Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis.

Ähnliche Dokumente
1. bvh-datenschutztag 2013

Deutschland, rechtliche Herausforderungen gelöst mit Drupal

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Agenda: Richard Laqua ISMS Auditor & IT-System-Manager

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Beraten statt prüfen Betrieblicher Datenschutzbeauftragter

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Beschreibung Regeln z.b. Abwesenheitsmeldung und Weiterleitung

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Der Datenschutzbeauftragte. Eine Information von ds² 05/2010

GDD-Erfa-Kreis Berlin

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

SCHADOWSKI.com Professioneller Datenschutz. ADDAG GmbH&Co.KG 2013, Dr. Ralf W. Schadowski,

Beraten statt prüfen Behördlicher Datenschutzbeauftragter

Mit Sicherheit gut behandelt.

Gesetzliche Grundlagen des Datenschutzes

Datenschutz und Schule

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

Ausgewählte Rechtsfragen der IT-Security

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

Personal- und Kundendaten Datenschutz in Werbeagenturen

GPP Projekte gemeinsam zum Erfolg führen

Computer & Netzwerktechnik. Externer Datenschutzbeauftragter

Personal- und Kundendaten Datenschutz bei Energieversorgern

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Verordnungsdaten und Patientendatenbanken Datenschutz in Pharmaunternehmen

Datenschutzkonzept. Muster. (Ausschnitt) Datenschutzkonzept. Informationsverbund

Erstellen von Verfahrensbeschreibungen nach 8 des Niedersächsischen Datenschutzgesetz. Seminar am

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 9. Übung im SoSe 2014: Vergleich Datenschutz und IT-Sicherheit

Der Schutz von Patientendaten

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

Cloud Computing - und Datenschutz

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Gründe für ein Verfahrensverzeichnis

IMI datenschutzgerecht nutzen!

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

Informationssicherheit zentral koordiniert IT-Sicherheitsbeauftragter

So empfangen Sie eine verschlüsselte von Wüstenrot

Cloud Computing Security

II 1 Verantwortung der Leitung II 1.13 Datenschutzkonzept. Gültigkeitsbereich Verantwortlich Team

Übung - Datensicherung und Wiederherstellung in Windows 7

Verfahrensverzeichnis

Was meinen die Leute eigentlich mit: Grexit?

Drei Fragen zum Datenschutz im. Nico Reiners

IT-Grundschutz: Cloud-Bausteine

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Kriterienkatalog und Vorgehensweise für Bestätigungen und Konformitätsnachweise gemäß Signaturgesetz. datenschutz cert GmbH Version 1.

Datenschutz. Praktische Datenschutz-Maßnahmen in der WfbM. Werkstätten:Messe 2015

Datenschutz im Unternehmen

Datenschutz und Informationssicherheit

Angenommen am 14. April 2005

Test zur Bereitschaft für die Cloud

Öffnung dienstlicher E Mailfächer Wann darf der Arbeitsgeber tätig werden?

Ihren Kundendienst effektiver machen

Gewährleistung und SoftwaremieteVortrag im Rahmen der Veranstaltung IT-Recht - Grundlagen für Informatiker

How-to: Webserver NAT. Securepoint Security System Version 2007nx

Zugriff auf OWA Auf OWA kann über folgende URLs zugegriffen werden:

ISA Einrichtung einer DFUE VErbindung - von Marc Grote

Datenschutz und Datensicherheit rechtliche Aspekte. 13. OSL-Technologietage 24. September 2015 PENTAHOTEL Berlin-Köpenick

15 Social-Media-Richtlinien für Unternehmen!

Übung - Datensicherung und Wiederherstellung in Windows Vista

Probleme kann man nie mit derselben Denkweise lösen, durch die sie entstanden sind. Albert Einstein BERATUNG

Abwesenheitsnotiz im Exchangeserver 2010

Überblick Datenschutzbeauftragter für den Chaos Computer Club Frankfurt e.v.

