Microsoft Office 365 oder keine Auslagerung an Unternehmen, die

Microsoft Office 365 oder keine Auslagerung
an Unternehmen, die EU/EWR-fremden
staatlichen Kontrollen unterliegen?
Sitzung GDD Erfa-Kreis Datenschutz
M. Le Maire | IHK Mannheim, 07.10.2015
Agenda
I. Vorgaben gemäß BDSG
II. Aus der „Orientierungshilfe - Cloud Computing“
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
2
I. Vorgaben gemäß BDSG (1/2)
1. Zulässigkeit der Weitergabe personenbezogener Daten
 Die Weitergabe personenbezogener Daten an Cloud-Anbieter (und deren Subdienstleister)
muss nach dem Bundesdatenschutzgesetz (BDSG) zulässig sein.
 Zwei von drei Möglichkeiten sind umsetzbar:
1. Wenn alle Cloud-Elemente innerhalb des Europäischen Wirtschaftsraums (EWR) sind,
ist die Weitergabe zulässig. Es handelt sich dann um eine Auftragsdatenverarbeitung
nach § 11 BDSG.
2. Wenn Cloud-Elemente außerhalb des EWR, dann ist die Weitergabe nur dann zulässig
i. falls Interessen der Betroffenen nicht entgegenstehen (§ 28 Satz 1 Nr. 2 BDSG)
ii. plus: EU-Standardvertragsklauseln
iii. plus: Auftragsdatenverarbeitung nach § 11 BDSG.
 Die Weitergabe besonderer Arten personenbezogener Daten ist nicht zulässig.
3. Einwilligung (Die Einholung der Einwilligung aller Betroffenen ist nicht durchführbar.)
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
3
I. Vorgaben gemäß BDSG (2/2)
2. Erfüllung der Anforderungen aus dem BDSG?
2. Wenn Cloud-Elemente außerhalb
des EWR, dann Weitergabe zulässig
i.
falls Interessen der Betroffenen
nicht entgegenstehen
(§ 28 Satz 1 Nr. 2 BDSG)
 Kritisch: Gesundheitsdaten von Mitarbeitern
werden über E-Mails übermittelt und
in E-Mail Accounts gespeichert (Werksarzt)
ii.
plus: EU-Standardvertragsklauseln
 Bestandteil des Mustervertrages, Anhang 3
der Online Services Terms (OST) von Microsoft
 Kritisch: US Patriot Act und andere
iii. plus: Auftragsdatenverarbeitung
gemäß § 11 BDSG
 Textliche Bestandteile im Mustervertrag OST
von Microsoft
TO DO: Anforderungen des § 11 BDSG mit
den passenden Textpassagen abgleichen
iv. § 11 BDSG inkludiert § 9 BDSG
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
 IT Zertifizierungen liegen vor
 Angaben zu § 9 BDSG (TOM) im Vertrag OST
4
II. Aus der „Orientierungshilfe - Cloud Computing“ (1/3)
Besondere Arten personenbezogener Daten (S. 15/16)
*
* BCR Binding Corporate Rules
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
5
II. Aus der „Orientierungshilfe - Cloud Computing“ (2/3)
US Patriot Act und andere US Gesetze (Seiten 20 und 39)
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
Orientierungshilfe – Cloud Computing, Version 2.0
6
II. Aus der „Orientierungshilfe - Cloud Computing“ (3/3)
US Patriot Act und andere US Gesetze (Seiten 39/40)
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
7
Backup
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
8
Hinweis auf IT-Zertifizierungen
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
9
ISO 27018
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
10
ISO 27018
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
11
ISO 27018
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
12
Hinweis auf neue Sicherheitsdienste
Das Web-based eDiscovery Center ist im Übrigen datenschutzkonform zu
implementieren , darüber auch den Betriebsrat zu informieren.
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
13
Quellen
Orientierungshilfe – Cloud Computing, Version 2.0
09.10.2014, Mitarbeiter der Datenschutzbehörden
„IT-Nachmittag-Cloud Computing und Bring Your Own Device“,
Frankfurt 11.10.2012, CLIFFORD CHANCE
Entwicklungen beim Cloud Computing – das Beispiel Office 365
im Jahresbericht 2014, Berliner Beauftragter für Datenschutz und Informationssicherheit
Datenschutz: Ist Microsoft Office 365 im Unternehmen rechtskonform einsetzbar?
19.03.2015, Klaus Foitzek
https://www.activemind.de/magazin/datenschutz-microsoft-office-365-unternehmen/
Datenschutz bei Software as a Service (SaaS): Verträge zur Auftragsdatenverarbeitung
nach § 11 BDSG praktikabel und gesetzeskonform gestalten 19.04.2010, Thomas Helbing
https://www.thomashelbing.com/de/saas-software-as-a-service-datenschutz-auftragsdatenverarbeitung-11-bdsg-funktionsuebertragung-cloudcomputing
http://www.computerwoche.de/a/die-neue-iso-iec-27018-im-ueberblick,3069892
© Heidelberger Druckmaschinen AG | M. Le Maire | Praxisbericht im GDD Erfa Kreis Datenschutz
14

Download Report