Checkliste für die Prüfung von Auftragnehmern im Rahmen der Auftragsdatenverarbeitung

BYOD Bring Your Own Device

Vereinbarung zur Auftragsdatenverarbeitung gem. 11 Bundesdatenschutzgesetz (BDSG)

Leseprobe zum Download

Technische und organisatorische Maßnahmen der

Anlage zur AGB von isaac10 vom [ ] Auftragsdatenverarbeitung. Präambel

1. bvh-datenschutztag 2013

Vereinbarung zur Auftragsdatenverarbeitung nach 11 Bundesdatenschutzgesetz (BDSG)

Scopevisio AG Abteilung Auftragsdatenverarbeitung Rheinwerkallee 3

Stabsstelle Datenschutz. Anlage zu 5 der Mustervereinbarung zur Datenverarbeitung im Auftrag einer nicht öffentlichen Stelle...

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Vorgehensweise Auftragsdatenverarbeitungsvertrag

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

Aufstellung der techn. und organ. Maßnahmen

Der Datenschutzbeauftragte im medizinischen Unternehmen. Sonnemann/Strelecki GbR

Datenschutz-Unterweisung

IT-Compliance und Datenschutz. 16. März 2007

Kirstin Brennscheidt. Cloud Computing und Datenschutz. o Nomos

Vereinbarung zum Datenschutz und zur Datensicherheit in Auftragsverhältnissen nach 11 BDSG

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Praktische Rechtsprobleme der Auftragsdatenverarbeitung

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Betriebliche Sicherheitsvorschriften für Dienstleister isd DSG 2000

Rechtssicher in die Cloud

Datenschutz 2013 Mindestanforderungen, Maßnahmen, Marketing CINIQ - Wie sicher sind Ihre Daten? 9. April 2013

Auftragsdatenverarbeiter: Darf s ein bißchen mehr sein?

Rechtssicher in die Cloud so geht s!

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Anlage zum Zertifikat TUVIT-TSP Seite 1 von 7

EIN C.A.F.E. FÜR DEN DATENSCHUTZ

Übersicht über den Geltungsbereich der DATENSCHUTZ- ORDNUNG

Gesetzliche Grundlagen des Datenschutzes

Jahresbericht Datenschutz Grundschutzes. ecs electronic cash syländer gmbh. Lothar Becker Dipl. Betriebswirt DATENSCHUTZ & IT

Was ein Administrator über Datenschutz wissen muss

Einführung in die Datenerfassung und in den Datenschutz

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Checkliste Technisch-organisatorische Maßnahmen nach 9 BDSG:

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) Vom 23. Juni 2003 (KA 2003 Nr. 197)

Haftungsfalle Datenschutz Aufgaben des Datenschutzbeauftragten

Cloud Computing & Datenschutz

Checkliste zum Datenschutz in Kirchengemeinden

Grundlagen des Datenschutzes und der IT-Sicherheit

Technische und organisatorische Maßnahmen zur Datensicherheit bei cojama Infosystems GmbH gem. 9 BDSG

Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen

Datenschutzvereinbarung

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

Grundbegriffe und Grundprinzipien des Datenschutzrechts Bundesdatenschutzgesetz (BDSG)

3 HmbDSG - Datenverarbeitung im Auftrag

Diese Website und das Leistungsangebot von werden von der. Anke Reincke - Häusliche Krankenpflege und Seniorenbetreuung

Verordnung zur Durchführung der Anordnung über den kirchlichen Datenschutz (KDO-DVO) in der Diözese Hildesheim

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Datenschutz im Spendenwesen

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Datenschutz eine Einführung. Malte Schunke

Datenschutznovelle II (Datenhandel)

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Was Kommunen beim Datenschutz beachten müssen

Brüssel, Berlin und elektronische Vergabe

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Bestandskauf und Datenschutz?

Leitfaden: Erläuterungen zur Erstellung des Verfahrensverzeichnisses sowie der Verfahrensbeschreibungen

UNSAFE HARBOR: DATENVERARBEITUNG VON ONLINE-SHOPS NACH DEM EUGH-URTEIL

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

Datenschutz und Datensicherheit im Handwerksbetrieb

Cloud 2012 Schluss mit den rechtlichen Bedenken!

