zur Kenntnisnahme - Berliner Beauftragter für Datenschutz und ...
zur Kenntnisnahme - Berliner Beauftragter für Datenschutz und ...
zur Kenntnisnahme - Berliner Beauftragter für Datenschutz und ...
Erfolgreiche ePaper selbst erstellen
Machen Sie aus Ihren PDF Publikationen ein blätterbares Flipbook mit unserer einzigartigen Google optimierten e-Paper Software.
sollten 14<br />
:<br />
Bericht des <strong>Berliner</strong> Beauftragten<br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit<br />
� Bei der Datenverarbeitung im eigenen Hause existieren<br />
<strong>für</strong> den privilegierten Zugriff auf sensitive<br />
Daten durch Systemverwalter physische, logische<br />
<strong>und</strong> von Mitarbeitenden gesteuerte Kontrollmechanismen<br />
der IT-Abteilungen. Diese verlieren bei der<br />
Auslagerung „in die Wolke“ dadurch ihre Funktion,<br />
dass fremde Administratoren den Zugriff auf die<br />
sensitiven Daten erhalten. Die K<strong>und</strong>enunternehmen<br />
müssen sich daher detaillierte Informationen über<br />
die Systemadministratoren beim Anbieter verschaffen,<br />
über die Auswahlkriterien bei ihrer Einstellung,<br />
über die auf sie wirkende Aufsicht sowie die eingesetzten<br />
Verfahren <strong>und</strong> die Zugriffskontrolle.<br />
� Auch wenn die Datenverarbeitung ausgelagert wurde,<br />
behalten die K<strong>und</strong>en wie bei der „normalen“<br />
Datenverarbeitung im Auftrag ihre volle datenschutzrechtliche<br />
Verantwortung <strong>für</strong> ihre eigenen<br />
Daten 15<br />
. Zur Aufrechterhaltung der „Compliance“,<br />
also der Einhaltung der gesetzlichen Bestimmungen<br />
bei der Verarbeitung von Daten, sollten die K<strong>und</strong>en<br />
darauf achten, dass sich die Anbieter externen Audits<br />
<strong>und</strong> Zertifizierungen unterwerfen.<br />
� Cloud Computing bedeutet auch, dass mehrere K<strong>und</strong>en<br />
in der gleichen Umgebung verarbeiten lassen.<br />
Damit entstehen Risiken, die in einer nicht hinreichenden<br />
Trennung der gespeicherten Daten liegen.<br />
Die K<strong>und</strong>en müssen sich daher vor der Auftragsvergabe<br />
absichern, welche Methoden <strong>zur</strong> Trennung der<br />
Daten unterschiedlicher Auftraggeber angewandt<br />
werden. Sofern dies durch Verschlüsselung erfolgt,<br />
muss der ordnungsgemäße Entwurf der Verschlüsselungssysteme<br />
geprüft werden, um sicherzugehen,<br />
dass die Verfügbarkeit der Daten gewährleistet ist.<br />
� Die K<strong>und</strong>en sollten sich genau darüber informieren,<br />
welche Maßnahmen im Falle des Ausfalls der Speichersysteme<br />
beim Dienstleister <strong>für</strong> die vollständige<br />
Wiederherstellung von Daten <strong>und</strong> Anwendungsverfahren<br />
vorgesehen sind, bevor man ihm die Daten<br />
anvertraut.<br />
� Die Entdeckung ungewöhnlicher oder illegaler Aktivitäten<br />
ist beim Cloud Computing erschwert, da<br />
der K<strong>und</strong>e nicht immer weiß, wo die Daten verarbeitet<br />
werden, <strong>und</strong> dies sich auch unbemerkt ändern<br />
kann. Die Provider sind daher vertraglich zu verpflichten,<br />
dass spezielle Überprüfungen auf ungewöhnliche<br />
oder illegale Aktivitäten möglich sind<br />
14 K. Friedmann: Wo die Gefahren lauern, http://www.computerwoche.de/1867951<br />
15 §§ 11 Abs. 1 BDSG bzw. § 3 Abs. 1 BlnDSG gelten natürlich auch bei Cloud Computing.<br />
Stellungnahme des Senats<br />
<strong>für</strong> <strong>Datenschutz</strong> <strong>und</strong> Informationsfreiheit berücksichtigt.<br />
7