Sicherheitsempfehlungen für Cloud Computing Anbieter

Empfehlungen

Info

CLOUD COMPUTING | DATENSCHUTZ UND COMPLIANCE 13 Datenschutz und Compliance 13.1 Datenschutz 1 Werden in der Cloud personenbezogene Daten erhoben, verarbeitet oder genutzt, muss der Schutz personenbezogener Daten gemäß den datenschutzrechtlichen Bestimmungen gewährleistet sein. Charakteristisch für Cloud Computing ist die Weitergabe der Daten vom Cloud-Nutzer an den Cloud-Anbieter. Sofern die Daten (auch) einen Personenbezug aufweisen, handelt es sich bei der Weitergabe im Sinne des Datenschutzrechts um eine Übermittlung personenbezogener Daten oder um eine Auftragsdatenverarbeitung, die nicht als Übermittlung zu qualifizierenist.DierechtlicheQualifizierungderWeitergabeistabhängigvon der datenschutzrechtlichen Zulässigkeit der Weitergabe sowie ihrer vertragsrechtlichen Ausgestaltung. Bei einer Datenübermittlung vom Cloud-Nutzer an den Cloud-Anbieter gibt der Cloud-Nutzer die datenschutzrechtliche Verantwortung ab und überträgt sie voll auf den Cloud-Anbieter. Er verliert damit auch grundsätzlich die Möglichkeit, auf den Umgang mit den von ihm übermittelten Daten Einflusszunehmen.AufzivilrechtlicherEbeneistaberauchbeientsprechender Vertragsgestaltung eine andere Haftungsverteilung, nämlich ein (Teil-)Haftungsverbleib beim Cloud-Nutzer, möglich. Der Cloud-Nutzer muss vorab prüfen, ob eine solche Lösung seinen Interessen entspricht. Für die Übermittlung bedarf es einer Rechtsgrundlage im Datenschutzrecht. Soweit es sich beim Cloud-Nutzer um eine nicht-öffentliche Stelle handelt, kommt hierfür entweder die Einwilligung der Betroffenen oder eine Interessenabwägung nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG in Betracht, sofernnichtbereichsspezifischesRecht(z.B.§97Abs.1TKG)gilt.Wennes dem Cloud-Nutzer um eine pauschale Verlagerung von Teilen oder der kompletten Datenverarbeitung geht, dürfte der Weg über Einwilligungen regelmäßig unpraktikabel sein, da bei nicht erteilten oder später widerrufenen Einwilligungen eine Auslagerung aufgrund fehlender Rechtsgrundlage nicht (mehr) zulässig wäre. Bei der Interessenabwägung 1 Das Kapitel „Datenschutz“ wurde unter Beteiligung des BfDI erstellt 73
CLOUD COMPUTING | DATENSCHUTZ UND COMPLIANCE nach § 28 Abs. 1 Satz 1 Nr. 2 BDSG ist eine Verlagerung in die Cloud nur erlaubt, wenn diese zur Wahrung der berechtigten Interessen des Cloud- Nutzers erforderlich ist und kein Grund zu der Annahme besteht, dass die schutzwürdigen Interessen des Betroffenen am Ausschluss der Verlagerung überwiegen. Ob diese Voraussetzzungen gegeben sind, muss im Einzelfall geprüft werden. Es wird in erster Linie darauf ankommen, dass beim Übermittlungsempfänger (Cloud Computing Anbieter) das gleiche Datenschutzniveau wie beim Cloud-Nutzer herrscht, der Betroffene seine Rechte auch beim Anbieter auf einfache Weise geltend machen kann und sichergestellt ist, dass der Anbieter die Daten nur im Rahmen der festgelegten Zweckbestimmung verarbeitet und nutzt. Bei der Auftragsdatenverarbeitung verbleibt die datenschutzrechtliche Verantwortlichkeit uneingeschränkt beim Cloud-Nutzer als Auftraggeber. Der Cloud-Nutzer behält datenschutzrechtlich die volle Kontrolle über die Daten. Die Auftragsdatenverarbeitung ist grundsätzlich an keine weiteren