Facebook und Datenschutz Geht das überhaupt?

Transkript:

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 1

1. Datenschutzrechtliche Anforderungen an die IT-Sicherheit 2. Gesetzliche Anforderungen an Auswahl und Kontrolle des/der Service Provider 3. Gesetzliche Anforderungen an das Vertragsmanagement gegenüber dem /den Service Provider(n) im Bereich IT-Security 4. Praxisfälle / Anwendungsbeispiele: Welche Cloud Computing Modelle funktionieren aus rechtlicher Sicht? 2

3

Nur für personenbezogene Daten, vgl. 3 Abs. 1 BDSG Das sind vereinfacht gesagt alle Daten, die sich auf eine bestimmte oder bestimmbare natürliche Person (=Mensch) beziehen oder einen Bezug zu einer solchen Person herstellen können und Angaben zu persönlichen oder sachlichen Verhältnissen der betreffenden Person beinhalten. 4

Nur für personenbezogene Daten Angaben zu persönlichen Verhältnissen: Identität, Charakter, Religion, sexuelle Orientierung, Überzeugungen, Aussehen, Gesundheit etc. Angaben zu sachlichen Verhältnissen: Vermögen, Beziehungen zu Dritten, Geodaten, Nutzerverhalten, IP-Adressen etc. 5

Das BDSG stellt explizite Anforderungen an die technische Sicherheit bei der Verarbeitung von personenbezogenen Daten. 6

Ausgangspunkt ist 9 BDSG: Öffentliche und nicht-öffentliche Stellen, die selbst oder im Auftrag personenbezogene Daten erheben, verarbeiten oder nutzen, haben die technischen und organisatorischen Maßnahmen zu treffen, die erforderlich sind, um die Ausführung der Vorschriften dieses Gesetzes, insbesondere die in der Anlage zu diesem Gesetz genannten Anforderungen, zu gewährleisten. Erforderlich sind Maßnahmen nur, wenn ihr Aufwand in einem angemessenen Verhältnis zu dem angestrebten Schutzzweck steht. 7

Detailliert wird 9 durch die Anlage zum BDSG. Diese fordert insb. die auf den folgenden Folien dargestellten Maßnahmen. 8

Maßnahmen nach der Anlage zum BDSG Zutrittskontrolle Unbefugten muss der Zutritt zu Datenverarbeitungsanlagen, mit denen personenbezogene Daten verarbeitet oder genutzt werden, verwehrt werden. Beispiele : Gebäudeschutz durch fensterlose Räume, Spezialglas, Alarmanlagen, Schließtechnik 9

Maßnahmen nach der Anlage zum BDSG Zugangskontrolle Es muss verhindert werden, dass Datenverarbeitungssysteme von Unbefugten genutzt werden können. Beispiele : Verschlüsselung von Daten, Authentifizierungssysteme (Passwörter, biometrische Erkennungssysteme), Protokollierung von Anmeldungen, VPN 10

Maßnahmen nach der Anlage zum BDSG Zugriffskontrolle Es muss gewährleistet werden, dass die zur Benutzung eines Datenverarbeitungssystems Berechtigten ausschließlich auf die ihrer Zugriffsberechtigung unterliegenden Daten zugreifen können, und dass personenbezogene Daten bei der Verarbeitung, Nutzung und nach der Speicherung nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können. Beispiele: Rechtemanagement, Datenverschlüsselung, Blockieren von Schnittstellen, Zuverlässige Datenträgervernichtung 11

Maßnahmen nach der Anlage zum BDSG Weitergabekontrolle Es muss gewährleistet werden, dass personenbezogene Daten bei der elektronischen Übertragung oder während ihres Transports oder ihrer Speicherung auf Datenträger nicht unbefugt gelesen, kopiert, verändert oder entfernt werden können, und dass überprüft und festgestellt werden kann, an welche Stellen eine Übermittlung personenbezogener Daten durch Einrichtungen zur Datenübertragung vorgesehen ist. Beispiele: Abgesicherte Leitungen, sichere Transportbehälter für Datenträger, Kontrolle von Fernwartungsarbeiten 12

