Auslagerung von Daten und Cloud- Lösungen in Beschaffung und … · 2015-02-10 · Rechtlichen Grundlagen - Datenschutz Auslagerung von Daten und Cloud-Lösungen in Beschaffung und

IMTB Rechtsanwaltsgesellschaft für IT-, Kommunikations- und Vergaberecht mbHGleimstraße 5010437 Berlin

E-Mail [email protected] www.imtb-ikv.de

Telefon +49 (0)30 486 259 95Telefax +49 (0)30 486 259 95

IMTB BMC GmbHSchumannstraße 14 b10117 Berlin E-Mail [email protected]

Internet www.imtb.de

Telefon +49 (0)30 440 483 24Telefax +49 (0)30 440 483 25

||||

Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag- Hamburger Vergabetag 2015 -

Alexander BockOlaf Volz

Hamburg 23.01.2015

Kurze Vorstellung

2Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag

MTC

Group

BMC

- Unternehmensstruktur

IKV

in Kooperation mitRechtsanwalts-

gesellschaft

Agenda

Kurze Einführung

Überblick technische Rahmenbedingungen

Überblick rechtliche Rahmenbedingungen

Herausforderungen

Workshop-Szenario

Agenda

Kurze Einführung



Herausforderungen

Workshop-Szenario

Was ist Cloud Computing?

Definition„Cloud“

• Automatische Diensterbringung auf AnforderungNutzer sind in der Lage, selbständig Dienste und Ressourcen anzufordern, ohne dass eine Interaktion mit menschlichen Operatoren auf Seiten des Anbieters notwendig wird.

• Netzwerkbasierter ZugangNetzzugang über das Internet oder aber auch ein dediziertes Netzwerk, sodass Dienste aus der Cloud auf verschiedenen Endgeräten verwendet werden können..

• MandantenfähigkeitDie Ressourcen des Anbieters sind in Pools konsolidiert, die eine parallele Diensterbringung für mehrere Mandanten (Kunden) erlauben.

• ElastizitätRessourcen und Dienste werden elastisch zur Verfügung gestellt, d.h. entsprechend seines augenblicklichen Bedarfs erhält der Benutzer Ressourcen in adäquaten Quantitäten.

• Messbare DienstqualitätCloud-Systeme verfügen über eingebaute Monitoring- und Messfunktionen, die sowohl eine optimierte Ressourcen-Nutzung als auch eine Validation der erreichten Dienstqualität seitens des Nutzers erlauben


Quelle: Cloud-Fahrplan für die öffentliche Verwaltung , Kompetenzzentrum öffentliche IT, Fraunhofer FOKUS in Kooperation mit dem Lorenz-von Stein-Institut, April 2014


Begriffe aus der„Cloud“

• Cloud-AnwenderCloud-Anwender ist jede natürliche oder juristische Person, die von Betroffenen personenbezogene Daten erhebt, verarbeitet oder nutzt und hierfür von anderen Stellen IT-Dienstleistungen für Cloud-Services in Anspruch nimmt.

• Cloud-AnbieterCloud-Anbieter ist jede natürliche oder juristische Person, die einem Cloud-Anwender IT-Dienstleistungen für Cloud-Services bereitstellt. Fehlen dem Cloud-Anbieter hierfür die Ressourcen, so kann dieser zur Erfüllung seiner Verpflichtungen gegenüber dem Cloud-Anwender u. U. weitere Unter-Anbieter einbeziehen.


Quelle: Orientierungshilfe Cloud Computing (Version 2.0/09.10.2014)


Abgrenzung zur„Cloud“

• Inhouse-Betrieb (On Premise)– Inhouse-Betrieb wird von externem Dienstleister unterstützt– Inhouse Technik wird von externem Dienstleister betrieben– Miete von fremden Rechnern zum eigenverantwortlichen Betrieb

• Grid-Computing– Verteilung von rechenintensiven Prozessen auf mehrere Computersysteme– Betreiber meist Institutionen– Werden in einem bestimmten Zeitraum für eine bestimmte Aufgabe zugewiesen

• Grenzfälle– Betrieb mehrerer eigener, dezidierter, physikalischer Rechner in einem fremden

Rechenzentrum („Hosting“)– Betrieb mehrerer, eigener, dedizierter, physikalischer Rechner in einem eigenen,

entfernten Rechenzentrum („Private Cloud“)



Übersicht zu Cloud

Computing-Modellen

PRIVATE CLOUD

innerhalb einer

Institution, individuell,

exklusivPRIVATEGOVERN-

MENT CLOUD

Betreiber = öffentliche

Hand

HYBRIDCLOUD

Gemischte Public und

Private CloudMANAGED

PUBLIC CLOUD

Ausgehan-delter

Vertrag

PUBLIC CLOUD

am freien Markt

COM-MUNITY CLOUD

Zusammen-schluss von

Cloud-Anbietern

Standortbezug

Standorte des Cloud Computing Deutschland

Standorte des Cloud Computing innerhalb EU/EWR

Standorte des Cloud Computing weltweit; Staat mit angemessenem

Datenschutzniveau

Standorte des Cloud Computing weltweit; Staat ohne angemessenes

Datenschutzniveau

Betreibermodelle

Dienstmodelle

IaaS PaaS SaaS


Infrastructure as a Service

Liefert Rechenkapazität,

Speicher und Netzverbindungen(Rechenzentrum)

