Rechtskonformität t in der Cloud Ein schwer zu erreichender Zustand IT-Si, 10.5.2012



Ähnliche Dokumente
Der Schutz von Patientendaten

Freie Universität Berlin

Datendienste und IT-Sicherheit am Cloud Computing und der Datenschutz (k)ein Widerspruch?

Was ist eigentlich (neu am) Cloud Computing? Vertragsbeziehungen Datenschutz Nutzungsrechte Folgen für die Vertragsgestaltung ÜBERBLICK

Datenschutz im Unternehmen. Was ist Datenschutz, und weshalb betrifft er unser Unternehmen?

1. bvh-datenschutztag 2013

Tabelle: Maßnahmen und Datenschutz-Kontrollziele zu Baustein 1.5 Datenschutz

ccc cloud computing conference 2011 Cloud Computing Neue Impulse für die Wirtschaft

Tag des Datenschutzes

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Geprüfter Datenschutz TÜV Zertifikat für Geprüften Datenschutz

Cloud Computing - und Datenschutz

1.1.4 Wissen, was unter Verbot mit Erlaubnisvorbehalt schützen Wissen, was man unter personenbezogenen

Nutzung dieser Internetseite

Facebook und Datenschutz Geht das überhaupt?

Datenschutzvereinbarung

Datenschutz und Schule

Datenschutz bei kleinräumigen Auswertungen Anforderungen und Grenzwerte 6. Dresdner Flächennutzungssymposium. Sven Hermerschmidt, BfDI

D i e n s t e D r i t t e r a u f We b s i t e s

Die unterschätzte Gefahr Cloud-Dienste im Unternehmen datenschutzrechtskonform einsetzen. Dr. Thomas Engels Rechtsanwalt, Fachanwalt für IT-Recht

Datenschutzrechtliche Vereinbarung nach 11 BDSG zur Verarbeitung personenbezogener Daten

Stammdaten Auftragserfassung Produktionsbearbeitung Bestellwesen Cloud Computing

Rechtliche Anforderungen an Cloud Computing in der Verwaltung

Die Gesellschaftsformen

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

AGROPLUS Buchhaltung. Daten-Server und Sicherheitskopie. Version vom b

Der Datenschutzbeauftragte

BUCHHALTUNG BUCHFÜHRUNG WO IST ER EIGENTLICH? - DER UNTERSCHIED?

Freifunk Halle. Förderverein Freifunk Halle e.v. IT Sicherheitskonzept. Registernummer bei der Bundesnetzagentur: 14/234

Informationen zum Datenschutz im Maler- und Lackiererhandwerk

Verlagerung der Buchführung ins Ausland Gesetzliche Rahmenbedingungen

Häufig wiederkehrende Fragen zur mündlichen Ergänzungsprüfung im Einzelnen:

Bestandskauf und Datenschutz?

Mit Sicherheit gut behandelt.

Datenschutz und E-Commerce - Gegensätze in der digitalen Wirtscheft?

Datenschutz im Unternehmen. Was muss der Unternehmer wissen?

Inhalt. Datenschutz ist Grundrechtsschutz 4. Wessen Daten werden geschützt? 5. Wer muss den Datenschutz beachten? 6

Anlage zur Auftragsdatenverarbeitung

Cloud Computing und Datenschutz

Herzlich willkommen zu unserer Informationsveranstaltung Die digitale Betriebsprüfung - das gläserne Unternehmen?

Persönliche Zukunftsplanung mit Menschen, denen nicht zugetraut wird, dass sie für sich selbst sprechen können Von Susanne Göbel und Josef Ströbl

Datenschutz. Vortrag am GmbH Datenschutz und IT - Sicherheit. Sutthauser Straße Osnabrück

Das Leitbild vom Verein WIR

Vertrauen bestärken: Wege zur Auditierung von Cloud-Diensten. RA Dr. Jan K. Köcher Datenschutzauditor (TÜV)

Datenschutzunterweisung kompakt

Einführung in die Datenerfassung und in den Datenschutz

Die neue Aufgabe von der Monitoring-Stelle. Das ist die Monitoring-Stelle:

Freiberufliche Bodenkunde

Professionelle Seminare im Bereich MS-Office

Speicher in der Cloud

Das Persönliche Budget in verständlicher Sprache

Gründe für ein Verfahrensverzeichnis

Datenschutz im E-Commerce

GPP Projekte gemeinsam zum Erfolg führen

Datenschutz (Info-Veranstaltung f. Administratoren) H. Löbner Der Datenschutzbeauftragte. Was heißt denn hier Datenschutz?