Gesundheitsprävention & Arbeitsrecht

D i e n s t e D r i t t e r a u f We b s i t e s

DATENSCHUTZBERATUNG. vertrauensvoll, qualifiziert, rechtssicher

Tag des Datenschutzes

Herausforderungen beim Arbeiten in der Wolke

POCKET POWER. Qualitätsmanagement. in der Pflege. 2. Auflage

Datenschutz-Management

Der betriebliche Datenschutzbeauftragte

Datenschutzbeauftragte

Mobile Arbeitsplätze Herausforderung an die Mitbestimmung

Personal- und Kundendaten Datenschutz im Einzelhandel

Einführung in die Datenerfassung und in den Datenschutz

IT im Wandel Kommunale Anforderungen - zentrales Clientmanagement versus Standardtechnologie!?

Erstellen einer digitalen Signatur für Adobe-Formulare

Statuten in leichter Sprache

DATENSCHUTZ FÜR SYSTEM- ADMINISTRATOREN

Bayerisches Landesamt für Datenschutzaufsicht in der Regierung von Mittelfranken

Pragmatischer Datenschutz im Unternehmensalltag / Outsourcing - datenschutzrechtlich möglich?

Datenschutz im Spendenwesen

Seite 1 von 7. Anlage 1. Erstes Anschreiben an den/die Beschäftigte/ -n. Frau/Herrn Vorname Name Straße PLZ Ort

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Lehrer: Einschreibemethoden

Sealed Analytics - IT-Sicherheit und Datenschutz durch den Ausschluss des Menschen

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

IT-SICHERHEIT IM UNTERNEHMEN Mehr Sicherheit für Ihre Entscheidung

ecommerce und Datenschutz

Aber doch bitte [recht(s-)] sicher! Tim Hoffmann Cybercrime 18. Juni 2015 IHK Bonn/Rhein-Sieg

chancen der digitalisierung Überblick Rechtliche Aspekte des cloudcomputing

Arbeitskreis EDV Büro 2.0 Neue Technologien - Möglichkeiten und Risiken

Datenschutz als Qualitäts- und Wettbewerbsfaktor

Transkript:

1 Datenschutz im Unternehmen - wertvolle Tipps und Handlungsempfehlungen. Datenschutz und mobile Endgeräte in der Cloud Computing. Chancen und Risiken. Worauf müssen Unternehmen achten? Ein Bericht aus der Praxis. Dr. Ralf W. Schadowski Geschäftsführender Gesellschafter TÜV cert sachkundiger und mehrfach bestellter Datenschutzbeauftragter anerkannter Auditor IT-Sicherheit schadowski@addag.de ++49-173-2590450

Themen Mobile Endgeräte Cloud: Warum? Wo? Sorgen? Chancen? Risiken. Sicherheit im Wandel Anforderungen an die technische Sicherheit Cloud und Datenschutz 2

Mitmachen! Datenschutz funktioniert nur wenn alle mitmachen Votingsysteme für Feedback Wie denke ich, wie die anderen? Natürlich anonym. 3

Mobile Endgeräte Allen ist gemein: Sorgen. Sorge vor Kontrollverlust Sorge vor Datenklau Sorge vor rechtlichen Verletzungen (UrHG etc) Herausforderungen Einbindung in vorhandene technisch-organisatorische Strukturen, speziell ios Bewusstsein schaffen bei digital nerds für rechtlichen Rahmen 4

Mobile Endgeräte und (private / public) Cloud im Wesentlichen basieren die Sorgen bei der Nutzung mobiler Endgeräte bei den Unternehmen auf den Kontrollverlust durch Cloud-Nutzung dezentrale Datenhaltung 5

Werden bei Ihnen in der Datenschutz-Verantwortlichkeit bereits Cloud Dienste genutzt? 50% 1. Private Cloud 2. Public Cloud 3. Managed Cloud 4. Security Cloud 5. Mehrere Formen 6. Gar nicht. 7. In Planung. 33% 6% 11% 0% 0% 0% 1. 2. 3. 4. 5. 6. 7.