Platformas a Service

Liefert Datenbanken und Webdienste auf

denen eigene Anwendungen

entwickelt werden können

Softwareas a Service

Liefert fertige Anwendungen wie z.B. E-Mail, CRM

oder Office

Dienstmodelle

Eigenbetrieb

• Eigenverwaltung• Applikationen• Daten• Mittelschicht• Betriebssystem• Virtualisierung• Server• Speicher• Netzwerk

IaaS

• Eigenverwaltung• Applikationen• Daten• Mittelschicht• Betriebssystem

• Fremdverwaltung• Virtualisierung• Server• Speicher• Netzwerk

PaaS

• Eigenverwaltung• Applikationen• Daten

• Fremdverwaltung• Mittelschicht• Betriebssystem• Virtualisierung• Server• Speicher• Netzwerk

SaaS

• Fremdverwaltung• Applikationen• Daten• Mittelschicht• Betriebssystem• Virtualisierung• Server • Speicher• Netzwerk


Gra

d de

r Fle

xibi

lität

de

s An

wen

ders

Betreibermodell

Angebote für die öffentliche Hand

• Spezifische Fachverfahren für die öffentliche Hand werden regelmäßig (noch) nicht als Cloud-Computing angeboten

• Nutzungsbeispiele aus der öffentlichen Verwaltung:– Im Schulumfeld über kommunale IT-Dienstleister der öffentlichen Verwaltung– Projekt goBerlin (www.goberlin-projekt.de)

• Eine Reihe von Standardverfahren werden als Cloud-Computing auf dem Markt angeboten (Office-Anwendungen, Dokumentenmanagement etc.)

• IaaS – Infrastructure as a Service– Nutzungsszenarien für öffentliche Hand denkbar (z.B. Rahmenvereinbarung eines

Rechenzentrums zum Ausgleich von Lastspitzen)

• PaaS – Platform as a Service– Nutzungsszenarien für öffentliche Hand denkbar (z.B. für Tests etc.)

• SaaS – Software as a Service– Nutzungsszenarien für öffentliche Hand denkbar (z.B. Office-SW)


http://www.goberlin-projekt.de/

Nutzung Cloud-Computing in Unternehmen

12

Art und Umfang der derzeitigen Cloud-Nutzung

Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag

Auszug: Pressekonferenz Cloud Monitor 2014, 30. Januar 2014; BITKOM, Bundesverband Informationswirtschaft,Telekommunikation und neue Medien e.V. http://www.bitkom.org/files/documents/Cloud_Monitor_2014_KPMG_Bitkom_Research.pdf

Agenda

Kurze Einführung



Herausforderungen

Workshop-Szenario

Technische Rahmenbedingungen

Grundlegende Technologien des Cloud Computing:

• Virtualisierung von IT-Ressourcen– Speichervirtualisierung

• bestehen aus mehreren miteinander verbundenen, zentral verwalteten Speichersystemen (SAN)

• „Thin Provisioning“ (Virtualisierung der Größe der zugewiesenen Volumen) – Servervirtualisierung

• Serversysteme werden von der Hardware(-schicht) entkoppelt und können unabhängig von dieser betrieben werden

• greifen auf denselben Storage zu („shared storage“)– Destopvirtualisierung

• Nutzer verbindet sich über RDP auf seinen eigenen Desktop auf seinem eigenen Betriebssystem (Unterschied zu Terminalserver)

– Applikationsvirtualisierung• Gekapselte Anwendung (Sandboxes)• Ermöglicht die Installation von inkompatiblen Applikationen auf einem Betriebssystem

• Internet als schnelles Übertragungsmedium


Datensicherheit in der Cloud (I)

• Die Schutzziele „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ von Daten müssen in der Cloud gewährleistet werden!

• Szenario 1: Bedrohungen für die Cloud-Infrastruktur und den Cloud-Dienst durch Datenverlust bzw. Informationsabfluss

– Beeinflussung der verschiedenen Nutzer in der gemeinsamen (shared) Cloud-Infrastruktur bis hin zu Angriffen aus der Cloud

– Ausfall der Internet- oder Netzverbindung, sodass ein externer Zugriff auf die Daten verhindert wird (z.B. durch „Denial-of-Service Angriffen“)

– Fehler in der Cloud-Administration

• Szenario 2: Bedrohungen bei der Nutzung von Cloud-Diensten– Identitätsdiebstahl bzw. Missbrauch von Accounts– Verlust der Kontrolle über die Daten und Anwendungen– Verletzung geltender Vorgaben und Richtlinien (z.B. Datenschutzanforderungen)– Sicherheit der Endgeräte, mit denen die Cloud-Dienste verwendet werden– Daten können über das Netz abgefangen und (bei schlechter oder nicht

vorhandener Verschlüsselung ) ausgespäht werden


Datensicherheit in der Cloud (II)

