SlideShare ist ein Scribd-Unternehmen logo
Cloud Compliance
Was Provider und Nutzer beachten müssen
RA Jan Schneider
Fachanwalt für Informationstechnologierecht



Cloud Conf 2011, Frankfurt am Main den 21. November 2011
Cloud Compliance
Was Provider und Nutzer beachten müssen.


RA Jan Schneider
Fachanwalt für Informationstechnologierecht
Sex‘TXL 2011, Frankfurt am Main den 22. November 2011
„Ist Cloud Computing nicht …

                           ... unsicher?“
     ... ein Kontrollverlust?“
    ...eine unerlaubte
    Datenübermittlung?“
                   ... datenschutzwidrig?“

... rechtlich
problematisch?“
Ist das Cloud Computing also




                   „compliant“?


RA Jan Schneider                SKW Schwarz Rechtsanwälte   4
Was bedeutet „Compliance“?




      Einhaltung der rechtlichen – insbesondere
              der gesetzlichen – Bestimmungen




RA Jan Schneider                    SKW Schwarz Rechtsanwälte   5
Compliance-Anforderungen im Cloud Computing

§ gesetzliche Dokumentations- und Archivierungspflichten


§ Steuer-, handels- u. bilanzrechtliche Anforderungen


§ Spezialgesetzliche Regelungen, z.     B.    aus     Medizin-       oder
  Transportrecht, KWG, MaRisk etc.?




RA Jan Schneider                         SKW Schwarz Rechtsanwälte      6
Compliance-Anforderungen im Cloud Computing

§ IT-Risikomanagement nach KonTrag?

     à Risiko der Haftung der Unternehmensführung bzw. d. IT-
       Verantwortlichen



 § und … Datenschutz, Datenschutz, Datenschutz!




RA Jan Schneider                      SKW Schwarz Rechtsanwälte   7
Herausforderung:

 Rechtskonforme
Datenübermittlung


                    8
Bei der Nutzung von Cloud Services werden häufig

 personenbezogene Daten übertragen.




RA Jan Schneider                        SKW Schwarz Rechtsanwälte   9
Bei der Nutzung von Cloud Services werden häufig

 personenbezogene Daten übertragen.

                               „Angaben, anhand derer natürliche
                                      Personen bestimmbar sind“




RA Jan Schneider                        SKW Schwarz Rechtsanwälte   10
Bei der Nutzung von Cloud Services werden häufig

 personenbezogene Daten übertragen.

                                              „Angaben, anhand derer natürliche
                                                     Personen bestimmbar sind“

     z. B. Name, Anschrift - auch E-Mail-Anschrift -, Alter,
     Geschlecht, Beruf, Konfession, aber ggf. auch Fotos -


RA Jan Schneider                                               SKW Schwarz Rechtsanwälte   11
Herausforderung Datenübermittlung


 § (auch) personenbezogene Daten sollen in die Cloud?




 § Nein: à keine datenschutzrechtlichen Anforderungen! Z. B. bei

      § Anonymisierung der Daten

      § Verschlüsselung der Daten



RA Jan Schneider                         SKW Schwarz Rechtsanwälte   12
Herausforderung Datenübermittlung


 § (auch) personenbezogene Daten sollen in die Cloud?

 § Ja:
      à Datenschutzgesetze finden Anwendung (TMG, BDSG, LandesDSG)

      à Grundsatz: Datenübermittlung ist nur dann zulässig, wenn hierzu
        ausdrückliche gesetzliche Ermächtigungsgrundlage auffindbar ist

      à zentrale Herausforderung: Sicherstellung der
        datenschutzrechtlichen Zulässigkeit der Datenübermittlung


RA Jan Schneider                              SKW Schwarz Rechtsanwälte   13
Lösungsansatz: Auftragsdatenverarbeitung („ADV“)


 § ADV ist gesetzliches „Konstrukt“, beschrieben in § 11 BDSG

 § vertragliche Gestaltung erforderlich – schriftlich und
   ausführlich!

 § Regelungskatalog des § 11 BDSG!

