Your SlideShare is downloading. ×
Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Saving this for later?

Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime - even offline.

Text the download link to your phone

Standard text messaging rates apply

Cloud Computing - „Entscheidungshilfe für den Datenschutzbeauftragten“

974
views

Published on

Vortrag über Cloud Computing Entscheidungshilfe für den Datenschutzbeauftragten im Rahmen der "BvD-Datenschutztage 2013" in Berlin.

Vortrag über Cloud Computing Entscheidungshilfe für den Datenschutzbeauftragten im Rahmen der "BvD-Datenschutztage 2013" in Berlin.

Published in: Technology

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
974
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Copyright © 2013 by renebuest research | René BüstBerlin, 25. April 2013René BüstBvD-Datenschutztage 2013 // #WorkshopCloud Computing„Entscheidungshilfe für den Datenschutzbeauftragten“
  • 2. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 2AgendaDie Inhalte des VortragsCloud ComputingHinweise für den DSB Q & A
  • 3. Copyright © 2013 by renebuest research | René BüstRené Büst
  • 4. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 4René BüstCloud Computing & Technologie Analyst und AdvisorTechnologie Analyst & Advisor● Cloud Computing● Mobile● New Work● Business TechnologyTätigkeitsbereiche● Content & Lectures● Research & Analysis● Advisory & StrategyPublikationen● CloudUser.de● div. Blogs● u.a. Computerwoche.de
  • 5. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 5CloudUser.deBlog über Cloud Computing, IT-Infrastrukturen, IT-Management und Strategien
  • 6. Copyright © 2013 by renebuest research | René BüstCloud Computing
  • 7. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 7Cloud ComputingHintergrund und BedeutungFlexibler Bezug von IT-Ressourcen über eineDatenverbindung, bevorzugt das Internet.
  • 8. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 8Cloud ComputingHintergrund und BedeutungFlexibelOn-Demand + Pay per use1. On-DemandWenn die Ressource benötigt wird.2. Per pay useExakte Abrechnung der beanspruchtenRessource.
  • 9. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 9Cloud ComputingHintergrund und Bedeutung | Cloud BereitstellungsmodelleRessourcenApplikationen Plattformen InfrastrukturenBereitstellung von Services
  • 10. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 10Cloud ComputingHintergrund und Bedeutung | Cloud ArtenBereitstellung von ServicesPublic Privat Hybrid Community
  • 11. Copyright © 2013 by renebuest research | René BüstZahlen vom Bitkom
  • 12. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 12Zahlen vom BitkomCloud Computing im Jahr 2012 in DeutschlandJedes dritte deutsche* Unternehmen nutzt Lösungen aus derCloud.Quelle: http://www.bitkom.org/de/presse/8477_75140.aspx2011 201222 Prozentplanen28 Prozentnutzen9 ProzentWachstum(Einsatz)29 Prozentplanen37 Prozentnutzen*436befragteUnternehmen
  • 13. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 13Zahlen vom BitkomCloud Computing im Jahr 2012 in DeutschlandQuelle: http://www.bitkom.org/de/presse/8477_75140.aspx20 – 99Mitarbeiter26 ProzentEinsatz in Bezug auf die Unternehmensgröße.100 – 199Mitarbeiterab 2000Mitarbeiter45 Prozent65 Prozent
  • 14. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 14Zahlen vom BitkomCloud Computing im Jahr 2012 in DeutschlandGrund: 79 Prozent haben Angst vor Datenverlust.Vorbehalte gegenüber der Public Cloud.2011 20127 Prozentplanen6 Prozentnutzen4 ProzentWachstum(Einsatz)11 Prozentplanen10 ProzentnutzenQuelle:http://www.bitkom.org/de/presse/8477_75140.aspx
  • 15. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 15Zahlen vom BitkomCloud Computing im Jahr 2012 in DeutschlandForrester: „70 Prozent der Private Clouds sind keine Clouds.“Die Deutschen bevorzugen die Private Cloud.2011 201222 Prozentplanen27 Prozentnutzen7 ProzentWachstum(Einsatz)29 Prozentplanen34 ProzentnutzenQuelle:http://www.bitkom.org/de/presse/8477_75140.aspx
  • 16. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 16Zahlen vom BitkomCloud Computing im Jahr 2012 in Deutschland79 Prozent haben Angst vor DatenverlustQuelle: http://www.bitkom.org/de/presse/8477_75140.aspx
  • 17. Copyright © 2013 by renebuest research | René BüstHinweise für den DSB
  • 18. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 18Hinweise für den DatenschutzbeauftragtenDie Richtung spielt keine Rolle
  • 19. Copyright © 2013 by renebuest research | René BüstWas muss Wie geregelt sein?
  • 20. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 20Was muss Wie geregelt sein?Cloud Computing Konformität● Verantwortung und Verträge● Outsourcing● Datensicherheit● Datenschutz
  • 21. Copyright © 2013 by renebuest research | René BüstVerantwortung und Verträge
  • 22. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 22Was muss Wie geregelt sein?Cloud Computing Konformität | Verantwortung und Verträge● Was?● Rechte und Pflichten messbar festlegen● Leistungserbringung beanstanden können● Wie?● EVB-IT vom CIO des Bundes [1]– „Ergänzende Vertragsbedingungen für die Beschaffungvon Informationstechnik (EVB-IT)“– Standardvorgehensweisen zur IT-Planung & -Steuerung– Deckt Großteil der Anforderungen des Bundesdaten-schutzgesetz oder den Landesdatenschutzgesetzen ab.
  • 23. Copyright © 2013 by renebuest research | René BüstOutsourcing
  • 24. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 24Was muss Wie geregelt sein?Cloud Computing Konformität | Outsourcing● Was?● Maßnahmen und Risikobehandlungen● IT-Sicherheitskonzept, Notfallkonzept, Vertragsgestaltung● Aus der Vergagenheit (80er, 90er) lernen● Wie?● Baustein B1.11 des Grundschutzkatalogs– Einsatzszenarien und Maßnahmenempfehlungen fürRisikobehandlung im Bereich des Outsourcings nach BSI [3].● Betrachtet u.a. technische und organisatorischeMaßnahmen.● Thematisiert ebenfalls Abhängigkeiten zu einem Anbieter.
  • 25. Copyright © 2013 by renebuest research | René BüstDatensicherheit
  • 26. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 26Was muss Wie geregelt sein?Cloud Computing Konformität | Datensicherheit● Was?● Konkrete Sicherheitszusagen● Technische und organisatorische Maßnahmen● Wie?● Publikationen der Anbieter– Sicherheitsarchitektur, Empfehlungen zur Nutzung● Zertifizierungen und Zulassungen● ~100% Sicherheit nur durch Audit des Kundenselbst.
  • 27. Copyright © 2013 by renebuest research | René BüstDatenschutz
  • 28. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 28Was muss Wie geregelt sein?Cloud Computing Konformität | Datenschutz● Was?● Datensparsamkeit● Umgang mit personenbezogenen Daten● Umgang mit unternehmenskritischen Daten● Konkrete Zusagen zum Ort der Datenverarbeitung● Einhaltung des gewünschten DatenschutzniveausEine Anwendung von Cloud-Diensten ohne konkreteOrtsvorgaben oder -zusagen zur Verarbeitungpersonenbezogener Daten ist datenschutzrechtlich nichtzulässig.
  • 29. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 29Was muss Wie geregelt sein?Cloud Computing Konformität | Datenschutz● Wie?● Technische und organisatorische Maßnahmen zurAuftragsdatenverarbeitung (§ 11 BDSG) nach § 9 BDSG.● Pflicht des Kunden: Regelmäßig prüfen ob diegesetzlichen Anforderungen des § 9 BDSG (nach §11BDSG) eingehalten werden.● Prüfberichte oder Testate von Wirtschaftsprüfern● Nachweise für ISO/IEC 27001, SSAE 16 oder ISAE 3402● Vertraglich geregelte Datenschutz-Dokumentation– Muss durch den DSB auf Einhaltung nach §9 BDSG geprüftwerden.
  • 30. Copyright © 2013 by renebuest research | René BüstWelche Fragen stellen?
  • 31. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 31Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Erfüllt der Anbieter die rechtlichenAnforderungen?
  • 32. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 32Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Erfüllt der Anbieter die technischenVoraussetzungen für die rechtlichen Regelungenund Bestimmungen?
  • 33. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 33Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Wo befindet sich der Rechtsstand und ist das mitden Unternehmensrichtlinien zu vereinbaren?
  • 34. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 34Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Ist der Anbieter nach <x> zertifiziert?
  • 35. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 35Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Kann der Anbieter nachweisen, dass er dieBestimmungen des BDSG einhält?
  • 36. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 36Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Verfügt der Anbieter über ein Konzept/Dokumentation über die Umsetzung der technischenund organisatorischen Maßnahmen nach §9 BDSG?
  • 37. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 37Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Kann der Anbieter nachweisen, dass seineMitarbeiter über das Datengeheimnis nach §5 BDSGaufgeklärt wurden?
  • 38. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 38Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Nimmt der Anbieter besondere Maßnahmenbei der Auswahl und der Einstellung seinerMitarbeiter vor?
  • 39. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 39Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Verfügt der Anbieter über einenDatenschutzbeauftragten?
  • 40. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 40Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Wo werden die Daten verarbeitet?
  • 41. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 41Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Nennt der Anbieter die Standorte wie das Landund die Region?
  • 42. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 42Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Werden die Daten ggf. in einem für dasUnternehmen nicht zulässigen Land gespeichert?
  • 43. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 43Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Werden personenbezogene Daten außerhalbder EU bzw. des EWR verarbeitet?
  • 44. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 44Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Entspricht die Datenhaltung denunternehmenseigenen Richtlinien?
  • 45. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 45Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Legt der Anbieter transparent offen, ob derStaat Zugriff auf die Daten erhält?
  • 46. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 46Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Werden die Daten vollständig von den Systemenentfernt, wenn diese von dem Kunden über denWeb Service gelöscht werden?
  • 47. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 47Welche Fragen stellen?Was ist bei einem Cloud Computing Anbieter zu hinterfragen?Wertet der Anbieter die Daten aus, um damitWerbung zu betreiben?
  • 48. Copyright © 2013 by renebuest research | René BüstCloud Anbieter Checkliste
  • 49. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 49Cloud Anbieter ChecklisteÜberprüfen Sie den Cloud Computing Anbieter Ihrer Wahlhttp://buest.de/cloud-anbieter-checkliste
  • 50. Copyright © 2013 by renebuest research | René BüstAktiv mitgestalten
  • 51. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 51Aktiv mitgestaltenAgieren nicht reagieren● Nicht reagieren● Nicht nur Absolution erteilen.● Agieren● Sie kennen die kritischen Daten.● Aktiv mitgestalten● Aktiv beteiligen und aufzeigen welche Datensensibel zu behandeln sind.
  • 52. Copyright © 2013 by renebuest research | René BüstPublic Cloud ist kein Tabuthema
  • 53. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 53Public Cloud ist kein TabuthemaEs geht primär um das „was“ und sekundär um das „wie“● Risiken analysieren● Risikoklassen identifizieren und einteilen● Daten klassifizieren● Organisatorisches Thema● Personenbezogene Daten● Anonyme Daten● Unternehmenskritische Daten● Daten verschlüsseln● Technologisches Thema
  • 54. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 54Public Cloud ist kein TabuthemaEs geht primär um das „was“ und sekundär um das „wie“● Fragen stellen● Den richtigen Leuten die richtigen Fragen stellen.● Informationen erheben● Je mehr Wissen über den Anbieter vorhanden ist,desto besser.● Erhobene Daten sind auch für denDatenschutzbeauftragten das heutige Gold.
  • 55. Copyright © 2013 by renebuest research | René BüstQ&A
  • 56. Copyright © 2013 by renebuest research | René BüstQuellen
  • 57. Copyright © 2013 by CLOUD-PRO.de, Dr. Dietmar Wiedemann, René BüstCopyright © 2013 by renebuest research | René Büst 57QuellenWeiterführende Informationen[1] „EVB-IT und BVB“, IT-Beauftragte der Bundesregierunghttp://www.cio.bund.de/DE/IT-Beschaffung/EVB-IT-und-BVB/evb-it_bvb_node.html[2] „B 1.11 Outsourcing“, BSIhttps://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKataloge/Inhalt/_content/baust/b01/b01011.html[A] „Datenschutzwerkzeuge für die Cloud“, Sven Thomsen,http://clouduser.de/gastbeitraege/datenschutzwerkzeuge-fur-die-cloud-6471[B] „Cloud Computing: Die rechtlichen Herausforderungen sindlösbar“, Jan Schneiderhttp://clouduser.de/gastbeitraege/die-rechtlichen-herausforderungen-sind-losbar-6405
  • 58. Copyright © 2013 by renebuest research | René Büstrenebuest researchbusiness technology - analysis | strategy | advisoryRené BüstHauptstr. 44a64401 Groß-BieberauTel.: +49 6166 233 76 93E-Mail: rene@renebuest.deWeb: http://renebuest.deBlog: http://clouduser.deTwitter: @ReneBuest