• Szenario 3: Bedrohung bei Einführung und Nutzung der Cloud– Es gibt keine Cloud-Strategie und deshalb sind die Ziele, die mittels Cloud

Computing erreicht werden sollen, weder klar noch überprüfbar– Bei der Planung des Einstiegs in die Cloud wird die Exit-Strategie nicht

berücksichtigt (ggf. große Abhängigkeit vom Cloud-Anbieter)– Der Cloud-Anbieter bezieht selbst Dienste von Unterauftragnehmern– Es fehlt an einem Notfallplan (Datensicherung und Datenwiederherstellung; keine

Desaster Recovery Tests)

• Grundsätzlich gilt: Ob und unter welchen Bedingungen Anwendungen der öffentlichen Verwaltung in die Cloud verlagert werden können, hängt grundsätzlich nicht von deren Schutzbedürftigkeit ab!


Auswahl des Cloud-Anbieters

Zur Überprüfung der Eignung eines Anbieters sollten folgende Kriterien Berücksichtigt werden (vgl. BSI, IT-Grundschutz M 2.540):

• Reputation (überprüfbare Referenzen)• Rankings oder Bewertungsmatrizen von möglichst (unabhängigen)

Organisationen (Zertifikate)• Ist Cloud Computing das Kerngeschäft des Anbieters?

(Zuverlässigkeit der Leistungserbringung: Mögliches Risiko, dass der Cloud-Dienst rasch eingestellt oder von einem anderen Anbieter übernommen wird?)

• Welche Zugriffe durch den Dienstanbieter oder Dritte werden erlaubt oder sind möglich?

• An welchen Standorten werden die Informationen verarbeitet und gespeichert? (Welches geltende Recht liegt einem Vertrag zugrunde, welchen rechtlichen Rahmenbedingungen unterliegt der Anbieter?)

• Angabe der Subunternehmen zur Service-Erbringung um Abhängigkeiten des Cloud-Anbieters beurteilen zu können.


Zertifizierungssysteme (I)

• ISO/IEC – Basisnormen für Informationssicherheits-Management– ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-

Managementsysteme - Anforderungen– ISO/IEC 27002: Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das

Informationssicherheits-Management

• ISO/IEC – Normen für Informationssicherheits-Management im Bereich Cloud-computing– ISO/IEC 27018 Informationstechnik - Sicherheitsverfahren - Anwendungsregel für den Schutz

von Personenbezogenen Daten (PII) in Public Clouds, die als PII Processor auftreten – ISO/IEC 27017 Informationssicherheits-Management für Cloud-Computing (Information

technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services); derzeit in noch Entwicklung

• Cloud Security Alliance (CSA)– Open Certification Framework (OCF)– CSA Security Guidance und Cloud Control Matrix – CSA Star = System mit drei Vertrauensstufen:

• Selbstauskunft (1)• Assessment durch Dritte (2)• künftig: Kontinuierliche Kontrolle (3)


Zertifizierungssysteme (II)

• FedRAMP– Federal Risk and Authorization Management Programm (USA) auf der Basis des US-Standards

NIST SP 800.53

• EU-Kommission– Positionspapier der EU-Kommission aus dem Jahr 2012 („Unleashing the Potential of Cloud

Computing in Europe”)– ENISA Liste von Zertifizierungssystemen

• EuroCloud Deutschland e.V. – Auditierung zum Gütesiegel Ein- bis Fünf-Sterne-Zertifizierung


Agenda

Kurze Einführung



Herausforderungen

Workshop-Szenario

Rechtlichen Grundlagen - Datenschutz

Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag 21

Zu beachten ist deutsches Datenschutzrecht sowie ggf. europäisches Recht sowie internationales Recht zum Datenschutz• Zentrale europäische Rechtsnorm

– Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr

– Richtlinie 2002/58/EG - Datenschutzrichtlinie für elektronische Kommunikation (Fassung 2009)

• Zentrale deutsche Rechtsnormen – Recht auf informationelle Selbstbestimmung, Art 2 Abs. 1 GG i.V.m Art 1

GG sowie Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme

– Bundesdatenschutzgesetz– Spezialgesetzlicher Datenschutz

(z.B. Telemediengesetz, Sozialgesetzbuch) – Landesdatenschutzgesetze

Überblick zu rechtlichen Grundlagen - Vertraulichkeit


• Art 10 GG: Briefgeheimnis sowie das Post- und Fernmeldegeheimnis• Postgesetz: Abschnitt 9, Postgeheimnis, Datenschutz; §§ 39 ff.• Telekommunikationsgesetz: § 88 Fernmeldegeheimnis• Berufsrechtliche Vorschriften z.B. für Rechtsanwälte, Steuerberater, etc.• StGB Fünfzehnter Abschnitt, Verletzung des persönlichen Lebens- und

