59
Sparkasse Rosenheim-Bad Aibling 05.07.22 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php? title=Datei:Preuss_Abteilwagen_C3_P9030016.JPG&filetimestamp=20061022235944

S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Embed Size (px)

Citation preview

Page 1: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Sparkasse Rosenheim-Bad Aibling

26.04.23Name, Vorname

Seite 1

Cloud Computing – datenschutzkonform

gestaltet Quelle: Joachim Müllerchen CC-BY-SA hhttp://de.wikipedia.org/w/index.php?title=Datei:Preuss_Abteilwagen_C3_P9030016.JPG&filetimestamp=20061022235944

Page 2: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Quelle Jorge Corcuera CC-BY-SAhttp://www.flickr.com/photos/51035727351@N01/6805523738

Dunkle Wolken am Cloud-Himmel?

Page 3: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Quelle. William Warby CC BA

http://www.flickr.com/photos/26782864@N00/5106781173

Grundlagen des

Datenschutzes

Grundrecht, Anwendung und Grundsätze

des BDSG

Page 4: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Jeder Mensch soll selbst bestimmen,

wer

was

wann

über ihn weiß.

Grundlagen des DatenschutzesGrundrechtsschutz

BVerfGE 65, 1 (Volkszählungsurteil) vom 15.12.1983„Recht auf informationelle Selbstbestimmung“

Irgendwer darf Irgendwer darf irgendwo auf der irgendwo auf der

WeltWeltirgendetwas irgendetwas

mit irgendwelchen mit irgendwelchen Daten machen !?Daten machen !?

Page 5: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Grundlagen des Datenschutzes Das Bundesdatenschutzgesetz

Irgendwer darf Irgendwer darf irgendwo auf der Weltirgendwo auf der Welt

irgendetwas irgendetwas mit irgendwelchen mit irgendwelchen Daten machen !?Daten machen !?

Page 6: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

In der Bundesrepublik Deutschland

Auch für ausländische Unternehmen mit einer Niederlassung in Deutschland

Wo gilt das Bundesdatenschutzgesetz?

BDSGRäumlicher Geltungsbereich

Page 7: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

BDSGGeschützt - Personenbezogene Daten„Personenbezogene Daten sind

Einzelangaben über

persönliche und sachliche Verhältnisse

einer bestimmten oder bestimmbaren

natürlichen Person (Betroffener)“.

(§ 3 Abs. 1

BDSG)

Page 8: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

BDSG: Der AnwendungsbereichPersonenbezogene Daten (pbD)

alle Angaben, die sich auf eine bestimmte oder aber auch nur bestimmbare natürliche Person beziehen

Beispiele:

Kreditkarten-nummer

Name

Adresse Gehalt

Geburtsjahr

Vermögens-verhältnisse

Telefon-nummerWohn-

verhältnisse

IT-Abteilung

Page 9: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Name

Bestimmt :Identität ergibt sich direkt aus dem Datum selbst

BDSG: Der AnwendungsbereichPersonenbezogene Daten (pbD)

Page 10: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Bestimmbar: Identität feststellbar durch Kombination des Datums mit anderer Information

IP-Adresse

Abgleich mit Providerdaten

BDSG: Der AnwendungsbereichPersonenbezogene Daten (pbD)

Bestimmt :Identität ergibt sich direkt aus dem Datum selbst

Page 11: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

BDSG: Der AnwendungsbereichPersonenbezogene Daten (pbD)

Studie Carnegie Mellon University, 2000 :

Geschlecht

+ ZIP-Code (PLZ)

+ Geburtsdatum

87 % der US-Bürger

Page 12: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

BDSG: Kein/eingeschränkter PersonenbezugKein/eingeschränkter PersonenbezugAnonymisierung / Pseudonymisierung

Name1Ax?3%4$#

„bestimmbar“

IP-Adresse

Abgleich …

Page 13: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

1Ax?3%4$#

BDSG: Der AnwendungsbereichAnonymisierung / Pseudonymisierung in der Cloud?