 § Einrichtung technischer und organisatorischer Maßnahmen
   durch den Cloud Service Provider („CSP“), § 9 BDSG

 § Prüfung der Maßnahmen durch den Cloud Nutzer
RA Jan Schneider                         SKW Schwarz Rechtsanwälte   14
Lösungsansatz: Auftragsdatenverarbeitung („ADV“)




 § Konsequenz einer rechtmäßigen ADV:




                   Nutzer bleibt per Gesetz „Herr   seiner Daten“



RA Jan Schneider                            SKW Schwarz Rechtsanwälte   15
Ein „sicherer Hafen“?

Serverfarmen in Übersee

                          16
Ein sicherer Hafen? Serverfarmen in Übersee




     Herausforderung:



                    Datenübermittlung             an                Server
                    außerhalb der EU zulässig?

RA Jan Schneider                        SKW Schwarz Rechtsanwälte       17
Ein sicherer Hafen? Serverfarmen in Übersee




                         Diskussion der Datenschutzexperten:




     Kann eine Datenübermittlung nach „Übersee“
     zulässige „Auftragsdatenverarbeitung“ (oder
     anderweit gesetzlich legitimiert) sein?

RA Jan Schneider                               SKW Schwarz Rechtsanwälte   18
Ein sicherer Hafen? Serverfarmen in Übersee



                             Möglicher Lösungsansatz für die USA:




     „   Safe Harbor“ - Abkommen

RA Jan Schneider                          SKW Schwarz Rechtsanwälte   19
Was ist „Safe Harbor“?

     § Abkommen zwischen EU-Kommission und US-Regierung aus
       dem Jahre 2000

     § Festlegung bestimmter datenschutzrechtlicher Maßnahmen

     § Anerkennung der Maßnahmen durch die Unternehmen, die
       sich verbindlich zu den Grundsätzen des Safe Harbor
       bekennen („Selbstverpflichtung“)

     § „Safe Harbor“ führt zu angemessenem Datenschutzniveau



RA Jan Schneider                       SKW Schwarz Rechtsanwälte   20
„Safe Harbor“ noch zeitgemäß?

     § Beschluss des „Düsseldorfer Kreises“ vom 28.04.2010;
       Festlegungen für Cloud Computing:
          § Inhalt:
               § Prüfung des Nachweises über Beitritt zu „Safe Harbor“
               § Nachweis über die Einhaltung der Informationspflichten nach
                 Safe Harbor durch den Cloud Service Provider
          § Festlegungen entfalten keine unmittelbare Rechtswirkung,
            gleichwohl beachtlich
          § Festlegungen sind in der Diskussion


RA Jan Schneider                                  SKW Schwarz Rechtsanwälte   22
Checkliste

     § Ist der CSP beim Safe Harbor-Programm                    des   US-
       Handelsministeriums registriert?


     § Gewährleistet der CSP ausdrücklich die Einhaltung der Safe
       Harbor-Prinzipien?


     § Erfolgt ein Nachweis über die Einhaltung von „Safe Harbor“
       (ggf. SSAE 16, ISAE 3402 o. ä.)?



RA Jan Schneider                         SKW Schwarz Rechtsanwälte     23
Ausblick




     § „Safe Harbor“ hat nach Potential



     § Alternative zu EU-Standardvertragsklauseln (+ ergänzende
       Regelungen)




RA Jan Schneider                          SKW Schwarz Rechtsanwälte   24
Projekt

Datensicherheit!
                   25
Projekt Datensicherheit!

     § Herausforderungen:


           § Etablierung der technischen und organisatorischen
             Maßnahmen zum Datenschutz (§ 9 BDSG)


           § optimale IT-Sicherheit herstellen




RA Jan Schneider                         SKW Schwarz Rechtsanwälte   26
Projekt Datensicherheit!

     § Lösung:


           § moderne Rechenzentren der großen CSP‘s


           § Dokumentation                der          Maßnahmen               in
               “Datensicherheitskonzepten“
                   à Notwendiger Bestandteil der vertraglichen Vereinbarungen!



