Pearl Harbor, Safe Harbor und datenschutzkonformes . Eiermann Folie 1 Pearl Harbor, Safe Harbor und datenschutzkonformes Cloud Computing GI ITSECMGT, Frankfurt, 26.2.2016

  • View
    214

  • Download
    1

Embed Size (px)

Transcript

  • H. Eiermann Folie 1

    Pearl Harbor,

    Safe Harbor und

    datenschutzkonformes

    Cloud Computing

    GI ITSECMGT, Frankfurt, 26.2.2016

  • H. Eiermann Folie 2

    www.datenschutz.rlp.de | poststelle@datenschutz.rlp.de

    Helmut Eiermann

    Gruppenleiter Technik

    Hintere Bleiche 34 | 55116 Mainz

    Tel (06131) 208 2226

    Fax (06131) 208 2497

    h.eiermann@datenschutz.rlp.de

  • H. Eiermann Folie 3 3

    Agenda

    Safe Harbor-Urteil Ursache und Folgen

    Aktuelle Situation

    Konsequenzen / Lsungsanstze

  • H. Eiermann Folie 4

    Safe Harbor

    Safe Harbour Prinzipien:

    Informationspflicht Wahlmglichkeit Weitergabe Zugangsrecht Sicherheit Datenintegritt Durchsetzung

  • H. Eiermann Folie 5

    Was ist geschehen ?

  • H. Eiermann Folie 6

    Unsicheres Drittland

    Compliance / Verantwortlichkeit

  • H. Eiermann Folie 7

    DV beschrnkt auf den Bereich der EU / EWR

    Safe Harbour-Richtlinien (2000)

    Sicherer Datenschutzhafen USA

    Unsicheres Drittland

  • H. Eiermann Folie 8

    http://www.galexia.com/public/research/assets/safe_harbor_fact_or_fiction_2008/

    safe_harbor_fact_or_fiction.pdf

    Untersuchung zur Verlsslichkeit von Safe Harbour Vereinbarungen

    Safe Harbour Prinzipien:

    Informationspflicht Wahlmglichkeit Weitergabe Zugangsrecht Sicherheit Datenintegritt Durchsetzung

    Compliance / Verantwortlichkeit

  • H. Eiermann Folie 9

    http://www.galexia.com/public/research/assets/safe_harbor_fact_or_fiction_2008/safe_harbor_fact_or_fiction.pdf

    Untersuchung zur Verlsslichkeit von Safe Harbour Vereinbarungen

    Lediglich 348 Unternehmen hatten die Mindestvoraussetzungen des Abkommens erfllt.

    206 Unternehmen behaupteten, Mitglied von Safe Harbor zu sein, waren es aber in Wirklichkeit nicht

    Eine Selbsterklrung der Unternehmen ist ausreichend

    In aller Regel erfolgt keine berprfung (z.B. durch die FTC)

    Verste werden selten geahndet

    Sicherer Datenschutzhafen USA ?

  • H. Eiermann Folie 10

    * www.datenschutz.rlp.de/de/ds.php?submenu=grem&typ=ddk&ber=20100429_safe_harbor

    Entschlieung der deutschen Datenschutzaufsichtsbehrden (2010) *

    Gltigkeit und Nachweis der Selbst-Zertifizierung

    Einhaltung der Safe Harbour Grundstze

    Einhaltung der Informationspflichten an die Betroffenen

    Dokumentation der Prfungen

    Solange eine flchendeckende Kontrolle der Selbstzertifizierungen

    US-amerikanischer Unternehmen [] nicht gewhrleistet ist, trifft

    auch die Unternehmen in Deutschland eine Verpflichtung, gewisse

    Mindestkriterien zu prfen, bevor sie personenbezogene Daten an

    ein auf der Safe Harbor-Liste gefhrtes US-Unternehmen bermitteln.