Maßnahmen nach der Anlage zum BDSG Eingabekontrolle Es muss gewährleistet werden, dass nachträglich überprüft und festgestellt werden kann, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind. Beispiele: Protokollierung der Erstellung, Veränderung oder Löschung von Daten, Integration der Nutzeridentität in den Datensatz 13

Maßnahmen nach der Anlage zum BDSG Auftragskontrolle Es muss gewährleistet werden, dass personenbezogene Daten, die im Auftrag verarbeitet werden, nur entsprechend den Weisungen des Auftraggebers verarbeitet werden können. Beispiele: Schaffung von Prozessen zur Erfassung und Übermittlung der Weisungen, Festlegung von Kompetenzabgrenzungen zwischen Auftraggeber und Auftragnehmer 14

Maßnahmen nach der Anlage zum BDSG Verfügbarkeitskontrolle Es muss gewährleistet werden, dass personenbezogene Daten gegen zufällige Zerstörung oder Verlust geschützt sind. Beispiele: Unterbrechungsfreie Stromversorgung (USV), Regelmäßige Datensicherung, externe Lagerung von Sicherungsmedien 15

Maßnahmen nach der Anlage zum BDSG Trennungsgebot Es muss gewährleistet werden, dass zu unterschiedlichen Zwecken erhobene Daten getrennt verarbeitet werden können. Beispiele: Trennung der Daten durch voneinander abgegrenzte virtuelle Server, Trennung der Datenbanken verschiedener Kunden 16

17

Beim Cloud Computing werden personenbezogene Daten der Nutzer generiert und in der Cloud abgelegt, an die Cloud übertragen etc. 18

Jeder solche Vorgang würde eigentlich eine Einwilligung der Betroffenen erfordern. Warum? 19

Zentraler Grundsatz des Datenschutzrechts in Europa: Verbot mit Erlaubnisvorbehalt ( 4 Abs. 1 BDSG, 12 TMG): Die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten ist verboten, außer der Betroffene willigt (aufgeklärt) ein, oder das Gesetz erlaubt es. 20

Ausweg: Die sog. Auftragsdatenverarbeitung ( 11 BDSG) Werden die Anforderungen aus 11 BDSG eingehalten, so fingiert das Gesetz, dass keine Weitergabe an Dritte erfolgt. 21

ACHTUNG: Die Anforderungen aus 11 BDSG müssen auch gegenüber verbundenen Unternehmen eingehalten werden, da auch diese Dritte im Sinne des BDSG sind. 22

Werden die Anforderungen aus 11 BDSG nicht eingehalten, so drohen für den Auftraggeber Bußgelder von bis zu EUR 50.000 im Einzelfall. 23

Bei der Auftragsdatenverarbeitung bleibt der Auftraggeber für die Einhaltung aller einschlägigen Datenschutzvorschriften verantwortlich. Deshalb verlangt 11 BDSG vom Auftraggeber (1/2): Der Auftragnehmer ist unter besonderer Berücksichtigung der Eignung der von ihm getroffenen technischen und organisatorischen Maßnahmen sorgfältig auszuwählen. 24

Deshalb verlangt 11 BDSG vom Auftraggeber (2/2): Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das kann gemäß der Gesetzesbegründung durch Prüfung vor Ort, Entgegennahme geeigneter Zertifikate oder Selbstauskünfte des Auftragnehmers geschehen. 25

26

Der Auftrag ist schriftlich zu erteilen. Schriftlich bedeutet: Es muss ein analoges Dokument mit Originalunterschrift des Auftraggebers vorliegen, E-Mail, Telefax etc. reichen nicht. 27

Der Auftrag muss Folgende Regelungen enthalten (1/4): Den Gegenstand und die Dauer des Auftrags, Den Umfang, die Art und den Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen, Die nach 9 BDSG vom Auftragnehmer zu treffenden technischen und organisatorischen Maßnahmen, 28

Der Auftrag muss Folgende Regelungen enthalten (2/4): Regelungen zur Berichtigung, Löschung und Sperrung von Daten, Die Pflichten des Auftragnehmers, insbesondere die von ihm vorzunehmenden Kontrollen, Die etwaige Berechtigung des Auftragnehmers zur Begründung von Unterauftragsverhältnissen, 29

