SlideShare une entreprise Scribd logo

SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nutzer beachten müssen"

Symposia 360°
Symposia 360°
1  sur  35
Télécharger pour lire hors ligne
Cloud Compliance Was Provider und Nutzer beachten müssen RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud Conf 2011, Frankfurt am Main den 21. November 2011
Cloud Compliance Was Provider und Nutzer beachten müssen. RA Jan Schneider Fachanwalt für Informationstechnologierecht Sex‘TXL 2011, Frankfurt am Main den 22. November 2011
„Ist Cloud Computing nicht … ... unsicher?“ ... ein Kontrollverlust?“ ...eine unerlaubte Datenübermittlung?“ ... datenschutzwidrig?“ ... rechtlich problematisch?“
Ist das Cloud Computing also „compliant“? RA Jan Schneider SKW Schwarz Rechtsanwälte 4
Was bedeutet „Compliance“? Einhaltung der rechtlichen – insbesondere der gesetzlichen – Bestimmungen RA Jan Schneider SKW Schwarz Rechtsanwälte 5
Compliance-Anforderungen im Cloud Computing § gesetzliche Dokumentations- und Archivierungspflichten § Steuer-, handels- u. bilanzrechtliche Anforderungen § Spezialgesetzliche Regelungen, z. B. aus Medizin- oder Transportrecht, KWG, MaRisk etc.? RA Jan Schneider SKW Schwarz Rechtsanwälte 6
Compliance-Anforderungen im Cloud Computing § IT-Risikomanagement nach KonTrag? à Risiko der Haftung der Unternehmensführung bzw. d. IT- Verantwortlichen § und … Datenschutz, Datenschutz, Datenschutz! RA Jan Schneider SKW Schwarz Rechtsanwälte 7
Herausforderung: Rechtskonforme Datenübermittlung 8
Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. RA Jan Schneider SKW Schwarz Rechtsanwälte 9
Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. „Angaben, anhand derer natürliche Personen bestimmbar sind“ RA Jan Schneider SKW Schwarz Rechtsanwälte 10
Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. „Angaben, anhand derer natürliche Personen bestimmbar sind“ z. B. Name, Anschrift - auch E-Mail-Anschrift -, Alter, Geschlecht, Beruf, Konfession, aber ggf. auch Fotos - RA Jan Schneider SKW Schwarz Rechtsanwälte 11
Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Nein: à keine datenschutzrechtlichen Anforderungen! Z. B. bei § Anonymisierung der Daten § Verschlüsselung der Daten RA Jan Schneider SKW Schwarz Rechtsanwälte 12
Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Ja: à Datenschutzgesetze finden Anwendung (TMG, BDSG, LandesDSG) à Grundsatz: Datenübermittlung ist nur dann zulässig, wenn hierzu ausdrückliche gesetzliche Ermächtigungsgrundlage auffindbar ist à zentrale Herausforderung: Sicherstellung der datenschutzrechtlichen Zulässigkeit der Datenübermittlung RA Jan Schneider SKW Schwarz Rechtsanwälte 13
Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § ADV ist gesetzliches „Konstrukt“, beschrieben in § 11 BDSG § vertragliche Gestaltung erforderlich – schriftlich und ausführlich! § Regelungskatalog des § 11 BDSG! § Einrichtung technischer und organisatorischer Maßnahmen durch den Cloud Service Provider („CSP“), § 9 BDSG § Prüfung der Maßnahmen durch den Cloud Nutzer RA Jan Schneider SKW Schwarz Rechtsanwälte 14
Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § Konsequenz einer rechtmäßigen ADV: Nutzer bleibt per Gesetz „Herr seiner Daten“ RA Jan Schneider SKW Schwarz Rechtsanwälte 15
Ein „sicherer Hafen“? Serverfarmen in Übersee 16
Ein sicherer Hafen? Serverfarmen in Übersee Herausforderung: Datenübermittlung an Server außerhalb der EU zulässig? RA Jan Schneider SKW Schwarz Rechtsanwälte 17
Ein sicherer Hafen? Serverfarmen in Übersee Diskussion der Datenschutzexperten: Kann eine Datenübermittlung nach „Übersee“ zulässige „Auftragsdatenverarbeitung“ (oder anderweit gesetzlich legitimiert) sein? RA Jan Schneider SKW Schwarz Rechtsanwälte 18