Dialogik Cloud. Die Arbeitsumgebung in der Cloud

Ihr Mandant möchte einen neuen Gesellschafter aufnehmen. In welcher Höhe wäre eine Vergütung inklusive Tantieme steuerrechtlich zulässig?

Dienstleistungen Externer Datenschutz. Beschreibung der Leistungen, die von strauss esolutions erbracht werden

Aktuelle rechtliche Herausforderungen beim Einsatz von Apps

Datenschutz und Geheimhaltungsvereinbarung (NDA) der FLUXS GmbH

Gut geregelt oder Baustelle Datenschutz bei der Hard- und Softwarewartung

Verband Bildung und Erziehung Landesbezirk Südbanden. Datenschutz, Sorgerecht und Schulanmeldung

Cloud Computing. Oliver Berthold und Katharina Wiatr, Berliner Beauftragter für Datenschutz und Informationsfreiheit. Dozenten

Nicht über uns ohne uns

Deutsches Forschungsnetz

4. Qualitätssicherungskonferenz des Gemeinsamen Bundesausschusses am 27. September 2012 in Berlin

Kontaktlos bezahlen mit Visa

Erläuterungen zum Abschluss der Datenschutzvereinbarung

Inhaltsübersicht Produktinformationsblatt zur Jahres-Reiserücktritts-Versicherung der Europäische Reiseversicherung AG

«Eine Person ist funktional gesund, wenn sie möglichst kompetent mit einem möglichst gesunden Körper an möglichst normalisierten Lebensbereichen

GOOGLE BUSINESS PHOTOS VEREINBARUNG ÜBER FOTOGRAFISCHE DIENSTLEISTUNGEN

Das digitale Klassenund Notizbuch

Datenschutz-Vereinbarung

Datenschutzconsulting.info. Verfahrensbeschreibung, Verfahrensverzeichnisse und das Jedermannsrecht

Datenschutzrechtliche Hinweise zum Einsatz von Web-Analysediensten wie z.b. Google Analytics 1. - Stand: 1. Juli

Datenschutz und Qualitätssicherung

Datenschutz im Jobcenter. Ihre Rechte als Antragsteller

1. Weniger Steuern zahlen

Albert HAYR Linux, IT and Open Source Expert and Solution Architect. Open Source professionell einsetzen

GDPdU Export. Modulbeschreibung. GDPdU Export. Software-Lösungen. Stand: Seite 1

Einkaufsführer Hausverwaltung Was Sie bei Suche und Auswahl Ihres passenden Verwalters beachten sollten

WAS DAS BUNDESDATENSCHUTZGESETZ VON UNTERNEHMEN VERLANGT

Kursbeschreibung Ausbildung zum internen betrieblichen Datenschutzbeauftragten

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Rillsoft Project - Installation der Software

Die beiden Seiten der Medaille beim -Marketing

Datenschutz-Unterweisung

Keine Grundlage für erweiterte Speicherung von Handy- und Internetdaten

Checkliste «Datenbekanntgabe»

Normatives Dokument ICELT D 1006:2015 ICELT-Datenschutzrichtlinie

Alle gehören dazu. Vorwort

Was taugt der Wertpapierprospekt für die Anlegerinformation?

Ablauf Vorstellungsgespräch

Personal-Vorsorgestiftung der Aluminium-Laufen AG Liesberg Liesberg. Bericht der Revisionsstelle an den Stiftungsrat zur Jahresrechnung 2014

Elternzeit Was ist das?