Name

Cloud: meist pbD von Kunden oder Mitarbeitern !

S1241099
Page 14: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

BDSG: KeinKein AnwendungsbereichUngeschützt - juristische Personen

GmbH AG

Quelle: Ben Schumin CC BY-SA,, http://www.flickr.com/photos/64873675@N00/9722786672

KGaA e.V.

e.G.

Page 15: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Grundlagen des DatenschutzesAnwendungsbereich des BDSG

Umgangmit personenbezogenen

Daten

speichern verändern

übermitteln sperren löschen

Erheben Verarbeiten Nutzen

mittels automatisierter Verarbeitung

oder in nicht automatisierter Datei Anwendungsbereich des BDSG

Page 16: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

BDSG:Verbot mit Erlaubnisvorbehalt

Quelle: .aditya CC-BY-SAwww.flickr.com/photos/7517448@NOO/37276833263

Erhebung/Verarbeitung/Nutzung personenbezogener Daten

ist unzulässig

,sofern nicht ein Gesetz dies erlaubt/anordnet

oder

Betroffener einwilligt

(§ 4 Abs. 1 BDSG)

Page 17: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Dritter

Grundbegriffe des BDSG: Übermittlung

für Durchführung erforderlich

Abwägung mit

schutzwürdigen Interessen

des Betroffenen

Gem. § 28 BDSGzulässig, soweit…

Page 18: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Interessenabwägung als Rechtfertigung

Glaubhaftmachung kann im Einzelfall schwierig sein

Probleme:Zusätzliche Vertragsgestaltung zum Betroffenen- schutz (§ 11 BDSG analog)

Abwägung mit Abwägung mit schutzwürdigen schutzwürdigen Interessen des Interessen des

BetroffenenBetroffenen

Page 19: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

BDSG – die Einwilligung Wirksamkeitsvoraussetzungen

• freiwillig

• transparent

• schriftlich

Page 20: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

BDSG - die EinwilligungUnpraktikabel für die Cloud

„Wenn es dem Cloud-Nutzer um eine pauschale Verlagerung vonTeilen oder der kompletten Daten-verarbeitung geht, dürfte der Weg über Einwilligungen regelmäßig unpraktikabelunpraktikabel sein, da bei nicht nicht erteiltenerteilten oder später widerrufenenspäter widerrufenen Einwilligungen eine Auslagerung aufgrund fehlender Rechtsgrund-lage nicht (mehr) zulässig wäre.“

Page 21: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Quelle. William Warby CC BA

http://www.flickr.com/photos/26782864@N00/5106781173

Die

Auftragsdatenverarbeitung

Die Vorgaben

des § 11 BDSG

Page 22: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Was ist Auftragsdatenverarbeitung?

bleibt „Herr der Daten“

weisungsgebunden

Page 23: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Auftragsdaenverarbeitung:Ihre „Abteilung“ – Ihre Verantwortung

Rechtsfolge:

Ihr Unternehmen bleibt als Cloud-Nutzerin„verantwortliche Stelle“ i.S.d.Bundesdatenschutzgesetzes

auch für Anbieter

und Unteranbieterund Unterunteranbieter …!

Page 24: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Erkennungsmerkmale der Auftragsdatenverarbeitung

• fehlende Entscheidungsbefugnis des Auftragnehmers• Weisungsgebundenheit des Auftragsnehmers bezüglich

dessen, was mit den Daten geschieht• Umgang nur mit Daten, welche der Auftraggeber zur

Verfügung stellt, es sei denn, der Auftrag ist auch auf die Erhebung personenbezogener Daten gerichtet

• der Auftrag ist auf die praktisch-technische Durchführung gerichtet, die aber nach außen hin vom Auftraggeber vertreten wird.

Cloud ist klassische Auftragsdatenverarbeitung!

