Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen -



Ähnliche Dokumente
Sicherheitsanalyse von Private Clouds

Cloud Computing - und Datenschutz

Cloud Computing. ITA Tech Talk, Oberursel, Nicholas Dille IT-Architekt, sepago GmbH

Thementag Cloud Computing Datenschutzaspekte

Cloud Computing. Datenschutzrechtliche Aspekte. Diplom-Informatiker Hanns-Wilhelm Heibey

GIS-Projekte in der Cloud

Datenschutz und Datensicherung (BDSG) Inhaltsübersicht

Cloud-Technologie. Chancen für Messdienstunternehmen. Stefan Hammermüller, Bereichsleiter Produktmanagement der QUNDIS GmbH

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Rechte und Pflichten der Schule und von BelWü bei der Auftragsdatenverarbeitung (Stand: )

Rechtliche Aspekte des Cloud Computing

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

IT-Compliance und Datenschutz. 16. März 2007

Data Center Automa-on for the Cloud. Pascal Petsch

Rechtlicher Rahmen für Lernplattformen

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

1. bvh-datenschutztag 2013

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

Digitalisierung: Kundendaten und Mitarbeiterdaten in der Cloud Rechtliche Problemfelder

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

synergetic AG Open House 2012 Ihr Unternehmen in der Wolke - Cloud Lösungen von synergetic

Freie Universität Berlin

Festlegungen für ein automatisiertes Verfahren für das Verfahrensverzeichnis nach 14 Abs. 3 Satz 1 DSG LSA

IT-Dienstleistungszentrum Berlin

Grundlagen des Datenschutzes und der IT-Sicherheit

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Cloud Computing Services. oder: Internet der der Dienste. Prof. Dr. Martin Michelson

Sichere kommunale Cloud für Verwaltungen und Schulen. Dirk Schweikart, regio it gmbh,

Technik der Cloud. Prof. Dr. Hannes Federrath Sicherheit in verteilten Systemen (SVS) München, 18.

AUSZUG AUS DEM BUNDESDATENSCHUTZGESETZ

Cloud Computing mit IT-Grundschutz

D i e n s t e D r i t t e r a u f We b s i t e s

Datenschutz- und Datensicherheitskonzept der e.consult AG (Kurzversion)

Sicht eines Technikbegeisterten

Cloud-Computing/SaaS und Datenschutz: zwei Gegensätze?

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Datenschutz und Systemsicherheit

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

Cloud Computing: IT-Sicherheit und Datenschutzrecht - Lassen sich Verträge zum Cloud Computing datenschutzkonform und rechtssicher gestalten?

Gewährleistung und SoftwaremieteVortrag im Rahmen der Veranstaltung IT-Recht - Grundlagen für Informatiker

Health clouds als Enabler für den sicheren und wirtschaftlichen Betrieb von TelemedizinInfrastrukturen eine kritische Bewertung

Datenschutz in der Cloud. Stephan Oetzel Teamleiter SharePoint CC NRW

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Herzlich Willkommen! MR Cloud Forum Bayreuth

Cloud Computing und Datenschutz

Datenschutzvereinbarung

Was Kommunen beim Datenschutz beachten müssen

Einführung in den Datenschutz

RECHTLICHE ASPEKTE BEIM CLOUD COMPUTING Technik-Evolution bringt Business-Revolution

Datenschutz und Schule

"RESISCAN durch Dritte Rechtliche Anforderungen an die Beauftragung" RA Karsten U. Bartels LL.M., HK2 Rechtsanwälte

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

1. DFN Workshop Datenschutz. Rechtliche Aspekte der Auftragsdatenverarbeitung

IT-Grundschutz: Cloud-Bausteine

Deutscher Städtetag 29. Forum Kommunikation und Netze,

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Was ist die Cloud? CCW interner Vortrag für Themenabend Erstellt: Mai 2012, Heiko Ehmsen Dauer: ca. 30 Minuten. Inhalt

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Datenschutzkonforme digitale Patientenakten im Outsourcing. Datenschutzkonforme digitale Patientenakten im Outsourcing

Das digitale Klassenund Notizbuch

Marktstudie 2011: Cloud Computing im Business Einsatz. Durchgeführt von der AppSphere AG in Kooperation mit BT Germany

Cloud-Computing - Überblick

Cloud-Rechtssicherheit

Datenschutz und Datensicherheit im Handwerksbetrieb

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Kirchlicher Datenschutz

Der Schutz von Patientendaten

Stefan Kusiek BFW-Leipzig

/ Prof. Dr. Jürgen Treffert. Cloud Computing - eine realistische Alternative für Unternehmen?

«Zertifizierter» Datenschutz

Vollzug des Bayerischen Datenschutzgesetzes (BayDSG)

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Datenschutz im Projekt- und Qualitätsmanagement Umfeld

Arbeitskreis EDV Büro 2.0 Neue Technologien - Möglichkeiten und Risiken

Anlage zur Auftragsdatenverarbeitung

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Cloud-Computing. Selina Oertli KBW

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Vorstellung Studienprojekt. Policy4TOSCA. Umsetzung eines Policy-Frameworks für sicheres und energieeffizientes Cloud Computing

Merkblatt zum betrieblichen Datenschutzbeauftragten nach 4f, 4g BDSG

Datenschutz-Vereinbarung

Datenverarbeitung im Auftrag

Datenschutz im E-Commerce

Rösler-Goy: Datenschutz für das Liegenschaftskataster 1

Anlage zum Vertrag vom. Auftragsdatenverarbeitung

Vorsicht bei Einbindung Dritter in eigene Dienste! RA Dr. Jan K. Köcher Syndikus DFN-CERT Services GmbH

... - nachstehend Auftraggeber genannt nachstehend Auftragnehmer genannt

Der betriebliche Datenschutzbeauftragte

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Transkript:

Datenschutzgerechtes CloudComputing -Risiken und Empfehlungen - Dr. Thomas Reinke Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg (Bereich Technik und Organisation) ecomm Brandenburg, 22. Februar 2012

Gliederung Die Aufgaben der LDA Brandenburg Cloud Computing Begriff, Klassifikation Eigenschaften, Risiken Empfehlungen aus Sicht der Aufsichtsbehörde Literaturhinweise: Orientierungshilfe -CloudComputing der Konferenz der Datenschutzbeauftragten des Bundes und der Länder (September 2011) Eckpunktepapier -Sicherheitsempfehlungen für CloudComputing Anbieter, Bundesamt für Sicherheit in der Informationstechnik (Mai 2011) LDA Bbg, 22.02.2012 2

Die Aufgaben der LDA Brandenburg Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Dagmar Hartge (seit 2005) 14532 Kleinmachnow, Stahnsdorfer Damm 77 Tel: 033203 / 356-0, Fax: 033203 / 356-49 Mail: poststelle@lda.brandenburg.de Bearbeitung von Anfragen und Beschwerden, Unterstützung Betroffener Beratung und Kontrolle öffentlicher Stellen im Land Brandenburg Beratung und Kontrolle nicht-öffentlicher Stellen im Land Brandenburg (seit 01.06.2010) Zusammenarbeit mit Datenschutzbehörden Verfolgung von Ordnungswidrigkeiten (seit 01.06.2010) LDA Bbg, 22.02.2012 3

CloudComputing in Deutschland IDC-Studie: Transformation der Unternehmens-IT auf dem Weg in die Cloud (Juni 2011) größte Hürden aus Sicht der Befragten: IT-Sicherheit, Datenschutz, Erfüllung rechtlicher Anforderungen, Performanz, Verfügbarkeit, Qualität des Dienstleisters,... LDA Bbg, 22.02.2012 4

CloudComputing Begriff und Eigenschaften Definition des National Institute for Standards and Technology (NIST): Cloud Computingist ein Modell, das es erlaubt, bei Bedarf jederzeit und überall bequem über ein Netz auf einen geteilten Vorrat von konfigurierbaren Rechnerressourcen (z.b. Netze, Server, Speicher, Anwendungen) zuzugreifen, die schnell und mit minimalem Managementaufwand oder geringer Serviceprovider-Interaktion zur Verfügung gestellt werden. Eigenschaften: Elastizität, Skalierbarkeit Optimierung, Konsolidierung Kostenreduktion - pay per use Zuverlässigkeit, Verfügbarkeit Ortsunabhängigkeit Qualitätssicherung durch Anbieter Selbstzuweisung, -konfiguration durch Nutzer LDA Bbg, 22.02.2012 5

Arten des CloudComputing (1) 3 Servicemodelle - Was wird bereitgestellt? Software asa Service (SaaS)-z.B. Google Apps, MS Office 365 Platform as a Service (PaaS) - z.b. Google AppEngine, MS Azure, force.com Infrastructure as a Service (IaaS)- z.b. Amazon EC2, S3, OpenNebula Toolkit Anwendungen z.b. HR, CRM, Office,... Plattformen z.b. DB, Middleware, Werkzeuge,... Infrastrukturen z.b. Rechenleistung, Speicher, Netze,... Cloud Services reale Hardware LDA Bbg, 22.02.2012 6

