Copyright © 2013 by renebuest research | René Büst
Berlin, 25. April 2013
René Büst
BvD-Datenschutztage 2013 // #Workshop
Cloud Computing
„Entscheidungshilfe für den Datenschutzbeauftragten“

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 2
Agenda
Die Inhalte des Vortrags
Cloud Computing
Hinweise für den DSB Q & A

Copyright © 2013 by renebuest research | René Büst
René Büst

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 4
René Büst
Cloud Computing & Technologie Analyst und Advisor
Technologie Analyst & Advisor
● Cloud Computing
● Mobile
● New Work
● Business Technology
Tätigkeitsbereiche
● Content & Lectures
● Research & Analysis
● Advisory & Strategy
Publikationen
● CloudUser.de
● div. Blogs
● u.a. Computerwoche.de

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 5
CloudUser.de
Blog über Cloud Computing, IT-Infrastrukturen, IT-Management und Strategien

Copyright © 2013 by renebuest research | René Büst
Cloud Computing

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 7
Cloud Computing
Hintergrund und Bedeutung
Flexibler Bezug von IT-Ressourcen über eine
Datenverbindung, bevorzugt das Internet.

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 8
Cloud Computing
Hintergrund und Bedeutung
Flexibel
On-Demand + Pay per use
1. On-Demand
Wenn die Ressource benötigt wird.
2. Per pay use
Exakte Abrechnung der beanspruchten
Ressource.

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 9
Cloud Computing
Hintergrund und Bedeutung | Cloud Bereitstellungsmodelle
Ressourcen
Applikationen Plattformen Infrastrukturen
Bereitstellung von Services

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 10
Cloud Computing
Hintergrund und Bedeutung | Cloud Arten
Bereitstellung von Services
Public Privat Hybrid Community

Copyright © 2013 by renebuest research | René Büst
Zahlen vom Bitkom

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 12
Zahlen vom Bitkom
Cloud Computing im Jahr 2012 in Deutschland
Jedes dritte deutsche* Unternehmen nutzt Lösungen aus der
Cloud.
Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx
2011 2012
22 Prozent
planen
28 Prozent
nutzen
9 Prozent
Wachstum
(Einsatz)
29 Prozent
planen
37 Prozent
nutzen
*436befragteUnternehmen

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 13
Zahlen vom Bitkom
Cloud Computing im Jahr 2012 in Deutschland
Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx
20 – 99
Mitarbeiter
26 Prozent
Einsatz in Bezug auf die Unternehmensgröße.
100 – 199
Mitarbeiter
ab 2000
Mitarbeiter
45 Prozent
65 Prozent

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 14
Zahlen vom Bitkom
Cloud Computing im Jahr 2012 in Deutschland
Grund: 79 Prozent haben Angst vor Datenverlust.
Vorbehalte gegenüber der Public Cloud.
2011 2012
7 Prozent
planen
6 Prozent
nutzen
4 Prozent
Wachstum
(Einsatz)
11 Prozent
planen
10 Prozent
nutzen
Quelle:http://www.bitkom.org/de/presse/8477_75140.aspx

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 15
Zahlen vom Bitkom
Cloud Computing im Jahr 2012 in Deutschland
Forrester: „70 Prozent der Private Clouds sind keine Clouds.“
Die Deutschen bevorzugen die Private Cloud.
2011 2012
22 Prozent
planen
27 Prozent
nutzen
7 Prozent
Wachstum
(Einsatz)
29 Prozent
planen
34 Prozent
nutzen
Quelle:http://www.bitkom.org/de/presse/8477_75140.aspx

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 16
Zahlen vom Bitkom
Cloud Computing im Jahr 2012 in Deutschland
79 Prozent haben Angst vor Datenverlust
Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx

Copyright © 2013 by renebuest research | René Büst
Hinweise für den DSB

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 18
Hinweise für den Datenschutzbeauftragten
Die Richtung spielt keine Rolle

Copyright © 2013 by renebuest research | René Büst
Was muss Wie geregelt sein?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 20
Was muss Wie geregelt sein?
Cloud Computing Konformität
● Verantwortung und Verträge
● Outsourcing
● Datensicherheit
● Datenschutz

