Datenschutz Cloud-Computing: Ein Handbuch für Praktiker - Leitfaden für IT Management und Datenschutzbeauftragte
Von Karsten Schulz
()
Über dieses E-Book
Dabei erleichtern Ihnen, liebe Leserin und lieber Leser, die geltenden Regelungen zum Datenschutz nicht gerade die Arbeit. Die vielschichtigen Vorgaben, die Sie beim Cloud-Computing berücksichtigen müssen, können auf den ersten Blick sehr unübersichtlich und schwer umsetzbar wirken.
Der Schwerpunkt dieses Buches liegt darin, Sie bei der datenschutzgerechten und praktikablen Umsetzung von Cloud-Computing zu unterstützen. Sie erhalten praktische Anleitungen und Checklisten für die Bereiche IT-Sicherheit, Datenschutz, Vertragsgestaltung und Mitarbeiterrichtlinien als Hilfestellung bei der Einführung und Nutzung von Cloud-Computing im Unternehmen. 14 Abbildungen stellen komplexe Zusammenhänge transparent dar. Viele Checklisten geben Ihnen die Möglichkeit, die verschiedenen Aspekte der Einführung und des Betriebs einer Cloud-Lösung systematisch anzugehen.
Ähnlich wie Datenschutz Cloud-Computing
Ähnliche E-Books
ITIL konformes Incident Management im Bereich der Software-Entwicklung: Chancen im Einsatz von Open Source Software Bewertung: 0 von 5 Sternen0 BewertungenBPM in der Praxis Bewertung: 0 von 5 Sternen0 BewertungenDie Effizienz von Security Monitoring und Log Management: IT-Systeme und -Dienste unter Beschuss Bewertung: 0 von 5 Sternen0 BewertungenIT Sicherheitsmanagement: Ihr Praxis - Leitfaden! Bewertung: 0 von 5 Sternen0 BewertungenTechnische Schulden: Identifizierung, Dokumentation und Management Bewertung: 0 von 5 Sternen0 BewertungenStatus quo und Relevanz von digitalen Ökosystemen in der deutschen Versicherungswirtschaft Bewertung: 0 von 5 Sternen0 BewertungenSoftwaredesigndokumente - sinnvoller Einsatz im Projektalltag: Sinnvoller Einsatz im Projektalltag Bewertung: 0 von 5 Sternen0 BewertungenKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Bewertung: 0 von 5 Sternen0 BewertungenIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Bewertung: 0 von 5 Sternen0 BewertungenDas ERP als Erfolgsfaktor für Unternehmen: Grundlagen, innerbetriebliche Funktionen, E-Business, Auswahlmethode Bewertung: 0 von 5 Sternen0 BewertungenIT-Management: Grundlagen und Perspektiven für den erfolgreichen Einsatz von IT im Unternehmen Bewertung: 0 von 5 Sternen0 BewertungenInformation Security: Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik Bewertung: 0 von 5 Sternen0 BewertungenAktuelle Konzepte zur Modellierung von Geschäftsprozessen - ein kritischer Vergleich Bewertung: 0 von 5 Sternen0 BewertungenChange Management im Business Process Management: BPM initiierte Veränderungsprozesse Bewertung: 0 von 5 Sternen0 BewertungenRisiken in der IT: Erkennen - Steuern - Verbessern: Ein Modell für effektives Risikomanagement in Entwicklung und Betrieb Bewertung: 0 von 5 Sternen0 BewertungenSharePoint Kompendium - Bd. 13 Bewertung: 0 von 5 Sternen0 BewertungenGeschäftsprozesse im Projektmanagement: Best Practices der Implementierung Bewertung: 0 von 5 Sternen0 BewertungenDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Bewertung: 0 von 5 Sternen0 BewertungenPlötzlich schlank ... Lean in 90 Tagen Bewertung: 0 von 5 Sternen0 BewertungenErfolgsfaktoren für agile Planung: Agile Planung erfolgreich und zielführend einsetzen - Ihr Wettbewerbsvorteil Bewertung: 0 von 5 Sternen0 BewertungenWiderstände gegen Kulturwandel in Unternehmen: Ursachen und Lösungsansätze im Change Management Bewertung: 0 von 5 Sternen0 BewertungenGeschichten