Diese Präsentation wurde erfolgreich gemeldet.

Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“

1

Teilen

1 von 58
1 von 58

Weitere Verwandte Inhalte

Ähnliche Bücher

Kostenlos mit einer 14-tägigen Testversion von Scribd

Alle anzeigen

Ähnliche Hörbücher

Kostenlos mit einer 14-tägigen Testversion von Scribd

Alle anzeigen

Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“

  1. 1. Copyright © 2013 by renebuest research | René Büst Berlin, 25. April 2013 René Büst BvD-Datenschutztage 2013 // #Workshop Cloud Computing „Entscheidungshilfe für den Datenschutzbeauftragten“
  2. 2. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 2 Agenda Die Inhalte des Vortrags Cloud Computing Hinweise für den DSB Q & A
  3. 3. Copyright © 2013 by renebuest research | René Büst René Büst
  4. 4. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 4 René Büst Cloud Computing & Technologie Analyst und Advisor Technologie Analyst & Advisor ● Cloud Computing ● Mobile ● New Work ● Business Technology Tätigkeitsbereiche ● Content & Lectures ● Research & Analysis ● Advisory & Strategy Publikationen ● CloudUser.de ● div. Blogs ● u.a. Computerwoche.de
  5. 5. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 5 CloudUser.de Blog über Cloud Computing, IT-Infrastrukturen, IT-Management und Strategien
  6. 6. Copyright © 2013 by renebuest research | René Büst Cloud Computing
  7. 7. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 7 Cloud Computing Hintergrund und Bedeutung Flexibler Bezug von IT-Ressourcen über eine Datenverbindung, bevorzugt das Internet.
  8. 8. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 8 Cloud Computing Hintergrund und Bedeutung Flexibel On-Demand + Pay per use 1. On-Demand Wenn die Ressource benötigt wird. 2. Per pay use Exakte Abrechnung der beanspruchten Ressource.
  9. 9. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 9 Cloud Computing Hintergrund und Bedeutung | Cloud Bereitstellungsmodelle Ressourcen Applikationen Plattformen Infrastrukturen Bereitstellung von Services
  10. 10. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 10 Cloud Computing Hintergrund und Bedeutung | Cloud Arten Bereitstellung von Services Public Privat Hybrid Community
  11. 11. Copyright © 2013 by renebuest research | René Büst Zahlen vom Bitkom
  12. 12. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 12 Zahlen vom Bitkom Cloud Computing im Jahr 2012 in Deutschland Jedes dritte deutsche* Unternehmen nutzt Lösungen aus der Cloud. Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx 2011 2012 22 Prozent planen 28 Prozent nutzen 9 Prozent Wachstum (Einsatz) 29 Prozent planen 37 Prozent nutzen *436befragteUnternehmen
  13. 13. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 13 Zahlen vom Bitkom Cloud Computing im Jahr 2012 in Deutschland Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx 20 – 99 Mitarbeiter 26 Prozent Einsatz in Bezug auf die Unternehmensgröße. 100 – 199 Mitarbeiter ab 2000 Mitarbeiter 45 Prozent 65 Prozent
  14. 14. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 14 Zahlen vom Bitkom Cloud Computing im Jahr 2012 in Deutschland Grund: 79 Prozent haben Angst vor Datenverlust. Vorbehalte gegenüber der Public Cloud. 2011 2012 7 Prozent planen 6 Prozent nutzen 4 Prozent Wachstum (Einsatz) 11 Prozent planen 10 Prozent nutzen Quelle:http://www.bitkom.org/de/presse/8477_75140.aspx
  15. 15. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 15 Zahlen vom Bitkom Cloud Computing im Jahr 2012 in Deutschland Forrester: „70 Prozent der Private Clouds sind keine Clouds.“ Die Deutschen bevorzugen die Private Cloud. 2011 2012 22 Prozent planen 27 Prozent nutzen 7 Prozent Wachstum (Einsatz) 29 Prozent planen 34 Prozent nutzen Quelle:http://www.bitkom.org/de/presse/8477_75140.aspx
  16. 16. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 16 Zahlen vom Bitkom Cloud Computing im Jahr 2012 in Deutschland 79 Prozent haben Angst vor Datenverlust Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx
  17. 17. Copyright © 2013 by renebuest research | René Büst Hinweise für den DSB
  18. 18. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 18 Hinweise für den Datenschutzbeauftragten Die Richtung spielt keine Rolle
  19. 19. Copyright © 2013 by renebuest research | René Büst Was muss Wie geregelt sein?
  20. 20. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 20 Was muss Wie geregelt sein? Cloud Computing Konformität ● Verantwortung und Verträge ● Outsourcing ● Datensicherheit ● Datenschutz