Page 25: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

1. Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählenauswählen.

2. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog)

3. Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen.

4. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.

Auftragsdatenverarbeitung - zentrale ProblemeAuswahl und Prüfung des Auftragnehmers

Page 26: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

… „Der Auftraggeber hat sich vor Beginnvor Beginn der Datenverarbeitung und sodann sodann regelmäßigregelmäßig von der Einhaltung der beim Auftraggeber getroffenen technischen und organisatorischen Maßnahmen zu überzeugenüberzeugen. Das Ergebnis ist zu dokumentierendokumentieren.“…

Auftragsdatenverarbeitung - zentrale ProblemeAuswahl und Prüfung des Auftragnehmers

Page 27: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Auftragsdatenverarbeitung - zentrale ProblemeAuswahl des Auftragnehmers

Vor-Ort-Prüfung ?

Wo sind meine Daten?

Page 28: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Testierung:

Zertifizierung:

Auftragsdatenverarbeitung - zentrale ProblemeAuswahl des Auftragnehmers

Wirtschaftsprüfer

Rechtsanwalt …

Page 29: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Auftragsdatenverarbeitung - zentrale ProblemeDer Vertrag

1. Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.

2. Der Auftragnehmer ist schriftlichschriftlich zu beauftragen. (10-Punkte-Katalog)

3. Der Auftraggeber muss dem Auftragnehmer Weisungen zur Verarbeitung und/oder Nutzung der Daten erteilen.

4. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.

Page 30: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Auftragsdatenverarbeitung – zentrale ProblemeDer 10-Punkte-Katalog

Im Vertrag müssen in einem exakten Leistungsverzeichnis und exakten Leistungsverzeichnis und Pflichtenkatalog Pflichtenkatalog „„im Einzelnen“ festgelegt werden (können)

1. Gegenstand und Dauer des Auftrags,2. Umfang, Art und Zweck von Erhebung, Verarbeitung oder

Nutzung von Daten, Art der Daten und Kreis der Betroffenen,3. technische und organisatorische Maßnahmen,4. Berichtigung, Löschung und Sperrung von Daten,5. Pflichten des Auftragnehmers, insbesondere von ihm

vorzunehmende Kontrollen, 6. etwaige Berechtigung zur Begründung von

Unterauftragsverhältnissen,7. Kontrollrechte des Auftraggebers und Duldungs- und

Mitwirkungs-pflichten des Auftragnehmers,8. mitzuteilende Verstöße des Auftragnehmers oder der bei ihm

beschäftigten Personen gegen Vorschriften zum Schutz personenbezogener Daten oder im Auftrag getroffene Festlegungen,

9. Umfang der Weisungsbefugnisse, die sich der Auftraggeber vorbehält,

10. Rückgabe überlassener Datenträger und die Löschung beim Auftragnehmer gespeicherter Daten nach Beendigung des Auftrags.

Page 31: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Voraussetzungen des § 11 BDSGBeispiel: Technisch und organisatorische Maßnahmen

Page 32: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Voraussetzungen des § 11 BDSGTOMs: Was meint die Aufsicht?

„Security by obscurity“

ungeeignet !

http://www.lda.bayern.de/lda/datenschutzaufsicht/lda_daten/auftragsdatenverarbeitung.pdf

Page 33: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Voraussetzungen des § 11 BDSG

1. Der Auftraggeber muss den Auftragnehmer unter Berücksichtigung der Eignung und der getroffenen technischen und organisatorischen Maßnahmen sorgfältig auswählen.