Ein sicherer Hafen? Serverfarmen in Übersee Möglicher Lösungsansatz für die USA: „ Safe Harbor“ - Abkommen RA Jan Schneider SKW Schwarz Rechtsanwälte 19
Was ist „Safe Harbor“? § Abkommen zwischen EU-Kommission und US-Regierung aus dem Jahre 2000 § Festlegung bestimmter datenschutzrechtlicher Maßnahmen § Anerkennung der Maßnahmen durch die Unternehmen, die sich verbindlich zu den Grundsätzen des Safe Harbor bekennen („Selbstverpflichtung“) § „Safe Harbor“ führt zu angemessenem Datenschutzniveau RA Jan Schneider SKW Schwarz Rechtsanwälte 20
„Safe Harbor“ noch zeitgemäß? § Beschluss des „Düsseldorfer Kreises“ vom 28.04.2010; Festlegungen für Cloud Computing: § Inhalt: § Prüfung des Nachweises über Beitritt zu „Safe Harbor“ § Nachweis über die Einhaltung der Informationspflichten nach Safe Harbor durch den Cloud Service Provider § Festlegungen entfalten keine unmittelbare Rechtswirkung, gleichwohl beachtlich § Festlegungen sind in der Diskussion RA Jan Schneider SKW Schwarz Rechtsanwälte 22
Checkliste § Ist der CSP beim Safe Harbor-Programm des US- Handelsministeriums registriert? § Gewährleistet der CSP ausdrücklich die Einhaltung der Safe Harbor-Prinzipien? § Erfolgt ein Nachweis über die Einhaltung von „Safe Harbor“ (ggf. SSAE 16, ISAE 3402 o. ä.)? RA Jan Schneider SKW Schwarz Rechtsanwälte 23
Ausblick § „Safe Harbor“ hat nach Potential § Alternative zu EU-Standardvertragsklauseln (+ ergänzende Regelungen) RA Jan Schneider SKW Schwarz Rechtsanwälte 24
Projekt Datensicherheit! 25
Projekt Datensicherheit! § Herausforderungen: § Etablierung der technischen und organisatorischen Maßnahmen zum Datenschutz (§ 9 BDSG) § optimale IT-Sicherheit herstellen RA Jan Schneider SKW Schwarz Rechtsanwälte 26
Projekt Datensicherheit! § Lösung: § moderne Rechenzentren der großen CSP‘s § Dokumentation der Maßnahmen in “Datensicherheitskonzepten“ à Notwendiger Bestandteil der vertraglichen Vereinbarungen! RA Jan Schneider SKW Schwarz Rechtsanwälte 27
Projekt Datensicherheit! § „Checkliste“: § Modernes Hochsicherheits-Rechenzentrum? § Standort des Rechenzentrums? § Ausführliche, verbindliche und belastbare Beschreibung der vom CSP getroffenen technischen und organisatorischen Maßnahmen? RA Jan Schneider SKW Schwarz Rechtsanwälte 28
Odyssee in die Cloud? Prüfung der Maßnahmen zum Datenschutz 29
Eine Odyssee in die Cloud? - Prüfung der Maßnahmen Herausforderung: Prüfung der Einhaltung der technischen und organisatorischen Maßnahmen durch den Cloud Nutzer (§ 11 BDSG) RA Jan Schneider SKW Schwarz Rechtsanwälte 30
Eine Odyssee in die Cloud? Schwierigkeit: Prüfung vor Ort beim CSP durch den Cloud Nutzer häufig nicht praktikabel 31
Eine Odyssee in die Cloud? § Lösungsansatz: § 11 BDSG schreibt keine Prüfung vor Ort durch den Nutzer vor. RA Jan Schneider SKW Schwarz Rechtsanwälte 32
Checkliste § Testate bzw. Auditierung durch unabhängige Stellen - z. B. Wirtschaftsprüfer? § Nachweis des CSP? Z. B. nach ISO 27001, SSAE 16, ISAE 3402 § Sonstige Nachweise? RA Jan Schneider SKW Schwarz Rechtsanwälte 33
Fazit und Ausblick § Cloud Computing hat Potential! § Die Herausforderungen der „Cloud Compliance“ sind lösbar – mit einem konstruktiven und praxisnahen Ansatz. § Datenschutzrechtler und -behörden, anwaltliche Berater, Rechtsprechung und Gesetzgeber sind gemeinsam aufgerufen, praxisnahe Lösungen zu erarbeiten 34
Bei Fragen oder Anmerkungen: Jan Schneider Rechtsanwalt Fachanwalt für IT-Recht SKW Schwarz Rechtsanwälte 40212 Düsseldorf Steinstraße 1 / KÖ T +49 (0)211 82 89 59 – 0 j.schneider@skwschwarz.de www.skwschwarz.de Herzlichen Dank für Ihre Aufmerksamkeit! Abbild. S. 3, 5, 8, 16, 25, 29, 31, 34 © iStockphoto.com 35