  21. 21. Copyright © 2013 by renebuest research | René Büst Verantwortung und Verträge
  22. 22. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 22 Was muss Wie geregelt sein? Cloud Computing Konformität | Verantwortung und Verträge ● Was? ● Rechte und Pflichten messbar festlegen ● Leistungserbringung beanstanden können ● Wie? ● EVB-IT vom CIO des Bundes [1] – „Ergänzende Vertragsbedingungen für die Beschaffung von Informationstechnik (EVB-IT)“ – Standardvorgehensweisen zur IT-Planung & -Steuerung – Deckt Großteil der Anforderungen des Bundesdaten- schutzgesetz oder den Landesdatenschutzgesetzen ab.
  23. 23. Copyright © 2013 by renebuest research | René Büst Outsourcing
  24. 24. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 24 Was muss Wie geregelt sein? Cloud Computing Konformität | Outsourcing ● Was? ● Maßnahmen und Risikobehandlungen ● IT-Sicherheitskonzept, Notfallkonzept, Vertragsgestaltung ● Aus der Vergagenheit (80er, 90er) lernen ● Wie? ● Baustein B1.11 des Grundschutzkatalogs – Einsatzszenarien und Maßnahmenempfehlungen für Risikobehandlung im Bereich des Outsourcings nach BSI [3]. ● Betrachtet u.a. technische und organisatorische Maßnahmen. ● Thematisiert ebenfalls Abhängigkeiten zu einem Anbieter.
  25. 25. Copyright © 2013 by renebuest research | René Büst Datensicherheit
  26. 26. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 26 Was muss Wie geregelt sein? Cloud Computing Konformität | Datensicherheit ● Was? ● Konkrete Sicherheitszusagen ● Technische und organisatorische Maßnahmen ● Wie? ● Publikationen der Anbieter – Sicherheitsarchitektur, Empfehlungen zur Nutzung ● Zertifizierungen und Zulassungen ● ~100% Sicherheit nur durch Audit des Kunden selbst.
  27. 27. Copyright © 2013 by renebuest research | René Büst Datenschutz
  28. 28. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 28 Was muss Wie geregelt sein? Cloud Computing Konformität | Datenschutz ● Was? ● Datensparsamkeit ● Umgang mit personenbezogenen Daten ● Umgang mit unternehmenskritischen Daten ● Konkrete Zusagen zum Ort der Datenverarbeitung ● Einhaltung des gewünschten Datenschutzniveaus Eine Anwendung von Cloud-Diensten ohne konkrete Ortsvorgaben oder -zusagen zur Verarbeitung personenbezogener Daten ist datenschutzrechtlich nicht zulässig.
  29. 29. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 29 Was muss Wie geregelt sein? Cloud Computing Konformität | Datenschutz ● Wie? ● Technische und organisatorische Maßnahmen zur Auftragsdatenverarbeitung (§ 11 BDSG) nach § 9 BDSG. ● Pflicht des Kunden: Regelmäßig prüfen ob die gesetzlichen Anforderungen des § 9 BDSG (nach §11 BDSG) eingehalten werden. ● Prüfberichte oder Testate von Wirtschaftsprüfern ● Nachweise für ISO/IEC 27001, SSAE 16 oder ISAE 3402 ● Vertraglich geregelte Datenschutz-Dokumentation – Muss durch den DSB auf Einhaltung nach §9 BDSG geprüft werden.
  30. 30. Copyright © 2013 by renebuest research | René Büst Welche Fragen stellen?
  31. 31. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 31 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Erfüllt der Anbieter die rechtlichen Anforderungen?
  32. 32. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 32 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Erfüllt der Anbieter die technischen Voraussetzungen für die rechtlichen Regelungen und Bestimmungen?
  33. 33. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 33 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Wo befindet sich der Rechtsstand und ist das mit den Unternehmensrichtlinien zu vereinbaren?
  34. 34. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 34 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Ist der Anbieter nach <x> zertifiziert?
  35. 35. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 35 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Kann der Anbieter nachweisen, dass er die Bestimmungen des BDSG einhält?
  36. 36. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 36 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Verfügt der Anbieter über ein Konzept/ Dokumentation über die Umsetzung der technischen und organisatorischen Maßnahmen nach §9 BDSG?
  37. 37. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 37 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Kann der Anbieter nachweisen, dass seine Mitarbeiter über das Datengeheimnis nach §5 BDSG aufgeklärt wurden?