vom Scrum: Von Sprints, Retrospektiven und agilen Werten Bewertung: 4 von 5 Sternen4/5Scrum. Schnelleinstieg (3. Aufl.) Bewertung: 0 von 5 Sternen0 BewertungenDokumentenmanagement: Von den Grundlagen zum effizienten Einsatz im Unternehmen Bewertung: 0 von 5 Sternen0 BewertungenDas Informationsverhalten der Best Ager: Eine empirische Studie am Beispiel der Unterhaltungselektronik Bewertung: 0 von 5 Sternen0 BewertungenRFID im Supply Chain Management: Potenziale und Grenzen Bewertung: 0 von 5 Sternen0 BewertungenDie Organisation der Zukunft: Neue Konzepte zur Organisationsgestaltung Bewertung: 0 von 5 Sternen0 Bewertungen
Sicherheit für Sie
Hacken mit Kali-Linux: Schnelleinstieg für Anfänger Bewertung: 0 von 5 Sternen0 BewertungenKochbuch ISMS: Informationssicherheits-Management nach ISO 27001 Bewertung: 0 von 5 Sternen0 BewertungenÜberwachungswahn: ...wie umgehen ?? Bewertung: 0 von 5 Sternen0 BewertungenWebseiten hacken: Schnelleinstieg inkl. Entwicklung eigener Angriffsscripte Bewertung: 0 von 5 Sternen0 BewertungenKosten der IT-Sicherheit: Ein Ausgangspunkt für weitergehende Untersuchungen Bewertung: 0 von 5 Sternen0 BewertungenHeimnetzwerke XL-Edition: DSL/WLAN/PC/Handy/Drucker & Co. Bewertung: 0 von 5 Sternen0 BewertungenNeun Schritte zum Erfolg: Ein Überblick zur Implementierung der Norm ISO 27001:2013 Bewertung: 0 von 5 Sternen0 BewertungenEinführung ins Darknet: Darknet ABC Bewertung: 0 von 5 Sternen0 BewertungenCybercrime: Wie Sie Gefahren im Internet erkennen und sich schützen Bewertung: 0 von 5 Sternen0 BewertungenAndroid Security: Von Fake-Apps, Trojanern und Spy Phones Bewertung: 0 von 5 Sternen0 BewertungenHacken mit Python und Kali-Linux: Entwicklung eigener Hackingtools mit Python unter Kali-Linux Bewertung: 0 von 5 Sternen0 BewertungenFRITZ!Box: Konfigurieren - Tunen - Absichern Bewertung: 0 von 5 Sternen0 BewertungenWebsecurity: Angriffe mit SSRF, CSRF und XML Bewertung: 0 von 5 Sternen0 BewertungenWeg ins Darknet und Im Darknet Bewertung: 0 von 5 Sternen0 BewertungenBug Bounty Hunting mit Kali-Linux oder Parrot Security OS: Hacking als Hautberuf oder Nebenjob Bewertung: 3 von 5 Sternen3/5Resilience: Wie Netflix sein System schützt Bewertung: 0 von 5 Sternen0 BewertungenNichts ist sicher: Tricks und Techniken von Cyberkriminellen verstehen und sich schützen Bewertung: 5 von 5 Sternen5/5Ich Hacker – Du Script-Kiddy: Hacking und Cracking Bewertung: 0 von 5 Sternen0 BewertungenHeim-Netzwerke Tipps & Tools: Netzwerkverbindungen • Zentraler Datenspeicher • Mediastreaming Bewertung: 0 von 5 Sternen0 BewertungenJavaScript Security: Sicherheit im Webbrowser Bewertung: 0 von 5 Sternen0 BewertungenSECURITY AWARENESS: Leitfaden zur IT-Sicherheit für Anwender Bewertung: 0 von 5 Sternen0 BewertungenISO27001/ISO27002: Ein Taschenführer Bewertung: 0 von 5 Sternen0 BewertungenDie Burg IT-Sicherheit: IT-Sicherheit Stein auf Stein Bewertung: 0 von 5 Sternen0 BewertungenIT-Sicherheit ist sexy!: Argumente für Investitionen in IT-Sicherheit Bewertung: 0 von 5 Sternen0 BewertungenHeim-Netzwerke: Netzwerktechnik • High-Speed-Internet • Arbeiten im Heimnetz Bewertung: 0 von 5 Sternen0 Bewertungensichere Informationstechnologie: auf der Suche nach robusten Organisationsformen: Cyber-Security, Datenschutz, Managementsysteme Bewertung: 0 von 5 Sternen0 Bewertungen
Rezensionen für Datenschutz Cloud-Computing
0 Bewertungen0 Rezensionen
Buchvorschau
Datenschutz Cloud-Computing - Karsten Schulz
Datenschutz Cloud-Computing
Vorwort
Einführung
Wann ist Cloud-Computing Cloud-Computing?