RA Jan Schneider                                   SKW Schwarz Rechtsanwälte   27
Projekt Datensicherheit!

     § „Checkliste“:

         § Modernes Hochsicherheits-Rechenzentrum?

         § Standort des Rechenzentrums?

         § Ausführliche, verbindliche und belastbare Beschreibung
           der vom CSP getroffenen technischen und
           organisatorischen Maßnahmen?


RA Jan Schneider                          SKW Schwarz Rechtsanwälte   28
Odyssee in die Cloud?

Prüfung der Maßnahmen zum
        Datenschutz

                            29
Eine Odyssee in die Cloud? - Prüfung der Maßnahmen

     Herausforderung:




     Prüfung           der  Einhaltung   der     technischen    und
     organisatorischen Maßnahmen durch den Cloud Nutzer (§ 11 BDSG)




RA Jan Schneider                          SKW Schwarz Rechtsanwälte   30
Eine Odyssee in die Cloud?




                                    Schwierigkeit:




Prüfung vor Ort beim CSP durch den Cloud Nutzer häufig
nicht praktikabel

                                                     31
Eine Odyssee in die Cloud?

     § Lösungsansatz:




       § 11 BDSG schreibt      keine Prüfung vor Ort
       durch den Nutzer vor.




RA Jan Schneider                      SKW Schwarz Rechtsanwälte   32
Checkliste

     § Testate bzw. Auditierung durch unabhängige Stellen - z. B.
       Wirtschaftsprüfer?


     § Nachweis des CSP? Z. B. nach ISO 27001, SSAE 16, ISAE
       3402


     § Sonstige Nachweise?




RA Jan Schneider                         SKW Schwarz Rechtsanwälte   33
Fazit und Ausblick

§ Cloud Computing hat Potential!


§ Die Herausforderungen der „Cloud Compliance“ sind lösbar
  – mit einem konstruktiven und praxisnahen Ansatz.


§ Datenschutzrechtler und -behörden, anwaltliche Berater,
  Rechtsprechung und Gesetzgeber sind gemeinsam aufgerufen,
  praxisnahe Lösungen zu erarbeiten


                                                         34
Bei Fragen oder Anmerkungen:

                                                           Jan Schneider
                                                           Rechtsanwalt
                                                           Fachanwalt für IT-Recht
                                                           SKW Schwarz Rechtsanwälte
                                                           40212 Düsseldorf
                                                           Steinstraße 1 / KÖ
                                                           T +49 (0)211 82 89 59 – 0
                                                           j.schneider@skwschwarz.de
                                                           www.skwschwarz.de


                       Herzlichen Dank für Ihre Aufmerksamkeit!

Abbild. S. 3, 5, 8, 16, 25, 29, 31, 34 © iStockphoto.com                               35

Weitere ähnliche Inhalte

Andere mochten auch

miguel angel chavarria portela
miguel angel chavarria portelamiguel angel chavarria portela
miguel angel chavarria portela
miguelchavarria
 
Progetto Educativo
Progetto EducativoProgetto Educativo
Progetto EducativoPop Apps
 
Magnificent photos
Magnificent photosMagnificent photos
Magnificent photos
Ioannis Papanikolaou
 
Mi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve CopyMi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve Copyyouri59490
 
Attention Danger
Attention DangerAttention Danger
Attention Dangerrmichiel
 
El olivo Miguel
El olivo MiguelEl olivo Miguel
El olivo Miguel
cosasdelcoledepulgar
 
Instructivo aprobado 2011 2
Instructivo aprobado 2011 2Instructivo aprobado 2011 2
Instructivo aprobado 2011 2
Leonardo Mamani
 
Modul5 praesentation onlinemeetin3
Modul5 praesentation onlinemeetin3Modul5 praesentation onlinemeetin3
Modul5 praesentation onlinemeetin3
Bildungsnetzwerk Steiermark
 
Sincropool
SincropoolSincropool
6-Cm10 noté
6-Cm10 noté6-Cm10 noté
6-Cm10 notémathome79
 
