Cloudtechnologie und Datenschutz Baden-Baden, 24. Juni 2015 www.kinast-partner.de 1
Definition von Cloud Computing BSI: CC bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von CC angebotenen Dienstleistungen umfasst das komplette Spektrum der IT und beinhaltet u.a. Infrastruktur (z.b. Rechenleistung, Speicherplatz), Plattformen und Software.
Public Cloud vs. Private Cloud Public Cloud Private Cloud Anbieter stellt Kapazität & Software bereit Keine Anschaffungskosten Immer aktuellste Software Flexibilität in Service & Kapazität (lässt sich nach Bedarf aufstocken) Minimaler Managementaufwand Kostengünstig (wg. Standardisierung) Individualität Anbieter betreut z.b. Server des Kunden in hochsicheren Rechenzentren Hohe Sicherheit Anbieter stellt Ressourcen über besonders sichere Leitungen zur Verfügung Möglichkeit zusätzliche Services mit dem Anbieter zu vereinbaren (z.b. mehr Service, höhere Verfügbarkeit, besserer Notfallplan) Kontrolle bleibt beim Kunden Daten verlassen die unternehmensspezifische Cloud nicht Cloud offen für jeden Anbieter hostet Daten aller Kunden auf derselben Infrastruktur (standardisiert) Mehrere Kunden teilen sich die gleichen Ressourcen Höhere Kosten Höhere Abhängigkeit von der Zuverlässigkeit des Anbieters, dessen Services, Technik und Verfügbarkeit
Dienstleistungsmodelle/ Drei-Ebenen-Modell Infrastructure-as-a-Service (IaaS) Desktop Cloud: Rechenleistung u. Speicherplatz, Net zwerk-infrastruktur-funktionalitäten Platform-as-a-Service (PaaS) Developer Cloud/ Entwickler-Plattform Entwicklung und Integration von Anwendungskomponenten Software-as-a-Service (SaaS) Bündelung und bedarfsgerechte Bereitstellung standardisierter Geschäftsanwendungen (IT-Ressourcen und Applikationen)
Vorteile für Kunden weltweiter Zugriff auf Daten Skalierbarkeit von Diensten geringere Kosten bei Hardware, lokaler Infrastruktur Nutzung professioneller Infrastruktur ohne eigenen Know-how-Aufbau Einsparung bei Betriebsorganisation Ersparnis von großen Investitionen, Abrechnung nach tatsächlichem Verbrauch ( pay as you go )
Einige Anwendungsfälle aus der Praxis CRM-Software, z.b. von Salesforce, für Vertriebsmitarbeiter eines Energieversorgers in Ergänzung der hauseigenen CRM-Lösung z.b. Ablage von Kundendaten durch Drucker-oder Kuvertieranlagenhersteller in einer Public Cloud Fernnutzung einer Anwendungssoftware zur Absatzplanung (auch über mobile Endgeräte) als SaaS-Lösung E-Mail-Archivierung in der Cloud (Zugriff auch überiphone-client) Daneben z.b. ERP, HR, Collaboration, Energiemanagement, Transportroutenplaner... z.b. SaaS in Kombination mit einem cloudbasierten Kundensupport-Center (Ticketsystem mit zentralem Datenbestand) zur Anbindung von Niederlassungen im Ausland häufig Generalunternehmermodell (statt Multi-Vendor-Strategie) Aber: Ausschöpfung der Vorteile häufig nur bei Public Clouds möglich
Datenschutzrechtliche Probleme der Cloud www.kinast-partner.de 7
Problem: Datenherrschaft Physischer Standort nicht bekannt (Widerspricht Auskunftsrecht gem. 34 BDSG) Fehlende Kontrollmöglichkeiten im Sinne der Auftragsdatenverarbeitung ( 11 II BDSG), insbesondere auch beim Subdienstleister Fehlende Datentrennung Fehlende Datenminimierung (Häufig diverse Kopien) Verantwortlichkeit für Daten liegt beim Auftraggeber (hier: Cloud-Kunden), wegen des Schutzinteresse des Betroffenen
Problem: Drittländer Prüfungsstufe 1: Das BDSG geht davon aus, dass die Übermittlung von Daten an ausländische Stellen außerhalb der EU/EWR unterbleiben muss, wenn der Betroffene ein schutzwürdiges Interesse am Ausschluss der Übermittlung hat. Ein solches entgegenstehendes schutzwürdiges Interesse ist insbesondere dann anzunehmen, wenn bei der empfangenden Stelle die Angemessenheit des Datenschutzniveaus nicht gegeben ist, 4 b Abs. 2 S. 2 BDSG, was grds. beim Drittland immer der Fall ist Prüfungsstufe 2: Die Voraussetzungen für eine rechtmäßige Übermittlung im Inland (z. B. nach 28 BDSG) sind auch bei einer Datenübermittlung in ein Drittland relevant, denn bei jeder Datenübermittlung ins Ausland muss neben der Frage nach den speziellen Voraussetzungen für die Übermittlung in ein bestimmtes Land ( 4 b und 4 c BDSG) zusätzlich geprüft werden, ob darüber hinaus auch die allgemeinen Voraussetzungen für eine Übermittlung vorliegen ( 4 Abs. 1, 28 BDSG).