Geheimbereichs z.B.– § 203 StGB: Verletzung von Privatgeheimnissen– § 206 StGB: Verletzung des Post- oder Fernmeldegeheimnisses

• Gesetz über die Voraussetzungen und das Verfahren von Sicher-heitsüberprüfungen des Bundes (Sicherheitsüberprüfungsgesetz - SÜG)

• Geheimschutzordnung des Deutschen Bundestages (Anlage 3 der Geschäftsordnung des Deutschen Bundestages, BGBl. I 1980, 123)

• Allgemeinen Verwaltungsvorschrift des Bundesministerium des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA)

Überblick zu Regelungen zur IT-Sicherheit


• Das BSI kann nach § 8 Abs. 1 Satz 1 BSIG Mindeststandards für Bundesverwaltung festsetzen wie etwa – Mindeststandards des BSI: Mindeststandard des BSI nach § 8 Abs. 1

Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung

• Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden (§ 9 Abs. 2 Satz 1); es gilt die BSI-Zertifizierungs- und -Anerkennungsverordnung - BSIZertV

• § 10 EGovG - Umsetzung von Standardisierungsbeschlüssen des IT-Planungsrates– z.B. Leitlinie für Informationssicherheit in der öffentlichen Verwaltung

(gemäß Beschluss IT-Planungsrat Nr. 2013/3) mit Mindestanforderungen an das Informationssicherheitsmanagement

• Künftig: IT-Sicherheitsgesetz (Aktuell: „Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“)

Wann liegt Auftragsdatenverarbeitung vor?


• § 11 Abs. 1 BDSG “Werden personen-bezogene Datenim Auftrag durch andereStellen erhoben, verarbeitetoder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriftendieses Gesetzes und anderer Vorschriftenüber den Datenschutzverantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sindihm gegenüber geltendzu machen.”

Besonderheiten Cloud-Computing


• Bei Verarbeitung personenbezogener Daten mittels Auftragsdaten-verarbeitung bestehen folgende besondere Hürden nach § 11 Abs. 2 BDSG– Qualifizierter Vertrag– Anfängliche Kontrollpflicht des Auftraggebers vor Aufnahme der

Auftragsdatenverarbeitung (d.h. bei der öffentlichen Hand im Rahmen des Vergabeverfahrens)

– Laufende Kontrollpflicht des Auftraggebers während der Auftragsdatenverarbeitung

– Auswirkungen nicht nationaler Cloud-Standorte (global)– Handhabung der Einbindung von Nachunternehmern

• Wichtiger Aspekt– Die Definition personenbezogener Daten ist sehr weit und umfassend– Der Kreis von Anwendungsfällen für Cloud-Services, die

personenbezogene Daten nicht tangieren, ist relativ klein

Überblick zu vergaberechtlichen Besonderheiten

26

• Ausgangspunkt– Die Beschaffung von Cloud-Computing-Leistungen unterliegt dem

Vergaberecht, so dass ein Vergabeverfahren durchgeführt werden muss– Regelmäßig wird ein europaweites Vergabeverfahren notwendig sein– Standard-Cloud-Leistungen hier nicht Gegenstand der Betrachtung

• Besonderheiten für Beschaffung von Cloud-Computing-Leistungen – Beschaffung von Cloud-Computing-Leistungen als Managed Cloud-

Computing ist ein komplexer Vergabegegenstand– Verhandlungsverfahren i.d.R. einschlägig (§ 3 EG Abs. 4 lit. b VOL/A)– Eine Festlegung auch eine Cloud-Computing-Leistungen sollte

vergaberechtlich begründet werden (z.B. gegenüber herkömmlichen Lösungen mit SW am Arbeitsplatz = „on premise“)

– Auftragsdatenverarbeitung im Umfeld des Cloud-Computing beeinflusst Vergabe insbesondere bei der Auswahl geeigneter Bieter

– Umgang mit Lizenzierung von Software unter Berücksichtigung von Cloud-Computing


Agenda

Kurze Einführung



Herausforderungen

Workshop-Szenario

• Bei Beschaffung steht komplexer Vergabegegenstand im Mittelpunkt• Alle notwendigen vertraglichen Regelungen für ein Cloud-Computing sind im

Voraus vom Auftraggeber zu entwickeln• Anforderungen an Auftragsdatenverarbeitung sind abzubilden • Alle notwendigen technischen Anforderungen an das Cloud-Computing sollten

im Voraus vom Auftraggeber „vorgedacht werden“• Marktkenntnis zu Ausprägung der am Markt angebotenen

Cloud-Computing-Modelle ist notwendig • Überlegungen zum Standort der Leistungserbringer sind anzustellen und

etwaige Vorgaben müssen vergaberechtlichen Grundsätzen genügen• Einbeziehung von Nachunternehmern ist bei Vergabe sowie im Vertrag zu

berücksichtigen • Vorhandene Prüf- und Zertifizierungssysteme sollten bekannt sein und ggf.

