1 Datenschutz im Unternehmen - wertvolle Tipps und Handlungsempfehlungen. Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis. Dr. Ralf W. Schadowski Geschäftsführender Gesellschafter TÜV cert sachkundiger und mehrfach bestellter Datenschutzbeauftragter anerkannter Auditor IT-Sicherheit schadowski@addag.de ++49-173-2590450
Themen Mobile Endgeräte Cloud: Warum? Wo? Sorgen? Chancen? Risiken. Sicherheit im Wandel Anforderungen an die technische Sicherheit Cloud und Datenschutz 2
Mitmachen! Datenschutz funktioniert nur wenn alle mitmachen Votingsysteme für Feedback Wie denke ich, wie die anderen? Natürlich anonym. 3
Mobile Endgeräte Allen ist gemein: Sorgen. Sorge vor Kontrollverlust Sorge vor Datenklau Sorge vor rechtlichen Verletzungen (UrHG etc) Herausforderungen Einbindung in vorhandene technisch-organisatorische Strukturen, speziell ios Bewusstsein schaffen bei digital nerds für rechtlichen Rahmen 4
Mobile Endgeräte und (private / public) Cloud im Wesentlichen basieren die Sorgen bei der Nutzung mobiler Endgeräte bei den Unternehmen auf den Kontrollverlust durch Cloud-Nutzung dezentrale Datenhaltung 5
Werden bei Ihnen in der Datenschutz-Verantwortlichkeit bereits Cloud Dienste genutzt? 50% 1. Private Cloud 2. Public Cloud 3. Managed Cloud 4. Security Cloud 5. Mehrere Formen 6. Gar nicht. 7. In Planung. 33% 6% 11% 0% 0% 0% 1. 2. 3. 4. 5. 6. 7.
Warum nutzt Ihr Unternehmen Cloud Dienste? 1. Kollaboration nur intern 2. Kollaboration nur extern 3. Kostenreduzierung 4. Sonstige Gründe 5. Mehrere der o.a. Gründe 20% 30% 20% 30% 0% 1. 2. 3. 4. 5.
Cloud: Warum? Organisationen müssen Daten austauschen intern mit den Teams extern mit Dritten = Kollaboration Kostendruck häufig ist die Nutzung von IaaS, PaaS oder SaaS kostengünstiger als ein interner Betrieb. Bei einer Datenübermittlung muss nach 28 Abs. 1 Satz 1 Nr. 2 BDSG bewertet werden, ob die schutzwürdigen Interessen des Betroffenen den Ausschluss der Verlagerung in die Cloud überwiegen. 8
Cloud: Wo? Public Cloud a la Dropbox Microsoft Private Cloud in der eigenen Topologie bei einem Hosting / Housing Partner Quelle: BITKOM_Leitfaden_Cloud_Computing-Was_Entscheider_wissen_muessen 9
Welche Sorgen treiben Sie vor allem bei dem Gedanken an Cloud Einsatz in Ihrem Unternehmen? 1. Verletzung BDSG 2. Datenklau 53% 3. Vertragsverluste bei Auditierung 4. Unsicherheit bei Vorabkontrollen 5. Konfliktsituationen mit Verantwortlichen 6. Verlust der Kontrolle über die schützenswerten Daten 12% 24% 7. Verlust der Vertraulichkeit 6% 6% 8. Verlust der Transparenz 0% 0% 0% 1. 2. 3. 4. 5. 6. 7. 8.
Cloud: Sorgen? Bei den Kunden Angst vor Datenklau Sorge Vertragsverlusten Sorge vor Job-Verlust durch Fehlentscheidung Bei den Datenschützern Angst vor Datenklau >> Meldepflicht Unsicherheit bei Vorabkontrollen Konfliktsituationen mit Verantwortlichen Verlust der Kontrolle über die schützenswerten Daten Verlust der Transparenz (unklare Prozesse zur DV) Verlust der Vertraulichkeit 11
Cloud: Risiken (Bitkom) R1 Internetanbindung R2 Serviceende R3 Updateservice bei Multi-Mandanten R4 Angriffe auf den Browser R5 Logging / Vertraulichkeit R6 Sub-Serviceprovider R7 Verkauf Cloud Partner Ausland R8 exportkontrollrechtliche Vorschriften R9 Mobiles / WLAN / Dritte R10 Migration der Buchhaltung Quelle: BITKOM_Leitfaden_Cloud_Computing-Was_Entscheider_wissen_muessen 12
Cloud: Chancen! Cloud kann mit den geeigneten technisch organisatorischen Maßnahmen kontrollierbar werden damit wird der Datenfluss und die Datennutzung nachvollziehbar(er) Cloud steigert und erleichtert in der Tat zeit- und standortübergreifende Zusammenarbeit der Teilnehmer Wie sichere ich Daten in der Cloud / auf mobilen Endgeräten? 13
EXKURS: Sicherheit im Wandel Herkömmliche Sicherheitstechnologie Solide Mauer um die eigene Burg Perimeter Modell Weiterentwicklung der Speicher- bzw. Transporttechnologie Die Bösen draußen halten Einfache Unterscheidung zwischen gut und böse Zukünftige Anforderungen Ganzheitlicher Ansatz ( Zugriff und Nutzung ) Extended Enterprise Information als Rohstoff ( werthaltig ) verstehen Logging. Schwierige Unterscheidung zwischen gut und böse
EXKURS: Sicherheit im Wandel EXTENDED Enterprise Quelle: Verizon
EXKURS: Sicherheit im Wandel Die Tücken der Weitergabe Weitergabe bedeutet Empfänger wird Besitzer Nutzung und Besitz von Informationen lassen sich nicht trennen. Einmal weitergegeben = immer weitergegeben Es ist nicht möglich, einmal verteilte Informationen wieder zurückzurufen. Aus dem Firmennetz = frei für alle Alle Sicherheitsmaßnahmen greifen nur innerhalb der eigenen Unternehmensnetze.