Interrog@atoire Didier Bonneville-Roussy
Interrog@atoire Didier Bonneville-RoussyInterrog@atoire Didier Bonneville-Roussy
Interrog@atoire Didier Bonneville-Roussy
pprem
 
Factorización
 Factorización Factorización
Factorización
Jorge Salvatierra
 
Analisis forense
Analisis forenseAnalisis forense
Analisis forense
Jose Rivera
 
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Qualiméditerranée
 
Sistema binario
Sistema binarioSistema binario
Sistema binario
Maria
 

Andere mochten auch (19)

Skifahren in Österreich
Skifahren in ÖsterreichSkifahren in Österreich
Skifahren in Österreich
 
Le menage
Le menageLe menage
Le menage
 
miguel angel chavarria portela
miguel angel chavarria portelamiguel angel chavarria portela
miguel angel chavarria portela
 
Progetto Educativo
Progetto EducativoProgetto Educativo
Progetto Educativo
 
Magnificent photos
Magnificent photosMagnificent photos
Magnificent photos
 
Mi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve CopyMi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve Copy
 
G2
G2G2
G2
 
Attention Danger
Attention DangerAttention Danger
Attention Danger
 
El olivo Miguel
El olivo MiguelEl olivo Miguel
El olivo Miguel
 
Instructivo aprobado 2011 2
Instructivo aprobado 2011 2Instructivo aprobado 2011 2
Instructivo aprobado 2011 2
 
Modul5 praesentation onlinemeetin3
Modul5 praesentation onlinemeetin3Modul5 praesentation onlinemeetin3
Modul5 praesentation onlinemeetin3
 
Sincropool
SincropoolSincropool
Sincropool
 
6-Cm10 noté
6-Cm10 noté6-Cm10 noté
6-Cm10 noté
 
Interrog@atoire Didier Bonneville-Roussy
Interrog@atoire Didier Bonneville-RoussyInterrog@atoire Didier Bonneville-Roussy
Interrog@atoire Didier Bonneville-Roussy
 
Front cover deconstructions
Front cover deconstructionsFront cover deconstructions
Front cover deconstructions
 
Factorización
 Factorización Factorización
Factorización
 
Analisis forense
Analisis forenseAnalisis forense
Analisis forense
 
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
 
Sistema binario
Sistema binarioSistema binario
Sistema binario
 

Mehr von Symposia 360°

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...Symposia 360°
 
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...Symposia 360°
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...Symposia 360°
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...Symposia 360°
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"Symposia 360°
 
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...Symposia 360°
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...Symposia 360°
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...Symposia 360°
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...Symposia 360°
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...Symposia 360°
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...Symposia 360°
 

Mehr von Symposia 360° (13)

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
 
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
 
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
 

SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nutzer beachten müssen"