berücksichtigt werden • Vertragliche Regelungen müssen – standortabhängig - Auslandssachverhalte

regeln


Besondere Herausforderungen beim Cloud-Computing

Zur Lage der IT-Sicherheit 2014


„Neben gängigen Virenschutzprogrammen kommen weitere Schutzmaßnahmen an unterschiedlichen Schnitt-stellen zum Einsatz, mit denen in Echtzeit schädliche E-Mails abgewehrt werden können. Seit Mai 2014 wurden mit der damit verbundenen Vorgehensweise monatlich bis zu 60.000 verseuchte E-Mails in den Netzen der Bundesverwaltung zusätzlich abgefangen. Um hochwertige Angriffe abwehren zu können, setzt ein weiteres System auf die Erkennung von Angriffen, die gängige Schutzmechanismen bereits überwunden haben. 2014 wurden bisher täglich etwa 15 bis 20 Angriffe auf das Regierungsnetz entdeckt, die durch normale Schutzmaßnahmen nicht erkannt worden wären. Bei durchschnittlich einem Angriff pro Tag handelt es sich um einen gezielten Angriff mit nachrichtendienstlichem Hintergrund.“

Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) - Die Lage der IT-Sicherheit in Deutschland 2014, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile

30

Cloud-Computing-Modelle und Standorte

Standorte

Cloud-Modell

Private CloudCommunity Cloud

ManagedPublic CloudPublic Cloud Private

Gov. Cloud

national

global

EU/EWR

HybridCloud


31

Cloud-Computing-Modelle, Standorte und Firmen

Standorte

Cloud-Modell

Private CloudCommunity Cloud

ManagedPublic CloudPublic Cloud Private

Gov. Cloud

national

global

EU/EWR

HybridCloud


Wer sich alles so tummelt in der Cloud …


Agenda

Kurze Einführung



Herausforderungen

Workshop-Szenario

Szenario – Teil 1


Szenario – Teil 1

• Eine Bundesbehörde prüft Auslagerung von Daten an einen externen privaten Dienstleister in Deutschland (Varianten: EU/global).

• Gegenstand sind öffentliche (nicht personenbezogene) Daten (Webauftritt), aber auch personenbezogene Daten (Veranstaltungsmanagement).

• Es soll im Rahmen einer Beschaffungsmaßnahme die Nutzung von Cloud-Computing-Angeboten als SaaS ermöglicht werden; dabei sollen auch Public-Cloud-Computing-Angebote, die in Deutschland betrieben werden, berücksichtigt werden; der Anbieter soll die Software-Lizenzen bereitstellen.

• Der Fachbereich und das Justiziariat sind sich uneinig. Das Justiziariat ist der Auffassung, die Auslagerung personenbezogener Daten in einen Public-Cloud-Computing-Service wäre überhaupt nicht zulässig. § 11 Abs. 2 Bundesdatenschutzgesetz stünde dem entgegen.

• Der Fachbereich meint: Es gibt eine Reihe von Bietern der Privatwirtschaft, die ihre Public-Cloud-Computing-Infrastruktur an z.B. zwei bis ca. fünf Standorten in Deutschland vorhalten. Die Vorgaben des § 11 Abs. 2 Bundesdatenschutzgesetz würden von diesen Anbietern erfüllt und Maßnahmen der Bieter könnten auch im Detail ausgehandelt werden.


Aufgabenstellung für Workshop-Arbeit

• Sie erhalten einen Auszug aus dem Bundesdatenschutzgesetz (BDSG) zu § 3, § 4b, § 4c, § 9, § 11, Anlage (zu § 9 Satz 1).

• Bitte sehen Sie sich § 3 Abs. 4, Nr. 3; § 3 Abs. 8, Satz 3; § 4b Abs. 1 und 2; § 4c; § 9; § 11 Abs. 1, 2 sowie die Anlage (zu § 9 Satz 1) BDSG an

• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung:– Steht das BDSG einer Auslagerung von Daten in eine Public Cloud – ggf.

abhängig von Standorten der Rechner dieser Cloud – entgegen?– Entwickeln Sie unter Berücksichtigung des § 11 Abs. 2 BDSG eine

Checkliste für Regelungspunkte eines Vertrags zur Aufgabenauslagerung in eine Public-Cloud-Computing-Lösung; berücksichtigen Sie insbesondere auch weitere vertragliche Regelungspunkte.

– Welche besondere vertraglichen Hürden für ein Public-Cloud Computing erkennen Sie in den Regelungen des § 11 Abs. 2 BDSG?

– Erkennen Sie besondere vergaberechtliche Hürden für ein Public-Cloud Computing in den Regelungen des § 11 Abs. 2 BDSG?


