Auslagerung von Daten und Cloud- Lösungen in Beschaffung und Vertrag - Hamburger Vergabetag 2015 - Alexander Bock Olaf Volz Hamburg 23.01.2015 Telefon +49 (0)30 440 483 24 Telefax +49 (0)30 440 483 25 IMTB BMC GmbH Schumannstraße 14 b 10117 Berlin E-Mail info@imtb.de Internet www.imtb.de IMTB Rechtsanwaltsgesellschaft für IT-, Kommunikations- und Vergaberecht mbh Gleimstraße 50 10437 Berlin Telefon +49 (0)30 486 259 95 Telefax +49 (0)30 486 259 95 E-Mail info@imtb-ikv.de Internet www.imtb-ikv.de
Kurze Vorstellung Group in Kooperation mit Rechtsanwaltsgesellschaft IKV MTC BMC - Unternehmensstruktur 2
Agenda Kurze Einführung Überblick technische Rahmenbedingungen Überblick rechtliche Rahmenbedingungen Herausforderungen Workshop-Szenario
Agenda Kurze Einführung Überblick technische Rahmenbedingungen Überblick rechtliche Rahmenbedingungen Herausforderungen Workshop-Szenario
Was ist Cloud Computing? Definition Cloud Automatische Diensterbringung auf Anforderung Nutzer sind in der Lage, selbständig Dienste und Ressourcen anzufordern, ohne dass eine Interaktion mit menschlichen Operatoren auf Seiten des Anbieters notwendig wird. Netzwerkbasierter Zugang Netzzugang über das Internet oder aber auch ein dediziertes Netzwerk, sodass Dienste aus der Cloud auf verschiedenen Endgeräten verwendet werden können.. Mandantenfähigkeit Die Ressourcen des Anbieters sind in Pools konsolidiert, die eine parallele Diensterbringung für mehrere Mandanten (Kunden) erlauben. Elastizität Ressourcen und Dienste werden elastisch zur Verfügung gestellt, d.h. entsprechend seines augenblicklichen Bedarfs erhält der Benutzer Ressourcen in adäquaten Quantitäten. Messbare Dienstqualität Cloud-Systeme verfügen über eingebaute Monitoring- und Messfunktionen, die sowohl eine optimierte Ressourcen-Nutzung als auch eine Validation der erreichten Dienstqualität seitens des Nutzers erlauben Quelle: Cloud-Fahrplan für die öffentliche Verwaltung, Kompetenzzentrum öffentliche IT, Fraunhofer FOKUS in Kooperation mit dem Lorenz-von Stein-Institut, April 2014 5
Was ist Cloud Computing? Begriffe aus der Cloud Cloud-Anwender Cloud-Anwender ist jede natürliche oder juristische Person, die von Betroffenen personenbezogene Daten erhebt, verarbeitet oder nutzt und hierfür von anderen Stellen IT-Dienstleistungen für Cloud-Services in Anspruch nimmt. Cloud-Anbieter Cloud-Anbieter ist jede natürliche oder juristische Person, die einem Cloud-Anwender IT-Dienstleistungen für Cloud-Services bereitstellt. Fehlen dem Cloud-Anbieter hierfür die Ressourcen, so kann dieser zur Erfüllung seiner Verpflichtungen gegenüber dem Cloud-Anwender u. U. weitere Unter-Anbieter einbeziehen. Quelle: Orientierungshilfe Cloud Computing (Version 2.0/09.10.2014) 6
Was ist Cloud Computing? Abgrenzung zur Cloud Inhouse-Betrieb (On Premise) Inhouse-Betrieb wird von externem Dienstleister unterstützt Inhouse Technik wird von externem Dienstleister betrieben Miete von fremden Rechnern zum eigenverantwortlichen Betrieb Grid-Computing Verteilung von rechenintensiven Prozessen auf mehrere Computersysteme Betreiber meist Institutionen Werden in einem bestimmten Zeitraum für eine bestimmte Aufgabe zugewiesen Grenzfälle Betrieb mehrerer eigener, dezidierter, physikalischer Rechner in einem fremden Rechenzentrum ( Hosting ) Betrieb mehrerer, eigener, dedizierter, physikalischer Rechner in einem eigenen, entfernten Rechenzentrum ( Private Cloud ) 7