Newsletter Immobilienrecht Nr. 10 September 2012

Projektmanagement in Outlook integriert

Automatischer Abschluss von Abrechnungsnummern

Was meinen die Leute eigentlich mit: Grexit?

Transkript:

Rechtskonformität t in der Cloud Ein schwer zu erreichender Zustand KA-IT IT-Si, 10.5.2012 Michael.knopp@secorvo.de Secorvo Security Consulting GmbH Ettlinger Straße 12-14 D-76137 Karlsruhe Tel. +49 721 255171-0 Fax +49 721 255171-100 info@ka-it-si.de www.ka-it-si.de Seite 1

Inhaltsübersicht Wolken sind schwer zu greifen Rechtliche Anforderungen Datenschutz Sonstige Geheimhaltungspflichten Buchhaltung in der Cloud Gestaltungsmöglichkeiten (KA-IT-Si) Seite 2

Ein wolkiger Begriff (KA-IT-Si) Dem Vortragstitel lässt es sich bereits entnehmen, das Verhältnis von Recht und Cloud ist nicht ganz konfliktfrei. Man könnte sagen, es gewittert etwas. Dabei sind allerdings zuerst einige Differenzierungen und Präzisierungen nötig. Cloud-Dienste werden verbreitet unterschieden nach dem Anwenderkreis in public, private und hybride clouds. Auf der zweiten Ebene wird nach der Dienstart unterschieden: Infrastruktur, Plattform, Software, Security und Monitoring, um einige as a service Leistungen zu nennen. In rechtlicher Sicht helfen diese Differenzierungen nur begrenzt weiter. Hier ist eher die Frage entscheidend, ob der Cloud-Anbieter ein Dritter im Verhältnis zur verantwortlichen Stelle ist, also ein anderes Unternehmen, wie weit der Dienstleister Einblick oder Zugriff erhält und welche Inhalte in der Cloud verarbeitet werden sollen. Cloud-Dienste sind kein sehr trennscharfer Begriff. Gemeint ist wohl in der Regel eine Form des Outsourcings, bei der IT-Infrastrukturen dynamisch über Netzwerke zur Verfügung gestellt werden, ohne dass der Nutzer genau bestimmen kann, von wo aus die Dienste angeboten werden. Ab welcher Grenze bei einem über das Internet angebotenen Dienst auch von einem Cloud-Dienst gesprochen werden muss, bleibt letztlich offen. Geht man von den rechtlichen Problemstellungen aus, so steht die verteilte Resourcennutzung im Vordergrund. Diese löst einen Kontrollverlust des Nutzers aus, sei es durch die Unkenntnis, wer alles am Angebot beteiligt ist, durch die erschwerte Verortung der Inhalte und Verarbeitungsleistungen, durch die evtl. geringen eigenen Administrationsrechte oder vollständige Einblick- oder Zugriffsmöglichkeiten des Anbieters. Die Art der Diensterbringung ist regelmäßig sehr intransparent. An diesen Eigenschaften knüpfen regelmäßig die rechtlichen Probleme an. Seite 3

Datenschutzrecht Handels-/Steuerrecht + Branchenspezifika Urheberrecht Verträge Strafrecht (KA-IT-Si) Ursprung rechtlicher Anforderungen Was sind aber nun die rechtlichen Anforderungen, bezüglich derer Cloud-Dienste zu Schwierigkeiten führen? Funktional handelt es sich größtenteils um alte Bekannte der IT- Sicherheit: Vertraulichkeit, Verfügbarkeit, Integrität und eben Transparenz sowie Kontrolle des Nutzers. Der Ursprung dieser Anforderungen kann in ganz unterschiedlichen Rechtsquellen und gebieten liegen. An erster Stelle steht natürlich das Datenschutzrecht, aber die Anforderungen können sich genauso gut aus vertraglichen Verpflichtungen des Nutzers, aus dem Handels- und Steuerrecht, aus strafrechtlich geschützten Geheimhaltungspflichten oder aus branchenspezifischen Pflichten ergeben. Ob die jeweiligen Anforderungen aber maßgeblich sind, hängt in jedem Fall von spezifischen Eigenschaften der genutzten Cloud-Dienste, den Inhaltsdaten, dem Cloud Nutzer und dem Anbieter ab. Aus diesem Grund kann es auf die Frage, ob Cloud-Dienste an sich zulässig sind oder nicht, keine pauschale Antwort geben. Das Urheberrecht kann bezüglich der über die Cloud genutzten und geteilten Software zudem zu Lizenzproblemen führen. Dieses Thema soll hier jedoch außen vor bleiben. Seite 4

