Datenschutz in der CloudSo gehts richtig!Dr. Marc StöringSecTXL11, Hamburg11. August 2011
Bedeutung der Auftragsdatenverarbeitung
osborneclarke.deÜbermittlung an DritteFunktionsübertragung   Datensubjekt    Erhebung      Anbieter                       ...
osborneclarke.deÜbermittlung an DritteRechtfertigung?• Einwilligung des Kunden• Gesetzliche Rechtfertigung  – zur Vertrags...
osborneclarke.deDatenschutzAuftragsdatenverarbeitung und § 9 BDSG§ 3 Abs. 8 S. 3 BDSG"Dritte sind nicht … Stellen, die … p...
osborneclarke.deÜbermittlung an DritteAuftragsdatenverarbeitung   Auftragsdatenverarbeitung               Funktionsübertra...
osborneclarke.deÜbermittlung an DritteAuftragsdatenverarbeitung   Datensubjekt    Erhebung     Anbieter                   ...
Die rechtlichen Herausforderungen
osborneclarke.deInternationaler AspektBeschränkung auf EU/EWR§ 3 Abs. 8 S. 3 BDSG"Dritte sind nicht … Stellen, die …"• im ...
osborneclarke.deKontrollpflichtenAuftragsdatenverarbeitung und § 9 BDSG§ 9 S. 1 BDSG"Stellen, die .. im Auftrag personenbe...
osborneclarke.deKontrollpflichtenTechnische und organisatorische MaßnahmenAus der Anlage zu § 9 S.1 BDSG• "Zutrittskontrol...
osborneclarke.deDie rechtlichen HerausforderungenFazit für das Cloud Computing• Faktische Beschränkung auf Anbieter aus EU...
So gehts richtig – technische Lösung
osborneclarke.deTechnische LösungSicherheit im klassischen RZKlassisches RZ• Die WAN-Verbindung ist verschlüsselt• Im RZ l...
osborneclarke.deTechnische LösungSicherheit in der CloudCould Computing• Keine physischen Barrieren – Sicherheit durch Ver...
osborneclarke.deTechnische LösungResultat der VerschlüsselungDank Verschlüsselung erfolgt eine technisch beschlagnahmesich...
osborneclarke.deTechnische LösungBedeutung der Verschlüsselung• Anonymisierte Daten sind für den die Daten erhaltenden Anb...
So gehts richtig – rechtliche Lösungen
osborneclarke.deErforderlichkeit der ADV vermeidenFehlende PersonenbeziehbarkeitCloud Computing ist ohne Auftragsdatenvera...
osborneclarke.deErforderlichkeit der ADV vermeidenEU-Standardvertragsklauseln als AlternativeEU-Standardvertragsklauseln• ...
osborneclarke.deErforderlichkeit der ADV vermeidenVermeintliche AlternativenIn der Praxis teilweise als Erlaubnistatbestan...
osborneclarke.deSo gehts richtigTerritoriale BeschränkungAnbieter in EU/EWR auswählen• Entscheidend ist der Serverstandort...
osborneclarke.deSo gehts richtigBest Practices• Suchen Sie den Anbieter sorgfältig aus• Verschlüsseln Sie Daten nach Mögli...
osborneclarke.deAnsprechpartnerDr. Marc StöringRechtsanwaltT +49 (0) 221 5108 4206F +49 (0) 221 5108 4267marc.stoering@osb...
Nächste SlideShare
Wird geladen in …5
×

SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht's richtig!"

727 Aufrufe

Veröffentlicht am

0 Kommentare
0 Gefällt mir
Statistik
Notizen
  • Als Erste(r) kommentieren

  • Gehören Sie zu den Ersten, denen das gefällt!

Keine Downloads
Aufrufe
Aufrufe insgesamt
727
Auf SlideShare
0
Aus Einbettungen
0
Anzahl an Einbettungen
1
Aktionen
Geteilt
0
Downloads
3
Kommentare
0
Gefällt mir
0
Einbettungen 0
Keine Einbettungen

Keine Notizen für die Folie

SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht's richtig!"