Recommandé

Cloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der CloudCloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der Cloud
Connected-Blog
 
Kroll Ontrack Remote Datenrettung
Kroll Ontrack Remote DatenrettungKroll Ontrack Remote Datenrettung
Kroll Ontrack Remote Datenrettung
Kroll Ontrack GmbH
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
Symposia 360°
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Bernd Fuhlert
 
La politique et l'enjeu du style (3/3)
La politique et l'enjeu du style (3/3)La politique et l'enjeu du style (3/3)
La politique et l'enjeu du style (3/3)
Newday
 
5-Cm19
5-Cm195-Cm19
5-Cm19
mathome79
 
Esforse
EsforseEsforse
Esforse
luisalberto1973
 
Les feuilles mortes
Les feuilles mortesLes feuilles mortes
Les feuilles mortes
Minh Anh Nguyen
 

Recommandé

Cloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der CloudCloud-Computing - Rechtliche Stolperfallen in der Cloud
Cloud-Computing - Rechtliche Stolperfallen in der Cloud
Connected-Blog
 
Kroll Ontrack Remote Datenrettung
Kroll Ontrack Remote DatenrettungKroll Ontrack Remote Datenrettung
Kroll Ontrack Remote Datenrettung
Kroll Ontrack GmbH
 
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
SecTXL '11 | Hamburg - Dr. Marc Störing: "Datenschutz in der Cloud - So geht'...
Symposia 360°
 
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Minenfeld Archivierung - Ansätze. Rechtsfragen. Verantwortlichkeiten.
Bernd Fuhlert
 
La politique et l'enjeu du style (3/3)
La politique et l'enjeu du style (3/3)La politique et l'enjeu du style (3/3)
La politique et l'enjeu du style (3/3)
Newday
 
5-Cm19
5-Cm195-Cm19
5-Cm19
mathome79
 
Esforse
EsforseEsforse
Esforse
luisalberto1973
 
Les feuilles mortes
Les feuilles mortesLes feuilles mortes
Les feuilles mortes
Minh Anh Nguyen
 
Skifahren in Österreich
Skifahren in ÖsterreichSkifahren in Österreich
Skifahren in Österreich
Olivera Radivojsa
 
Le menage
Le menageLe menage
Le menage
Marlène Fert
 
miguel angel chavarria portela
miguel angel chavarria portelamiguel angel chavarria portela
miguel angel chavarria portela
miguelchavarria
 
Progetto Educativo
Progetto EducativoProgetto Educativo
Progetto Educativo
Pop Apps
 
Magnificent photos
Magnificent photosMagnificent photos
Magnificent photos
Ioannis Papanikolaou
 
Mi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve CopyMi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve Copy
youri59490
 