Der Auftrag muss Folgende Regelungen enthalten (3/4): Die Kontrollrechte des Auftraggebers und die entsprechenden Duldungs- und Mitwirkungspflichten des Auftragnehmers, Mitzuteilende Verstöße des Auftragnehmers oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen, 30

Der Auftrag muss Folgende Regelungen enthalten (4/4): Den Umfang der Weisungsbefugnisse, die sich der Auftraggeber gegenüber dem Auftragnehmer vorbehält, Die Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags. 31

Das Datenschutzrecht unterscheidet beim Verlagern personenbezogener Daten ins Ausland zwischen Ländern mit angemessenem Datenschutzniveau und Ländern ohne ein solches Datenschutzniveau. 32

Länder mit angemessenem Datenschutzniveau sind EU-Staaten, EWR-Staaten = EU + Island, Liechtenstein und Norwegen, und die Länder, bei denen die EU-Kommission das angemessene Datenschutzniveau festgestellt hat (Argentinien, Australien, Guernsey, Isle of Man, Jersey, Kanada, Schweiz). 33

Länder ohne angemessenes Datenschutzniveau sind alle anderen Länder, mit Ausnahme der USA, die einen Sonderfall darstellt. 34

Sonderfall USA (1/2): Es gilt im Verhältnis zur USA das sog. Safe Harbor - Abkommen. Das Safe Harbor -Abkommen ist ein völkerrechtlicher Vertrag zwischen den USA und der EU. Danach können sich US-Firmen nach bestimmten Datenschutz- und Sicherheitskriterien zertifizieren und in eine öffentliche Liste der zertifizierten Unternehmen aufnehmen lassen. 35

Sonderfall USA (2/2): Das Verlagern personenbezogener Daten zu derart zertifizierten Unternehmen ist nach inzwischen nicht mehr einhelliger Meinung rechtlich zulässig. Die Mehrheit der Landesdatenschutzbeauftragten bestreitet seit Kurzem, dass diese Zertifizierung alleine ausreicht, um den EU-Datenschutzstandards zu entsprechen. 36

In Länder mit angemessenem Datenschutzniveau dürfen personenbezogene Daten unter den Voraussetzungen des 11 BDSG ausgelagert werden. 37

In Länder ohne angemessenes Datenschutzniveau dürfen personenbezogene Daten unter den Voraussetzungen des 11 BDSG ausgelagert werden, aber nur, wenn mit den betreffenden Providern zusätzlich zur Einhaltung der Voraussetzungen des 11 BDSG bestimmte Standardklauseln vereinbart werden, die die EU- Kommission herausgegeben hat. 38

Das auf der vorherigen Folie Gesagte gilt nach der Mehrheit der Landesdatenschutzbeauftragten (trotz Safe Harbor Abkommen!) auch für die USA, falls das Datenschutzniveau bei dem Empfänger in den USA nicht nachweisbar den Safe Harbour Standards entspricht. Diesen Nachweis muss nach der Mehrheit der Landesdatenschutzbeauftragten das deutsche Unternehmen erbringen. 39

40

Konzerntochter 1 (Frankreich) Konzernmutter (Deutschland) Konzerntochter 3 (Deutschland) 18.10.2012 Cloud Computing - IT-Sicherheit - Recht Konzerntochter 2 (Österreich) 41

Datenschutzrechtlich machbar? Falls ja, unter welchen Voraussetzungen? 42

Kunde (Deutschland) Provider (Deutschland) 18.10.2012 Cloud Computing - IT-Sicherheit - Recht 43

Datenschutzrechtlich machbar? Falls ja, unter welchen Voraussetzungen? 44

Kunde (Deutschland) Provider 1 (USA) Provider 1 (Deutschland) Provider 2 (Indien) Vertrag / Daten 18.10.2012 Cloud Computing - IT-Sicherheit - Recht 45

Datenschutzrechtlich machbar? Falls ja, unter welchen Voraussetzungen? 46

Dr. Tobias Sedlmeier Rechtsanwalt Fachanwalt für IT-Recht sedlmeier@sd-anwaelte.de www.sd-anwaelte.de 47

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback