zur Kenntnisnahme - Berliner Beauftragter für Datenschutz und ...

Weitere Magazine

Empfehlungen

Info

sollten 14 : Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit � Bei der Datenverarbeitung im eigenen Hause existieren für den privilegierten Zugriff auf sensitive Daten durch Systemverwalter physische, logische und von Mitarbeitenden gesteuerte Kontrollmechanismen der IT-Abteilungen. Diese verlieren bei der Auslagerung „in die Wolke“ dadurch ihre Funktion, dass fremde Administratoren den Zugriff auf die sensitiven Daten erhalten. Die Kundenunternehmen müssen sich daher detaillierte Informationen über die Systemadministratoren beim Anbieter verschaffen, über die Auswahlkriterien bei ihrer Einstellung, über die auf sie wirkende Aufsicht sowie die eingesetzten Verfahren und die Zugriffskontrolle. � Auch wenn die Datenverarbeitung ausgelagert wurde, behalten die Kunden wie bei der „normalen“ Datenverarbeitung im Auftrag ihre volle datenschutzrechtliche Verantwortung für ihre eigenen Daten 15 . Zur Aufrechterhaltung der „Compliance“, also der Einhaltung der gesetzlichen Bestimmungen bei der Verarbeitung von Daten, sollten die Kunden darauf achten, dass sich die Anbieter externen Audits und Zertifizierungen unterwerfen. � Cloud Computing bedeutet auch, dass mehrere Kunden in der gleichen Umgebung verarbeiten lassen. Damit entstehen Risiken, die in einer nicht hinreichenden Trennung der gespeicherten Daten liegen. Die Kunden müssen sich daher vor der Auftragsvergabe absichern, welche Methoden zur Trennung der Daten unterschiedlicher Auftraggeber angewandt werden. Sofern dies durch Verschlüsselung erfolgt, muss der ordnungsgemäße Entwurf der Verschlüsselungssysteme geprüft werden, um sicherzugehen, dass die Verfügbarkeit der Daten gewährleistet ist. � Die Kunden sollten sich genau darüber informieren, welche Maßnahmen im Falle des Ausfalls der Speichersysteme beim Dienstleister für die vollständige Wiederherstellung von Daten und Anwendungsverfahren vorgesehen sind, bevor man ihm die Daten anvertraut. � Die Entdeckung ungewöhnlicher oder illegaler Aktivitäten ist beim Cloud Computing erschwert, da der Kunde nicht immer weiß, wo die Daten verarbeitet werden, und dies sich auch unbemerkt ändern kann. Die Provider sind daher vertraglich zu verpflichten, dass spezielle Überprüfungen auf ungewöhnliche oder illegale Aktivitäten möglich sind 14 K. Friedmann: Wo die Gefahren lauern, http://www.computerwoche.de/1867951 15 §§ 11 Abs. 1 BDSG bzw. § 3 Abs. 1 BlnDSG gelten natürlich auch bei Cloud Computing. Stellungnahme des Senats für Datenschutz und Informationsfreiheit berücksichtigt. 7
Bericht des Berliner Beauftragten für Datenschutz und Informationsfreiheit und durchgeführt werden. � Die Kunden müssen vor Auftragsvergabe klären, dass die eigenen Daten auch dann verfügbar bleiben, wenn der Cloud-Computing-Provider insolvent oder von einem anderen Unternehmen übernommen wird. 1.1.2 Aktuelle informationstechnische Entwicklungen Zu den Aufgaben der Datenschutzbehörden gehört auch, aktuelle Entwicklungstendenzen in der Informationstechnik zu beobachten und künftige Entwicklungen vorherzusehen, die sich aus den aktuellen Forschungsschwerpunkten der Informatik ableiten lassen. Nur so können künftige datenschutzrechtliche Risiken erkannt werden, sodass Regelungsbedürfnisse und technische sowie organisatorische Gestaltungsalternativen rechtzeitig geprüft werden können. Nach 2006 16 legte der Arbeitskreis für technische und organisatorische Datenschutzfragen (AK Technik) der Datenschutzkonferenz 2008 zum zweiten Mal einen Kurzbericht über aktuelle technische Entwicklungen vor, die den Datenschutz berühren. Der neue Bericht befasst sich neben der schon im Vorjahr behandelten Konvergenz der Informations- und Kommunikationstechnik 17 mit folgenden aktuellen Techniken: � Identitätsmanagement ist das Verwalten von Identitätsdaten in informationstechnischen Systemen, also von Daten, die zu einer natürlichen Person gehören, nicht aber für alle Datenverarbeiter personenbezogen sein müssen. Bei den Identitätsdaten handelt es sich um Daten, mit denen sich eine Benutzerin oder ein Benutzer gegenüber IT-Systemen authentisiert und autorisiert, mit denen ihr oder ihm Rollen und die damit verbundenen Berechtigungen zugewiesen werden. In verschiedenen Zusammenhängen kann eine Person verschiedene Identitäten haben, aber eine Identität bezieht sich umgekehrt nur auf eine Person. Es gibt bereits viele Identitätsmanagementsysteme auf dem Markt, die sich hinsichtlich der Selbstbestimmung und Transparenz für die Nutzenden erheblich unterscheiden können. Außerdem gibt es datensparsame Techniken, bei denen Nutzende ihre Berechtigungen in Form von Zertifikaten unter verschiedenen Pseudonymen nachweisen können. Mit der Einführung des elektronischen Personalausweises gewinnt das Identitätsmanagement für alle 16 JB 2006, 1.1 17 JB 2007, 1.1 Stellungnahme des Senats 8
Seite 1 und 2: 16. Wahlperiode Vorlage - zur Kennt
Seite 3 und 4: Stellungnahme des Senats zum Berich
Seite 5 und 6: Bericht des Berliner Beauftragten f
Seite 9: Bericht des Berliner Beauftragten f
Seite 61 und 62:
Bericht des Berliner Beauftragten f
Seite 63 und 64:
Seite 65 und 66:
Seite 67 und 68:
Seite 69 und 70:
Seite 71 und 72:
Seite 73 und 74:
Seite 75 und 76:
Seite 77 und 78:
Seite 79 und 80:
Seite 81 und 82:
Seite 83 und 84:
Seite 85 und 86:
Seite 87 und 88:
Seite 89 und 90:
Seite 91 und 92:
Seite 93 und 94:
Seite 95 und 96:
Seite 97 und 98:
Seite 99 und 100:
Seite 101 und 102:
Seite 103 und 104:
Seite 105 und 106:
Seite 107 und 108:
Seite 109 und 110:
Seite 111 und 112:
Seite 113 und 114:
Seite 115 und 116:
Seite 117 und 118:
Seite 119 und 120:
Seite 121 und 122:
Seite 123 und 124:
Seite 125 und 126:
Seite 127 und 128:
Seite 129 und 130:
Seite 131 und 132:
Seite 133 und 134:
Seite 135 und 136:
Seite 137 und 138:
Seite 139 und 140:
Seite 141 und 142:
Seite 143 und 144:
Seite 145 und 146:
Seite 147 und 148:
Seite 149 und 150:
Seite 151 und 152:
Seite 153 und 154:
Seite 155 und 156:
Seite 157 und 158:
Alle anzeigen

zur Kenntnisnahme - Berliner Beauftragter für Datenschutz und ...

Erfolgreiche ePaper selbst erstellen

Template löschen?

Als Template speichern?