Welche Unternehmen nutzen die Cloud?
Datenschutz unterstützt IT-Sicherheit
Wirtschaftsspionage
Angst vor Datenverlust
Standort der Cloud
Cloud-Servicemodelle
Infrastructure as a Service (IaaS)
Platform as a Service (PaaS)
Software as a Service (SaaS)
Private Cloud, Public Cloud und Hybrid Cloud
Wirtschaftliche Aspekte
Veränderung der Kostenstruktur
Kooperation mit Geschäftspartnern
Einsparungen der IT
Standards im Cloud-Computing
Standardisierungsorganisationen
Datenformate
IT-Sicherheit
Schutzbedarf
Schutzklassen allgemein
Schutzklassen nach DIN 66399
Schutzziele
Datensparsamkeit
Integrität
Intervenierbarkeit
Nicht-Verkettbarkeit
Transparenz
Verfügbarkeit
Vertraulichkeit
Gefährdungsübersicht
Organisatorische Mängel
Menschliche Fehlhandlungen
Technisches Versagen
Vorsätzliche Handlungen
Notfall- und Recovery-Planung
Kategorisierung von Schäden
Business Impact Analyse
Identifikation der Prozesse und Ressourcen
Schadensszenarien und Notfallklassen
Festlegen der maximal tolerierbaren Ausfallzeit
Spezifische Gefährdungen des Cloud-Computing
Vertragsbedingungen
Fallen im Kleingedruckten
Programmierschnittstelle zur Cloud
Unzureichende Löschung von Daten
Was macht die NSA mit den Daten?
Datenschutz
Erlaubnistatbestände für die Verarbeitung
Einwilligung des Betroffenen
Berechtigtes Interesse nach § 28 BDSG
Prüfen der Legitimation der Verarbeitung
Cloud-Computing innerhalb Europa
Cloud-Computing in Deutschland
Cloud-Computing in der EU / EWR ausserhalb Deutschlands
Cloud-Computing außerhalb Europa
Cloud-Computing in sicheren Drittländern
Cloud-Computing in unsicheren Drittländern
Ausnahme nach § 4c BDSG
EU-Standardvertragsklauseln
Individualverträge
Binding Corporate Rules
Safe Harbor Verfahren (nur USA)
Technische und organisatorische Maßnahmen
Auftrag nach § 11 Abs. 2 Satz 2 BDSG
Maßnahmen der Anlage zu § 9 Satz 1 BDSG
Sicherheit durch Verschlüsselung
Vorgehen Datenschutz Cloud-Computing nach BDSG
Rund um die Cloud-Verträge
Service Level Agreements
Konventionalstrafen
Cloud-Computing bei Partnern
Zugangswege zur Cloud
Leitfaden Auswahl Cloud-Anbieter
Unternehmensprozesse
Aufgaben des Managements
Risiken klären
Einführung vorbereiten
Überwachung der Cloud planen
Prozessqualität sicherstellen
Anpassungen in der Unternehmens-IT
Verfahrensverzeichnisse aktualisieren
Die Cloud am Arbeitsplatz
Mobiler Zugang zur Cloud
Die Nutzung privater Geräte
Mustertext - Cloud-Richtlinie
Mustertext: Richtlinie für die Speicherung von Daten in der Cloud
Überblick
Geltungsbereich
Datenklassifizierung
Regelungen
Zusammenfassung
Glossar
Stichwortverzeichnis
Stichwortverzeichnis
© Copyright 2015, Karsten Schulz.