materiellen Voraussetzungen gebunden; es sind aber eine Reihe formaler Anforderungen umzusetzen. Die Auftragsdatenverarbeitung setzt eine schriftliche Vereinbarung voraus, die die in § 11 Abs. 2 BDSG aufgeführten Punkte mindestens enthalten muss. Der Cloud Computing Anbieter als Auftragnehmer unterliegt den Weisungen des Cloud-Nutzers und darf über die Verarbeitung und Nutzung der Daten nicht eigenverantwortlich entscheiden. Der Auftraggeber hat sich beim Auftragnehmer vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der technischen und organisatorischen Maßnahmen zu überzeugen. Dies muss nicht zwingend durch eine Vor-Ort-Kontrolle geschehen, sondern kann auch durch unabhängige Stellen testiert werden. Auf die Privilegierung der Auftragsdatenverarbeitung kann nur zurückgegriffen werden, wenn der Cloud Computing Anbieter seinen Sitz innerhalb der EU oder den Staaten des Europäischen Wirtschaftsraums (EWR) hat und die Daten auch dort verarbeitet werden (§ 3 Abs. 8 BDSG). Bei einer Datenverarbeitung in anderen Staaten müssen die Voraussetzungen für eine Datenübermittlung gegeben sein und beim Cloud Computing Anbieter ein angemessenes Datenschutzniveau herrschen. Sofern die EU-Kommission nicht einzelnen Staaten insgesamt ein angemessenes 74
Seite 1 und 2:
Eckpunktepapier Sicherheitsempfehlu
Seite 3 und 4:
CLOUD COMPUTING | INHALT 6 Kontroll
Seite 5 und 6:
CLOUD COMPUTING | VORWORT einerseit
Seite 7 und 8:
CLOUD COMPUTING | DAS BSI IM DIENST
Seite 9 und 10:
CLOUD COMPUTING | EINLEITUNG 1 Einl
Seite 11 und 12:
CLOUD COMPUTING | EINLEITUNG sowohl
Seite 13 und 14:
CLOUD COMPUTING | EINLEITUNG Bei de
Seite 15 und 16:
CLOUD COMPUTING | CLOUD COMPUTING G
Seite 17 und 18:
Seite 19 und 20:
Seite 21 und 22:
Seite 23 und 24: 22 3 Sicherheitsmanagement beim Anb
Seite 25 und 26: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 27 und 28: CLOUD COMPUTING | SICHERHEITSMANAGE
Seite 29 und 30: CLOUD COMPUTING | SICHERHEITSARCHIT
Seite 43 und 44: 42 5 ID- und Rechtemanagement
Seite 45 und 46: CLOUD COMPUTING | ID- UND RECHTEMAN
Seite 47 und 48: 46 6 Kontrollmöglichkeiten für Nu
Seite 49 und 50: 48 7 Monitoring und Security Incide
Seite 51 und 52: CLOUD COMPUTING | MONITORING UND SE
Seite 53 und 54: 52 8 Notfallmanagement
Seite 55 und 56: CLOUD COMPUTING | NOTFALLMANAGEMENT
Seite 57 und 58: 56 9 Portabilität und Interoperabi
Seite 59 und 60: CLOUD COMPUTING | PORTABILITÄT UND
Seite 61 und 62: CLOUD COMPUTING | SICHERHEITSPRÜFU
Seite 63 und 64: 62 11 Anforderungen an das Personal
Seite 65 und 66: CLOUD COMPUTING | ANFORDERUNGEN AN
Seite 67 und 68: 66 12 Vertragsgestaltung
Seite 69 und 70: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 71 und 72: CLOUD COMPUTING | VERTRAGSGESTALTUN
Seite 73: 72 13 Datenschutz und Compliance
Seite 77 und 78: CLOUD COMPUTING | DATENSCHUTZ UND C
Seite 79 und 80: 78 14 Ausblick
Seite 81 und 82: CLOUD COMPUTING | AUSBLICK Beeintr
Seite 83 und 84: CLOUD COMPUTING | GLOSSAR 15 Glossa
Seite 85 und 86: CLOUD COMPUTING | GLOSSAR SaaS SAML
Seite 87 und 88: CLOUD COMPUTING | REFERENZEN 16 Ref
Seite 89 und 90: 88 17 Dankesworte
Seite 91 und 92: CLOUD COMPUTING | DANKESWORT » Pir
Seite 93: www.bsi.bund.de
Alle anzeigen

Sicherheitsempfehlungen für Cloud Computing Anbieter

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?