Professional Documents
Culture Documents
2. März 2011
Vodafone CeBIT 2011 Speakers Corner
Roberto Valerio CloudSafe GmbH
CLOUD STORAGE
๏ Public Cloud Services
๏ Auftragsdatenverarbeiter nach §§ 9, 11 BDSG
๏ Keine Funktionsübertragung: Anbieter bearbeitet die Daten nicht
๏ I. Datenschutz
๏ Vorgaben
๏ Umsetzung
๏ II. Sicherheit
๏ Kriterien
๏ Umsetzung
I. DATENSCHUTZ
๏ Abgrenzung der Daten nach dem BDSG:
๏ Personenbezogene Daten: Kunden- und Mitarbeiterdaten
๏ Besondere personenbezogen Daten: Ethnische Herkunft,
Gesundheit, Politische Ansichten & Religion und weitere (§ 3
Abs. 9 BDSG)
๏ Daten mit Sonderregelungen: Finanzdienstleistungen,
Telekommunikation, steuerrechtlich relevante und
berufsstandbezogene Daten
PFLICHTEN
๏ Pflichten für die Auslagerung von personenbezogenen
Daten:
๏ "Sorgfältige" Auswahl:
๏ Nutzer muß selber überprüfen, ob der Anbieter in der
Lage ist, den Datenschutz nach BDSG zu gewährleisten.
๏ Regelmäßige Überprüfung
๏ Hier ist es hilfreich, wenn der Anbieter lokal anerkannte
Zertifikate vorweisen kann, z.B. EuroCloud SaaS Gütesiegel.
VERTRAGSGESTALTUNG
๏ Schriftform
๏ "Welche Daten"?
๏ Sub-Unternehmerschaft
EXKURS: AUSLAND
๏ Überlassung von personenbezogenen Daten ohne explizite
Erlaubnis der betroffenen Person ist möglich, aber nur
innerhalb der EU/EWR.
๏ Überlassung der Daten an Anbieter außerhalb der EU/EWR
nur nach ergänzender Vertraglichen Regelung.
๏ Z.B. US-EU Safe Harbor: Erhöhte Anforderungen an die
Überprüfung!
๏ Alternative: Die Daten werden innerhalb des gültigen
Raumes verschlüsselt
๏ lokal mit PGP oder intermediär durch CloudSafe oder
ähnliche Anbieter (Stichwort "Host-Proof Hosting")
Datenschutz
ZUSAMMENFASSUNG
๏ Sorgfalt bei der Auswahl des Anbieters.
๏ EuroCloud e.V.
๏ BITKOM e.V.
TECHNISCHE KRITERIEN
๏ Kriterien zur Evaluierung von Public Cloud Storage Anbietern:
๏ Transport der Daten: "Wie ist der Transport meiner Daten geschützt."
๏ Stellen Sie sicher, daß der Anbieter die Daten bis zum Ablageort durchgängig verschlüsselt.
๏ Ablage der Daten: "Wo und wie werden meine Daten abgelegt."
๏ Redundanz
๏ Betriebssicherheit
ORGANISATORISCHE KRITERIEN
๏ Sicherheitsmanagement
๏ ITIL, ISO 27002
๏ Sicherheitsarchitektur
๏ Redundanz, Zugangskontrolle, Netzsicherheit, Server-
und Storage-Sicherheit
๏ Verschlüsselte Kommunikation
๏ Rechtemanagement, Mitarbeiterkontrolle
๏ Monitoring, Incident Management, Notfallmanagement
Sicherheit
ZUSAMMENFASSUNG
๏ Überprüfen Sie den Anbieter, bevor Sie
personengebundene Daten übermitteln.
๏ Halten Sie sich bei der Überprüfung des
Sicherheitskonzepts an Standards
๏ BITKOM, BSI, eco