SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht's richtig!"

Click here to load reader

  • date post

    05-Dec-2014
  • Category

    Documents

  • view

    607
  • download

    1

Embed Size (px)

description

 

Transcript of SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht's richtig!"

  • 1. Datenschutz in der CloudSo gehts richtig!Dr. Marc StringSecTXL11, Hamburg11. August 2011
  • 2. Bedeutung der Auftragsdatenverarbeitung
  • 3. osborneclarke.debermittlung an DritteFunktionsbertragung Datensubjekt Erhebung Anbieter bermitt- lung Verarbei- Datenverarbeiter tung
  • 4. osborneclarke.debermittlung an DritteRechtfertigung? Einwilligung des Kunden Gesetzliche Rechtfertigung zur Vertragserfllung Interessenabwgung Listenprivileg liegen hufig nicht vor oder sind unzweckmig
  • 5. osborneclarke.deDatenschutzAuftragsdatenverarbeitung und 9 BDSG 3 Abs. 8 S. 3 BDSG"Dritte sind nicht Stellen, die personenbezogene Daten im Auftragerheben, verarbeiten oder nutzen"
  • 6. osborneclarke.debermittlung an DritteAuftragsdatenverarbeitung Auftragsdatenverarbeitung Funktionsbertragung Weisungsgebundenheit des Weisungsfreiheit des Dienstleisters Auftragnehmers Eigenverantwortlichkeit des Fehlende Entscheidungsbe- Dienstleisters fugnis des Auftragnehmers Handeln des Dienstleisters im Auftragnehmer tritt (gegenber dem eigenen Namen gegenber dem Betroffenen) nicht in eigenem Betroffenen Namen auf
  • 7. osborneclarke.debermittlung an DritteAuftragsdatenverarbeitung Datensubjekt Erhebung Anbieter Auftrags- datenver- arbeitung Auftragnehmer Verarbei- tung
  • 8. Die rechtlichen Herausforderungen
  • 9. osborneclarke.deInternationaler AspektBeschrnkung auf EU/EWR 3 Abs. 8 S. 3 BDSG"Dritte sind nicht Stellen, die " im Inland, in der EU oder im EWR (EU zusammen mit Island, Liechtenstein, Norwegen)"personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen"
  • 10. osborneclarke.deKontrollpflichtenAuftragsdatenverarbeitung und 9 BDSG 9 S. 1 BDSG"Stellen, die .. im Auftrag personenbezogene Daten erheben, verarbeiten odernutzen, haben insbesondere die in der Anlage genannten Anforderungenzu gewhrleisten" 11 Abs. 2 BDSG"Der Auftraggeber hat sich regelmig von der Einhaltung der beimAuftragnehmer getroffenen technischen und organisatorischen Manahmen zuberzeugen"
  • 11. osborneclarke.deKontrollpflichtenTechnische und organisatorische ManahmenAus der Anlage zu 9 S.1 BDSG "Zutrittskontrolle" "Zugangskontrolle" "Zugriffskontrolle" "Weitergabekontrolle" "Eingabekontrolle" "Auftragskontrolle" "Verfgbarkeitskontrolle" Gebot der Trennung nach Zweck
  • 12. osborneclarke.deDie rechtlichen HerausforderungenFazit fr das Cloud Computing Faktische Beschrnkung auf Anbieter aus EU, EWR Zumindest im Falle des Public Cloud Computings Kontrollpflichten kaum wahrzunehmen In der (Virtual) Private Cloud jedoch lsbar (solange der Anbieter wirklich nur Datenverarbeiter bleibt)
  • 13. So gehts richtig technische Lsung
  • 14. osborneclarke.deTechnische LsungSicherheit im klassischen RZKlassisches RZ Die WAN-Verbindung ist verschlsselt Im RZ liegen die Daten im Klartext Das RZ ist auditierbar geschtzt
  • 15. osborneclarke.deTechnische LsungSicherheit in der CloudCould Computing Keine physischen Barrieren Sicherheit durch Verschlsselung
  • 16. osborneclarke.deTechnische LsungResultat der VerschlsselungDank Verschlsselung erfolgt eine technisch beschlagnahmesichereSpeicherung der Daten Niemand ist technisch in der Lage, die Vertraulichkeit global aufzuheben Einziger Sicherheitsanker: Das Geheimnis des Teilnehmers
  • 17. osborneclarke.deTechnische LsungBedeutung der Verschlsselung Anonymisierte Daten sind fr den die Daten erhaltenden Anbieter keine personenbezogenen Daten i. S. v. 3 Abs. 1 BDSG, Vorschriften des BDSG sind nicht anwendbar. Einzelheiten zwar umstritten, Konzept trgt aber in der Praxis Verschlsselung erleichtert in jedem Fall die Interessensabwgung nach 28 BDSG und vor allem die Auftragsdatenverarbeitung (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle)!
  • 18. So gehts richtig rechtliche Lsungen
  • 19. osborneclarke.deErforderlichkeit der ADV vermeidenFehlende PersonenbeziehbarkeitCloud Computing ist ohne Auftragsdatenverarbeitung verwendbar bei Datenohne Personenbezug und ohne PersonenbeziehbarkeitPrfen Sie dennoch, welche Daten Sie wie in die Cloud geben. Auch nicht demBundesdatenschutzgesetz unterfallene Daten knnen etwa alsGeschftsgeheimnis kritisch seinVerschlsselung trgt als Lsung fr beide Aspekte
  • 20. osborneclarke.deErforderlichkeit der ADV vermeidenEU-Standardvertragsklauseln als AlternativeEU-Standardvertragsklauseln bermittlung an Dritten liegt vor Lcken mit Wertungen von 11 BDSG ausfllen Rechtfertigung der bermittlung nach 28 Abs. 1 S. 1 Nr. 2 BDSG 28 Abs. 6 BDSG als Grenze Nicht in die Cloud drfen Angaben ber die rassische und ethnische Herkunft, politische Meinungen, religise oder philosophische berzeugungen, Gewerkschaftszugehrigkeit, Gesundheit oder Sexualleben ( 3 Abs. 9 BDSG)
  • 21. osborneclarke.deErforderlichkeit der ADV vermeidenVermeintliche AlternativenIn der Praxis teilweise als Erlaubnistatbestand missverstanden bermittlung an sichere Drittstaaten; oder Safe-HarborDiese Mechanismen erfllen lediglich die zustzlichen Anforderungen nach 4b BDSG, rechtfertigen aber nicht die eigentliche bermittlung
  • 22. osborneclarke.deSo gehts richtigTerritoriale BeschrnkungAnbieter in EU/EWR auswhlen Entscheidend ist der Serverstandort Komplexe Kettenvertragsverhltnisse mit Anbietern aus verschiedenen Lndern sind mglich
  • 23. osborneclarke.deSo gehts richtigBest Practices Suchen Sie den Anbieter sorgfltig aus Verschlsseln Sie Daten nach Mglichkeit Sorgen Sie fr eine Auditierbarkeit idealerweise der Daten, sonst der Technologien und Prozesse Achten Sie auf Transparenz! Knnen Sie die Aussagen der Anbieter prfen?
  • 24. osborneclarke.deAnsprechpartnerDr. Marc StringRechtsanwaltT +49 (0) 221 5108 4206F +49 (0) 221 5108 [email protected]