  1. 1. Datenschutz in der CloudSo gehts richtig!Dr. Marc StöringSecTXL11, Hamburg11. August 2011
  2. 2. Bedeutung der Auftragsdatenverarbeitung
  3. 3. osborneclarke.deÜbermittlung an DritteFunktionsübertragung Datensubjekt Erhebung Anbieter Übermitt- lung Verarbei- Datenverarbeiter tung
  4. 4. osborneclarke.deÜbermittlung an DritteRechtfertigung?• Einwilligung des Kunden• Gesetzliche Rechtfertigung – zur Vertragserfüllung – Interessenabwägung – Listenprivileg … – …liegen häufig nicht vor oder sind unzweckmäßig
  5. 5. osborneclarke.deDatenschutzAuftragsdatenverarbeitung und § 9 BDSG§ 3 Abs. 8 S. 3 BDSG"Dritte sind nicht … Stellen, die … personenbezogene Daten im Auftragerheben, verarbeiten oder nutzen"
  6. 6. osborneclarke.deÜbermittlung an DritteAuftragsdatenverarbeitung Auftragsdatenverarbeitung Funktionsübertragung Weisungsgebundenheit des Weisungsfreiheit des Dienstleisters Auftragnehmers Eigenverantwortlichkeit des Fehlende Entscheidungsbe- Dienstleisters fugnis des Auftragnehmers Handeln des Dienstleisters im Auftragnehmer tritt (gegenüber dem eigenen Namen gegenüber dem Betroffenen) nicht in eigenem Betroffenen Namen auf
  7. 7. osborneclarke.deÜbermittlung an DritteAuftragsdatenverarbeitung Datensubjekt Erhebung Anbieter Auftrags- datenver- arbeitung Auftragnehmer Verarbei- tung
  8. 8. Die rechtlichen Herausforderungen
  9. 9. osborneclarke.deInternationaler AspektBeschränkung auf EU/EWR§ 3 Abs. 8 S. 3 BDSG"Dritte sind nicht … Stellen, die …"• im Inland,• in der EU oder• im EWR (EU zusammen mit Island, Liechtenstein, Norwegen)"personenbezogene Daten im Auftrag erheben, verarbeiten oder nutzen"
  10. 10. osborneclarke.deKontrollpflichtenAuftragsdatenverarbeitung und § 9 BDSG§ 9 S. 1 BDSG"Stellen, die .. im Auftrag personenbezogene Daten erheben, verarbeiten odernutzen, haben … insbesondere die in der Anlage … genannten Anforderungenzu gewährleisten"§ 11 Abs. 2 BDSG"Der Auftraggeber hat sich … regelmäßig von der Einhaltung der beimAuftragnehmer getroffenen technischen und organisatorischen Maßnahmen zuüberzeugen"
  11. 11. osborneclarke.deKontrollpflichtenTechnische und organisatorische MaßnahmenAus der Anlage zu § 9 S.1 BDSG• "Zutrittskontrolle"• "Zugangskontrolle"• "Zugriffskontrolle"• "Weitergabekontrolle"• "Eingabekontrolle"• "Auftragskontrolle"• "Verfügbarkeitskontrolle"• Gebot der Trennung nach Zweck
  12. 12. osborneclarke.deDie rechtlichen HerausforderungenFazit für das Cloud Computing• Faktische Beschränkung auf Anbieter aus EU, EWR• Zumindest im Falle des Public Cloud Computings Kontrollpflichten kaum wahrzunehmen• In der (Virtual) Private Cloud jedoch lösbar (solange der Anbieter wirklich nur Datenverarbeiter bleibt)
  13. 13. So gehts richtig – technische Lösung
  14. 14. osborneclarke.deTechnische LösungSicherheit im klassischen RZKlassisches RZ• Die WAN-Verbindung ist verschlüsselt• Im RZ liegen die Daten im Klartext – Das RZ ist auditierbar geschützt
  15. 15. osborneclarke.deTechnische LösungSicherheit in der CloudCould Computing• Keine physischen Barrieren – Sicherheit durch Verschlüsselung
  16. 16. osborneclarke.deTechnische LösungResultat der VerschlüsselungDank Verschlüsselung erfolgt eine technisch beschlagnahmesichereSpeicherung der Daten• Niemand ist technisch in der Lage, die Vertraulichkeit global aufzuheben• Einziger Sicherheitsanker: Das Geheimnis des Teilnehmers
  17. 17. osborneclarke.deTechnische LösungBedeutung der Verschlüsselung• Anonymisierte Daten sind für den die Daten erhaltenden Anbieter keine personenbezogenen Daten i. S. v. § 3 Abs. 1 BDSG, Vorschriften des BDSG sind nicht anwendbar.• Einzelheiten zwar umstritten, Konzept trägt aber in der Praxis• Verschlüsselung erleichtert in jedem Fall die Interessensabwägung nach § 28 BDSG und vor allem die Auftragsdatenverarbeitung (Zugangskontrolle, Zugriffskontrolle, Weitergabekontrolle)!
  18. 18. So gehts richtig – rechtliche Lösungen
  19. 19. osborneclarke.deErforderlichkeit der ADV vermeidenFehlende PersonenbeziehbarkeitCloud Computing ist ohne Auftragsdatenverarbeitung verwendbar bei Datenohne Personenbezug und ohne PersonenbeziehbarkeitPrüfen Sie dennoch, welche Daten Sie wie in die Cloud geben. Auch nicht demBundesdatenschutzgesetz unterfallene Daten können etwa alsGeschäftsgeheimnis kritisch seinVerschlüsselung trägt als Lösung für beide Aspekte
  20. 20. osborneclarke.deErforderlichkeit der ADV vermeidenEU-Standardvertragsklauseln als AlternativeEU-Standardvertragsklauseln• Übermittlung an Dritten liegt vor• Lücken mit Wertungen von § 11 BDSG ausfüllen• Rechtfertigung der Übermittlung nach § 28 Abs. 1 S. 1 Nr. 2 BDSG• § 28 Abs. 6 BDSG als Grenze – Nicht in die Cloud dürfen Angaben über die rassische und ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit oder Sexualleben (§ 3 Abs. 9 BDSG)
  21. 21. osborneclarke.deErforderlichkeit der ADV vermeidenVermeintliche AlternativenIn der Praxis teilweise als Erlaubnistatbestand missverstanden• Übermittlung an sichere Drittstaaten; oder• Safe-HarborDiese Mechanismen erfüllen lediglich die zusätzlichen Anforderungen nach§ 4b BDSG, rechtfertigen aber nicht die eigentliche Übermittlung
  22. 22. osborneclarke.deSo gehts richtigTerritoriale BeschränkungAnbieter in EU/EWR auswählen• Entscheidend ist der Serverstandort• Komplexe Kettenvertragsverhältnisse mit Anbietern aus verschiedenen Ländern sind möglich
  23. 23. osborneclarke.deSo gehts richtigBest Practices• Suchen Sie den Anbieter sorgfältig aus• Verschlüsseln Sie Daten nach Möglichkeit• Sorgen Sie für eine Auditierbarkeit – idealerweise der Daten, sonst der Technologien und Prozesse• Achten Sie auf Transparenz! Können Sie die Aussagen der Anbieter prüfen?
  24. 24. osborneclarke.deAnsprechpartnerDr. Marc StöringRechtsanwaltT +49 (0) 221 5108 4206F +49 (0) 221 5108 4267marc.stoering@osborneclarke.de

×