    Compliance / Verantwortlichkeit

  • H. Eiermann Folie 11

    http://www.europarl.europa.eu/RegData/etudes/etudes/join/2012/462509/IPOL-

    LIBE_ET(2012)462509_EN.pdf

    Sicherer Datenschutzhafen USA ?

  • H. Eiermann Folie 12

    Patriot Act

    Foreign Intelligence Surveillance Act (FISA) 1881a

    USA

    Redmond

    I0II 0I0I ...

  • H. Eiermann Folie 13

  • H. Eiermann Folie 14

    Patriot Act

    Foreign Intelligence Surveillance Act (FISA) 1881a

    USA

    Redmond

    I0II 0I0I ...

    Great Britain

    London

  • H. Eiermann Folie 15

    IT-Sicherheit in der Cloud

  • H. Eiermann Folie 16

    Art. 29-Gruppe

    Die von den Zugriffen der auslndischen Behrden

    betroffenen personenbezogenen Daten unterliegen in

    den jeweiligen Staaten oft keinen datenschutzrechtlichen

    Restriktionen, die europischen Standards auch

    nur ansatzweise gengen knnten.

    Die Zweckbindung, die Beachtung des Erforderlichkeits-

    grundsatzes, die Datenlschung nach Zweckerfllung, die

    Gewhrleistungen der Betroffenenrechte und des

    Rechtsschutzes in Datenschutzfragen sind unseres Wissens z.B.

    in den USA nicht gewhrleistet.

  • H. Eiermann Folie 17

    Juni 2013

  • H. Eiermann Folie 18

  • H. Eiermann Folie 19

    PRISM & Co

  • H. Eiermann Folie 20

    NSA-Cloud. A free Backup of your Life!

    http://www.nsa-cloud.com/

  • H. Eiermann Folie 21

    Cloud Dienstleister

  • H. Eiermann Folie 22

    https://blogs.aws.amazon.com/security/post/Tx35449P4T7DJIA/Privacy-and-Data-Security

  • H. Eiermann Folie 23

    http://www.heise.de/newsticker/meldung/NSA-Skandal-IBM-bestreitet-Kooperation-mit-US-

    Geheimdienst-2147415.html

  • H. Eiermann Folie 24

    http://www.heise.de/newsticker/meldung/Datenschutz-bei-

    Facebook-Co-EuGH-erklaert-Safe-Harbor-fuer-ungueltig-

    2838025.html

  • H. Eiermann Folie 25

    []

    EuGH-Urteil C-362/14

  • H. Eiermann Folie 26

    Safe Harbour-Richtlinien (2000)

    DViA Beschrnkt auf den Bereich der EU / EWR

    Sicherer Datenschutzhafen USA

  • H. Eiermann Folie 27

    Beschrnkt auf den Bereich der EU / EWR

    Safe Harbour-Richtlinien (2000)

    EU-Standard-Vertragsklauseln

    Binding Corporate Rules

    Compliance / Verantwortlichkeit

    ?

    ?

    Patriot Act

    Foreign Intelligence Surveillance Act (FISA) 1881a

  • H. Eiermann Folie 28

    Cloud Dienstleister

  • H. Eiermann Folie 29 Name der Prsentation

    http://www.spiegel.de/netzwelt/netzpolitik/cloud-computing-

    microsoft-und-apple-klagen-gegen-datenzugriff-a-975576.html

  • H. Eiermann Folie 30 Name der Prsentation

    http://www.zdnet.de/88199194/new-york-times-deutschland-

    draengte-microsoft-zu-nsa-klage/

  • H. Eiermann Folie 31

    Wie ist die aktuelle Situation ?

  • H. Eiermann Folie 32

    Safe Harbour-Richtlinien - angemessenes Datenschutzniveau

    - Feststellung durch EU-Kommission

    EU-Standard-Vertragsklauseln (EU SCC) - ausreichende Garantien

    - Genehmigung durch die Aufsichtsbehrde

    Verbindliche Unternehmensregelungen (BCR) - ausreichende Garantien

    - Genehmigung durch die Aufsichtsbehrde

    Datenbermittlung in die USA

    Einwilligung

    Vertragserfllung im Interesse der Betroffenen

    ?

