Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
-
Upload
rene-buest -
Category
Technology
-
view
1.023 -
download
0
description
Transcript of Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Copyright © 2013 by renebuest research | René Büst
Berlin, 25. April 2013
René Büst
BvD-Datenschutztage 2013 // #Workshop
Cloud Computing
„Entscheidungshilfe für den Datenschutzbeauftragten“
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 2
AgendaDie Inhalte des Vortrags
Cloud Computing
Hinweise für den DSB Q & A
Copyright © 2013 by renebuest research | René Büst
René Büst
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 4
René BüstCloud Computing & Technologie Analyst und Advisor
Technologie Analyst & Advisor● Cloud Computing ● Mobile● New Work● Business Technology
Tätigkeitsbereiche● Content & Lectures● Research & Analysis● Advisory & Strategy
Publikationen● CloudUser.de● div. Blogs● u.a. Computerwoche.de
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 5
CloudUser.deBlog über Cloud Computing, IT-Infrastrukturen, IT-Management und Strategien
Copyright © 2013 by renebuest research | René Büst
Cloud Computing
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 7
Cloud ComputingHintergrund und Bedeutung
Flexibler Bezug von IT-Ressourcen über eine Datenverbindung, bevorzugt das Internet.
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 8
Cloud ComputingHintergrund und Bedeutung
FlexibelOn-Demand + Pay per use
1. On-DemandWenn die Ressource benötigt wird.
2. Per pay useExakte Abrechnung der beanspruchten Ressource.
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 9
Cloud ComputingHintergrund und Bedeutung | Cloud Bereitstellungsmodelle
Ressourcen
Applikationen Plattformen Infrastrukturen
Bereitstellung von Services
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 10
Cloud ComputingHintergrund und Bedeutung | Cloud Arten
Bereitstellung von Services
Public Privat Hybrid Community
Copyright © 2013 by renebuest research | René Büst
Zahlen vom Bitkom
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 12
Zahlen vom BitkomCloud Computing im Jahr 2012 in Deutschland
Jedes dritte deutsche* Unternehmen nutzt Lösungen aus der Cloud.
Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx
2011 2012
22 Prozent planen
28 Prozent nutzen
9 Prozent
Wachstum(Einsatz)
29 Prozent planen
37 Prozent nutzen
* 43
6 b
efra
gte
Unt
ern
ehm
en
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 13
Zahlen vom BitkomCloud Computing im Jahr 2012 in Deutschland
Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx
20 – 99Mitarbeiter
26 Prozent
Einsatz in Bezug auf die Unternehmensgröße.
100 – 199Mitarbeiter
ab 2000Mitarbeiter
45 Prozent
65 Prozent
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 14
Zahlen vom BitkomCloud Computing im Jahr 2012 in Deutschland
Grund: 79 Prozent haben Angst vor Datenverlust.
Vorbehalte gegenüber der Public Cloud.
2011 2012
7 Prozent planen
6 Prozent nutzen
4 Prozent
Wachstum(Einsatz)
11 Prozent planen
10 Prozent nutzen
Qu
elle
: h
ttp
://w
ww
.bitk
om
.org
/de
/pre
sse
/84
77
_7
51
40
.asp
x
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 15
Zahlen vom BitkomCloud Computing im Jahr 2012 in Deutschland
Forrester: „70 Prozent der Private Clouds sind keine Clouds.“
Die Deutschen bevorzugen die Private Cloud.
2011 2012
22 Prozent planen
27 Prozent nutzen
7 Prozent
Wachstum(Einsatz)
29 Prozent planen
34 Prozent nutzen
Qu
elle
: h
ttp
://w
ww
.bitk
om
.org
/de
/pre
sse
/84
77
_7
51
40
.asp
x
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 16
Zahlen vom BitkomCloud Computing im Jahr 2012 in Deutschland
79 Prozent haben Angst vor Datenverlust
Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx
Copyright © 2013 by renebuest research | René Büst
Hinweise für den DSB
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 18
Hinweise für den DatenschutzbeauftragtenDie Richtung spielt keine Rolle
Copyright © 2013 by renebuest research | René Büst
Was muss Wie geregelt sein?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 20
Was muss Wie geregelt sein?Cloud Computing Konformität
● Verantwortung und Verträge
● Outsourcing
● Datensicherheit
● Datenschutz
Copyright © 2013 by renebuest research | René Büst
Verantwortung und Verträge
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 22
Was muss Wie geregelt sein?Cloud Computing Konformität | Verantwortung und Verträge
● Was?● Rechte und Pflichten messbar festlegen● Leistungserbringung beanstanden können
● Wie?● EVB-IT vom CIO des Bundes [1]
– „Ergänzende Vertragsbedingungen für die Beschaffung von Informationstechnik (EVB-IT)“
– Standardvorgehensweisen zur IT-Planung & -Steuerung– Deckt Großteil der Anforderungen des Bundesdaten-
schutzgesetz oder den Landesdatenschutzgesetzen ab.
Copyright © 2013 by renebuest research | René Büst
Outsourcing
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 24
Was muss Wie geregelt sein?Cloud Computing Konformität | Outsourcing
● Was?● Maßnahmen und Risikobehandlungen● IT-Sicherheitskonzept, Notfallkonzept, Vertragsgestaltung● Aus der Vergagenheit (80er, 90er) lernen
● Wie?● Baustein B1.11 des Grundschutzkatalogs
– Einsatzszenarien und Maßnahmenempfehlungen für Risikobehandlung im Bereich des Outsourcings nach BSI [3].
● Betrachtet u.a. technische und organisatorische Maßnahmen.
● Thematisiert ebenfalls Abhängigkeiten zu einem Anbieter.
Copyright © 2013 by renebuest research | René Büst
Datensicherheit
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 26
Was muss Wie geregelt sein?Cloud Computing Konformität | Datensicherheit
● Was?● Konkrete Sicherheitszusagen● Technische und organisatorische Maßnahmen
● Wie?● Publikationen der Anbieter
– Sicherheitsarchitektur, Empfehlungen zur Nutzung● Zertifizierungen und Zulassungen● ~100% Sicherheit nur durch Audit des Kunden
selbst.
Copyright © 2013 by renebuest research | René Büst
Datenschutz
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 28
Was muss Wie geregelt sein?Cloud Computing Konformität | Datenschutz
● Was?● Datensparsamkeit● Umgang mit personenbezogenen Daten● Umgang mit unternehmenskritischen Daten● Konkrete Zusagen zum Ort der Datenverarbeitung● Einhaltung des gewünschten Datenschutzniveaus
Eine Anwendung von Cloud-Diensten ohne konkrete Ortsvorgaben oder -zusagen zur Verarbeitung personenbezogener Daten ist datenschutzrechtlich nicht zulässig.
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 29
Was muss Wie geregelt sein?Cloud Computing Konformität | Datenschutz
● Wie?● Technische und organisatorische Maßnahmen zur
Auftragsdatenverarbeitung (§ 11 BDSG) nach § 9 BDSG.● Pflicht des Kunden: Regelmäßig prüfen ob die
gesetzlichen Anforderungen des § 9 BDSG (nach §11 BDSG) eingehalten werden.
● Prüfberichte oder Testate von Wirtschaftsprüfern● Nachweise für ISO/IEC 27001, SSAE 16 oder ISAE 3402● Vertraglich geregelte Datenschutz-Dokumentation
– Muss durch den DSB auf Einhaltung nach §9 BDSG geprüft werden.
Copyright © 2013 by renebuest research | René Büst
Welche Fragen stellen?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 31
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Erfüllt der Anbieter die rechtlichen Anforderungen?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 32
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Erfüllt der Anbieter die technischen Voraussetzungen für die rechtlichen Regelungen
und Bestimmungen?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 33
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Wo befindet sich der Rechtsstand und ist das mit den Unternehmensrichtlinien zu vereinbaren?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 34
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Ist der Anbieter nach <x> zertifiziert?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 35
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Kann der Anbieter nachweisen, dass er die Bestimmungen des BDSG einhält?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 36
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Verfügt der Anbieter über ein Konzept/ Dokumentation über die Umsetzung der technischen und organisatorischen Maßnahmen nach §9 BDSG?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 37
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Kann der Anbieter nachweisen, dass seine Mitarbeiter über das Datengeheimnis nach §5 BDSG
aufgeklärt wurden?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 38
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Nimmt der Anbieter besondere Maßnahmen bei der Auswahl und der Einstellung seiner
Mitarbeiter vor?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 39
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Verfügt der Anbieter über einen Datenschutzbeauftragten?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 40
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Wo werden die Daten verarbeitet?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 41
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Nennt der Anbieter die Standorte wie das Land und die Region?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 42
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Werden die Daten ggf. in einem für das Unternehmen nicht zulässigen Land gespeichert?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 43
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Werden personenbezogene Daten außerhalb der EU bzw. des EWR verarbeitet?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 44
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Entspricht die Datenhaltung den unternehmenseigenen Richtlinien?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 45
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Legt der Anbieter transparent offen, ob der Staat Zugriff auf die Daten erhält?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 46
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Werden die Daten vollständig von den Systemen entfernt, wenn diese von dem Kunden über den
Web Service gelöscht werden?
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 47
Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Wertet der Anbieter die Daten aus, um damit Werbung zu betreiben?
Copyright © 2013 by renebuest research | René Büst
Cloud Anbieter Checkliste
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 49
Cloud Anbieter ChecklisteÜberprüfen Sie den Cloud Computing Anbieter Ihrer Wahl
http://buest.de/cloud-anbieter-checkliste
Copyright © 2013 by renebuest research | René Büst
Aktiv mitgestalten
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 51
Aktiv mitgestaltenAgieren nicht reagieren
● Nicht reagieren● Nicht nur Absolution erteilen.
● Agieren● Sie kennen die kritischen Daten.
● Aktiv mitgestalten● Aktiv beteiligen und aufzeigen welche Daten
sensibel zu behandeln sind.
Copyright © 2013 by renebuest research | René Büst
Public Cloud ist kein Tabuthema
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 53
Public Cloud ist kein TabuthemaEs geht primär um das „was“ und sekundär um das „wie“
● Risiken analysieren● Risikoklassen identifizieren und einteilen
● Daten klassifizieren● Organisatorisches Thema● Personenbezogene Daten● Anonyme Daten● Unternehmenskritische Daten
● Daten verschlüsseln● Technologisches Thema
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 54
Public Cloud ist kein TabuthemaEs geht primär um das „was“ und sekundär um das „wie“
● Fragen stellen● Den richtigen Leuten die richtigen Fragen stellen.
● Informationen erheben● Je mehr Wissen über den Anbieter vorhanden ist,
desto besser.● Erhobene Daten sind auch für den
Datenschutzbeauftragten das heutige Gold.
Copyright © 2013 by renebuest research | René Büst
Q&A
Copyright © 2013 by renebuest research | René Büst
Quellen
Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 57
QuellenWeiterführende Informationen
[1] „EVB-IT und BVB“, IT-Beauftragte der Bundesregierung http://www.cio.bund.de/DE/IT-Beschaffung/EVB-IT-und-BVB/evb-it_bvb_node.html[2] „B 1.11 Outsourcing“, BSIhttps://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01011.html
[A] „Datenschutzwerkzeuge für die Cloud“, Sven Thomsen,
http://clouduser.de/gastbeitraege/datenschutzwerkzeuge-fur-die-cloud-6471[B] „Cloud Computing: Die rechtlichen Herausforderungen sind lösbar“, Jan Schneider
http://clouduser.de/gastbeitraege/die-rechtlichen-herausforderungen-sind-losbar-6405
Copyright © 2013 by renebuest research | René Büst
renebuest researchbusiness technology - analysis | strategy | advisory
René BüstHauptstr. 44a64401 Groß-Bieberau
Tel.: +49 6166 233 76 93E-Mail: [email protected]: http://renebuest.deBlog: http://clouduser.deTwitter: @ReneBuest