Datenschutz (KA-IT-Si) Datenschutz Datenschutzrecht kommt zur Anwendung, wenn im Rahmen des Cloud-Dienstes personenbezogene Daten verarbeitet werden. Das kann grob gesagt auf zwei Weisen der Fall sein: Es werden Nutzerdaten protokolliert und Berechtigungsprofile verwaltet oder personenbezogene Daten sind Gegenstand des Dienstes. Als nächstes sind die Beteiligten zu betrachten. Es ist ihre Verantwortlichkeit zu klären und zu bewerten, wie die Datenweitergabe datenschutzrechtlich einzuordnen ist. Im einfachsten Fall ist die verantwortliche Stelle gleichzeitig Anbieter und Herr über die Cloud. Wird der Cloud-Dienst jedoch von einem Dritten angeboten, ist nach der Rechtsgrundlage zu fragen, wenn dieser Dritte Einblick in die Daten erhält. Außerhalb des familiären Bereichs dürfen personenbezogene Daten nur verarbeitet werden, wenn hierfür eine rechtliche Erlaubnis besteht (sog. Verbot mit Erlaubnisvorbehalt). Diese kann in der Einwilligung des Betroffenen liegen, in der Durchführung eines Vertrages mit dem Betroffenen oder in einem berechtigten Interesse. In aller Regel wird bei der Datenverarbeitung durch einen Dienstleister jedoch keiner dieser Erlaubnistatbestände anwendbar sein. Eine andere und häufig die einzige Lösung liegt in der so genannten Auftragsdatenverarbeitung. Hier bleibt die verantwortliche Stelle allein Verantwortlich. Sie muss mit dem Cloud-Anbieter schriftlich einen Vertrag schließen, für den es genaue gesetzliche Vorgaben gibt und mit dem sie sich die Weisungshoheit vorbehält. Im Gegenzug wird der mögliche Einblick des Diensteanbieters in die Daten oder dessen aktive Verarbeitung nicht als Übermittlung an einen Dritten angesehen. Rechtlich wird der Cloud-Anbieter der verantwortlichen Stelle (dem Nutzer) zugerechnet. Seite 5

(KA-IT-Si) Auftragsdatenverarbeitung Bezüglich der Anforderungen an eine Auftragsdatenverarbeitung setzt nun für Cloud-Dienste stürmisches Wetter ein. Mit der Auftragsdatenverarbeitungen gehen nun eine Reihe kritische Anforderungen an die Cloud-Dienste einher: Der Cloud-Anbieter muss eng weisungsgebunden handeln. Er muss seine Unterauftragnehmer benennen und sich verbindlich in Form eines Sicherheitskonzepts zu technischen und organisatorischen Maßnahmen verpflichten. Der Auftraggeber muss diese im Vorfeld und im späteren Verlauf prüfen. Umso verteilter die Dienste betrieben werden, desto eher stehen die Parteien hier im Regen. Der zentrale Punkt ist jedoch vereinfacht, dass der Auftraggeber die Kontrolle nicht aus der Hand geben darf. Teil der zu regelnden Pflichten ist auch die Löschung der Daten bei Beendigung der Cloud- Nutzung. Es bestehen ernsthafte Bedenken, ob dies bei verteilten Infrastrukturen verlässlich zugesichert und umgesetzt werden kann. Hierzu können die Daten von zu vielen unterschiedlichen und daher nicht mehr kontrollierten Sicherungssystemen erfasst werden. Für die Nutzung von Clouds, deren physische Ressourcen oder Anbieter außerhalb der europäischen Union liegen, sind die Perspektiven noch trüber: Nach dem deutschen Gesetzeswortlaut steht die Auftragsdatenverarbeitung hier nicht zur Verfügung. Über das europäische Recht wird sie jedoch praktisch vorausgesetzt. Unabhängig hiervon ist zudem für jede Übermittlung als erster Schritt vertraglich ein dem europäischen vergleichbares Datenschutzniveau zu sichern, etwa über Standardvertragsklauseln. Deren Verpflichtungen müssen jedoch auch auf Subunternehmer erstreckt werden. Gerade für Tochtergesellschaften oder gegenüber Großanbietern fällt es jedoch regelmäßig schwer, die erforderlichen Anbieterprüfungen durchzuführen oder die Weisungsrechte und genauen Vertragsinhalte durchzusetzen. Gegenüber einfachem Outsourcing tritt hier hinzu, dass die intransparente Verteilung die gesetzlich geforderte Kontrollausübung erschwert oder gar unmöglich macht. Seite 6