G2
G2G2
G2
1aradippou
 
Attention Danger
Attention DangerAttention Danger
Attention Danger
rmichiel
 
El olivo Miguel
El olivo MiguelEl olivo Miguel
El olivo Miguel
cosasdelcoledepulgar
 
Instructivo aprobado 2011 2
Instructivo aprobado 2011 2Instructivo aprobado 2011 2
Instructivo aprobado 2011 2
Leonardo Mamani
 
Modul5 praesentation onlinemeetin3
Modul5 praesentation onlinemeetin3Modul5 praesentation onlinemeetin3
Modul5 praesentation onlinemeetin3
Bildungsnetzwerk Steiermark
 
Sincropool
SincropoolSincropool
Sincropool
Ethel Bonnet-Laverge
 
6-Cm10 noté
6-Cm10 noté6-Cm10 noté
6-Cm10 noté
mathome79
 
Interrog@atoire Didier Bonneville-Roussy
Interrog@atoire Didier Bonneville-RoussyInterrog@atoire Didier Bonneville-Roussy
Interrog@atoire Didier Bonneville-Roussy
pprem
 
Front cover deconstructions
Front cover deconstructionsFront cover deconstructions
Front cover deconstructions
jamesmartinrichardson
 
Factorización
Factorización Factorización
Factorización
Jorge Salvatierra
 
Analisis forense
Analisis forenseAnalisis forense
Analisis forense
Jose Rivera
 
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Qualiméditerranée
 
Sistema binario
Sistema binarioSistema binario
Sistema binario
Maria
 
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
Symposia 360°
 
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
Symposia 360°
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
Symposia 360°
 

Contenu connexe

En vedette

Progetto Educativo
Progetto EducativoProgetto Educativo
Progetto Educativo
Pop Apps
 
Mi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve CopyMi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve Copy
youri59490
 
Attention Danger
Attention DangerAttention Danger
Attention Danger
rmichiel
 
Instructivo aprobado 2011 2
Instructivo aprobado 2011 2Instructivo aprobado 2011 2
Instructivo aprobado 2011 2
Leonardo Mamani
 
6-Cm10 noté
6-Cm10 noté6-Cm10 noté
6-Cm10 noté
mathome79
 
Sistema binario
Sistema binarioSistema binario
Sistema binario
Maria
 

En vedette (19)

Skifahren in Österreich
Skifahren in ÖsterreichSkifahren in Österreich
Skifahren in Österreich
 
Le menage
Le menageLe menage
Le menage
 
miguel angel chavarria portela
miguel angel chavarria portelamiguel angel chavarria portela
miguel angel chavarria portela
 
Progetto Educativo
Progetto EducativoProgetto Educativo
Progetto Educativo
 
Magnificent photos
Magnificent photosMagnificent photos
Magnificent photos
 
Mi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve CopyMi Iv 200 A Eleve Copy
Mi Iv 200 A Eleve Copy
 
G2
G2G2
G2
 
Attention Danger
Attention DangerAttention Danger
Attention Danger
 
El olivo Miguel
El olivo MiguelEl olivo Miguel
El olivo Miguel
 
Instructivo aprobado 2011 2
Instructivo aprobado 2011 2Instructivo aprobado 2011 2
Instructivo aprobado 2011 2
 
Modul5 praesentation onlinemeetin3
Modul5 praesentation onlinemeetin3Modul5 praesentation onlinemeetin3
Modul5 praesentation onlinemeetin3
 
Sincropool
SincropoolSincropool
Sincropool
 
6-Cm10 noté
6-Cm10 noté6-Cm10 noté
6-Cm10 noté
 
Interrog@atoire Didier Bonneville-Roussy
Interrog@atoire Didier Bonneville-RoussyInterrog@atoire Didier Bonneville-Roussy
Interrog@atoire Didier Bonneville-Roussy
 
Front cover deconstructions
Front cover deconstructionsFront cover deconstructions
Front cover deconstructions
 
Factorización
Factorización Factorización
Factorización
 
Analisis forense
Analisis forenseAnalisis forense
Analisis forense
 
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
Etude de préfiguration d'une plateforme AgroTechnologique pour la convergence...
 