Betreibermodelle PRIVATE CLOUD COM- MUNITY CLOUD Zusammenschluss von Cloud- Anbietern PUBLIC CLOUD am freien Markt innerhalb einer Institution, individuell, exklusiv Übersicht zu Cloud Computing- Modellen MANAGED PUBLIC CLOUD PRIVATE GOVERN- MENT CLOUD Betreiber = öffentliche Hand HYBRID CLOUD Gemischte Public und Private Cloud Standortbezug Standorte des Cloud Computing Deutschland Standorte des Cloud Computing innerhalb EU/EWR Standorte des Cloud Computing weltweit; Staat mit angemessenem Datenschutzniveau Standorte des Cloud Computing weltweit; Staat ohne angemessenes Datenschutzniveau Ausgehandelter Vertrag 8
Dienstmodelle IaaS PaaS SaaS Infrastructure as a Service Liefert Rechenkapazität, Speicher und Netzverbindungen (Rechenzentrum) Platform as a Service Liefert Datenbanken und Webdienste auf denen eigene Anwendungen entwickelt werden können Software as a Service Liefert fertige Anwendungen wie z.b. E-Mail, CRM oder Office 9
Dienstmodelle Eigenbetrieb IaaS PaaS SaaS Eigenverwaltung Applikationen Daten Mittelschicht Betriebssystem Virtualisierung Server Speicher Netzwerk Eigenverwaltung Applikationen Daten Mittelschicht Betriebssystem Fremdverwaltung Virtualisierung Server Speicher Netzwerk Eigenverwaltung Applikationen Daten Fremdverwaltung Mittelschicht Betriebssystem Virtualisierung Server Speicher Netzwerk Fremdverwaltung Applikationen Daten Mittelschicht Betriebssystem Virtualisierung Server Speicher Netzwerk Grad der Flexibilität des Anwenders Betreibermodell 10
Angebote für die öffentliche Hand Spezifische Fachverfahren für die öffentliche Hand werden regelmäßig (noch) nicht als Cloud- Computing angeboten Nutzungsbeispiele aus der öffentlichen Verwaltung: Im Schulumfeld über kommunale IT-Dienstleister der öffentlichen Verwaltung Projekt goberlin (www.goberlin-projekt.de) Eine Reihe von Standardverfahren werden als Cloud-Computing auf dem Markt angeboten (Office- Anwendungen, Dokumentenmanagement etc.) IaaS Infrastructure as a Service Nutzungsszenarien für öffentliche Hand denkbar (z.b. Rahmenvereinbarung eines Rechenzentrums zum Ausgleich von Lastspitzen) PaaS Platform as a Service Nutzungsszenarien für öffentliche Hand denkbar (z.b. für Tests etc.) SaaS Software as a Service Nutzungsszenarien für öffentliche Hand denkbar (z.b. Office-SW) 11
Art und Umfang der derzeitigen Cloud-Nutzung Nutzung Cloud-Computing in Unternehmen Auszug: Pressekonferenz Cloud Monitor 2014, 30. Januar 2014; BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. http://www.bitkom.org/files/documents/cloud_monitor_2014_kpmg_bitkom_research.pdf 12
Agenda Kurze Einführung Überblick technische Rahmenbedingungen Überblick rechtliche Rahmenbedingungen Herausforderungen Workshop-Szenario
Technische Rahmenbedingungen Grundlegende Technologien des Cloud Computing: Virtualisierung von IT-Ressourcen Speichervirtualisierung bestehen aus mehreren miteinander verbundenen, zentral verwalteten Speichersystemen (SAN) Thin Provisioning (Virtualisierung der Größe der zugewiesenen Volumen) Servervirtualisierung Serversysteme werden von der Hardware(-schicht) entkoppelt und können unabhängig von dieser betrieben werden greifen auf denselben Storage zu ( shared storage ) Destopvirtualisierung Nutzer verbindet sich über RDP auf seinen eigenen Desktop auf seinem eigenen Betriebssystem (Unterschied zu Terminalserver) Applikationsvirtualisierung Gekapselte Anwendung (Sandboxes) Ermöglicht die Installation von inkompatiblen Applikationen auf einem Betriebssystem Internet als schnelles Übertragungsmedium 14