(KA-IT-Si) Geheimhaltungsverpflichtung Die Offenbarung von Daten Dritter kann unabhängig vom Personenbezug außerdem auch strafrechtlich relevant sein, sobald es sich um ein Berufsgeheimnis handelt. Unter Offenbarung fällt auch die Möglichkeit von IT-Dienstleistern, die Daten einzusehen. Patientendaten oder anwaltliche Mandantenakten in der Cloud stellen also ein Problem dar, solange die genutzten Anwendungen durch den Dienstleister kontrolliert werden. Weitere Geheimhaltungspflichten können aus vertraglichen Verpflichtungen entstehen. Auch hier kann der Einblick eines Cloud-Dienstleisters kritisch sein, je nach Ausprägung der diesbezüglichen Geheimhaltungspflichten. Ein Verstoß kann hier jedenfalls schnell eintreten, wenn der Verpflichtete überhaupt nicht kontrollieren kann, wer alles im Rahmen des Cloud- Dienstes Einblick erlangt. Seite 7

(KA-IT-Si) Steuerrecht und branchenspezifische Vorgaben Die Verlagerung der Buchführung in die Cloud ist nach einigen Rechtsänderungen in Deutschland inzwischen grundsätzlich zulässig. Es sind allerdings einige Voraussetzungen zu beachten, v.a. dass in dem hierfür erforderlichen Antrag an die Finanzverwaltung der Standort des Datenverarbeitungssystems anzugeben ist. In einer verteilten Cloud-Struktur dürfte dies eine Herausforderung darstellen. Zu beachten bleiben zudem weiterhin die Vorgaben der GoBS (Grundsätze ordnungsgemäßer DV-gestützter Buchführungssysteme) und der GDPdU (Grundsätze zum Datenzugriff und zur Prüfbarkeit digitaler Unterlagen). Zu diesen Anforderungen zählt hier die kurzfristige Verfügbarkeit, die Systemdokumentation und die Kontrolle der Zugriffsberechtigungen. Erneut erweist sich hier die regelmäßig geringe Transparenz von Cloud-Diensten und die Schwierigkeit, diese zu kontrollieren, als Problem. Neben den dargestellten Problemen darf jedoch nicht vergessen werden, dass die Datenverarbeitung für manche Nutzer durch Cloud-Dienste hinsichtlich der Verlustsicherung und Datenpflege sicherer und professioneller werden kann. Cloud-Dienste besitzen nicht ausschließlich Rechtsanforderungen gegenläufige Eigenschaften. Seite 8