Szenario – Teil 1Lösungsansätze


Lösungsansätze für Aufgabenstellung – Teil 1 (I)

• BDSG ist (wohl) nur für Veranstaltungsmanagement relevant– Steht das BDSG einer Auslagerung von Daten in eine Public Cloud – ggf.

abhängig von Standorten der Rechner dieser Cloud – entgegen? Standorte in Deutschland im Ergebnis: Nein Standorte in EU/EWR im Ergebnis: Nein (gleiche Voraussetzungen) Bei Standorten außerhalb EU/EWR ist zu differenzieren Globale Standorte, bei denen ein angemessenes Datenschutzniveau

gewährleistet ist (§ 4 b, Abs. 2, Satz 1 BDSG) Grundsätzlich zulässig, außer schutzwürdiges Interesse steht dagegen

Globale Standorte, bei denen ein angemessenes Datenschutzniveaunicht gewährleistet ist (§ 4 b, Abs. 2, Satz 2 BDSG) Vorliegen von Ausnahmen nach § 4 c, Abs. 1, Satz 1 Nr. 1 bis 6 BDSG Bei ausreichenden Garantien hinsichtlich des Schutzes des

Persönlichkeitsrechts und Rechtsausübung; z.B. aus Vertragsklauseln oderverbindlichen Unternehmensregelungen(= EU-Standardvertragsklauseln); ansonsten nur über Genehmigung Zudem: Internationale Vereinbarungen wie Safe Harbour Principles


Lösungsansätze für Aufgabenstellung – Teil 1 (II)

• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung– Entwickeln Sie unter Berücksichtigung des § 11 Abs. 2 BDSG eine

Checkliste für Regelungspunkte eines Vertrags zur Aufgabenauslagerung in eine Cloud-Computing-Lösung; berücksichtigen Sie insbesondere auch weitere Regelungspunkte siehe nachfolgende Folien

– Welche besondere vertraglichen Hürden für ein Cloud Computing erkennen Sie in den Regelungen des § 11 Abs. 2 BDSG? siehe nachfolgende Folien


• Gegenstand und die Dauer des Auftrags• Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung

oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen• Nach § 9 zu treffenden technischen und organisatorischen Maßnahmen• Berichtigung, Löschung und Sperrung von Daten• Pflichten des AN, insbesondere vorzunehmende Kontrollen §§ 5, 9, 43 Abs. 1

Nr. 2, 10 u. 11, Abs. 2 Nr. 1 bis 3 u. Abs. 3 sowie § 44 / §§ 4f, 4g u. 38 BDSG• Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen• Kontrollrechte des AG und die entsprechenden Duldungs- und

Mitwirkungspflichten des AN • Mitzuteilende Verstöße des AG oder der bei ihm beschäftigten Personen

gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen

• Umfang der Weisungsbefugnisse, die sich der AG gegenüber dem AN vorbehält

• Rückgabe überlassener Datenträger und die Löschung beim AN gespeicherter Daten nach Beendigung des Auftrags


Regelungsinhalte nach § 11 Abs. 2 BDSG


Unter Bedingungen der Cloud zu gewährleisten

8 Gebote der Daten-sicherheit

Zutritts-kontrolle

Zugangs-kontrolle

Zugriffs-kontrolle

Weiter-gabe-

kontrolle

Eingabe-kontrolle

Auftrags-kontrolle

Verfügbarkeits-

kontrolle

Daten-trennung


Anlage zu § 9 Satz 1 BDSG

Checkliste Vertrag Auftragsdatenverarbeitung (I)


• Vertragsgegenstand• Vertragsdauer• Sitz und Gesellschafterstruktur

des Anbieters• Standorte der Rechenzentren;

Ausschluss von Standorten• Umfang und Art der Leistung • Qualität der Leistungen (SLA)• Pönalen• Nutzungsrechte für Software • Verantwortlichkeit für

Lizenzmanagement• Verantwortlichkeit des AG für

Daten• Verpflichtung Mitarbeiter auf

Datengeheimnis

• Auftragsdatenverarbeitungs-vereinbarung (zu pers.bez. Daten)– Gegenstand und Dauer des Auftrags– Umfang, die Art und der Zweck ADV,

Datenart, Betroffene– Technische und organisatorische

Maßnahmen– Berichtigung, Löschung und Sperrung von

Daten– Datenschutzrechtliche Pflichten des AN

sowie Kontrollen– Regelung zu Unterauftragsverhältnissen– Kontrollrechte des AG Duldungs- und

Mitwirkungspflichten des AN – Mitzuteilungsplichten des AN bei

Verstößen gegen Regelungen zum Personendatenschutz bzw. des Vertrags

– Weisungsbefugnisse des AG – Rückgabe Datenträger und

Datenlöschung beim AN bei Vertragsende

Checkliste Vertrag Auftragsdatenverarbeitung (II)


• IT-Sicherheitskonzept• Datensicherungskonzept• Fragen der Interoperabilität • Übertragbarkeit der Plattform,

Anbieterwechsel • Notfallmanagement • Änderungsmanagement (Pflichten

des AN zur Mitteilung bei Änderung der Standard-SW etc.)

• Zugriff auf Protokolldaten• Kommunikationsregeln bei

Datenschutzvorfällen• Umgang mit Auskunftsrechten

Betroffener• Nachweis und Aufrechterhaltung

von Zertifizierungen

• Software- und Daten-Hinterlegung• Kündigungsregelungen • Verlängerungsoption• Versicherungsschutz • Beendigungsmanagement, insb.

