Microsoft Office 365 oder keine Auslagerung an Unternehmen, die EU/EWR-fremden staatlichen Kontrollen unterliegen? Sitzung GDD Erfa-Kreis Datenschutz M. Le Maire IHK Mannheim, 07.10.2015
Agenda I. Vorgaben gemäß BDSG II. Aus der Orientierungshilfe - Cloud Computing Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 2
I. Vorgaben gemäß BDSG (1/2) 1. Zulässigkeit der Weitergabe personenbezogener Daten Die Weitergabe personenbezogener Daten an Cloud-Anbieter (und deren Subdienstleister) muss nach dem Bundesdatenschutzgesetz (BDSG) zulässig sein. Zwei von drei Möglichkeiten sind umsetzbar: 1. Wenn alle Cloud-Elemente innerhalb des Europäischen Wirtschaftsraums (EWR) sind, ist die Weitergabe zulässig. Es handelt sich dann um eine Auftragsdatenverarbeitung nach 11 BDSG. 2. Wenn Cloud-Elemente außerhalb des EWR, dann ist die Weitergabe nur dann zulässig i. falls Interessen der Betroffenen nicht entgegenstehen ( 28 Satz 1 Nr. 2 BDSG) ii. plus: EU-Standardvertragsklauseln iii. plus: Auftragsdatenverarbeitung nach 11 BDSG. Die Weitergabe besonderer Arten personenbezogener Daten ist nicht zulässig. 3. Einwilligung (Die Einholung der Einwilligung aller Betroffenen ist nicht durchführbar.) Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 3
I. Vorgaben gemäß BDSG (2/2) 2. Erfüllung der Anforderungen aus dem BDSG? 2. Wenn Cloud-Elemente außerhalb des EWR, dann Weitergabe zulässig i. falls Interessen der Betroffenen nicht entgegenstehen ( 28 Satz 1 Nr. 2 BDSG) Kritisch: Gesundheitsdaten von Mitarbeitern werden über E-Mails übermittelt und in E-Mail Accounts gespeichert (Werksarzt) ii. plus: EU-Standardvertragsklauseln Bestandteil des Mustervertrages, Anhang 3 der Online Services Terms (OST) von Microsoft Kritisch: US Patriot Act und andere iii. plus: Auftragsdatenverarbeitung gemäß 11 BDSG Textliche Bestandteile im Mustervertrag OST von Microsoft TO DO: Anforderungen des 11 BDSG mit den passenden Textpassagen abgleichen iv. 11 BDSG inkludiert 9 BDSG IT Zertifizierungen liegen vor Angaben zu 9 BDSG (TOM) im Vertrag OST Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 4
II. Aus der Orientierungshilfe - Cloud Computing (1/3) Besondere Arten personenbezogener Daten (S. 15/16) * * BCR Binding Corporate Rules Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 5
II. Aus der Orientierungshilfe - Cloud Computing (2/3) US Patriot Act und andere US Gesetze (Seiten 20 und 39) Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz Orientierungshilfe Cloud Computing, Version 2.0 6
II. Aus der Orientierungshilfe - Cloud Computing (3/3) US Patriot Act und andere US Gesetze (Seiten 39/40) Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 7
Backup Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 8
Hinweis auf IT-Zertifizierungen Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 9
ISO 27018 Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 10
ISO 27018 Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 11
ISO 27018 Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 12
Hinweis auf neue Sicherheitsdienste Das Web-based ediscovery Center ist im Übrigen datenschutzkonform zu implementieren, darüber auch den Betriebsrat zu informieren. Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 13
Quellen Orientierungshilfe Cloud Computing, Version 2.0 09.10.2014, Mitarbeiter der Datenschutzbehörden IT-Nachmittag-Cloud Computing und Bring Your Own Device, Frankfurt 11.10.2012, CLIFFORD CHANCE Entwicklungen beim Cloud Computing das Beispiel Office 365 im Jahresbericht 2014, Berliner Beauftragter für Datenschutz und Informationssicherheit Datenschutz: Ist Microsoft Office 365 im Unternehmen rechtskonform einsetzbar? 19.03.2015, Klaus Foitzek https://www.activemind.de/magazin/datenschutz-microsoft-office-365-unternehmen/ Datenschutz bei Software as a Service (SaaS): Verträge zur Auftragsdatenverarbeitung nach 11 BDSG praktikabel und gesetzeskonform gestalten 19.04.2010, Thomas Helbing https://www.thomashelbing.com/de/saas-software-as-a-service-datenschutz-auftragsdatenverarbeitung-11-bdsg-funktionsuebertragung-cloudcomputing http://www.computerwoche.de/a/die-neue-iso-iec-27018-im-ueberblick,3069892 Heidelberger Druckmaschinen AG M. Le Maire Praxisbericht im GDD Erfa Kreis Datenschutz 14