Cloud ComplianceWas Provider und Nutzer beachten müssenRA Jan SchneiderFachanwalt für InformationstechnologierechtCloud Co...
Cloud ComplianceWas Provider und Nutzer beachten müssen.RA Jan SchneiderFachanwalt für InformationstechnologierechtSex‘TXL...
„Ist Cloud Computing nicht …                           ... unsicher?“     ... ein Kontrollverlust?“    ...eine unerlaubte ...
Ist das Cloud Computing also                   „compliant“?RA Jan Schneider                SKW Schwarz Rechtsanwälte   4
Was bedeutet „Compliance“?      Einhaltung der rechtlichen – insbesondere              der gesetzlichen – BestimmungenRA J...
Compliance-Anforderungen im Cloud Computing§ gesetzliche Dokumentations- und Archivierungspflichten§ Steuer-, handels- u. ...
Compliance-Anforderungen im Cloud Computing§ IT-Risikomanagement nach KonTrag?     à Risiko der Haftung der Unternehmensfü...
Herausforderung: RechtskonformeDatenübermittlung                    8
Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen.RA Jan Schneider                       ...
Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen.                               „Angaben...
Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen.                                       ...
Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Nein: à keine datenschutzrechtlic...
Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Ja:      à Datenschutzgesetze fin...
Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § ADV ist gesetzliches „Konstrukt“, beschrieben in § 11 BDSG § vertraglic...
Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § Konsequenz einer rechtmäßigen ADV:                   Nutzer bleibt per ...
Ein „sicherer Hafen“?Serverfarmen in Übersee                          16
Ein sicherer Hafen? Serverfarmen in Übersee     Herausforderung:                    Datenübermittlung             an      ...
Ein sicherer Hafen? Serverfarmen in Übersee                         Diskussion der Datenschutzexperten:     Kann eine Date...
Ein sicherer Hafen? Serverfarmen in Übersee                             Möglicher Lösungsansatz für die USA:     „   Safe ...
Was ist „Safe Harbor“?     § Abkommen zwischen EU-Kommission und US-Regierung aus       dem Jahre 2000     § Festlegung be...
„Safe Harbor“ noch zeitgemäß?     § Beschluss des „Düsseldorfer Kreises“ vom 28.04.2010;       Festlegungen für Cloud Comp...
Checkliste     § Ist der CSP beim Safe Harbor-Programm                    des   US-       Handelsministeriums registriert?...
Ausblick     § „Safe Harbor“ hat nach Potential     § Alternative zu EU-Standardvertragsklauseln (+ ergänzende       Regel...
ProjektDatensicherheit!                   25
Projekt Datensicherheit!     § Herausforderungen:           § Etablierung der technischen und organisatorischen           ...
Projekt Datensicherheit!     § Lösung:           § moderne Rechenzentren der großen CSP‘s           § Dokumentation       ...
Projekt Datensicherheit!     § „Checkliste“:         § Modernes Hochsicherheits-Rechenzentrum?         § Standort des Rech...
Odyssee in die Cloud?Prüfung der Maßnahmen zum        Datenschutz                            29
Eine Odyssee in die Cloud? - Prüfung der Maßnahmen     Herausforderung:     Prüfung           der  Einhaltung   der     te...
Eine Odyssee in die Cloud?                                    Schwierigkeit:Prüfung vor Ort beim CSP durch den Cloud Nutze...
Eine Odyssee in die Cloud?     § Lösungsansatz:       § 11 BDSG schreibt      keine Prüfung vor Ort       durch den Nutzer...
Checkliste     § Testate bzw. Auditierung durch unabhängige Stellen - z. B.       Wirtschaftsprüfer?     § Nachweis des CS...
Fazit und Ausblick§ Cloud Computing hat Potential!§ Die Herausforderungen der „Cloud Compliance“ sind lösbar  – mit einem ...
Bei Fragen oder Anmerkungen:                                                           Jan Schneider                      ...
SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nutzer beachten müssen"
Nächste SlideShare
Wird geladen in …5
×

SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nutzer beachten müssen"

1.262 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
1.262
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
2
Aktionen
Geteilt
0
Downloads
6
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nutzer beachten müssen"

  1. 1. Cloud ComplianceWas Provider und Nutzer beachten müssenRA Jan SchneiderFachanwalt für InformationstechnologierechtCloud Conf 2011, Frankfurt am Main den 21. November 2011
  2. 2. Cloud ComplianceWas Provider und Nutzer beachten müssen.RA Jan SchneiderFachanwalt für InformationstechnologierechtSex‘TXL 2011, Frankfurt am Main den 22. November 2011
  3. 3. „Ist Cloud Computing nicht … ... unsicher?“ ... ein Kontrollverlust?“ ...eine unerlaubte Datenübermittlung?“ ... datenschutzwidrig?“... rechtlichproblematisch?“
  4. 4. Ist das Cloud Computing also „compliant“?RA Jan Schneider SKW Schwarz Rechtsanwälte 4
  5. 5. Was bedeutet „Compliance“? Einhaltung der rechtlichen – insbesondere der gesetzlichen – BestimmungenRA Jan Schneider SKW Schwarz Rechtsanwälte 5
  6. 6. Compliance-Anforderungen im Cloud Computing§ gesetzliche Dokumentations- und Archivierungspflichten§ Steuer-, handels- u. bilanzrechtliche Anforderungen§ Spezialgesetzliche Regelungen, z. B. aus Medizin- oder Transportrecht, KWG, MaRisk etc.?RA Jan Schneider SKW Schwarz Rechtsanwälte 6
  7. 7. Compliance-Anforderungen im Cloud Computing§ IT-Risikomanagement nach KonTrag? à Risiko der Haftung der Unternehmensführung bzw. d. IT- Verantwortlichen § und … Datenschutz, Datenschutz, Datenschutz!RA Jan Schneider SKW Schwarz Rechtsanwälte 7
  8. 8. Herausforderung: RechtskonformeDatenübermittlung 8
  9. 9. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen.RA Jan Schneider SKW Schwarz Rechtsanwälte 9
  10. 10. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. „Angaben, anhand derer natürliche Personen bestimmbar sind“RA Jan Schneider SKW Schwarz Rechtsanwälte 10
  11. 11. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. „Angaben, anhand derer natürliche Personen bestimmbar sind“ z. B. Name, Anschrift - auch E-Mail-Anschrift -, Alter, Geschlecht, Beruf, Konfession, aber ggf. auch Fotos -RA Jan Schneider SKW Schwarz Rechtsanwälte 11
  12. 12. Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Nein: à keine datenschutzrechtlichen Anforderungen! Z. B. bei § Anonymisierung der Daten § Verschlüsselung der DatenRA Jan Schneider SKW Schwarz Rechtsanwälte 12
  13. 13. Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Ja: à Datenschutzgesetze finden Anwendung (TMG, BDSG, LandesDSG) à Grundsatz: Datenübermittlung ist nur dann zulässig, wenn hierzu ausdrückliche gesetzliche Ermächtigungsgrundlage auffindbar ist à zentrale Herausforderung: Sicherstellung der datenschutzrechtlichen Zulässigkeit der DatenübermittlungRA Jan Schneider SKW Schwarz Rechtsanwälte 13
  14. 14. Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § ADV ist gesetzliches „Konstrukt“, beschrieben in § 11 BDSG § vertragliche Gestaltung erforderlich – schriftlich und ausführlich! § Regelungskatalog des § 11 BDSG! § Einrichtung technischer und organisatorischer Maßnahmen durch den Cloud Service Provider („CSP“), § 9 BDSG § Prüfung der Maßnahmen durch den Cloud NutzerRA Jan Schneider SKW Schwarz Rechtsanwälte 14
  15. 15. Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § Konsequenz einer rechtmäßigen ADV: Nutzer bleibt per Gesetz „Herr seiner Daten“RA Jan Schneider SKW Schwarz Rechtsanwälte 15
  16. 16. Ein „sicherer Hafen“?Serverfarmen in Übersee 16
  17. 17. Ein sicherer Hafen? Serverfarmen in Übersee Herausforderung: Datenübermittlung an Server außerhalb der EU zulässig?RA Jan Schneider SKW Schwarz Rechtsanwälte 17