Datenlöschung beim AN, Übergabe Daten an AG

• Ausschluss Zurückbehaltungs-recht an Leistungen und Daten des AG

• Haftung des AN, insb. für Schäden aufgrund Verletzung der Informationssicherheit

• Vertragsstrafen• Geheimhaltung und Vertraulichkeit• Salvatorische Klausel

Lösungsansätze für Aufgabenstellung – Teil 1 (III)

• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung– Erkennen Sie besondere vergaberechtliche Hürden für ein Cloud

Computing in den Regelungen des § 11 Abs. 2 BDSG? § 11 Abs. 2, Satz 4 BDSG

„Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. “

Kontrolle muss nicht „Vor-Ort“ erfolgen Kontrolle muss – nach BDSG – nicht vor Vertragsschluss, jedoch vor

Aufnahme der Datenverarbeitung im Auftrag erfolgen Potenzielle Unterauftragnehmer sind zu berücksichtigen


Szenario – Teil 2


Szenario – Teil 2

• Man hat sich darauf geeinigt, dass das geplante Vorgehen grundsätzlich zulässig ist, und auch ein Public-Cloud-Computing-Angebot berücksichtigt werden kann.

• Der Datenschutzbeauftragte wünscht nun, dass – aus Gründen der IT-Sicherheit und mit dem Ziel einer besser möglichen vertraglichen Absicherung – nur Anbieter zugelassen werden, die ihr Public-Cloud-Computing-Angebot ausschließlich von Standorten in Deutschland betreiben.

• Die Vergabestelle meldet Bedenken an. Aufgrund der Durchführung des europaweiten Vergabeverfahrens müssten auch Anbieter von Public-Cloud-Computing-Lösungen zugelassen werden, die Ihre Standorte ausschließlich in Deutschland oder den Mitgliedsstaaten der EU haben.

• Die Vergabestelle sieht im Übrigen das Erfordernis besonderer Kontrollen/ Eignungsprüfungen des Bieters im Vorfeld, weiß aber nicht genau, wie diese bewerkstelligt werden sollen.


Aufgabenstellung für Workshop-Arbeit

• Sie erhalten eine Exemplar der VOL/A EG.• Bitte betrachten Sie § 2 EG Abs. 1 VOL/A und § 8 EG Abs. 3 VOL/A. • Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung:

– Ist die vom Fachbereich gewünschte Festlegung auf Anbieter mit Public-Cloud-Computing-Angebot ausschließlich an deutschen Standorten vor dem Hintergrund des deutschen/europäische Vergaberechts oder des BDSG zulässig?

– Wie ist mit dem Erfordernis besonderer Eignungsprüfungen im Vorfeld der Beauftragung eines Public-Cloud-Computing-Angebots umzugehen? Entwickeln Sie Vorgehensüberlegungen für Eignungsprüfungen im Zuge des Teilnahmewettbewerbs.

– Skizzieren Sie grob wesentliche Vorgehensschritte für ein Einführungsprojekt für Cloud-Computing (von Planung bis zur Betriebsphase).


Szenario – Teil 2Lösungsansätze


Lösungsansätze für Aufgabenstellung – Teil 2 (I)

• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung– Ist die vom Fachbereich gewünschte Festlegung auf Anbieter mit Public-

Cloud-Computing-Angebot ausschließlich an deutschen Standorten vor dem Hintergrund des deutschen/europäische Vergaberechts oder des BDSG zulässig? Aus BDSG und deutschem Datenschutzrecht lässt sich kein Hindernis

ableiten (außer etwaige Zugriffsmöglichkeiten von Behörden aus Drittländern), auch Cloud-Anbieter aus einem EU-Mitgliedsstaat zuzulassen.

Vergaberecht fordert Gleichbehandlung und Diskriminierungsfreiheit (§ 2 EG Abs. 1, Satz 2 VOL/A).


Lösungsansätze für Aufgabenstellung – Teil 2 (II)

• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung– Wie ist mit dem Erfordernis besonderer Eignungsprüfungen im Vorfeld

Public-Cloud-Computing-Angebot im Vorfeld umzugehen? Entwickeln Sie Vorgehensüberlegungen für Eignungsprüfungen im Zuge des Teilnahmewettbewerbs. Kontrolle im Rahmen der Eignungsprüfung naheliegend, insbesondere Technische Ausrüstung/Qualität, § 7 EG Abs. 3 b) VOL/A Technische Leitung, § 7 EG Abs. 3 c) VOL/A Ggf. eigene Kontrolle oder durch Dritte § 7 EG Abs. 3 f) VOL/A

In diesem Rahmen Fragenkataloge zu § 11 Abs. 2 / § 9 BDSG Zertifizierungen ersetzen nicht die Kontrolle, aber Zertifizierungen

können herangezogen werden (Gegenstand, Fremdauditierung) Überlegung: Eigene Kontrolle oder Kontrolle durch Dritte vorbehalten