Copyright © 2013 by renebuest research | René Büst
Verantwortung und Verträge

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 22
Was muss Wie geregelt sein?
Cloud Computing Konformität | Verantwortung und Verträge
● Was?
● Rechte und Pflichten messbar festlegen
● Leistungserbringung beanstanden können
● Wie?
● EVB-IT vom CIO des Bundes [1]
– „Ergänzende Vertragsbedingungen für die Beschaffung
von Informationstechnik (EVB-IT)“
– Standardvorgehensweisen zur IT-Planung & -Steuerung
– Deckt Großteil der Anforderungen des Bundesdaten-
schutzgesetz oder den Landesdatenschutzgesetzen ab.

Copyright © 2013 by renebuest research | René Büst
Outsourcing

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 24
Was muss Wie geregelt sein?
Cloud Computing Konformität | Outsourcing
● Was?
● Maßnahmen und Risikobehandlungen
● IT-Sicherheitskonzept, Notfallkonzept, Vertragsgestaltung
● Aus der Vergagenheit (80er, 90er) lernen
● Wie?
● Baustein B1.11 des Grundschutzkatalogs
– Einsatzszenarien und Maßnahmenempfehlungen für
Risikobehandlung im Bereich des Outsourcings nach BSI [3].
● Betrachtet u.a. technische und organisatorische
Maßnahmen.
● Thematisiert ebenfalls Abhängigkeiten zu einem Anbieter.

Copyright © 2013 by renebuest research | René Büst
Datensicherheit

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 26
Was muss Wie geregelt sein?
Cloud Computing Konformität | Datensicherheit
● Was?
● Konkrete Sicherheitszusagen
● Technische und organisatorische Maßnahmen
● Wie?
● Publikationen der Anbieter
– Sicherheitsarchitektur, Empfehlungen zur Nutzung
● Zertifizierungen und Zulassungen
● ~100% Sicherheit nur durch Audit des Kunden
selbst.

Copyright © 2013 by renebuest research | René Büst
Datenschutz

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 28
Was muss Wie geregelt sein?
Cloud Computing Konformität | Datenschutz
● Was?
● Datensparsamkeit
● Umgang mit personenbezogenen Daten
● Umgang mit unternehmenskritischen Daten
● Konkrete Zusagen zum Ort der Datenverarbeitung
● Einhaltung des gewünschten Datenschutzniveaus
Eine Anwendung von Cloud-Diensten ohne konkrete
Ortsvorgaben oder -zusagen zur Verarbeitung
personenbezogener Daten ist datenschutzrechtlich nicht
zulässig.

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 29
Was muss Wie geregelt sein?
Cloud Computing Konformität | Datenschutz
● Wie?
● Technische und organisatorische Maßnahmen zur
Auftragsdatenverarbeitung (§ 11 BDSG) nach § 9 BDSG.
● Pflicht des Kunden: Regelmäßig prüfen ob die
gesetzlichen Anforderungen des § 9 BDSG (nach §11
BDSG) eingehalten werden.
● Prüfberichte oder Testate von Wirtschaftsprüfern
● Nachweise für ISO/IEC 27001, SSAE 16 oder ISAE 3402
● Vertraglich geregelte Datenschutz-Dokumentation
– Muss durch den DSB auf Einhaltung nach §9 BDSG geprüft
werden.