  • 1. Cloud Compliance Was Provider und Nutzer beachten müssen RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud Conf 2011, Frankfurt am Main den 21. November 2011
  • 2. Cloud Compliance Was Provider und Nutzer beachten müssen. RA Jan Schneider Fachanwalt für Informationstechnologierecht Sex‘TXL 2011, Frankfurt am Main den 22. November 2011
  • 3. „Ist Cloud Computing nicht … ... unsicher?“ ... ein Kontrollverlust?“ ...eine unerlaubte Datenübermittlung?“ ... datenschutzwidrig?“ ... rechtlich problematisch?“
  • 4. Ist das Cloud Computing also „compliant“? RA Jan Schneider SKW Schwarz Rechtsanwälte 4
  • 5. Was bedeutet „Compliance“? Einhaltung der rechtlichen – insbesondere der gesetzlichen – Bestimmungen RA Jan Schneider SKW Schwarz Rechtsanwälte 5
  • 6. Compliance-Anforderungen im Cloud Computing § gesetzliche Dokumentations- und Archivierungspflichten § Steuer-, handels- u. bilanzrechtliche Anforderungen § Spezialgesetzliche Regelungen, z. B. aus Medizin- oder Transportrecht, KWG, MaRisk etc.? RA Jan Schneider SKW Schwarz Rechtsanwälte 6
  • 7. Compliance-Anforderungen im Cloud Computing § IT-Risikomanagement nach KonTrag? à Risiko der Haftung der Unternehmensführung bzw. d. IT- Verantwortlichen § und … Datenschutz, Datenschutz, Datenschutz! RA Jan Schneider SKW Schwarz Rechtsanwälte 7
  • 9. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. RA Jan Schneider SKW Schwarz Rechtsanwälte 9
  • 10. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. „Angaben, anhand derer natürliche Personen bestimmbar sind“ RA Jan Schneider SKW Schwarz Rechtsanwälte 10
  • 11. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. „Angaben, anhand derer natürliche Personen bestimmbar sind“ z. B. Name, Anschrift - auch E-Mail-Anschrift -, Alter, Geschlecht, Beruf, Konfession, aber ggf. auch Fotos - RA Jan Schneider SKW Schwarz Rechtsanwälte 11
  • 12. Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Nein: à keine datenschutzrechtlichen Anforderungen! Z. B. bei § Anonymisierung der Daten § Verschlüsselung der Daten RA Jan Schneider SKW Schwarz Rechtsanwälte 12
  • 13. Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Ja: à Datenschutzgesetze finden Anwendung (TMG, BDSG, LandesDSG) à Grundsatz: Datenübermittlung ist nur dann zulässig, wenn hierzu ausdrückliche gesetzliche Ermächtigungsgrundlage auffindbar ist à zentrale Herausforderung: Sicherstellung der datenschutzrechtlichen Zulässigkeit der Datenübermittlung RA Jan Schneider SKW Schwarz Rechtsanwälte 13
  • 14. Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § ADV ist gesetzliches „Konstrukt“, beschrieben in § 11 BDSG § vertragliche Gestaltung erforderlich – schriftlich und ausführlich! § Regelungskatalog des § 11 BDSG! § Einrichtung technischer und organisatorischer Maßnahmen durch den Cloud Service Provider („CSP“), § 9 BDSG § Prüfung der Maßnahmen durch den Cloud Nutzer RA Jan Schneider SKW Schwarz Rechtsanwälte 14
  • 15. Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § Konsequenz einer rechtmäßigen ADV: Nutzer bleibt per Gesetz „Herr seiner Daten“ RA Jan Schneider SKW Schwarz Rechtsanwälte 15
  • 17. Ein sicherer Hafen? Serverfarmen in Übersee Herausforderung: Datenübermittlung an Server außerhalb der EU zulässig? RA Jan Schneider SKW Schwarz Rechtsanwälte 17
  • 18. Ein sicherer Hafen? Serverfarmen in Übersee Diskussion der Datenschutzexperten: Kann eine Datenübermittlung nach „Übersee“ zulässige „Auftragsdatenverarbeitung“ (oder anderweit gesetzlich legitimiert) sein? RA Jan Schneider SKW Schwarz Rechtsanwälte 18
  • 19. Ein sicherer Hafen? Serverfarmen in Übersee Möglicher Lösungsansatz für die USA: „ Safe Harbor“ - Abkommen RA Jan Schneider SKW Schwarz Rechtsanwälte 19