Datensicherheit in der Cloud (I) Die Schutzziele Vertraulichkeit, Integrität und Verfügbarkeit von Daten müssen in der Cloud gewährleistet werden! Szenario 1: Bedrohungen für die Cloud-Infrastruktur und den Cloud-Dienst durch Datenverlust bzw. Informationsabfluss Beeinflussung der verschiedenen Nutzer in der gemeinsamen (shared) Cloud- Infrastruktur bis hin zu Angriffen aus der Cloud Ausfall der Internet- oder Netzverbindung, sodass ein externer Zugriff auf die Daten verhindert wird (z.b. durch Denial-of-Service Angriffen ) Fehler in der Cloud-Administration Szenario 2: Bedrohungen bei der Nutzung von Cloud-Diensten Identitätsdiebstahl bzw. Missbrauch von Accounts Verlust der Kontrolle über die Daten und Anwendungen Verletzung geltender Vorgaben und Richtlinien (z.b. Datenschutzanforderungen) Sicherheit der Endgeräte, mit denen die Cloud-Dienste verwendet werden Daten können über das Netz abgefangen und (bei schlechter oder nicht vorhandener Verschlüsselung ) ausgespäht werden 15
Datensicherheit in der Cloud (II) Szenario 3: Bedrohung bei Einführung und Nutzung der Cloud Es gibt keine Cloud-Strategie und deshalb sind die Ziele, die mittels Cloud Computing erreicht werden sollen, weder klar noch überprüfbar Bei der Planung des Einstiegs in die Cloud wird die Exit-Strategie nicht berücksichtigt (ggf. große Abhängigkeit vom Cloud-Anbieter) Der Cloud-Anbieter bezieht selbst Dienste von Unterauftragnehmern Es fehlt an einem Notfallplan (Datensicherung und Datenwiederherstellung; keine Desaster Recovery Tests) Grundsätzlich gilt: Ob und unter welchen Bedingungen Anwendungen der öffentlichen Verwaltung in die Cloud verlagert werden können, hängt grundsätzlich nicht von deren Schutzbedürftigkeit ab! 16
Auswahl des Cloud-Anbieters Zur Überprüfung der Eignung eines Anbieters sollten folgende Kriterien Berücksichtigt werden (vgl. BSI, IT-Grundschutz M 2.540): Reputation (überprüfbare Referenzen) Rankings oder Bewertungsmatrizen von möglichst (unabhängigen) Organisationen (Zertifikate) Ist Cloud Computing das Kerngeschäft des Anbieters? (Zuverlässigkeit der Leistungserbringung: Mögliches Risiko, dass der Cloud- Dienst rasch eingestellt oder von einem anderen Anbieter übernommen wird?) Welche Zugriffe durch den Dienstanbieter oder Dritte werden erlaubt oder sind möglich? An welchen Standorten werden die Informationen verarbeitet und gespeichert? (Welches geltende Recht liegt einem Vertrag zugrunde, welchen rechtlichen Rahmenbedingungen unterliegt der Anbieter?) Angabe der Subunternehmen zur Service-Erbringung um Abhängigkeiten des Cloud-Anbieters beurteilen zu können. 17
Zertifizierungssysteme (I) ISO/IEC Basisnormen für Informationssicherheits-Management ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits- Managementsysteme - Anforderungen ISO/IEC 27002: Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das Informationssicherheits-Management ISO/IEC Normen für Informationssicherheits-Management im Bereich Cloud-computing ISO/IEC 27018 Informationstechnik - Sicherheitsverfahren - Anwendungsregel für den Schutz von Personenbezogenen Daten (PII) in Public Clouds, die als PII Processor auftreten ISO/IEC 27017 Informationssicherheits-Management für Cloud-Computing (Information technology Security techniques Code of practice for information security controls based on ISO/IEC 27002 for cloud services); derzeit in noch Entwicklung Cloud Security Alliance (CSA) Open Certification Framework (OCF) CSA Security Guidance und Cloud Control Matrix CSA Star = System mit drei Vertrauensstufen: Selbstauskunft (1) Assessment durch Dritte (2) künftig: Kontinuierliche Kontrolle (3) 18
Zertifizierungssysteme (II) FedRAMP Federal Risk and Authorization Management Programm (USA) auf der Basis des US-Standards NIST SP 800.53 EU-Kommission Positionspapier der EU-Kommission aus dem Jahr 2012 ( Unleashing the Potential of Cloud Computing in Europe ) ENISA Liste von Zertifizierungssystemen EuroCloud Deutschland e.v. Auditierung zum Gütesiegel Ein- bis Fünf-Sterne-Zertifizierung 19