EXKURS: Sicherheit im Wandel Sicherheit hat Vorrang!... Sicherheit Zusammenarbeit
EXKURS: Sicherheit im Wandel Sicherheit und Zusammenarbeit! Autorisierte Person Erlaubte Nutzung Richtige Zeit Richtiger Ort Sicherheit Zusammenarbeit
EXKURS: Sicherheit im Wandel Sicherheitsrichtlinien WER (autorisierter Nutzer) Personen und Gruppen innerhalb und ausserhalb des Unternehmens WAS (erlaubte Nutzung) Lese-, Editier-, Weitergabe- oder Druckrechte Wann (richtige Zeit) Zeitliche Begrenzung, Datum, Zeitspanne, Dauer WO (richtiger Ort) Bestimmte IP Adressen oder bestimmte Orte
Aus Sicht der Betriebssicherheit: Ohne Informationsschutz keine Cloud Nutzung. Und aus Sicht des Datenschutzes? 20
Cloud: Datenschutz?! Durchführen der Vorabkontrolle durch den DSB nach Information durch den Organisationsverantwortlichen 1. Wo ist der Speicherort der personenbezogen Daten? (D, EU, EWR, Dritte) Erstellung einer ADV (D, EU, EWR) oder Erstellung eines EU Standarddatenschutzvertrages (Dritte) in komplexen Strukturen BCR etablieren. Bei Unsicherheiten Aufsichtsbehörde anfragen. Datenschutz bei Safe Harbour ok? Datenschutz bei SOX compliance ok? 21
Cloud: Datenschutz?! 2. Wie werden die personenbezogen Daten übertragen? unabhängig vom Speicherort die technisch organisatorischen Maßnahmen nach BSI prüfen. sichere und verschlüsselte Übertragungswege einrichten Logging erforderlich? 22
Cloud: Datenschutz?! 3. Zweckbindung der Verarbeitung der personenbezogen Daten prüfen. wird der ursprüngliche Zweck der Datenverarbeitung eingehalten? 4. Bericht / Empfehlung schreiben und begründen! HAFTUNG. 23
Handlungsempfehlungen Sicherheit auf 3 Ebenen: 1. Sicherung der Infrastruktur Sorgt dafür, dass die Sicherheits-Infrastruktur das gesamte extended enterprise abdeckt, effektiv überwacht und verwaltet. 2. Sicherung der Informationen Sorgt dafür, dass die Sicherheitskontrollen auch die eigentlichen Geschäftsinformationen einschließen. 3. Berücksichtigung von rechtlichen Anforderungen Sorgt dafür, dass Unternehmen die Risiken einschätzen und die Anforderungen interner und externer Richtlinien erfüllen können.
Lesenswerte Links: BSI https://www.bsi.bund.de/de/themen/cloudcomputing/eckpunktepapier/eck punktepapier_node.html Bitkom http://www.bitkom.org/files/documents/bitkom_leitfaden_cloud_computin g-was_entscheider_wissen_muessen.pdf WP 196 EU http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf Bitte Visitenkarte für Links abgeben. 25
Weitere Informationen: Datenschutz@schadowski.com persönliches Gespräch ADDAG GmbH&Co.KG Krefelder Strasse 121 D52070 Aachen Telefon +49-241-44688-11 Fax +49-241-44688-10 www.schadowski.com
Cloud: Rechtlicher Rahmen für den Datenschützer Artikel 29 Arbeitsgruppe (WP29) empfiehlt: Data Protection Directive 95/46/EC Artikel 4: Standorte in der EWR Beachtung von controller processor Abläufen e-privacy Directive 2002/58/EC Compliance Anforderungen der Organisation nach TKG, AO, HGB, StGB und weiteren beachten. 27
Cloud: sonstige rechtliche Rahmen 43 GmbHG und 93 AktG 257 HGB 147 AO und GdPdU SGB 203 StGB 28