Sistema binario
Sistema binarioSistema binario
Sistema binario
 

Plus de Symposia 360°

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
Symposia 360°
 
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
Symposia 360°
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
Symposia 360°
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
Symposia 360°
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
Symposia 360°
 
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
Symposia 360°
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
Symposia 360°
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
Symposia 360°
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
Symposia 360°
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
Symposia 360°
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
Symposia 360°
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
Symposia 360°
 

Plus de Symposia 360° (13)

SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
SecTXL '11 | Frankfurt - Dr. Dietmar Wiedemann: "IT-Governance matters. - Dre...
 
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
SecTXL '11 | Frankfurt - Ulf Feger: "Der Weg zur Cloud Security – ein Transfo...
 
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
SecTXL '11 | Frankfurt - Eva Schlehahn: "Konzepte und Bedingungen für vertrau...
 
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
SecTXL '11 | Frankfurt - Chris Boos: "Standardisierung funktioniert nicht Akt...
 
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
SecTXL '11 | Frankfurt - Andreas Weiss: "Cloud Computing und SaaS - Sicher!"
 
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
SecTXL '11 | Hamburg - Ulf Feger: "Der Weg zur Cloud Security - ein Transform...
 
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
SecTXL '11 | Hamburg - Roberto Valerio: "Public Cloud: Sicherheit und Datensc...
 
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
SecTXL '11 | Hamburg - Dr. Markus Wulf: "Vertragliche Fallstricke beim Cloud ...
 
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
SecTXL '11 | Hamburg - Sven Thomsen: "Datenschutz beim Cloud-Computing - Heiß...
 
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
SecTXL '11 | Hamburg - Florian von-Kurnatowski: "Das ENX-Netzwerk der Automob...
 
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
SecTXL '11 | Hamburg - Dr. Dietmar Wiedemann: "IT-Governance - die Wolke fest...
 
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
SecTXL '11 | Hamburg - Christian Els: "Bewertung von Risikoszenarien am Beisp...
 
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
SecTXL '11 | Hamburg - Andreas Weiss: "Cloud Computing ist die Zukunft- aber ...
 

SecTXL '11 | Frankfurt - Jan Schneider: "Cloud Compliance Was Provider und Nutzer beachten müssen"