    ?

  • H. Eiermann Folie 33

    http://www.datenschutz.rlp.de/de/grem_dsbkonferenz/sonstiges/

    20151021_Positionspapier_DSK_Safe_Harbor.pdf

    Datenbermittlung aufgrund Safe Harbor unzulssig

    EU-Standard-Vertragsklauseln und BCR fraglich

    Derzeit keine weiteren Genehmigungen von SCC und BCR

    Einwilligung nicht widerholt, massenhaft und routinemig

  • H. Eiermann Folie 34

    http://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI

    _RLP_zum_EuGH-Urteil_Safe_Harbor.pdf

  • H. Eiermann Folie 35

    http://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI

    _RLP_zum_EuGH-Urteil_Safe_Harbor.pdf

    Datenbermittlungen auf Safe Harbor-Grundlage unzulssig

    Standard-Vertragsklauseln prfungsbedrftig (Kndigung)

    keine neuen Genehmigungen fr Binding Corporate Rules

    Einwilligung nur in Ausnahmefllen; unzulssig

    im Beschftigteverhltnis

    Datenbermittlungen in die USA nur noch

    ausnahmsweise zulssig / Genehmigungsvorbehalt

    keine Sanktion zurckliegender Datenbermittlungen

    Position LfDI Rheinland-Pfalz

  • H. Eiermann Folie 36

    http://www.datenschutz.rlp.de/de/aktuell/2015/images/20151026_Folgerungen_des_LfDI

    _RLP_zum_EuGH-Urteil_Safe_Harbor.pdf

    Prfung der Rechtsgrundlage

    Prfung der auerordentlichen Kndigung von Vertrgen

    nach EU-Standard-Vertragsklauseln

    keine neuen Genehmigungen fr Binding Corporate Rules

    Prfung alternativer bermittlungsmglichkeiten

    Prfung technischer Lsungsanstze

    Prfungspflicht der Unternehmen

  • H. Eiermann Folie 37

    Aktuelle Situation Art. 29-Gruppe

    https://www.datenschutz.hessen.de/download.php?download_ID=335

    Verhandlungen mit den USA

    rechtliche & technische Lsungen

    Frist bis Ende Januar 2016

  • H. Eiermann Folie 38

    http://www.heise.de/newsticker/meldung/Einigung-zwischen-EU-und-USA-Safe-Harbor-

    heisst-jetzt-EU-US-Privacy-Shield-3091607.html

    Safe Harbor 2.0

  • H. Eiermann Folie 39

    Robuste Verpflichtungen fr Unternehmen / FTC-Kontrolle

    Transparenzverpflichtungen fr Behrdenzugriffe

    FTC-Beschwerde / Ombudsmann

    Keine Anpassung der Rechtslage in den USA

    Kein formeller Rechtsbehelf (Gericht)

    Absichtserklrung / keine Unterlagen (April an Art. 29-Gruppe)

  • H. Eiermann Folie 40

    Umfrage LfDI Rheinland-Pfalz

    TOP 120-Unternehmen in Rheinland-Pfalz

    z.B.:

    Cloud-Lsungen zur Datenspeicherung (IaaS, PaaS) SaaS-Lsungen (Office 365, Salesforce) Windows 10 / Office365 E-Mail Online-Shops Dropbox, Onedrive, WeTransfer Virtuelle Telefonanlagen Fernwartung durch US-Stellen ... Alltagsdaten / Beschftigtendaten nicht personebezogen

    47 % mit erheblichen Defiziten

    15 % konnten die Fragen nicht innerhalb der Monatsfrist beantworten

    17 % mit fehlerhafter Auffassung zu Datenbermittlungen in die USA

    15 % mit fehlerhafter Auffassung zum Datenschutzniveau in den USA

  • H. Eiermann Folie 41

    Let the Cloud