Index weiter | zurück | DS-CC »
Haftungsausschluss
Alle Angaben in diesem Buch wurden vom Autor sorgfältig erarbeitet und zusammengestellt. Dennoch sind Fehler nicht auszuschliessen. Der Autor weist darauf hin, dass er weder eine Garantie für die Richtigkeit der Angaben, noch die juristische Verantwortung oder irgendeine Haftung für Folgen, die auf fehlerhafte Angaben zurückgehen, übernimmt, sofern seitens des Autors kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt.
Vorwort
Für Geschäftsführer, IT-Verantwortliche und Datenschutzbeauftragte bedeutet die Einhaltung des Datenschutzes eine komplexe Herausforderung. Dies gilt insbesondere, wenn zusätzlich Cloud-Computing ins Spiel kommt.
Cloud-Computing kann für Unternehmen Vorteile bringen. Durch Cloud-Computing können Unternehmen dynamisch sowie flexibel auf Marktgegebenheiten reagieren, einige Risiken senken und Kosten reduzieren.
Dabei erleichtern Ihnen, liebe Leserin und lieber Leser, die geltenden Regelungen zum Datenschutz nicht gerade die Arbeit. Die vielschichtigen Vorgaben, die Sie beim Cloud-Computing berücksichtigen müssen, können auf den ersten Blick sehr unübersichtlich und schwer umsetzbar wirken.
Der Schwerpunkt dieses Buches liegt darin, Sie bei der datenschutzgerechten und praktikablen Umsetzung von Cloud-Computing zu unterstützen. Sie erhalten praktische Anleitungen und Checklisten für die Bereiche IT-Sicherheit, Datenschutz, Vertragsgestaltung und Mitarbeiterrichtlinien als Hilfestellung bei der Einführung und Nutzung von Cloud-Computing im Unternehmen. 14 Abbildungen stellen komplexe Zusammenhänge transparent dar. Viele Checklisten geben Ihnen die Möglichkeit, die verschiedenen Aspekte der Einführung und des Betriebs einer Cloud-Lösung systematisch anzugehen.
Relevante Online-Quellen werden angegeben, so dass die angesprochenen Dokumente direkt nachgelesen oder heruntergeladen werden können.
Die folgenden Kapitel des Buches beleuchten die unterschiedlichen Schwerpunkte, die beim Cloud-Computing Berücksichtigung finden sollten:
Einführung
Sie erhalten eine Übersicht über Cloud-Computing. Es werden Fragen wie was ist Cloud-Computing, welche unterschiedlichen Service-Modelle gibt es und wer alles nutzt Cloud-Dienste behandelt.
Anschließend folgen allgemeine Betrachtungen der wirtschaftlichen Auswirkungen von Cloud-Computing und Hinweise zu bestehenden oder kommenden Cloud-Standards.
IT-Sicherheit
Datenschutz und IT-Sicherheit ergänzen sich gegenseitig. Nutzen Sie die möglichen Synergie-Effekte in diesem Kapitel. Dazu werden wichtige Aspekte der IT-Sicherheit beleuchtet, die im Zusammenhang mit dem Schutz personenbezogener Daten zielführend und hilfreich sein können. Hierbei werden sowohl die verschiedenen Schutzziele betrachtet, als auch diskutiert, wie die Erreichung dieser Ziele sichergestellt werden kann. Zu den allgemeinen Ausführungen, welche Gefährdungen eintreten können, werden Tipps für die Gestaltung von Notfallplänen gegeben. Dabei wird mit der Business Impact Analyse ein Werkzeug vorgestellt, mit dem der notwendige Aufwand für Schutzmaßnahmen festgestellt werden kann. Abschließend erhalten Sie einen Ausblick zu Gefährdungen, die speziell bei Cloud-Computing relevant sein können.
Datenschutz
Beim Cloud-Computing sind je nach Umsetzung und Konstellation verschiedene Voraussetzungen zur Sicherstellung des Schutzes personenbezogener Daten zu erfüllen. Dieses Kapitel stellt die verschiedenen Szenarios strukturiert und detailliert dar. Es werden die verschiedenen Möglichkeiten des datenschutzkonformen Cloud-Computings mit Hilfe der Auftragsdatenverarbeitung nach deutschem Recht, mit EU-Standardvertragsklauseln, mit bindenden Unternehmensrichtlinien für Konzerne und mit Individualverträgen vorgestellt. Außerdem findet eine Betrachtung des Safe Harbor Verfahrens statt, welches US-amerikanischen Unternehmen trotz fragwürdigem Datenschutzniveau eine Sonderrolle einräumt.