  • 1. Cloud Compliance Was Provider und Nutzer beachten müssen RA Jan Schneider Fachanwalt für Informationstechnologierecht Cloud Conf 2011, Frankfurt am Main den 21. November 2011
  • 2. Cloud Compliance Was Provider und Nutzer beachten müssen. RA Jan Schneider Fachanwalt für Informationstechnologierecht Sex‘TXL 2011, Frankfurt am Main den 22. November 2011
  • 3. „Ist Cloud Computing nicht … ... unsicher?“ ... ein Kontrollverlust?“ ...eine unerlaubte Datenübermittlung?“ ... datenschutzwidrig?“ ... rechtlich problematisch?“
  • 4. Ist das Cloud Computing also „compliant“? RA Jan Schneider SKW Schwarz Rechtsanwälte 4
  • 5. Was bedeutet „Compliance“? Einhaltung der rechtlichen – insbesondere der gesetzlichen – Bestimmungen RA Jan Schneider SKW Schwarz Rechtsanwälte 5
  • 6. Compliance-Anforderungen im Cloud Computing § gesetzliche Dokumentations- und Archivierungspflichten § Steuer-, handels- u. bilanzrechtliche Anforderungen § Spezialgesetzliche Regelungen, z. B. aus Medizin- oder Transportrecht, KWG, MaRisk etc.? RA Jan Schneider SKW Schwarz Rechtsanwälte 6
  • 7. Compliance-Anforderungen im Cloud Computing § IT-Risikomanagement nach KonTrag? à Risiko der Haftung der Unternehmensführung bzw. d. IT- Verantwortlichen § und … Datenschutz, Datenschutz, Datenschutz! RA Jan Schneider SKW Schwarz Rechtsanwälte 7
  • 9. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. RA Jan Schneider SKW Schwarz Rechtsanwälte 9
  • 10. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. „Angaben, anhand derer natürliche Personen bestimmbar sind“ RA Jan Schneider SKW Schwarz Rechtsanwälte 10
  • 11. Bei der Nutzung von Cloud Services werden häufig personenbezogene Daten übertragen. „Angaben, anhand derer natürliche Personen bestimmbar sind“ z. B. Name, Anschrift - auch E-Mail-Anschrift -, Alter, Geschlecht, Beruf, Konfession, aber ggf. auch Fotos - RA Jan Schneider SKW Schwarz Rechtsanwälte 11
  • 12. Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Nein: à keine datenschutzrechtlichen Anforderungen! Z. B. bei § Anonymisierung der Daten § Verschlüsselung der Daten RA Jan Schneider SKW Schwarz Rechtsanwälte 12
  • 13. Herausforderung Datenübermittlung § (auch) personenbezogene Daten sollen in die Cloud? § Ja: à Datenschutzgesetze finden Anwendung (TMG, BDSG, LandesDSG) à Grundsatz: Datenübermittlung ist nur dann zulässig, wenn hierzu ausdrückliche gesetzliche Ermächtigungsgrundlage auffindbar ist à zentrale Herausforderung: Sicherstellung der datenschutzrechtlichen Zulässigkeit der Datenübermittlung RA Jan Schneider SKW Schwarz Rechtsanwälte 13
  • 14. Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § ADV ist gesetzliches „Konstrukt“, beschrieben in § 11 BDSG § vertragliche Gestaltung erforderlich – schriftlich und ausführlich! § Regelungskatalog des § 11 BDSG! § Einrichtung technischer und organisatorischer Maßnahmen durch den Cloud Service Provider („CSP“), § 9 BDSG § Prüfung der Maßnahmen durch den Cloud Nutzer RA Jan Schneider SKW Schwarz Rechtsanwälte 14
  • 15. Lösungsansatz: Auftragsdatenverarbeitung („ADV“) § Konsequenz einer rechtmäßigen ADV: Nutzer bleibt per Gesetz „Herr seiner Daten“ RA Jan Schneider SKW Schwarz Rechtsanwälte 15
  • 17. Ein sicherer Hafen? Serverfarmen in Übersee Herausforderung: Datenübermittlung an Server außerhalb der EU zulässig? RA Jan Schneider SKW Schwarz Rechtsanwälte 17
  • 18. Ein sicherer Hafen? Serverfarmen in Übersee Diskussion der Datenschutzexperten: Kann eine Datenübermittlung nach „Übersee“ zulässige „Auftragsdatenverarbeitung“ (oder anderweit gesetzlich legitimiert) sein? RA Jan Schneider SKW Schwarz Rechtsanwälte 18