  38. 38. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 38 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Nimmt der Anbieter besondere Maßnahmen bei der Auswahl und der Einstellung seiner Mitarbeiter vor?
  39. 39. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 39 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Verfügt der Anbieter über einen Datenschutzbeauftragten?
  40. 40. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 40 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Wo werden die Daten verarbeitet?
  41. 41. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 41 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Nennt der Anbieter die Standorte wie das Land und die Region?
  42. 42. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 42 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Werden die Daten ggf. in einem für das Unternehmen nicht zulässigen Land gespeichert?
  43. 43. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 43 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Werden personenbezogene Daten außerhalb der EU bzw. des EWR verarbeitet?
  44. 44. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 44 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Entspricht die Datenhaltung den unternehmenseigenen Richtlinien?
  45. 45. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 45 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Legt der Anbieter transparent offen, ob der Staat Zugriff auf die Daten erhält?
  46. 46. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 46 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Werden die Daten vollständig von den Systemen entfernt, wenn diese von dem Kunden über den Web Service gelöscht werden?
  47. 47. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 47 Welche Fragen stellen? Was ist bei einem Cloud Computing Anbieter zu hinterfragen? Wertet der Anbieter die Daten aus, um damit Werbung zu betreiben?
  48. 48. Copyright © 2013 by renebuest research | René Büst Cloud Anbieter Checkliste
  49. 49. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 49 Cloud Anbieter Checkliste Überprüfen Sie den Cloud Computing Anbieter Ihrer Wahl http://buest.de/cloud-anbieter-checkliste
  50. 50. Copyright © 2013 by renebuest research | René Büst Aktiv mitgestalten
  51. 51. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 51 Aktiv mitgestalten Agieren nicht reagieren ● Nicht reagieren ● Nicht nur Absolution erteilen. ● Agieren ● Sie kennen die kritischen Daten. ● Aktiv mitgestalten ● Aktiv beteiligen und aufzeigen welche Daten sensibel zu behandeln sind.
  52. 52. Copyright © 2013 by renebuest research | René Büst Public Cloud ist kein Tabuthema
  53. 53. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 53 Public Cloud ist kein Tabuthema Es geht primär um das „was“ und sekundär um das „wie“ ● Risiken analysieren ● Risikoklassen identifizieren und einteilen ● Daten klassifizieren ● Organisatorisches Thema ● Personenbezogene Daten ● Anonyme Daten ● Unternehmenskritische Daten ● Daten verschlüsseln ● Technologisches Thema
  54. 54. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 54 Public Cloud ist kein Tabuthema Es geht primär um das „was“ und sekundär um das „wie“ ● Fragen stellen ● Den richtigen Leuten die richtigen Fragen stellen. ● Informationen erheben ● Je mehr Wissen über den Anbieter vorhanden ist, desto besser. ● Erhobene Daten sind auch für den Datenschutzbeauftragten das heutige Gold.
  55. 55. Copyright © 2013 by renebuest research | René Büst Q&A
  56. 56. Copyright © 2013 by renebuest research | René Büst Quellen
  57. 57. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 57 Quellen Weiterführende Informationen [1] „EVB-IT und BVB“, IT-Beauftragte der Bundesregierung http://www.cio.bund.de/DE/IT-Beschaffung/EVB-IT-und-BVB/evb- it_bvb_node.html [2] „B 1.11 Outsourcing“, BSI https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschut zKataloge/Inhalt/_content/baust/b01/b01011.html [A] „Datenschutzwerkzeuge für die Cloud“, Sven Thomsen, http://clouduser.de/gastbeitraege/datenschutzwerkzeuge-fur-die -cloud-6471 [B] „Cloud Computing: Die rechtlichen Herausforderungen sind lösbar“, Jan Schneider http://clouduser.de/gastbeitraege/die-rechtlichen-herausforderu ngen-sind-losbar-6405
  58. 58. Copyright © 2013 by renebuest research | René Büst renebuest research business technology - analysis | strategy | advisory René Büst Hauptstr. 44a 64401 Groß-Bieberau Tel.: +49 6166 233 76 93 E-Mail: rene@renebuest.de Web: http://renebuest.de Blog: http://clouduser.de Twitter: @ReneBuest

×