Rund um die Cloud-Verträge
Dieses Kapitel beleuchtet die Besonderheiten bei der Vertragsgestaltung von Cloud-Services. Das wichtige Thema Dienstgüte, nicht nur der Cloud-Services, sondern auch der Zugänge zur Cloud, wird untersucht. Nutzen Sie den Leitfaden mit 20 Prüffragen zur Einführung von Cloud-Computing, um alle wichtigen Aspekte zu berücksichtigen.
Unternehmensprozesse
Die Einführung von Cloud-Computing ist eine strategische Entscheidung mit Auswirkungen auf bestehende Unternehmensprozesse. Zwangsläufig zieht sie Änderungen in Abläufen und Strukturen im Unternehmen nach sich. In diesem Kapitel erhalten Verantwortliche Hilfestellungen zu den Themen Risikoklärung, Einführung planen, Prozessqualität sicherstellen und notwendige Anpassungen nach Einführung des Cloud-Computing vornehmen.
Da diese Fragen sehr stark vom konkreten Unternehmen abhängen, erhalten Sie in diesem Kapitel viele Checklisten mit Prüffragen, die es Ihnen vereinfachen, eine Unternehmens-individuelle Einführung der Cloud-Services zu planen und durchzuführen.
Die Cloud am Arbeitsplatz
Die Einführung und Nutzung von Cloud-Computing hat direkte Auswirkungen auf die Arbeit der Mitarbeiter. Es wird die Frage beleuchtet, welche Aspekte des Datenschutzes im Zusammenhang mit Mitarbeitern zu berücksichtigen sind.
Mustertext - Cloud-Richtlinie
Dieses Kapitel besteht aus einem Mustertext, den Sie als Grundlage für die Erstellung einer eigenen Cloud-Richtlinie nutzen können.
© Copyright 2015, Karsten Schulz.
Index weiter | zurück | DS-CC »
Einführung
Cloud-Computing ist in aller Munde. Jeder macht es. Irgendwie. Doch was genau ist Cloud-Computing? Die Buchhaltungs-Software, die man per Webbrowser von überall her nutzen kann? Die virtuellen Maschinen, die man per Webfrontend erstellt und verwaltet? Die Dropbox oder die iCloud?
Cloud-ComputingAbb. 1 Cloud-Computing
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat in [BSICLOUD] folgende Definition des Cloud-Computings aufgestellt:
„Cloud-Computing bezeichnet das dynamisch an den Bedarf angepasste Anbieten, Nutzen und Abrechnen von IT-Dienstleistungen über ein Netz. Angebot und Nutzung dieser Dienstleistungen erfolgen dabei ausschließlich über definierte technische Schnittstellen und Protokolle. Die Spannbreite der im Rahmen von Cloud-Computing angebotenen Dienstleistungen umfasst das komplette Spektrum der Informationstechnik und beinhaltet unter anderem Infrastruktur (z. B. Rechenleistung, Speicherplatz), Plattformen und Software."
Eine einfache Web-Applikation ist demnach kein Cloud-Computing, da hier die dynamische Anpassung an wechselnde Bedarfe nicht berücksichtigt wird.
Wann ist Cloud-Computing Cloud-Computing?
Beim Cloud-Computing werden IT-Ressourcen wie Server, Netzwerk und Speicher, sowie Applikationen und Plattformen vom Cloud-Dienstleister über das Netz den Cloud-Nutzern zur Verfügung gestellt. Der Unterschied zum konventionellen, ausgelagerten Rechenzentrum liegt darin, dass die Ressourcen dynamisch angepasst werden und dabei nach dem tatsächlich anfallenden Bedarf mit dem Cloud-Nutzer abgerechnet werden. Benötigt der Cloud-Nutzer in Spitzenzeiten viel Leistung, dann stellt die Cloud ihm die angeforderten Ressourcen unmittelbar zur Verfügung. Diese Vorgänge sind in der Regel automatisiert, so dass die Ressourcen viel ökonomischer eingesetzt werden können, als