  • 19. Ein sicherer Hafen? Serverfarmen in Übersee Möglicher Lösungsansatz für die USA: „ Safe Harbor“ - Abkommen RA Jan Schneider SKW Schwarz Rechtsanwälte 19
  • 20. Was ist „Safe Harbor“? § Abkommen zwischen EU-Kommission und US-Regierung aus dem Jahre 2000 § Festlegung bestimmter datenschutzrechtlicher Maßnahmen § Anerkennung der Maßnahmen durch die Unternehmen, die sich verbindlich zu den Grundsätzen des Safe Harbor bekennen („Selbstverpflichtung“) § „Safe Harbor“ führt zu angemessenem Datenschutzniveau RA Jan Schneider SKW Schwarz Rechtsanwälte 20
  • 21.
  • 22. „Safe Harbor“ noch zeitgemäß? § Beschluss des „Düsseldorfer Kreises“ vom 28.04.2010; Festlegungen für Cloud Computing: § Inhalt: § Prüfung des Nachweises über Beitritt zu „Safe Harbor“ § Nachweis über die Einhaltung der Informationspflichten nach Safe Harbor durch den Cloud Service Provider § Festlegungen entfalten keine unmittelbare Rechtswirkung, gleichwohl beachtlich § Festlegungen sind in der Diskussion RA Jan Schneider SKW Schwarz Rechtsanwälte 22
  • 23. Checkliste § Ist der CSP beim Safe Harbor-Programm des US- Handelsministeriums registriert? § Gewährleistet der CSP ausdrücklich die Einhaltung der Safe Harbor-Prinzipien? § Erfolgt ein Nachweis über die Einhaltung von „Safe Harbor“ (ggf. SSAE 16, ISAE 3402 o. ä.)? RA Jan Schneider SKW Schwarz Rechtsanwälte 23
  • 24. Ausblick § „Safe Harbor“ hat nach Potential § Alternative zu EU-Standardvertragsklauseln (+ ergänzende Regelungen) RA Jan Schneider SKW Schwarz Rechtsanwälte 24
  • 26. Projekt Datensicherheit! § Herausforderungen: § Etablierung der technischen und organisatorischen Maßnahmen zum Datenschutz (§ 9 BDSG) § optimale IT-Sicherheit herstellen RA Jan Schneider SKW Schwarz Rechtsanwälte 26
  • 27. Projekt Datensicherheit! § Lösung: § moderne Rechenzentren der großen CSP‘s § Dokumentation der Maßnahmen in “Datensicherheitskonzepten“ à Notwendiger Bestandteil der vertraglichen Vereinbarungen! RA Jan Schneider SKW Schwarz Rechtsanwälte 27
  • 28. Projekt Datensicherheit! § „Checkliste“: § Modernes Hochsicherheits-Rechenzentrum? § Standort des Rechenzentrums? § Ausführliche, verbindliche und belastbare Beschreibung der vom CSP getroffenen technischen und organisatorischen Maßnahmen? RA Jan Schneider SKW Schwarz Rechtsanwälte 28
  • 29. Odyssee in die Cloud? Prüfung der Maßnahmen zum Datenschutz 29
  • 30. Eine Odyssee in die Cloud? - Prüfung der Maßnahmen Herausforderung: Prüfung der Einhaltung der technischen und organisatorischen Maßnahmen durch den Cloud Nutzer (§ 11 BDSG) RA Jan Schneider SKW Schwarz Rechtsanwälte 30
  • 31. Eine Odyssee in die Cloud? Schwierigkeit: Prüfung vor Ort beim CSP durch den Cloud Nutzer häufig nicht praktikabel 31
  • 32. Eine Odyssee in die Cloud? § Lösungsansatz: § 11 BDSG schreibt keine Prüfung vor Ort durch den Nutzer vor. RA Jan Schneider SKW Schwarz Rechtsanwälte 32
  • 33. Checkliste § Testate bzw. Auditierung durch unabhängige Stellen - z. B. Wirtschaftsprüfer? § Nachweis des CSP? Z. B. nach ISO 27001, SSAE 16, ISAE 3402 § Sonstige Nachweise? RA Jan Schneider SKW Schwarz Rechtsanwälte 33
  • 34. Fazit und Ausblick § Cloud Computing hat Potential! § Die Herausforderungen der „Cloud Compliance“ sind lösbar – mit einem konstruktiven und praxisnahen Ansatz. § Datenschutzrechtler und -behörden, anwaltliche Berater, Rechtsprechung und Gesetzgeber sind gemeinsam aufgerufen, praxisnahe Lösungen zu erarbeiten 34
  • 35. Bei Fragen oder Anmerkungen: Jan Schneider Rechtsanwalt Fachanwalt für IT-Recht SKW Schwarz Rechtsanwälte 40212 Düsseldorf Steinstraße 1 / KÖ T +49 (0)211 82 89 59 – 0 j.schneider@skwschwarz.de www.skwschwarz.de Herzlichen Dank für Ihre Aufmerksamkeit! Abbild. S. 3, 5, 8, 16, 25, 29, 31, 34 © iStockphoto.com 35