2. Der Auftragnehmer ist schriftlich zu beauftragen. (10-Punkte-Katalog)

3. Der Auftraggeber muss dem Auftragnehmer WeisungenWeisungen zur Verarbeitung und/oder Nutzung der Daten erteilen.

4. Der Auftraggeber muss die Einhaltung der erteilten Weisungen überprüfen.

Kompensation durch Options-

angebote (Ressourcen, Länder,

Sicherheitsniveaus…)

Page 34: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Musterhaft gelöst

https://www.ldi.nrw.de/mainmenu_Datenschutz/submenu_Datenschutzrecht/Inhalt/Auftragsdatenverarbeitung/Inhalt/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG/Mustervereinbarung_zur_Auftragsdatenverarbeitung_nach____11_BDSG.php

Page 35: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Auftragsdatenverarbeitung – zentrale ProblemeStellungnahme 05/2012 zum Cloud Computing

„Das Ungleichgewicht in der Vertragsposition zwischen einem kleinen für die Verarbeitung Verantwortlichen und großen Dienstleistern darf nicht als Rechtfertigung dafür gelten, dass für die Verarbeitung Verantwortliche Vertragsklauseln und –bedingungen akzeptieren, die gegen das Datenschutzrecht verstoßen.“

Page 36: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Cross Border: Über den Wolken muss die Freiheit wohl grenzenlos sein …

Grundsatz:

im jeweiligen Staat, in dem die Daten verarbeitet werden sollen, muss ein angemessenes angemessenes Datenschutzniveau Datenschutzniveau bestehen. (EG-DatenschutzRiLi und § 4 b Abs. 2 S. 2 BDSG)

Konsequenz:

Datentransfer in Drittland ohne angemessenes Datenschutzniveaus unzulässigunzulässig

Page 37: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Cross Border – das angemessene Datenschutzniveau:Die innerinnereuropäische Cloud

Harmonisiertes Datenschutzniveau

(EG-Datenschutzrichtlinie 95/46/EG - DSRL)§ 3 Abs. 8 BDSG: „Dritte sind nichtnicht … Stellen, die

…, in … der Europäischen der Europäischen Union Union oder in einem anderen

Vertragsstaat des Abkommens

über den Europäischen Europäischen WirtschaftsraumWirtschaftsraum

personenbezogene Daten im im Auftrag … verarbeiten Auftrag … verarbeiten ….“

Auftragsdatenver-Auftragsdatenver-arbeitung möglicharbeitung möglich

Page 38: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Quelle. William Warby CC BA

http://www.flickr.com/photos/26782864@N00/5106781173

Die Übermittlung in

Drittländer

Page 39: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Cloud Computing in Drittländern

• als Auftragsdatenverarbeitung nicht möglich, weil Empfänger ein „Dritter“ ist (§ 3 Abs. 8 S. 2 BDSG)

• deshalb nur Übermittlung

Cross Border Die außeraußereuropäische Cloud – nur als Übermittlung

Rechtsgrundlage erforderlich Rechtsgrundlage erforderlich !!

Page 40: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

- Jersey

-Australien

-Guersney

- Argentinien

Derzeit bestehen grundsätzlich Angemessenheitsentscheidungen gem.Art. 25 Abs. 6 DSRL für

Cross Border – das angemessene DatenschutzniveauDie EU-Kommission hat gesprochen

-Schweiz

- Isle of Man

- Kanada

Quelle. William Warby CC BA

http://www.flickr.com/photos/26782864@N00/5106781173

Page 41: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Cross Border:Die USA – (k)ein sicherer Hafen?

Quelle: David Cohen CC BY

http://www.flickr.com/photos/55838353@N00/2940114880

Safe Harbor

– eigentlich kein angemessenes Schutzniveau in den USA

– Safe Harbor : Abkommen zwischen der EU und den USA

– Übermittlung dann möglich, wenn Unterwerfung unter Safe Harbor

Page 42: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Cross Border:Die USA – (k)ein sicherer Hafen?

Quelle: David Cohen CC BY

http://www.flickr.com/photos/55838353@N00/2940114880

– Probleme: Faktischer Prozess der SelbstzertifizierungFTC-Liste nicht aktuellErhebliche Vollzugsdefizite der FTC

– Folge: Weitere Maßnahmen erforderlich (Zertifikat gültig und pbD hiervon erfasst, Verpflichtung zur Zusammenarbeit mit EU- DSB , Infos für Auskünfte an Betroffene) , lfd. Kontrolle (analog § 11 Abs. 2 S. 3 BDSG)

– Absicherung/Nachweis der Compliance, bestenfalls durch EU Standardvertragsklauseln oder § 11 –BDSG-Vertrag

Page 43: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

„Allerdings hat die Kommission stets betont, dass die nationalen Aufsichts-behörden die Datenübermittlung dorthin aussetzen können, wenn eine "hohe Wahrscheinlichkeit" besteht, dass die Safe-Harbor-Grundsätze oder Standardvertragsklauseln verletzt sind. Dieser Fall ist jetzt eingetreten. …Deshalb fordert die Konferenz die Bundesregierung auf, plausibel darzulegen, dass der unbeschränkte Zugriff ausländischer Nachrichtendienste auf die personenbezogenen Daten der Menschen in Deutschland effektiv im Sinne der genannten Grundsätze begrenzt wird. Bevor dies nicht sichergestellt ist, werden die Aufsichtsbehörden für den Datenschutz keine neuen Genehmigungen für die Datenübermittlung in Drittstaaten (zum Beispiel … Nutzung bestimmter Cloud-Dienste) Cloud-Dienste) erteilen und prüfen, ob solche Datenübermittlungen auf der Grundlage des Safe-Harbor-Safe-Harbor-Abkommens … auszusetzen Abkommens … auszusetzen sind.“

Konferenz der Datenschutzbeauftragten vom 24.07.2013

Cross Border:Die USA – (k)ein sicherer Hafen?

Europarechtlich zweifelhaft (?)

Zuständig EU-Kommission (Art. 25 Abs. 6 DSRL) ?

Page 44: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

cross-border:EU-Standardvertragsklauseln

• Vertragliche Regelungen zur Datenübermittlung

• müssen unverändert unverändert übernommen werden

Page 45: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

cross-border:EU-Standardvertragsklauseln

– Zusätzlich analoge Anwendung des § 11 Abs. 2 BDSG erforderlich

– Empfehlung:

Abschluss eines zweiten Vertrages oder eines Annex mit der 10-Punkte-Regelung nach § 11 Abs. 2 BDSG

Page 46: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

§ 43 BDSG Bußgeldvorschrift

(1)Ordnungswidrig handelt, wer vorsätzlich oder fahrlässig …

2b.entgegen § 11 Absatz 2 Satz 2 einen Auftrag nicht nicht richtigrichtig, nicht vollständignicht vollständig oder nicht in der vorgeschriebenen Weisevorgeschriebenen Weise erteilt oder entgegen § 11 Absatz 2 Satz 4 sich nicht vor Beginn der Datenverarbeitung von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen überzeugt, …

(3) Die Ordnungswidrigkeit kann im Fall des Absatzes 1 mit einer Geldbuße bis zu fünfzigtausend Eurofünfzigtausend Euro, in den Fällen des Absatzes 2 mit einer Geldbuße bis zu dreihunderttausend Eurodreihunderttausend Euro geahndet werden. Die Geldbuße soll den wirtschaft-lichen Vorteil, den der Täter aus der Ordnungswidrigkeit gezogen hat, übersteigen. Reichen die in Satz 1 genannten Beträge hierfür nicht aus, so können sie überschritten werden.

Page 47: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h
Page 48: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Überlegenswert: Überlegenswert:

VerschlüsselnVerschlüsseln

Praxistipps für die Nutzung von Cloud Computing

Page 49: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Wählen Sie den Cloud-Anbieter sorgfältig aus!Wählen Sie den Cloud-Anbieter sorgfältig aus!Zertifizierungen, Audits, Angebotsmaterial,

Praxistipps für die Nutzung von Cloud Computing

Page 50: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Fragen Sie nach, in wo der Cloud-Anbieter Fragen Sie nach, in wo der Cloud-Anbieter einschl. einschl.

evtl. Niederlassungen/Subunternehmer evtl. Niederlassungen/Subunternehmer seinen Sitz und (!) seine Server-Standorte hat !seinen Sitz und (!) seine Server-Standorte hat !

(Deutschland, innerhalb/außerhalb EU/EWR)?

Praxistipps für die Nutzung von Cloud Computing

Page 51: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Vorsicht bei Cloud-Anbietern aus den USA:Vorsicht bei Cloud-Anbietern aus den USA:Erkundigen Sie sich zumindest danach, ob der Anbieter dem

„U.S. Safe Harbor-Abkommen“ beigetreten ist und ob er Nachweise zur Einhaltung dieses Abkommens vorlegen kann.

Praxistipps für die Nutzung von Cloud Computing

Page 52: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

DatenübermittlungDatenübermittlungin Clouds außerhalb EWR problematisch in Clouds außerhalb EWR problematisch

und und ohne konkrete Prüfung nicht ohne konkrete Prüfung nicht

empfehlenswert.empfehlenswert.

Praxistipps für die Nutzung von Cloud Computing

Page 53: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Vergewissern Sie sich, dass rechtlich und Vergewissern Sie sich, dass rechtlich und tatsächlich allein Ihr Unternehmen die tatsächlich allein Ihr Unternehmen die

vollständige Weisungs- und vollständige Weisungs- und Verfügungsbefugnis über die Daten hat.Verfügungsbefugnis über die Daten hat.

Marketing o.ä. mit Ihren Daten?

Praxistipps für die Nutzung von Cloud Computing

Page 54: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Treffen Sie mit dem Cloud-Anbieter eine Treffen Sie mit dem Cloud-Anbieter eine schriftliche schriftliche

Auftragsdatenverarbeitungsvereinbarung.Auftragsdatenverarbeitungsvereinbarung.

Praxistipps für die Nutzung von Cloud Computing

Page 55: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Kontrollieren und dokumentieren Sie die Einhaltung Kontrollieren und dokumentieren Sie die Einhaltung der technischen-organisatorischen Maßnahmen der technischen-organisatorischen Maßnahmen

beim Cloud-Anbieter vor Vertragsbeginn und dann beim Cloud-Anbieter vor Vertragsbeginn und dann regelmäßig.regelmäßig.

Kontrolle vor Ort nicht immer zwingend, andere Prüfmaßnahmen genügen im Einzelfall.

Praxistipps für die Nutzung von Cloud Computing

Page 56: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Für Leseratten:BSI-Eckpunktepapier

https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Mindestanforderungen/Eckpunktepapier-Sicherheitsempfehlungen-CloudComputing-Anbieter.pdf?__blob=publicationFile

• Sicherheitsempfehlungen für Cloud Computing Anbieter , für Nutzer interessant

•„weitergehende Ausarbeitungen und Detaillierungen zum Themenbereich Cloud Computing werden (…) im IT-Grundschutz einfließen, beispielsweise in Form von IT- Grundschutz-Bausteinen.“

•„Geplant ist die Entwicklung von IT- Grundschutzbausteinen“

• Q4 2013

Page 57: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Für Leseratten:Orientierungshilfe Cloud Computing

http://www.bfdi.bund.de/DE/Themen/TechnologischerDatenschutz/TechnologischeOrientierungshilfen/Artikel/OHCloudComputing.html?nn=409206

Page 58: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Fazit:Thilo Weichert

Page 59: S Sparkasse Rosenheim-Bad Aibling 12.03.2014 Name, Vorname Seite 1 Cloud Computing – datenschutzkonform gestaltet Quelle: Joachim Müllerchen CC-BY-SA h

Vielen Dank für die

Aufmerksamkeit !!!