Agenda Kurze Einführung Überblick technische Rahmenbedingungen Überblick rechtliche Rahmenbedingungen Herausforderungen Workshop-Szenario
Rechtlichen Grundlagen - Datenschutz Zu beachten ist deutsches Datenschutzrecht sowie ggf. europäisches Recht sowie internationales Recht zum Datenschutz Zentrale europäische Rechtsnorm Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr Richtlinie 2002/58/EG - Datenschutzrichtlinie für elektronische Kommunikation (Fassung 2009) Zentrale deutsche Rechtsnormen Recht auf informationelle Selbstbestimmung, Art 2 Abs. 1 GG i.v.m Art 1 GG sowie Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme Bundesdatenschutzgesetz Spezialgesetzlicher Datenschutz (z.b. Telemediengesetz, Sozialgesetzbuch) Landesdatenschutzgesetze 21
Überblick zu rechtlichen Grundlagen - Vertraulichkeit Art 10 GG: Briefgeheimnis sowie das Post- und Fernmeldegeheimnis Postgesetz: Abschnitt 9, Postgeheimnis, Datenschutz; 39 ff. Telekommunikationsgesetz: 88 Fernmeldegeheimnis Berufsrechtliche Vorschriften z.b. für Rechtsanwälte, Steuerberater, etc. StGB Fünfzehnter Abschnitt, Verletzung des persönlichen Lebens- und Geheimbereichs z.b. 203 StGB: Verletzung von Privatgeheimnissen 206 StGB: Verletzung des Post- oder Fernmeldegeheimnisses Gesetz über die Voraussetzungen und das Verfahren von Sicherheitsüberprüfungen des Bundes (Sicherheitsüberprüfungsgesetz - SÜG) Geheimschutzordnung des Deutschen Bundestages (Anlage 3 der Geschäftsordnung des Deutschen Bundestages, BGBl. I 1980, 123) Allgemeinen Verwaltungsvorschrift des Bundesministerium des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung VSA) 22
Überblick zu Regelungen zur IT-Sicherheit Das BSI kann nach 8 Abs. 1 Satz 1 BSIG Mindeststandards für Bundesverwaltung festsetzen wie etwa Mindeststandards des BSI: Mindeststandard des BSI nach 8 Abs. 1 Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden ( 9 Abs. 2 Satz 1); es gilt die BSI-Zertifizierungs- und -Anerkennungsverordnung - BSIZertV 10 EGovG - Umsetzung von Standardisierungsbeschlüssen des IT-Planungsrates z.b. Leitlinie für Informationssicherheit in der öffentlichen Verwaltung (gemäß Beschluss IT-Planungsrat Nr. 2013/3) mit Mindestanforderungen an das Informationssicherheitsmanagement Künftig: IT-Sicherheitsgesetz (Aktuell: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) ) 23
Wann liegt Auftragsdatenverarbeitung vor? 11 Abs. 1 BDSG Werden personenbezogene Daten im Auftrag durch andere Stellen erhoben, verarbeitet oder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriften dieses Gesetzes und anderer Vorschriften über den Datenschutz verantwortlich. Die in den 6, 7 und 8 genannten Rechte sind ihm gegenüber geltend zu machen. 24
Besonderheiten Cloud-Computing Bei Verarbeitung personenbezogener Daten mittels Auftragsdatenverarbeitung bestehen folgende besondere Hürden nach 11 Abs. 2 BDSG Qualifizierter Vertrag Anfängliche Kontrollpflicht des Auftraggebers vor Aufnahme der Auftragsdatenverarbeitung (d.h. bei der öffentlichen Hand im Rahmen des Vergabeverfahrens) Laufende Kontrollpflicht des Auftraggebers während der Auftragsdatenverarbeitung Auswirkungen nicht nationaler Cloud-Standorte (global) Handhabung der Einbindung von Nachunternehmern Wichtiger Aspekt Die Definition personenbezogener Daten ist sehr weit und umfassend Der Kreis von Anwendungsfällen für Cloud-Services, die personenbezogene Daten nicht tangieren, ist relativ klein 25