(KA-IT-Si) Gestaltungsmöglichkeiten Welche Möglichkeiten gibt es nun, Cloud-Dienste zu nutzen ohne Rechtsverletzungen zu begehen? Datenschutzrechtlich ist trotz der Schwierigkeiten die Auftragsdatenverarbeitung in der Mehrzahl der Fälle der richtige Weg. Wenn eine ausreichende Kontrolle und Transparenz nicht herzustellen sind, dann ist an dieser Stelle schlicht die Grenze des rechtlich zulässigen erreicht. In der Konsequenz heißt das, dass der Anbieter offen legen muss, wo die Daten gespeichert werden, wer Zugriff erlangen kann, welche Maßnahmen zum Schutz der Daten ergriffen worden sind. Die Weisungsrechte und die übrigen in 11 BDSG geforderten Regelungen sind in einem schriftlichen Vertrag zu vereinbaren. Ein wesentliches Problem ist die datenschutzrechtliche Prüfungspflicht des Auftraggebers. Dies ist schon beim einfachen Outsourcing gelegentlich ein schwieriges Thema. Verschwinden die Daten in der Cloud, gilt dies umso mehr. Die Lösung kann hier nur in Zertifikaten zum Nachweis erfolgter Prüfungen liegen. Hierzu müssen die Datenschutzzertifizierungen jedoch zuerst rechtlich belastbar gemacht werden. Ein Zertifikat, bei dem zunächst streng genommen die Anforderungen, die Durchführung und der Bericht durch den Auftraggeber genau geprüft werden müssen, hilft nicht viel. Hier sind Standards gefragt und eine Akkreditierung der Zertifizierer durch eine geeignete Instanz. Nachdem der Gesetzgeber diesbezüglich schon seit langen Jahren nicht handelt, ist hier guter Rat teuer. Beinahe alle Probleme sind auf einen Schlag gelöst, wenn die Daten von dem Nutzer so verschlüsselt werden können, dass kein Dritter sie einsehen kann, auch nicht der Cloud-Anbieter. Außerdem darf der Dienst keine Zugriffssteuerung durch den Cloud-Anbieter beinhalten. Dies wird jedoch in der Regel nur bei Speicherdiensten möglich sein. Sollen die Daten durch den Diensteanbieter im Rahmen des Dienstes bearbeitet werden, scheidet diese Lösung derzeit aus. Ein anderer Weg zur Datensparsamkeit ist die Pseudonymisierung. Hier ist jedoch zu beachten, dass pseudonyme Daten definitionsgemäß und nach Auffassung vieler Aufsichtsbehörden weiterhin personenbezogene Daten sind. Erst mit der Anonymisierung entfällt die Anwendbarkeit des Datenschutzrechts. Die zentralen Konflikte von Cloud-Diensten mit rechtlichen Anforderungen werden durch den Mangel an Kontrollierbarkeit und Transparenz ausgelöst. Für die verantwortliche Stelle zu personenbezogenen Daten oder den Geheimnisträger reicht es nicht aus, zu vertrauen. Zur Erfüllung seiner Pflichten ist Kontrolle erforderlich. Cloud-Dienste sind letztlich Werkzeuge. Wie bei allen Werkzeugen sind sie nicht für jede Aufgabe gleichermaßen geeignet. Wie gesehen, stehen rechtliche Anforderungen jedoch nicht den Cloud-Diensten an sich entgegen. Der Einsatz von Cloud-Diensten erfordert eine sorgfältige Prüfung im Einzelfall und die Fähigkeit, Grenzen zu akzeptieren und zu beachten. Es ist jedoch nicht unmöglich, rechtskonform Cloud- Dienste einzusetzen. Seite 9

c/o Secorvo Security Consulting GmbH Ettlinger Straße 12-14 D-76137 Karlsruhe Tel. +49 721 255171-0 Fax +49 721 255171-100 info@ka-it-si.de www.ka-it-si.de Seite 10

Bildquellen Folie 03: 2005 Dana Rothstein. Bigstock.com Folie 04: 2011 Robert Wilson. Bigstock.com Folie 05: 2011 Péter Gudella. Bigstock.com Folie 06: 2011 Stanislav Perov. Bigstock.com Folie 07: 2004 Ailati Ailati. Bigstock.com Folie 08: 2010 Jörg Röse-Oberreich. Bigstock.com Folie 09: 2005 John Catalano. Bigstock.com (KA-IT-Si) Seite 11

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback