SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrauenswürdiges Cloud...

Konzepte und Bedingungen für vertrauenswürdiges Cloud Computing


2

www.datenschutzzentrum.de

Inhaltsüberblick

1) Cloud Computing?

2) Der Bezug zum Datenschutzrecht

3) Auftragsdatenverarbeitung und Übermittlung

4) Mögliche Lösungsansätze

5) Schlussfolgerungen


3


1.) Cloud Computing?

• Auslagerung von IT über Netzwerke

• Im Gegensatz zum vollständigen Outsourcing: geteilter Pool skalierbarer Ressourcen

• Gängige Servicemodelle:


4


Anwendungsmodelle des Cloud Computing


5


Die Cloud – vertrauenswürdig?

• Microsoft’s UK head admitts that no cloud data is safe from the Patriot Act — and Microsoft will hand it over to U.S. authorities. zdnet.com 28.06.2011

• Google-Server in Europa vor US-Regierung nicht sicher. wiwo.de 06.08.2011

• Cloud-Dienste von Amazon in Irland für mehrere Stunden gestört nach Blitzschlag. Snapshots zur Datensicherung fehlerhaft. heise.de 08.08.2011


6


2.) Der Bezug zum Datenschutzrecht

• Anwendbarkeit: personenbezogene Daten, § 3 (1) BDSG

= Alle Informationen, die bestimmten oder bestimmbaren natürlichen Personen zugeordnet werden können

• Diese natürliche Person ist somit Betroffener• Juristische Personen (Unternehmen) demnach nicht geschützt

• Anwendbares Recht: Wird durch Sitzlandprinzip bestimmt

• Innerhalb BRD + EU Auftragsdatenverarbeitung n. § 11 BDSG möglich

• Cloud Services = i. d. R. typische Auftragsdatenverarbeitung


7


Die Verantwortlichkeit für Datenverarbeitung in der Cloud

• Cloud-Kunde = verantwortliche Stelle, § 3 (7) BDSG

Cloud-Kunde – derjenige, der den Dienst in Anspruch nimmt Nicht notwendig immer identisch mit dem Betroffenen!

Betroffener ist derjenige, auf den sich die Daten beziehen

• Verantwortlichkeit des Kunden von Cloud Diensten für: Wahrung der Betroffenenrechte Einhaltung gesetzlicher Vorgaben

• Verantwortung im Regelfall nicht übertragbar!• Verantwortung mehrerer ist möglich

• Es kommt immer darauf an, wer den Datenverarbeitungsprozess tatsächlich beherrscht


8


Hürden konkreter Umsetzung

• Umsetzung der allgemeinen Grundsätze von Transparenz, Information, Kontrolle und Durchsetzung

• Keine direkter Einfluss des Cloud-Kunden mehr bei bleibender Verantwortung

• „Ausgelagerte“ Kontrolle

• Cloud Provider gibt die Rahmenbedingungen von Datenschutz und Datensicherheit vor


9


9

Datenschutz – keine einfache Sache…z. B.: Artikel 8 EU-Datenschutzrichtlinie zur Verarbeitung besonderer Kategorien personenbezogener

Daten

• (1) Die Mitgliedstaaten untersagen die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie von Daten über Gesundheit oder Sexualleben.

• (2) Absatz 1 findet in folgenden Fällen keine Anwendung:

• a) Die betroffene Person hat ausdrücklich in die Verarbeitung der genannten Daten eingewilligt, es sei denn, nach den Rechtsvorschriften des Mitgliedstaats kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden; oder

• b) die Verarbeitung ist erforderlich, um den Rechten und Pflichten des für die Verarbeitung Verantwortlichen auf dem Gebiet des Arbeitsrechts Rechnung zu tragen, sofern dies aufgrund von einzelstaatlichem Recht, das angemessene Garantien vorsieht, zulässig ist; oder

• c) die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten erforderlich, sofern die Person aus physischen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu geben; oder

• d) die Verarbeitung erfolgt auf der Grundlage angemessener Garantien durch eine politisch, philosophisch, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation, die keinen Erwerbszweck verfolgt, im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, daß sich die Verarbeitung nur auf die Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die Daten nicht ohne Einwilligung der betroffenen Personen an Dritte weitergegeben werden; oder

• e) die Verarbeitung bezieht sich auf Daten, die die betroffene Person offenkundig öffentlich gemacht hat, oder ist zur Geltendmachung, Ausübung oder Verteidigung rechtlicher Ansprüche vor Gericht erforderlich.

• (3)….


10


3.) Auftragsdatenverarbeitung und Übermittlung

• Durch Cloud Service werden Daten im Auftrag verarbeitet• Der Cloud-Kunde ist Auftraggeber• Der Cloud Service Provider ist weisungsgebundener Auftragnehmer

• Strenge Voraussetzungen – 10 Punkte-Katalog nach § 11 BDSG

• Dieser betrifft vor allem die Bereiche der

Auftragsspezifierung, (z.B. Zweck + Dauer der Datenverarbeitung)

Betroffenenrechte Obliegenheiten des Auftragnehmers Kontrollrechte des Auftraggebers


11


Auftragsdatenverarbeitung

• Vertragsgestaltung bei IT-Verträgen Erfahrungen aus EVB-IT nutzen Leistungsflüsse festlegen, Rechte und Pflichten

definieren „Balancierte IT-Sicherheit“

Sicherheitsleistungen des Auftragnehmers mit denen des Auftraggebers abgleichen

Notfallvorsorge beim Outsourcing (geordneter) Wechsel des Anbieters plötzlicher Ausfall des Anbieters

11


12


Auftragsdatenverarbeitung

• Prüfen von Auftragsdatenverarbeitung Vor Ort? Wirtschaftlichkeitsbetrachtung? Ziel: Automatisierte Prüfbarkeit Weg:

Erhöhte Transparenz in administrative Prozesse beim AN

Automatisierter Nachweis von korrekten Prozessabläufen

Automatisierte, verlässliche Alarmierung bei Verstößen gegen definierte Prozessabläufe

Zertifizierungen (automatisiert prüfbar!)

12


13


Allgemeine Sicherheitsaspekte

• Etablierte Maßnahmen bezgl. „Stand der Technik“ vgl. BSI Grundschutz vgl. ISO27001 vgl. ITILv3

• Umsetzung ist Grundvoraussetzung für Sicherheitsnachweis im Cloud Computing

13


14


Besondere Sicherheitsaspekte

• „Fremdgesteuerte Virtualisierung“ Sicherheit der administrativen Frontends

2-Faktor-Authentifizierung Transportverschlüsselung „mandantenfähige Administrations-Tools“

Sicherheit der „Virtualisierungs-Ebene“ Sicherheit von Hypervisoren Sicherheit von Sandboxes bzw. Plattformen Sicherheit von Anwendungssoftware

14


15



• Verfügbarkeit Redundanz der eigenen Netzanbindung Redundanz prüfen:

keine Reseller desselben Backbones dedizierte, redundante Leitungsführung

nachweisen Datensicherungs- und Notfallkonzepte

überarbeiten

15


16



• „Der Anbieter als Angreifer“ Fahrlässigkeit Sabotage Vorsatz

Leichterer „physikalischer“ Zugriff bei virtualisierten Umgebungen

Geringere Zugriffshürden Legale Zugriffe Dritter

16


17


Abgrenzung und Problematik der Übermittlung

• Ohne Auftragsdatenverarbeitungsverhältnis nur „Übermittlung“ von Daten an Dritte, § 3 (4) Nr. 3 BDSG

• Diese nur dann zulässig, wenn gesetzlich erlaubt

• Möglich: Interessenabwägung nach § 28 (1) Nr. 3 BDSG

• Die Glaubhaftmachung kann jedoch im Einzelfall schwierig sein

• Probleme:

Zusätzliche Vertragsgestaltungen zum Betroffenenschutz nötig Cloud Provider wird ggf. als Datenübermittler mitverantwortlich! Mehrere Subunternehmerverhältnisse schwierig


18


Problemfall grenzüberschreitende Cloud-Services außerhalb EU/EWR

• Auftragsdatenverarbeitung nicht möglich, nur noch „Übermittlung“

• Bei Cloud Services außerhalb des EU/EWR Raums angemessenes Datenschutzniveau im jeweiligen Land erforderlich

• Dies ist nur in wenigen Ländern gewährleistet

• Problem: Sitz des Providers bzw. Serverstandorte außerhalb EU

• Illegale und legale Zugriffe Dritter auf Daten


19


4.) Mögliche Lösungsansätze

Regelungen, die Datenübermittlung ermöglichen könnten:

US-EU Safe Harbor

EU Standardvertragsklauseln, ggf. erweitert durch nationale Vorgaben (z.B. BDSG)

Binding Corporate Rules


20


Safe Harbor• Eigentlich kein angemessenes Schutzniveau in den USA, daher Übermittlung (-)

• Safe Harbor ist ein Abkommen zwischen der EU und den USA

• Übermittlung dann möglich, wenn Unterwerfung unter Safe Harbor Prinzipien der FTC

• Diese Prinzipien regeln Rechteinräumung für Betroffene und Obliegenheiten der Firmen

• Probleme:

Faktischer Prozess der Selbstzertifizierung Kontrolle Enforcement

• Folge: Weitere Maßnahmen müssen getroffen werden

• Absicherung/Nachweis der Compliance , bestenfalls durch

EU Standardvertragsklauseln oder Binding Corporate Rules


21


EU-Standardvertragsklauseln

• Vertragliche Regelung der Datenübermittlung

• Diese müssen unverändert übernommen werden

• Diese reichen jedoch nicht bei einer Übermittlung von Daten in ein außereuropäisches Drittland trotz Anerkennung angemessenen Schutzniveaus

• Zusätzlich analoge Anwendung des § 11 (2) BDSG erforderlich

• Empfehlung: Abschluss eines zweiten Vertrags oder eines Annex mit der 10-Punkte-Regelung nach § 11 (2) BDSG


22


Binding Corporate Rules (BCR)

• Selbstbindung von Unternehmen

• Notwendiger Inhalt:

Vorgaben der EU Kommission, insbes. bzgl. unmittelbarer Betroffenenrechte

Rechtliche Verbindlichkeit erforderlich

• Ziel: Datenschutz-Compliance im Hinblick auf nationale Datenschutzgesetze

• Zuständige Datenschutzbehörden müssen zustimmen

• Vorteile: Flexibilität Standardisierung

• Nachteile: Komplex und teuer Internationale Anerkennung der Zustimmung von nationalen

Datenschutzbehörden


23


5.) Schlussfolgerungen

• Viele offene Fragen, z.B.:

• Evaluierung und Modernisierung des europäischen und deutschen Datenschutzrechts

• Zukunft von Safe Harbor (ggf. Evaluierung des Abkommens durch EU?)

• Derzeit Vereinbarkeit grenzüberschreitender Datenverarbeitung außerhalb EU/EWR mit den Vorgaben des deutschen und europäischen Datenschutzrechts höchst unsicher

• Fazit:

• Kunden sollten Cloud Provider sorgfältig auswählen sowie Möglichkeiten der Kontrolle + Durchsetzung der Datenschutzanforderungen suchen und nutzen

• Folge: Standardisierung und Audits werden in Zukunft eine noch größere Rolle spielen

• Cloud Provider hingegen sollten auch im Eigeninteresse nach mehr Transparenz streben

• Einbindung des sog. „Privacy by Design“ Konzepts als Wettbewerbsvorteil


24


24

Forschung und Entwicklung des ULD in TClouds

• „Trustworthy Clouds“- Privacy and Resilience for Internet-scale Critical Infrastructure (TClouds)

• Das TClouds Projekt wird durch Fördermittel des siebten Forschungsrahmenprogramms der Europäischen Union (FP7/2007-2013) unterstützt.

• Mission: Die Schaffung einer Cloud-Umgebung, die den europäischen Sicherheits- und Datenschutzanforderungen gerecht wird

• Mehr Informationen zu TClouds unter: www.tclouds-project.eu


25


Vielen Dank für Ihre Aufmerksamkeit!

Eva SchlehahnUnabhängiges Landeszentrum für Datenschutz Schleswig-HolsteinTelefon: 0431 988 – [email protected]

SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrauenswürdiges Cloud...

Documents

Transcript of SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrauenswürdiges Cloud...