Überblick zu vergaberechtlichen Besonderheiten Ausgangspunkt Die Beschaffung von Cloud-Computing-Leistungen unterliegt dem Vergaberecht, so dass ein Vergabeverfahren durchgeführt werden muss Regelmäßig wird ein europaweites Vergabeverfahren notwendig sein Standard-Cloud-Leistungen hier nicht Gegenstand der Betrachtung Besonderheiten für Beschaffung von Cloud-Computing-Leistungen Beschaffung von Cloud-Computing-Leistungen als Managed Cloud- Computing ist ein komplexer Vergabegegenstand Verhandlungsverfahren i.d.r. einschlägig ( 3 EG Abs. 4 lit. b VOL/A) Eine Festlegung auch eine Cloud-Computing-Leistungen sollte vergaberechtlich begründet werden (z.b. gegenüber herkömmlichen Lösungen mit SW am Arbeitsplatz = on premise ) Auftragsdatenverarbeitung im Umfeld des Cloud-Computing beeinflusst Vergabe insbesondere bei der Auswahl geeigneter Bieter Umgang mit Lizenzierung von Software unter Berücksichtigung von Cloud-Computing 26
Agenda Kurze Einführung Überblick technische Rahmenbedingungen Überblick rechtliche Rahmenbedingungen Herausforderungen Workshop-Szenario
Besondere Herausforderungen beim Cloud-Computing Bei Beschaffung steht komplexer Vergabegegenstand im Mittelpunkt Alle notwendigen vertraglichen Regelungen für ein Cloud-Computing sind im Voraus vom Auftraggeber zu entwickeln Anforderungen an Auftragsdatenverarbeitung sind abzubilden Alle notwendigen technischen Anforderungen an das Cloud-Computing sollten im Voraus vom Auftraggeber vorgedacht werden Marktkenntnis zu Ausprägung der am Markt angebotenen Cloud-Computing-Modelle ist notwendig Überlegungen zum Standort der Leistungserbringer sind anzustellen und etwaige Vorgaben müssen vergaberechtlichen Grundsätzen genügen Einbeziehung von Nachunternehmern ist bei Vergabe sowie im Vertrag zu berücksichtigen Vorhandene Prüf- und Zertifizierungssysteme sollten bekannt sein und ggf. berücksichtigt werden Vertragliche Regelungen müssen standortabhängig - Auslandssachverhalte regeln 28
Zur Lage der IT-Sicherheit 2014 Neben gängigen Virenschutzprogrammen kommen weitere Schutzmaßnahmen an unterschiedlichen Schnitt-stellen zum Einsatz, mit denen in Echtzeit schädliche E-Mails abgewehrt werden können. Seit Mai 2014 wurden mit der damit verbundenen Vorgehensweise monatlich bis zu 60.000 verseuchte E-Mails in den Netzen der Bundesverwaltung zusätzlich abgefangen. Um hochwertige Angriffe abwehren zu können, setzt ein weiteres System auf die Erkennung von Angriffen, die gängige Schutzmechanismen bereits überwunden haben. 2014 wurden bisher täglich etwa 15 bis 20 Angriffe auf das Regierungsnetz entdeckt, die durch normale Schutzmaßnahmen nicht erkannt worden wären. Bei durchschnittlich einem Angriff pro Tag handelt es sich um einen gezielten Angriff mit nachrichtendienstlichem Hintergrund. Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) - Die Lage der IT-Sicherheit in Deutschland 2014, https://www.bsi.bund.de/shareddocs/downloads/de/bsi/publikationen/lageberichte/lagebericht2014.pdf? blob=publicationfile 29
Cloud-Computing-Modelle und Standorte Standorte national EU/EWR global Community Cloud Public Cloud Hybrid Cloud Managed Public Cloud Private Gov. Cloud Private Cloud Cloud- Modell 30
Cloud-Computing-Modelle, Standorte und Firmen Standorte national EU/EWR global Community Cloud Public Cloud Hybrid Cloud Managed Public Cloud Private Gov. Cloud Private Cloud Cloud- Modell 31
Wer sich alles so tummelt in der Cloud 32
Agenda Kurze Einführung Überblick technische Rahmenbedingungen Überblick rechtliche Rahmenbedingungen Herausforderungen Workshop-Szenario
Szenario Teil 1 34