– Skizzieren Sie grob wesentliche Vorgehensschritte für ein Einführungsprojekt für Cloud-Computing siehe nachfolgende Folie


Vorgehensweise Vergabeprojekt


Grund-sätzliche

Über-legungen

Bedarfs-analyse

Risiko-analyse

Wahl eines Vergabe-

verfahrens

Auftrags-vergabe

Migration

Quelle: Cloud-Fahrplan für die öffentliche Verwaltung , Kompetenzzentrum öffentliche IT, Fraunhofer FOKUS in Kooperation mit dem Lorenz-von Stein-Institut, April 2014

Wie geht es weiter …


Eine kleine Auswahl von Hilfestellungen und Quellen

• „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises (https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf)

• Projekt „Cloud for Europe“ www.cloudforeurope.eu (siehe auch European Cloud Partnership: https://ec.europa.eu/digital-agenda/en/european-cloud-partnership)

• CLOUD-FAHRPLAN FÜR DIE ÖFFENTLICHE VERWALTUNG;Kompetenzzentrum Öffentliche IT, Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS (www.oeffentliche-it.de/documents/18/21941/Cloud-Fahrplan+oeffentliche+Verwaltung)

• Pressekonferenz Cloud Monitor 2014, 30. Januar 2014; BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (http://www.bitkom.org/files/documents/Cloud_Monitor_2014_KPMG_Bitkom_Research.pdf)


https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf

http://www.cloudforeurope.eu/

https://ec.europa.eu/digital-agenda/en/european-cloud-partnership

http://www.oeffentliche-it.de/documents/18/21941/Cloud-Fahrplan+oeffentliche+Verwaltung

http://www.bitkom.org/files/documents/Cloud_Monitor_2014_KPMG_Bitkom_Research.pdf

Hinweise zu Inhalten


Haftung für Inhalte

• Die Inhalte dieses Foliensatzes sind mit Sorgfalt erarbeitet worden. • Eine Haftung für die Richtigkeit der Inhalte dieser Unterlage sowie der

weiterführenden Hinweise kann nicht übernommen werden.• Darstellungen sind nur allgemeiner Art und dienen der Veranschaulichung von

Fragestellungen und Lösungsansätzen.• Es werden keine konkreten Einzelfälle behandelt und es erfolgt keine

Rechtsberatung oder sonstige Beratung im Einzelfall. • Eine Gewähr für Vollständigkeit, Richtigkeit und Aktualität der Aussagen und

Inhalte dieser Unterlage kann nicht übernommen werden. • Hinsichtlich der wiedergegebenen Hinweise/Links auf Webseiten Dritter kann

keine Gewähr übernommen werden.


Hinweise zu Nutzungsrechten


Nutzungsrechte für diesen Foliensatz (I)

• Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung -Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz (siehe Internet-Link: http://creativecommons.org/licenses/by-sa/3.0/de/).

• Nutzungsrechte gemäß o.g. Lizenz:– Teilen

d.h. das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten

– Bearbeitend.h. das Material remixen, verändern und darauf aufbauen unter folgenden Bedingungen:

• Bedingungen für die Nutzung– Namensnennung

Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.

– Weitergabe unter gleichen BedingungenWenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.

58

http://creativecommons.org/licenses/by-sa/3.0/de/

Nutzungsrechte für diesen Foliensatz (II)

• Darstellungen mit Quellenangaben unterliegen den Nutzungsrechten der Urheber (Creative Commons gilt nicht); die vorhandenen Quellenangaben müssen beibehalten werden und sind unverändert wiederzugeben

• Folgende Namensnennung ist zur Nutzung im Rahmen der Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz notwendig:

Autoren:

IMTB Beschaffungsmanagement & Consulting GmbHOlaf Volz, GeschäftsführerSchumannstraße 14 b10117 [email protected]

IMTB Rechtsanwaltsgesellschaft für IT-, Kommunikations- und Vergaberecht mbH (IKV)Alexander Bock, GeschäftsführerGleimstraße 5010437 [email protected]

59

IMTB Rechtsanwaltsgesellschaft für IT-, Kommunikations- und Vergaberecht mbHGleimstraße 5010437 Berlin

E-Mail [email protected] www.imtb-ikv.de

Telefon +49 (0)30 486 259 95Telefax +49 (0)30 486 259 95

IMTB BMC GmbHSchumannstraße 14 b10117 Berlin E-Mail [email protected]

Internet www.imtb.de

Telefon +49 (0)30 440 483 24Telefax +49 (0)30 440 483 25

||||

Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag- Hamburger Vergabetag 2015 -

Vielen Dank für Ihre Aufmerksamkeit und Mitwirkung

Documents

Auslagerung von Daten und Cloud- Lösungen in Beschaffung und … · 2015-02-10 · Rechtlichen Grundlagen - Datenschutz Auslagerung von Daten und Cloud-Lösungen in Beschaffung und