Problem: Datenzugriffe durch Dritte Ausländische Ermittlungsbehörden (z.b. NSA) auf Grundlage unterschiedlicher Gesetze (z.b. Patriot Act, Foreign Intelligence Surveillance Act (FISA), Electronic Communications Privacy Act (ECPA), National Security Letters) Verantwortlich bleibt der Auftraggeber (hier: der Cloud-Kunde) Keine Berufung auf Art. 8 EMRK möglich Nationale Ermittlungs-/Strafverfolgungsbehörden (z.b. BND, BfV) sind u.u. legitimiert gem. StPO, BNDG, G10-Gesetz auf Daten zuzugreifen bzw. diese heraus zu verlangen Folgeproblem: Know-how Schutz des Unternehmens (hier: des Cloud-Kunden) fragwürdig
Problem: Subdienstleister Oft Kettenverarbeitung durch Einsatz sehr vieler Sub-Dienstleister Dadurch fehlende Transparenz und Datenherrschaft (s.o.) Werden Sub-DL ausgetauscht, erfährt der Kunde dies nicht Es kommen die jeweiligen Gesetze der Länder der Firmensitze der jeweiligen Sub-Dienstleister zur Anwendung, obwohl im Interesse des Cloud-Kunden die dortigen Gesetze zur Anwendung kommen müssten (Haftung!) Wenn der Cloud-Kunde selbst DL ist: - zwangsläufige juristische Mängel, da keine Nennung der Sub-DL möglich - Haftungsrisiko bleibt beim Cloud-Kunden
Problem: AGB /Vertragsgestaltung AGB Analyse der AGBs in Praxis zeigt: Formulierung sehr anbieterfreundlich zum Nachteil der Kunden Oft keine Beachtung/Anwendung der Regelungen zur ADV ( 11 BDSG) Verwendung und Auslegung von AGBs gem. dem Recht des Sitzlandes Folge: Verstöße des Anbieters fallen auf Kunden zurück, d.h. hohes Haftungsrisiko des Unternehmens
Vertragsgestaltung einheitliches Leistungsstörungsrecht und Kodifizierung von Verfügbarkeitsquoten mittels Service Level Agreements Leistungsgegenstand, Verfügbarkeit, Performance (insb. Antwortzeit), Übergabepunkte, Bezugsgrößen, Messpunkte, Reaktions- und Beseitigungszeiten etc. Beauftragung von Subunternehmern, z.b. Amazon Web Services; Cloud- Anbieter häufig als Generalunternehmer (z.b. auch TK-Anbindung) Regelungen zum Notfall-Management, zur Vertragsabwicklung / zum Exit Management und zur Datenherausgabe am Vertragsende (z.b. Datenformate) Problematisch: Zurückbehaltungsrecht an Daten Problematisch: Leistungsverweigerungsrecht bei Zahlungsverzug
Verfügbarkeitsklauseln Gegenstand und Inhalt der Verfügbarkeit Spezifizierung: Software-Module, Funktionen, Prozesse etc. Festlegung bestimmter Betriebszeiten; Wartungsfenster geplante / ungeplante, angekündigte / nicht angekündigte, verschuldete / unverschuldete Wartungsmaßnahmen Verfügbarkeitsquoten ( ninety-nine-point-something ) wichtig: Bezugszeitraum Messung, Berichtswesen, Sanktionen, Bonus-Malus-Regelung etc. (z.t. Lastobergrenzen in AGB der Anbieter) aus Kundensicht möglichst unmittelbare Auswirkungen auf Vergütung optional: maximale Ausfallzeiten pro Ausfall Regelung soweit möglich als Bestandteil der Leistungsbeschreibung (nicht: Wir übernehmen keine Haftung, soweit... )
Verfügbarkeitsklauseln 2 Beispiele»Aus technischen und betrieblichen Gründen sind zeitweilige Beschränkungen und Unterbrechungen des Zugangs zum... Online-Service möglich. Zeitweilige Beschränkungen und Unterbrechungen können beruhen auf: - höherer Gewalt, - Änderungen und Verbesserungen an den technischen Anlagen oder auf sonstigen Maßnahmen, z.b. Wartungs- oder Instandsetzungsarbeiten, die für einen einwandfreien oder optimierten... Online- Service notwendig sind, oder auf - sonstigen Vorkommnissen, z.b. Überlastung der Telekommunikationsnetze.«Der Dienst ist zu 98 % im Kalendermonatsmittel verfügbar. 1. Nichtverfügbarkeit ist anzunehmen, wenn der Dienst aufgrund von Umständen, die im Verantwortungsbereich des Anbieters liegen, vollständig nicht zur Verfügung steht. 2. Nichtverfügbarkeit ist nicht anzunehmen, wenn der Dienst aufgrund von [höherer Gewalt, Fehlbedienung, geplanten Wartungszeiten etc.] nicht erreichbar ist. Der Anbieter darf den Dienst zum Zwecke der Wartung vorübergehend abschalten (geplante Wartungszeiten). Der Anbieter wird dem Nutzer geplante Wartungszeiten mindestens 2 Tage im Voraus über die Internetseite... ankündigen. Insgesamt darf die Dauer geplanter Wartungszeiten 12 Stunden im Monat nicht überschreiten.