Szenario Teil 1 Eine Bundesbehörde prüft Auslagerung von Daten an einen externen privaten Dienstleister in Deutschland (Varianten: EU/global). Gegenstand sind öffentliche (nicht personenbezogene) Daten (Webauftritt), aber auch personenbezogene Daten (Veranstaltungsmanagement). Es soll im Rahmen einer Beschaffungsmaßnahme die Nutzung von Cloud- Computing-Angeboten als SaaS ermöglicht werden; dabei sollen auch Public- Cloud-Computing-Angebote, die in Deutschland betrieben werden, berücksichtigt werden; der Anbieter soll die Software-Lizenzen bereitstellen. Der Fachbereich und das Justiziariat sind sich uneinig. Das Justiziariat ist der Auffassung, die Auslagerung personenbezogener Daten in einen Public- Cloud-Computing-Service wäre überhaupt nicht zulässig. 11 Abs. 2 Bundesdatenschutzgesetz stünde dem entgegen. Der Fachbereich meint: Es gibt eine Reihe von Bietern der Privatwirtschaft, die ihre Public-Cloud-Computing-Infrastruktur an z.b. zwei bis ca. fünf Standorten in Deutschland vorhalten. Die Vorgaben des 11 Abs. 2 Bundesdatenschutzgesetz würden von diesen Anbietern erfüllt und Maßnahmen der Bieter könnten auch im Detail ausgehandelt werden. 35
Aufgabenstellung für Workshop-Arbeit Sie erhalten einen Auszug aus dem Bundesdatenschutzgesetz (BDSG) zu 3, 4b, 4c, 9, 11, Anlage (zu 9 Satz 1). Bitte sehen Sie sich 3 Abs. 4, Nr. 3; 3 Abs. 8, Satz 3; 4b Abs. 1 und 2; 4c; 9; 11 Abs. 1, 2 sowie die Anlage (zu 9 Satz 1) BDSG an Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung: Steht das BDSG einer Auslagerung von Daten in eine Public Cloud ggf. abhängig von Standorten der Rechner dieser Cloud entgegen? Entwickeln Sie unter Berücksichtigung des 11 Abs. 2 BDSG eine Checkliste für Regelungspunkte eines Vertrags zur Aufgabenauslagerung in eine Public-Cloud-Computing-Lösung; berücksichtigen Sie insbesondere auch weitere vertragliche Regelungspunkte. Welche besondere vertraglichen Hürden für ein Public-Cloud Computing erkennen Sie in den Regelungen des 11 Abs. 2 BDSG? Erkennen Sie besondere vergaberechtliche Hürden für ein Public-Cloud Computing in den Regelungen des 11 Abs. 2 BDSG? 36
Szenario Teil 1 Lösungsansätze 37
Lösungsansätze für Aufgabenstellung Teil 1 (I) BDSG ist (wohl) nur für Veranstaltungsmanagement relevant Steht das BDSG einer Auslagerung von Daten in eine Public Cloud ggf. abhängig von Standorten der Rechner dieser Cloud entgegen? Standorte in Deutschland im Ergebnis: Nein Standorte in EU/EWR im Ergebnis: Nein (gleiche Voraussetzungen) Bei Standorten außerhalb EU/EWR ist zu differenzieren Globale Standorte, bei denen ein angemessenes Datenschutzniveau gewährleistet ist ( 4 b, Abs. 2, Satz 1 BDSG) Grundsätzlich zulässig, außer schutzwürdiges Interesse steht dagegen Globale Standorte, bei denen ein angemessenes Datenschutzniveau nicht gewährleistet ist ( 4 b, Abs. 2, Satz 2 BDSG) Vorliegen von Ausnahmen nach 4 c, Abs. 1, Satz 1 Nr. 1 bis 6 BDSG Bei ausreichenden Garantien hinsichtlich des Schutzes des Persönlichkeitsrechts und Rechtsausübung; z.b. aus Vertragsklauseln oder verbindlichen Unternehmensregelungen (= EU-Standardvertragsklauseln); ansonsten nur über Genehmigung Zudem: Internationale Vereinbarungen wie Safe Harbour Principles 38
Lösungsansätze für Aufgabenstellung Teil 1 (II) Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung Entwickeln Sie unter Berücksichtigung des 11 Abs. 2 BDSG eine Checkliste für Regelungspunkte eines Vertrags zur Aufgabenauslagerung in eine Cloud-Computing-Lösung; berücksichtigen Sie insbesondere auch weitere Regelungspunkte siehe nachfolgende Folien Welche besondere vertraglichen Hürden für ein Cloud Computing erkennen Sie in den Regelungen des 11 Abs. 2 BDSG? siehe nachfolgende Folien 39
Regelungsinhalte nach 11 Abs. 2 BDSG Gegenstand und die Dauer des Auftrags Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen Nach 9 zu treffenden technischen und organisatorischen Maßnahmen Berichtigung, Löschung und Sperrung von Daten Pflichten des AN, insbesondere vorzunehmende Kontrollen 5, 9, 43 Abs. 1 Nr. 2, 10 u. 11, Abs. 2 Nr. 1 bis 3 u. Abs. 3 sowie 44 / 4f, 4g u. 38 BDSG Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen Kontrollrechte des AG und die entsprechenden Duldungs- und Mitwirkungspflichten des AN Mitzuteilende Verstöße des AG oder der bei ihm beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen Umfang der Weisungsbefugnisse, die sich der AG gegenüber dem AN vorbehält Rückgabe überlassener Datenträger und die Löschung beim AN gespeicherter Daten nach Beendigung des Auftrags 40
Unter Bedingungen der Cloud zu gewährleisten Verfügbar keitskontrolle Datentrennung Eingabekontrolle Auftragskontrolle Weitergabekontrolle 8 Gebote der Datensicherheit Zutrittskontrolle Zugangskontrolle Zugriffskontrolle 41
Anlage zu 9 Satz 1 BDSG 42
Checkliste Vertrag Auftragsdatenverarbeitung (I) Vertragsgegenstand Vertragsdauer Sitz und Gesellschafterstruktur des Anbieters Standorte der Rechenzentren; Ausschluss von Standorten Umfang und Art der Leistung Qualität der Leistungen (SLA) Pönalen Nutzungsrechte für Software Verantwortlichkeit für Lizenzmanagement Verantwortlichkeit des AG für Daten Verpflichtung Mitarbeiter auf Datengeheimnis Auftragsdatenverarbeitungsvereinbarung (zu pers.bez. Daten) Gegenstand und Dauer des Auftrags Umfang, die Art und der Zweck ADV, Datenart, Betroffene Technische und organisatorische Maßnahmen Berichtigung, Löschung und Sperrung von Daten Datenschutzrechtliche Pflichten des AN sowie Kontrollen Regelung zu Unterauftragsverhältnissen Kontrollrechte des AG Duldungs- und Mitwirkungspflichten des AN Mitzuteilungsplichten des AN bei Verstößen gegen Regelungen zum Personendatenschutz bzw. des Vertrags Weisungsbefugnisse des AG Rückgabe Datenträger und Datenlöschung beim AN bei Vertragsende 43
Checkliste Vertrag Auftragsdatenverarbeitung (II) IT-Sicherheitskonzept Datensicherungskonzept Fragen der Interoperabilität Übertragbarkeit der Plattform, Anbieterwechsel Notfallmanagement Änderungsmanagement (Pflichten des AN zur Mitteilung bei Änderung der Standard-SW etc.) Zugriff auf Protokolldaten Kommunikationsregeln bei Datenschutzvorfällen Umgang mit Auskunftsrechten Betroffener Nachweis und Aufrechterhaltung von Zertifizierungen Software- und Daten-Hinterlegung Kündigungsregelungen Verlängerungsoption Versicherungsschutz Beendigungsmanagement, insb. Datenlöschung beim AN, Übergabe Daten an AG Ausschluss Zurückbehaltungsrecht an Leistungen und Daten des AG Haftung des AN, insb. für Schäden aufgrund Verletzung der Informationssicherheit Vertragsstrafen Geheimhaltung und Vertraulichkeit Salvatorische Klausel 44
Lösungsansätze für Aufgabenstellung Teil 1 (III) Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung Erkennen Sie besondere vergaberechtliche Hürden für ein Cloud Computing in den Regelungen des 11 Abs. 2 BDSG? 11 Abs. 2, Satz 4 BDSG Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. Kontrolle muss nicht Vor-Ort erfolgen Kontrolle muss nach BDSG nicht vor Vertragsschluss, jedoch vor Aufnahme der Datenverarbeitung im Auftrag erfolgen Potenzielle Unterauftragnehmer sind zu berücksichtigen 45
Szenario Teil 2 46
Szenario Teil 2 Man hat sich darauf geeinigt, dass das geplante Vorgehen grundsätzlich zulässig ist, und auch ein Public-Cloud-Computing-Angebot berücksichtigt werden kann. Der Datenschutzbeauftragte wünscht nun, dass aus Gründen der IT-Sicherheit und mit dem Ziel einer besser möglichen vertraglichen Absicherung nur Anbieter zugelassen werden, die ihr Public-Cloud- Computing-Angebot ausschließlich von Standorten in Deutschland betreiben. Die Vergabestelle meldet Bedenken an. Aufgrund der Durchführung des europaweiten Vergabeverfahrens müssten auch Anbieter von Public-Cloud- Computing-Lösungen zugelassen werden, die Ihre Standorte ausschließlich in Deutschland oder den Mitgliedsstaaten der EU haben. Die Vergabestelle sieht im Übrigen das Erfordernis besonderer Kontrollen/ Eignungsprüfungen des Bieters im Vorfeld, weiß aber nicht genau, wie diese bewerkstelligt werden sollen. 47
Aufgabenstellung für Workshop-Arbeit Sie erhalten eine Exemplar der VOL/A EG. Bitte betrachten Sie 2 EG Abs. 1 VOL/A und 8 EG Abs. 3 VOL/A. Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung: Ist die vom Fachbereich gewünschte Festlegung auf Anbieter mit Public- Cloud-Computing-Angebot ausschließlich an deutschen Standorten vor dem Hintergrund des deutschen/europäische Vergaberechts oder des BDSG zulässig? Wie ist mit dem Erfordernis besonderer Eignungsprüfungen im Vorfeld der Beauftragung eines Public-Cloud-Computing-Angebots umzugehen? Entwickeln Sie Vorgehensüberlegungen für Eignungsprüfungen im Zuge des Teilnahmewettbewerbs. Skizzieren Sie grob wesentliche Vorgehensschritte für ein Einführungsprojekt für Cloud-Computing (von Planung bis zur Betriebsphase). 48
Szenario Teil 2 Lösungsansätze 49
Lösungsansätze für Aufgabenstellung Teil 2 (I) Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung Ist die vom Fachbereich gewünschte Festlegung auf Anbieter mit Public- Cloud-Computing-Angebot ausschließlich an deutschen Standorten vor dem Hintergrund des deutschen/europäische Vergaberechts oder des BDSG zulässig? Aus BDSG und deutschem Datenschutzrecht lässt sich kein Hindernis ableiten (außer etwaige Zugriffsmöglichkeiten von Behörden aus Drittländern), auch Cloud-Anbieter aus einem EU-Mitgliedsstaat zuzulassen. Vergaberecht fordert Gleichbehandlung und Diskriminierungsfreiheit ( 2 EG Abs. 1, Satz 2 VOL/A). 50
Lösungsansätze für Aufgabenstellung Teil 2 (II) Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung Wie ist mit dem Erfordernis besonderer Eignungsprüfungen im Vorfeld Public-Cloud-Computing-Angebot im Vorfeld umzugehen? Entwickeln Sie Vorgehensüberlegungen für Eignungsprüfungen im Zuge des Teilnahmewettbewerbs. Kontrolle im Rahmen der Eignungsprüfung naheliegend, insbesondere Technische Ausrüstung/Qualität, 7 EG Abs. 3 b) VOL/A Technische Leitung, 7 EG Abs. 3 c) VOL/A Ggf. eigene Kontrolle oder durch Dritte 7 EG Abs. 3 f) VOL/A In diesem Rahmen Fragenkataloge zu 11 Abs. 2 / 9 BDSG Zertifizierungen ersetzen nicht die Kontrolle, aber Zertifizierungen können herangezogen werden (Gegenstand, Fremdauditierung) Überlegung: Eigene Kontrolle oder Kontrolle durch Dritte vorbehalten Skizzieren Sie grob wesentliche Vorgehensschritte für ein Einführungsprojekt für Cloud-Computing siehe nachfolgende Folie 51
Vorgehensweise Vergabeprojekt Grundsätzliche Überlegungen Bedarfsanalyse Risikoanalyse Wahl eines Vergabeverfahrens Auftragsvergabe Migration Quelle: Cloud-Fahrplan für die öffentliche Verwaltung, Kompetenzzentrum öffentliche IT, Fraunhofer FOKUS in Kooperation mit dem Lorenz-von Stein-Institut, April 2014 52
Wie geht es weiter 53
Eine kleine Auswahl von Hilfestellungen und Quellen Orientierungshilfe Cloud Computing der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises (https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf) Projekt Cloud for Europe www.cloudforeurope.eu (siehe auch European Cloud Partnership: https://ec.europa.eu/digital-agenda/en/european-cloudpartnership) CLOUD-FAHRPLAN FÜR DIE ÖFFENTLICHE VERWALTUNG; Kompetenzzentrum Öffentliche IT, Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS (www.oeffentlicheit.de/documents/18/21941/cloud-fahrplan+oeffentliche+verwaltung) Pressekonferenz Cloud Monitor 2014, 30. Januar 2014; BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.v. (http://www.bitkom.org/files/documents/ Cloud_Monitor_2014_KPMG_Bitkom_Research.pdf) 54