Warum nutzt Ihr Unternehmen Cloud Dienste? 1. Kollaboration nur intern 2. Kollaboration nur extern 3. Kostenreduzierung 4. Sonstige Gründe 5. Mehrere der o.a. Gründe 20% 30% 20% 30% 0% 1. 2. 3. 4. 5.

Cloud: Warum? Organisationen müssen Daten austauschen intern mit den Teams extern mit Dritten = Kollaboration Kostendruck häufig ist die Nutzung von IaaS, PaaS oder SaaS kostengünstiger als ein interner Betrieb. Bei einer Datenübermittlung muss nach 28 Abs. 1 Satz 1 Nr. 2 BDSG bewertet werden, ob die schutzwürdigen Interessen des Betroffenen den Ausschluss der Verlagerung in die Cloud überwiegen. 8

Cloud: Wo? Public Cloud a la Dropbox Microsoft Private Cloud in der eigenen Topologie bei einem Hosting / Housing Partner Quelle: BITKOM_Leitfaden_Cloud_Computing-Was_Entscheider_wissen_muessen 9

Welche Sorgen treiben Sie vor allem bei dem Gedanken an Cloud Einsatz in Ihrem Unternehmen? 1. Verletzung BDSG 2. Datenklau 53% 3. Vertragsverluste bei Auditierung 4. Unsicherheit bei Vorabkontrollen 5. Konfliktsituationen mit Verantwortlichen 6. Verlust der Kontrolle über die schützenswerten Daten 12% 24% 7. Verlust der Vertraulichkeit 6% 6% 8. Verlust der Transparenz 0% 0% 0% 1. 2. 3. 4. 5. 6. 7. 8.

Cloud: Sorgen? Bei den Kunden Angst vor Datenklau Sorge Vertragsverlusten Sorge vor Job-Verlust durch Fehlentscheidung Bei den Datenschützern Angst vor Datenklau >> Meldepflicht Unsicherheit bei Vorabkontrollen Konfliktsituationen mit Verantwortlichen Verlust der Kontrolle über die schützenswerten Daten Verlust der Transparenz (unklare Prozesse zur DV) Verlust der Vertraulichkeit 11

Cloud: Risiken (Bitkom) R1 Internetanbindung R2 Serviceende R3 Updateservice bei Multi-Mandanten R4 Angriffe auf den Browser R5 Logging / Vertraulichkeit R6 Sub-Serviceprovider R7 Verkauf Cloud Partner Ausland R8 exportkontrollrechtliche Vorschriften R9 Mobiles / WLAN / Dritte R10 Migration der Buchhaltung Quelle: BITKOM_Leitfaden_Cloud_Computing-Was_Entscheider_wissen_muessen 12

Cloud: Chancen! Cloud kann mit den geeigneten technisch organisatorischen Maßnahmen kontrollierbar werden damit wird der Datenfluss und die Datennutzung nachvollziehbar(er) Cloud steigert und erleichtert in der Tat zeit- und standortübergreifende Zusammenarbeit der Teilnehmer Wie sichere ich Daten in der Cloud / auf mobilen Endgeräten? 13

EXKURS: Sicherheit im Wandel Herkömmliche Sicherheitstechnologie Solide Mauer um die eigene Burg Perimeter Modell Weiterentwicklung der Speicher- bzw. Transporttechnologie Die Bösen draußen halten Einfache Unterscheidung zwischen gut und böse Zukünftige Anforderungen Ganzheitlicher Ansatz ( Zugriff und Nutzung ) Extended Enterprise Information als Rohstoff ( werthaltig ) verstehen Logging. Schwierige Unterscheidung zwischen gut und böse

EXKURS: Sicherheit im Wandel EXTENDED Enterprise Quelle: Verizon

EXKURS: Sicherheit im Wandel Die Tücken der Weitergabe Weitergabe bedeutet Empfänger wird Besitzer Nutzung und Besitz von Informationen lassen sich nicht trennen. Einmal weitergegeben = immer weitergegeben Es ist nicht möglich, einmal verteilte Informationen wieder zurückzurufen. Aus dem Firmennetz = frei für alle Alle Sicherheitsmaßnahmen greifen nur innerhalb der eigenen Unternehmensnetze.