  • 20. Was ist „Safe Harbor“? § Abkommen zwischen EU-Kommission und US-Regierung aus dem Jahre 2000 § Festlegung bestimmter datenschutzrechtlicher Maßnahmen § Anerkennung der Maßnahmen durch die Unternehmen, die sich verbindlich zu den Grundsätzen des Safe Harbor bekennen („Selbstverpflichtung“) § „Safe Harbor“ führt zu angemessenem Datenschutzniveau RA Jan Schneider SKW Schwarz Rechtsanwälte 20
  • 21.
  • 22. „Safe Harbor“ noch zeitgemäß? § Beschluss des „Düsseldorfer Kreises“ vom 28.04.2010; Festlegungen für Cloud Computing: § Inhalt: § Prüfung des Nachweises über Beitritt zu „Safe Harbor“ § Nachweis über die Einhaltung der Informationspflichten nach Safe Harbor durch den Cloud Service Provider § Festlegungen entfalten keine unmittelbare Rechtswirkung, gleichwohl beachtlich § Festlegungen sind in der Diskussion RA Jan Schneider SKW Schwarz Rechtsanwälte 22
  • 23. Checkliste § Ist der CSP beim Safe Harbor-Programm des US- Handelsministeriums registriert? § Gewährleistet der CSP ausdrücklich die Einhaltung der Safe Harbor-Prinzipien? § Erfolgt ein Nachweis über die Einhaltung von „Safe Harbor“ (ggf. SSAE 16, ISAE 3402 o. ä.)? RA Jan Schneider SKW Schwarz Rechtsanwälte 23
  • 24. Ausblick § „Safe Harbor“ hat nach Potential § Alternative zu EU-Standardvertragsklauseln (+ ergänzende Regelungen) RA Jan Schneider SKW Schwarz Rechtsanwälte 24
  • 26. Projekt Datensicherheit! § Herausforderungen: § Etablierung der technischen und organisatorischen Maßnahmen zum Datenschutz (§ 9 BDSG) § optimale IT-Sicherheit herstellen RA Jan Schneider SKW Schwarz Rechtsanwälte 26
  • 27. Projekt Datensicherheit! § Lösung: § moderne Rechenzentren der großen CSP‘s § Dokumentation der Maßnahmen in “Datensicherheitskonzepten“ à Notwendiger Bestandteil der vertraglichen Vereinbarungen! RA Jan Schneider SKW Schwarz Rechtsanwälte 27
  • 28. Projekt Datensicherheit! § „Checkliste“: § Modernes Hochsicherheits-Rechenzentrum? § Standort des Rechenzentrums? § Ausführliche, verbindliche und belastbare Beschreibung der vom CSP getroffenen technischen und organisatorischen Maßnahmen? RA Jan Schneider SKW Schwarz Rechtsanwälte 28
  • 29. Odyssee in die Cloud? Prüfung der Maßnahmen zum Datenschutz 29
  • 30. Eine Odyssee in die Cloud? - Prüfung der Maßnahmen Herausforderung: Prüfung der Einhaltung der technischen und organisatorischen Maßnahmen durch den Cloud Nutzer (§ 11 BDSG) RA Jan Schneider SKW Schwarz Rechtsanwälte 30
  • 31. Eine Odyssee in die Cloud? Schwierigkeit: Prüfung vor Ort beim CSP durch den Cloud Nutzer häufig nicht praktikabel 31
  • 32. Eine Odyssee in die Cloud? § Lösungsansatz: § 11 BDSG schreibt keine Prüfung vor Ort durch den Nutzer vor. RA Jan Schneider SKW Schwarz Rechtsanwälte 32
  • 33. Checkliste § Testate bzw. Auditierung durch unabhängige Stellen - z. B. Wirtschaftsprüfer? § Nachweis des CSP? Z. B. nach ISO 27001, SSAE 16, ISAE 3402 § Sonstige Nachweise? RA Jan Schneider SKW Schwarz Rechtsanwälte 33
  • 34. Fazit und Ausblick § Cloud Computing hat Potential! § Die Herausforderungen der „Cloud Compliance“ sind lösbar – mit einem konstruktiven und praxisnahen Ansatz. § Datenschutzrechtler und -behörden, anwaltliche Berater, Rechtsprechung und Gesetzgeber sind gemeinsam aufgerufen, praxisnahe Lösungen zu erarbeiten 34
  • 35. Bei Fragen oder Anmerkungen: Jan Schneider Rechtsanwalt Fachanwalt für IT-Recht SKW Schwarz Rechtsanwälte 40212 Düsseldorf Steinstraße 1 / KÖ T +49 (0)211 82 89 59 – 0 j.schneider@skwschwarz.de www.skwschwarz.de Herzlichen Dank für Ihre Aufmerksamkeit! Abbild. S. 3, 5, 8, 16, 25, 29, 31, 34 © iStockphoto.com 35