  18. 18. Ein sicherer Hafen? Serverfarmen in Übersee Diskussion der Datenschutzexperten: Kann eine Datenübermittlung nach „Übersee“ zulässige „Auftragsdatenverarbeitung“ (oder anderweit gesetzlich legitimiert) sein?RA Jan Schneider SKW Schwarz Rechtsanwälte 18
  19. 19. Ein sicherer Hafen? Serverfarmen in Übersee Möglicher Lösungsansatz für die USA: „ Safe Harbor“ - AbkommenRA Jan Schneider SKW Schwarz Rechtsanwälte 19
  20. 20. Was ist „Safe Harbor“? § Abkommen zwischen EU-Kommission und US-Regierung aus dem Jahre 2000 § Festlegung bestimmter datenschutzrechtlicher Maßnahmen § Anerkennung der Maßnahmen durch die Unternehmen, die sich verbindlich zu den Grundsätzen des Safe Harbor bekennen („Selbstverpflichtung“) § „Safe Harbor“ führt zu angemessenem DatenschutzniveauRA Jan Schneider SKW Schwarz Rechtsanwälte 20
  21. 21. „Safe Harbor“ noch zeitgemäß? § Beschluss des „Düsseldorfer Kreises“ vom 28.04.2010; Festlegungen für Cloud Computing: § Inhalt: § Prüfung des Nachweises über Beitritt zu „Safe Harbor“ § Nachweis über die Einhaltung der Informationspflichten nach Safe Harbor durch den Cloud Service Provider § Festlegungen entfalten keine unmittelbare Rechtswirkung, gleichwohl beachtlich § Festlegungen sind in der DiskussionRA Jan Schneider SKW Schwarz Rechtsanwälte 22
  22. 22. Checkliste § Ist der CSP beim Safe Harbor-Programm des US- Handelsministeriums registriert? § Gewährleistet der CSP ausdrücklich die Einhaltung der Safe Harbor-Prinzipien? § Erfolgt ein Nachweis über die Einhaltung von „Safe Harbor“ (ggf. SSAE 16, ISAE 3402 o. ä.)?RA Jan Schneider SKW Schwarz Rechtsanwälte 23
  23. 23. Ausblick § „Safe Harbor“ hat nach Potential § Alternative zu EU-Standardvertragsklauseln (+ ergänzende Regelungen)RA Jan Schneider SKW Schwarz Rechtsanwälte 24
  24. 24. ProjektDatensicherheit! 25
  25. 25. Projekt Datensicherheit! § Herausforderungen: § Etablierung der technischen und organisatorischen Maßnahmen zum Datenschutz (§ 9 BDSG) § optimale IT-Sicherheit herstellenRA Jan Schneider SKW Schwarz Rechtsanwälte 26
  26. 26. Projekt Datensicherheit! § Lösung: § moderne Rechenzentren der großen CSP‘s § Dokumentation der Maßnahmen in “Datensicherheitskonzepten“ à Notwendiger Bestandteil der vertraglichen Vereinbarungen!RA Jan Schneider SKW Schwarz Rechtsanwälte 27
  27. 27. Projekt Datensicherheit! § „Checkliste“: § Modernes Hochsicherheits-Rechenzentrum? § Standort des Rechenzentrums? § Ausführliche, verbindliche und belastbare Beschreibung der vom CSP getroffenen technischen und organisatorischen Maßnahmen?RA Jan Schneider SKW Schwarz Rechtsanwälte 28
  28. 28. Odyssee in die Cloud?Prüfung der Maßnahmen zum Datenschutz 29
  29. 29. Eine Odyssee in die Cloud? - Prüfung der Maßnahmen Herausforderung: Prüfung der Einhaltung der technischen und organisatorischen Maßnahmen durch den Cloud Nutzer (§ 11 BDSG)RA Jan Schneider SKW Schwarz Rechtsanwälte 30
  30. 30. Eine Odyssee in die Cloud? Schwierigkeit:Prüfung vor Ort beim CSP durch den Cloud Nutzer häufignicht praktikabel 31
  31. 31. Eine Odyssee in die Cloud? § Lösungsansatz: § 11 BDSG schreibt keine Prüfung vor Ort durch den Nutzer vor.RA Jan Schneider SKW Schwarz Rechtsanwälte 32
  32. 32. Checkliste § Testate bzw. Auditierung durch unabhängige Stellen - z. B. Wirtschaftsprüfer? § Nachweis des CSP? Z. B. nach ISO 27001, SSAE 16, ISAE 3402 § Sonstige Nachweise?RA Jan Schneider SKW Schwarz Rechtsanwälte 33
  33. 33. Fazit und Ausblick§ Cloud Computing hat Potential!§ Die Herausforderungen der „Cloud Compliance“ sind lösbar – mit einem konstruktiven und praxisnahen Ansatz.§ Datenschutzrechtler und -behörden, anwaltliche Berater, Rechtsprechung und Gesetzgeber sind gemeinsam aufgerufen, praxisnahe Lösungen zu erarbeiten 34
  34. 34. Bei Fragen oder Anmerkungen: Jan Schneider Rechtsanwalt Fachanwalt für IT-Recht SKW Schwarz Rechtsanwälte 40212 Düsseldorf Steinstraße 1 / KÖ T +49 (0)211 82 89 59 – 0 j.schneider@skwschwarz.de www.skwschwarz.de Herzlichen Dank für Ihre Aufmerksamkeit!Abbild. S. 3, 5, 8, 16, 25, 29, 31, 34 © iStockphoto.com 35

×