Arten des CloudComputing (2) 4 Liefermodelle - Wie werden Dienste bereitgestellt? private cloud hybrid cloud public cloud community cloud private cloud public cloud Service Service Service Internet Service Service Service (exklusiv, für 1 Organisation) (öffentlich, für 2 + Organisationen) LDA Bbg, 22.02.2012 7

... und wo liegt das Problem? IT-Sicherheit bzgl. Rechenzentrum Serverinfrastruktur, Netze Cloud-Software Anwendungssoftware anwendungsspezifische Daten Abschottung der Cloud-Dienste und -Daten ggü. Mitarbeitern des Dienstleisters und ggü. anderen Kunden Vertrauen in den Dienstleister, Qualität der Dienstleistung, Nachvollziehbarkeit der Abrechnung, Möglichkeit des Wechsels datenschutzrechtliche Aspekte bei der Verarbeitung personenbezogener Daten in der Cloud Einhaltung des Bundes- bzw. des Landesdatenschutzgesetzes LDA Bbg, 22.02.2012 8

Datenschutzrechtliche Aspekte (1) Zulässigkeit der Verarbeitung personenbezogener Daten in der Cloud spezialgesetzliche Vorschriften können bestimmte Formen des Cloud Computings ausschließen oder besondere Anforderungen stellen z.b. 80 SGB X: (5) Die Erhebung, Verarbeitung oder Nutzung von Sozialdaten im Auftrag durch nicht-öffentliche Stellen ist nur zulässig, wenn 1. beim Auftraggeber sonst Störungen im Betriebsablauf auftreten können oder 2. die übertragenen Arbeiten beim Auftragnehmer erheblich kostengünstiger besorgt werden können und der Auftrag nicht die Speicherung des gesamten Datenbestandes des Auftraggebersumfasst.... LDA Bbg, 22.02.2012 9

Datenschutzrechtliche Aspekte (2) Datenverarbeitung im Auftrag gem. 11 BDSG (bzw. 11 BbgDSG) (1) Werden personenbezogene Daten im Auftrag durch andere Stellen... verarbeitet..., ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes... verantwortlich.... (2) Der Auftragnehmer ist... sorgfältig auszuwählen. Der Auftrag ist schriftlich zu erteilen,... Gestaltung des Vertrags zur DV im Auftrag gem. 11 Abs. 2 BDSG (bzw. VV zum BbgDSG) Beachte: Regelungen zu Unteraufträgen Ort der Datenverarbeitung durch den Dienstleister im europäischen Wirtschaftsraum: Geltung der EU-Datenschutzrichtlinie außerhalb des europ. Wirtschaftsraumes: Prüfung auf Zulässigkeit der Datenübermittlung und auf angemessenes Datenschutzniveau erforderlich LDA Bbg, 22.02.2012 10

Datenschutzrechtliche Aspekte (3) technische und organisatorische Maßnahmen gem. 9 BDSG (bzw. 10 BbgDSG) Gewährleistung von Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Revisionsfähigkeit und Transparenz Absicherung von Cloud-Diensten und -Daten, z.b. durch Identitäts- und Rechtemanagement Zutritts-, Zugangs- und Zugriffskontrolle Verschlüsselung/Signatur der Daten Separierung der Daten und Anwendungen Netztrennung, Netzsegmentierung Firewalls, IDS, IPS neue Risiken durch CloudComputing => zusätzliche Sicherheitsmaßnahmen Fortschreibung des Sicherheitskonzepts, Beachte: Empfehlungen des BSI LDA Bbg, 22.02.2012 11

Zusammenfassung und Empfehlungen Der Einsatz von CloudComputing zur Verarbeitung personenbezogener Daten bedarf einer vorherigen sorgfältigen rechtlichen und technischen Prüfung (Zulässigkeit, Dienstleister, Ort der Verarbeitung, Sicherheitsmaßnahmen,...). Werden CloudComputing Angebote eines Dienstleisters genutzt, sind die Anforderungen der Datenverarbeitung im Auftrag zu beachten. Die Verantwortung für die Einhaltung gesetzlicher Bestimmungen verbleibt beim Auftraggeber. Die Nutzung von Public oder Hybrid Cloudszur Verarbeitung personenbezogener Daten scheitert im Allgemeinen wegen Mängeln bei Abschottung, IT-Sicherheit, Datenschutz und Transparenz seitens der Cloud Computing Anbieter. Soll eine Private oder Community Cloudzur Verarbeitung personenbezogener Daten genutzt werden, sind insbesondere das Trennungsgebot einzuhalten sowie geeignete und angemessene technische und organisatorische Sicherheitsmaßnahmen umzusetzen. LDA Bbg, 22.02.2012 12

2026 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback