Post on 05-Dec-2014
description
Datenschutz in der Cloud
So geht's richtig!
Dr. Marc StöringSecTXL'11, Hamburg11. August 2011
Bedeutung der Auftragsdatenverarbeitung
osborneclarke.de
Übermittlung an DritteFunktionsübertragung
Erhebung AnbieterDatensubjekt
Übermitt-lung
DatenverarbeiterVerarbei-
tung
osborneclarke.de
Übermittlung an DritteRechtfertigung?
• Einwilligung des Kunden
• Gesetzliche Rechtfertigung
– zur Vertragserfüllung
– Interessenabwägung
– Listenprivileg …
– …
liegen häufig nicht vor oder sind unzweckmäßig
osborneclarke.de
DatenschutzAuftragsdatenverarbeitung und § 9 BDSG
§ 3 Abs. 8 S. 3 BDSG
"Dritte sind nicht … Stellen, die … personenbezogene Daten im Auftrag
erheben, verarbeiten oder nutzen"
osborneclarke.de
Übermittlung an DritteAuftragsdatenverarbeitung
Weisungsfreiheit des Dienstleisters
Eigenverantwortlichkeit des Dienstleisters
Handeln des Dienstleisters im eigenen Namen gegenüber dem Betroffenen
Weisungsgebundenheit des Auftragnehmers
Fehlende Entscheidungsbe-fugnis des Auftragnehmers
Auftragnehmer tritt (gegenüber dem Betroffenen) nicht in eigenem Namen auf
FunktionsübertragungAuftragsdatenverarbeitung
osborneclarke.de
AnbieterErhebungDatensubjekt
Auftragnehmer
Auftrags-datenver-arbeitung
Übermittlung an DritteAuftragsdatenverarbeitung
Verarbei-tung
Die rechtlichen Herausforderungen
osborneclarke.de
Internationaler AspektBeschränkung auf EU/EWR
§ 3 Abs. 8 S. 3 BDSG
"Dritte sind nicht … Stellen, die …"
• im Inland,
• in der EU oder
• im EWR (EU zusammen mit Island, Liechtenstein, Norwegen)
"personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen"
osborneclarke.de
KontrollpflichtenAuftragsdatenverarbeitung und § 9 BDSG
§ 9 S. 1 BDSG
"Stellen, die .. im Auftrag personenbezogene Daten erheben, verarbeiten oder
nutzen, haben … insbesondere die in der Anlage … genannten Anforderungen
zu gewährleisten"
§ 11 Abs. 2 BDSG
"Der Auftraggeber hat sich … regelmäßig von der Einhaltung der beim
Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu
überzeugen"
osborneclarke.de
KontrollpflichtenTechnische und organisatorische Maßnahmen
Aus der Anlage zu § 9 S.1 BDSG
• "Zutrittskontrolle"
• "Zugangskontrolle"
• "Zugriffskontrolle"
• "Weitergabekontrolle"
• "Eingabekontrolle"
• "Auftragskontrolle"
• "Verfügbarkeitskontrolle"
• Gebot der Trennung nach Zweck
osborneclarke.de
Die rechtlichen Herausforderungen Fazit für das Cloud Computing
• Faktische Beschränkung auf Anbieter aus EU, EWR
• Zumindest im Falle des Public Cloud Computings Kontrollpflichten kaum wahrzunehmen
• In der (Virtual) Private Cloud jedoch lösbar (solange der Anbieter wirklich nur Datenverarbeiter bleibt)
So geht's richtig – technische Lösung
osborneclarke.de
Klassisches RZ
• Die WAN-Verbindung ist verschlüsselt
• Im RZ liegen die Daten im Klartext – Das RZ ist auditierbar geschützt
Technische Lösung Sicherheit im klassischen RZ
osborneclarke.de
Could Computing
• Keine physischen Barrieren – Sicherheit durch Verschlüsselung
Technische Lösung Sicherheit in der Cloud
osborneclarke.de
Dank Verschlüsselung erfolgt eine technisch beschlagnahmesichereSpeicherung der Daten
• Niemand ist technisch in der Lage, die Vertraulichkeit global aufzuheben
• Einziger Sicherheitsanker: Das Geheimnis des Teilnehmers
Technische Lösung Resultat der Verschlüsselung
osborneclarke.de
• Anonymisierte Daten sind für den die Daten erhaltenden Anbieter keine personenbezogenen Daten i. S. v. § 3 Abs. 1 BDSG, Vorschriften des BDSG sind nicht anwendbar.
• Einzelheiten zwar umstritten, Konzept trägt aber in der Praxis
• Verschlüsselung erleichtert in jedem Fall die Interessensabwägung nach § 28 BDSG und vor allem die Auftragsdatenverarbeitung (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle)!
Technische Lösung Bedeutung der Verschlüsselung
So geht's richtig – rechtliche Lösungen
osborneclarke.de
Cloud Computing ist ohne Auftragsdatenverarbeitung verwendbar bei Daten ohne Personenbezug und ohne Personenbeziehbarkeit
Prüfen Sie dennoch, welche Daten Sie wie in die Cloud geben. Auch nicht dem Bundesdatenschutzgesetz unterfallene Daten können etwa als Geschäftsgeheimnis kritisch sein
Verschlüsselung trägt als Lösung für beide Aspekte
Erforderlichkeit der ADV vermeidenFehlende Personenbeziehbarkeit
osborneclarke.de
EU-Standardvertragsklauseln
• Übermittlung an Dritten liegt vor
• Lücken mit Wertungen von § 11 BDSG ausfüllen
• Rechtfertigung der Übermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG
• § 28 Abs. 6 BDSG als Grenze
– Nicht in die Cloud dürfen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (§ 3 Abs. 9 BDSG)
Erforderlichkeit der ADV vermeidenEU-Standardvertragsklauseln als Alternative
osborneclarke.de
In der Praxis teilweise als Erlaubnistatbestand missverstanden
• Übermittlung an sichere Drittstaaten; oder
• Safe-Harbor
Diese Mechanismen erfüllen lediglich die zusätzlichen Anforderungen nach § 4b BDSG, rechtfertigen aber nicht die eigentliche Übermittlung
Erforderlichkeit der ADV vermeidenVermeintliche Alternativen
osborneclarke.de
Anbieter in EU/EWR auswählen
• Entscheidend ist der Serverstandort
• Komplexe Kettenvertragsverhältnisse mit Anbietern aus verschiedenen Ländern sind möglich
So geht's richtigTerritoriale Beschränkung
osborneclarke.de
• Suchen Sie den Anbieter sorgfältig aus
• Verschlüsseln Sie Daten nach Möglichkeit
• Sorgen Sie für eine Auditierbarkeit – idealerweise der Daten, sonst der Technologien und Prozesse
• Achten Sie auf Transparenz! Können Sie die Aussagen der Anbieter prüfen?
So geht's richtigBest Practices
osborneclarke.de
Ansprechpartner
Dr. Marc StöringRechtsanwaltT +49 (0) 221 5108 4206F +49 (0) 221 5108 4267
marc.stoering@osborneclarke.de