Copyright © 2013 by renebuest research | René Büst
Welche Fragen stellen?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 31
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Erfüllt der Anbieter die rechtlichen
Anforderungen?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 32
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Erfüllt der Anbieter die technischen
Voraussetzungen für die rechtlichen Regelungen
und Bestimmungen?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 33
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Wo befindet sich der Rechtsstand und ist das mit
den Unternehmensrichtlinien zu vereinbaren?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 34
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Ist der Anbieter nach <x> zertifiziert?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 35
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Kann der Anbieter nachweisen, dass er die
Bestimmungen des BDSG einhält?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 36
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Verfügt der Anbieter über ein Konzept/
Dokumentation über die Umsetzung der technischen
und organisatorischen Maßnahmen nach §9 BDSG?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 37
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Kann der Anbieter nachweisen, dass seine
Mitarbeiter über das Datengeheimnis nach §5 BDSG
aufgeklärt wurden?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 38
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Nimmt der Anbieter besondere Maßnahmen
bei der Auswahl und der Einstellung seiner
Mitarbeiter vor?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 39
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Verfügt der Anbieter über einen
Datenschutzbeauftragten?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 40
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Wo werden die Daten verarbeitet?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 41
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Nennt der Anbieter die Standorte wie das Land
und die Region?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 42
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Werden die Daten ggf. in einem für das
Unternehmen nicht zulässigen Land gespeichert?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 43
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Werden personenbezogene Daten außerhalb
der EU bzw. des EWR verarbeitet?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 44
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Entspricht die Datenhaltung den
unternehmenseigenen Richtlinien?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 45
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Legt der Anbieter transparent offen, ob der
Staat Zugriff auf die Daten erhält?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 46
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Werden die Daten vollständig von den Systemen
entfernt, wenn diese von dem Kunden über den
Web Service gelöscht werden?

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 47
Welche Fragen stellen?
Was ist bei einem Cloud Computing Anbieter zu hinterfragen?
Wertet der Anbieter die Daten aus, um damit
Werbung zu betreiben?

Copyright © 2013 by renebuest research | René Büst
Cloud Anbieter Checkliste

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 49
Cloud Anbieter Checkliste
Überprüfen Sie den Cloud Computing Anbieter Ihrer Wahl
http://buest.de/cloud-anbieter-checkliste

Copyright © 2013 by renebuest research | René Büst
Aktiv mitgestalten

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 51
Aktiv mitgestalten
Agieren nicht reagieren
● Nicht reagieren
● Nicht nur Absolution erteilen.
● Agieren
● Sie kennen die kritischen Daten.
● Aktiv mitgestalten
● Aktiv beteiligen und aufzeigen welche Daten
sensibel zu behandeln sind.

Copyright © 2013 by renebuest research | René Büst
Public Cloud ist kein Tabuthema

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 53
Public Cloud ist kein Tabuthema
Es geht primär um das „was“ und sekundär um das „wie“
● Risiken analysieren
● Risikoklassen identifizieren und einteilen
● Daten klassifizieren
● Organisatorisches Thema
● Personenbezogene Daten
● Anonyme Daten
● Unternehmenskritische Daten
● Daten verschlüsseln
● Technologisches Thema

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 54
Public Cloud ist kein Tabuthema
Es geht primär um das „was“ und sekundär um das „wie“
● Fragen stellen
● Den richtigen Leuten die richtigen Fragen stellen.
● Informationen erheben
● Je mehr Wissen über den Anbieter vorhanden ist,
desto besser.
● Erhobene Daten sind auch für den
Datenschutzbeauftragten das heutige Gold.

Copyright © 2013 by renebuest research | René Büst
Q&A

Copyright © 2013 by renebuest research | René Büst
Quellen

Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 57
Quellen
Weiterführende Informationen
[1] „EVB-IT und BVB“, IT-Beauftragte der Bundesregierung
http://www.cio.bund.de/DE/IT-Beschaffung/EVB-IT-und-BVB/evb-
it_bvb_node.html
[2] „B 1.11 Outsourcing“, BSI
https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschut
zKataloge/Inhalt/_content/baust/b01/b01011.html
[A] „Datenschutzwerkzeuge für die Cloud“, Sven Thomsen,
http://clouduser.de/gastbeitraege/datenschutzwerkzeuge-fur-die
-cloud-6471
[B] „Cloud Computing: Die rechtlichen Herausforderungen sind
lösbar“, Jan Schneider
http://clouduser.de/gastbeitraege/die-rechtlichen-herausforderu
ngen-sind-losbar-6405

Copyright © 2013 by renebuest research | René Büst
renebuest research
business technology - analysis | strategy | advisory
René Büst
Hauptstr. 44a
64401 Groß-Bieberau
Tel.: +49 6166 233 76 93
E-Mail: rene@renebuest.de
Web: http://renebuest.de
Blog: http://clouduser.de
Twitter: @ReneBuest