Beispiel: Amazon Web Services Customer Agreement 2.1 To the Service Offerings. We may change, discontinue, or deprecate any of the Service Offerings (including the Service Offerings as a whole) or change or remove features or functionality of the Service Offerings from time to time. We will notify you of any material change to or discontinuation of the Service Offerings. 3.1 AWS Security. Without limiting Section 10 or your obligations under Section 4.2, we will implement reasonable and appropriate measures designed to help you secure Your Content against accidental or unlawful loss, access or disclosure. 3.2 Data Privacy. We participate in the safe harbor programs described in the Privacy Policy. You may specify the AWS regions in which Your Content will be stored and accessible by End Users. We will not move Your Content from your selected AWS regions without notifying you, unless required to comply with the law or requests of governmental entities. (...)
Problem: Technisch-organisatorische Maßnahmen Technisch-organisatorische Maßnahmen Technische Sicherheit z.t. mangelhaft Fehlende Transparenz der technischen Sicherheit wg. unzureichender Informationen vom Anbieter über die Verarbeitungsprozesse (vgl. 9, 11 BDSG) Kaum einheitliche Standards Jeder Cloud-Anbieter setzt andere Schwerpunkte Nutzer fehlt technische und organisatorische Möglichkeiten, um selbst die ausschließliche Kontrolle über seine Daten zu bewahren
Datensicherheit Kontrollerfordernis in der Cloud Die Auftragsdatenverarbeitungsvereinbarung hat die vom Cloud-Anbieter zu treffenden technischen und organisatorischen Maßnahmen im Detail festzulegen Die technischen und organisatorischen Maßnahmen sind als technischer Datenschutz in 9 BDSG i.v.m. der Anlage zu 9 geregelt: 1. Zutrittskontrolle, 2. Zugangskontrolle, 3. Zugriffskontrolle, 4. Weitergabekontrolle, 5. Eingabekontrolle, 6. Auftragskontrolle, 7. Verfügbarkeitskontrolle, 8. getrennte Verarbeitungsmöglichkeit Verhandlung jedenfalls in der Private Cloud unmöglich Lösung: Wahl des geeigneten Anbieters oder Private Cloud Orientierung, z.b. an BSI-Mindestsicherheitsanforderungen, ISO-Zertifizierungen, SAS-70-Bestätigungsvermerke unabhängiger Auditoren...
Datensicherheit Kontrollerfordernis in der Cloud Kontrollpflicht: Auftraggeber hat sich vor Beginn der Datenverarbeitung und dann regelmäßig von der Einhaltung der Maßnahmen des Anbieters zu überzeugen Bei länderübergreifenden Clouds Vor-Ort-Prüfung praktisch kaum durchführbar, aber eigene Recherchen erforderlich... Zertifizierung der Cloud-Anbieter durch unabhängige Stelle als mögliche Lösung, ABER: entbindet nicht von Kontrollpflichten (Arbeitskreis der Datenschutzbeauftragten) Standards hinterfragen und auf den jeweiligen Einzelfall anpassen! Fehlende Kontrolle vor Beginn für Kunden bußgeldbewehrt mit bis zu 50.000 EUR
Literatur und Links BITKOM-Leitfaden: http://www.bitkom.org/files/documents/bitkom-leitfaden-cloudcomputing_web.pdf EuroCloud Leitfaden: http://www.eurocloud.de/2010/12/02/eurocloud-leitfaden-recht-datenschutz-compliance/ Orientierungshilfe Cloud Computing vom 26.09.2011 (Konferenz der DSB): http://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf BSI Eckpunktepapier Cloud Computing: https://www.bsi.bund.de/ Stellungnahme ULD / Weichert: https://www.datenschutzzentrum.de/cloud-computing/
Ihr Ansprechpartner RA Dr. Karsten Kinast, LL.M. kinast@kinast-partner.de Mobil: +49 (0)1520 905 32 14 Standort Köln: Venloer Straße 24 50672 Köln Telefon: +49 (0)221-222 183-0 Telefax: +49 (0)221-222 183-10 Standort Frankfurt am Main: Schneckenhofstr. 27 60596 Frankfurt a.m. Telefon: +49 (0)69-247 47 11 0 Telefax: +49 (0)69-247 47 11 10 Standort München: Fürstenstraße 5 80333 München Telefon: +49 (0)89-244 14 25-0 Telefax: +49 (0)89-244 14 25-10 Standort Nürnberg: Schmausenbuckstr. 90 90480 Nürnberg Telefon: +49 (0)911-477 103-0 Telefax: +49 (0)911-477 103-10