EXKURS: Sicherheit im Wandel Sicherheit hat Vorrang!... Sicherheit Zusammenarbeit

EXKURS: Sicherheit im Wandel Sicherheit und Zusammenarbeit! Autorisierte Person Erlaubte Nutzung Richtige Zeit Richtiger Ort Sicherheit Zusammenarbeit

EXKURS: Sicherheit im Wandel Sicherheitsrichtlinien WER (autorisierter Nutzer) Personen und Gruppen innerhalb und ausserhalb des Unternehmens WAS (erlaubte Nutzung) Lese-, Editier-, Weitergabe- oder Druckrechte Wann (richtige Zeit) Zeitliche Begrenzung, Datum, Zeitspanne, Dauer WO (richtiger Ort) Bestimmte IP Adressen oder bestimmte Orte

Aus Sicht der Betriebssicherheit: Ohne Informationsschutz keine Cloud Nutzung. Und aus Sicht des Datenschutzes? 20

Cloud: Datenschutz?! Durchführen der Vorabkontrolle durch den DSB nach Information durch den Organisationsverantwortlichen 1. Wo ist der Speicherort der personenbezogen Daten? (D, EU, EWR, Dritte) Erstellung einer ADV (D, EU, EWR) oder Erstellung eines EU Standarddatenschutzvertrages (Dritte) in komplexen Strukturen BCR etablieren. Bei Unsicherheiten Aufsichtsbehörde anfragen. Datenschutz bei Safe Harbour ok? Datenschutz bei SOX compliance ok? 21

Cloud: Datenschutz?! 2. Wie werden die personenbezogen Daten übertragen? unabhängig vom Speicherort die technisch organisatorischen Maßnahmen nach BSI prüfen. sichere und verschlüsselte Übertragungswege einrichten Logging erforderlich? 22

Cloud: Datenschutz?! 3. Zweckbindung der Verarbeitung der personenbezogen Daten prüfen. wird der ursprüngliche Zweck der Datenverarbeitung eingehalten? 4. Bericht / Empfehlung schreiben und begründen! HAFTUNG. 23

Handlungsempfehlungen Sicherheit auf 3 Ebenen: 1. Sicherung der Infrastruktur Sorgt dafür, dass die Sicherheits-Infrastruktur das gesamte extended enterprise abdeckt, effektiv überwacht und verwaltet. 2. Sicherung der Informationen Sorgt dafür, dass die Sicherheitskontrollen auch die eigentlichen Geschäftsinformationen einschließen. 3. Berücksichtigung von rechtlichen Anforderungen Sorgt dafür, dass Unternehmen die Risiken einschätzen und die Anforderungen interner und externer Richtlinien erfüllen können.

Lesenswerte Links: BSI https://www.bsi.bund.de/de/themen/cloudcomputing/eckpunktepapier/eck punktepapier_node.html Bitkom http://www.bitkom.org/files/documents/bitkom_leitfaden_cloud_computin g-was_entscheider_wissen_muessen.pdf WP 196 EU http://ec.europa.eu/justice/data-protection/article-29/documentation/opinionrecommendation/files/2012/wp196_en.pdf Bitte Visitenkarte für Links abgeben. 25

Weitere Informationen: Datenschutz@schadowski.com persönliches Gespräch ADDAG GmbH&Co.KG Krefelder Strasse 121 D52070 Aachen Telefon +49-241-44688-11 Fax +49-241-44688-10 www.schadowski.com

Cloud: Rechtlicher Rahmen für den Datenschützer Artikel 29 Arbeitsgruppe (WP29) empfiehlt: Data Protection Directive 95/46/EC Artikel 4: Standorte in der EWR Beachtung von controller processor Abläufen e-privacy Directive 2002/58/EC Compliance Anforderungen der Organisation nach TKG, AO, HGB, StGB und weiteren beachten. 27

Cloud: sonstige rechtliche Rahmen 43 GmbHG und 93 AktG 257 HGB 147 AO und GdPdU SGB 203 StGB 28

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback