Cloud Computing: Datensicherheitsrechtliche Perspektive und Herausforderungen

Cloud Computing: Datensicherheitsrechtliche Perspektive und Herausforderungen Cloud computing: datové bezpečnostněprávní perspektivy a výzvy 2. Südböhmisch-Niederbayerischer Transferkongress Transfer hoch 2 Im Dialog zur Innovation 20. September 2018 Johanna M. Hofmann j.hofmann@cms-hs.com

Aufbau Osnova 1. Datenschutz / Datensicherheit 2. Datensicherheit Technische und organisatorische Maßnahmen Data Protection by Design and by Default Datenschutz- Folgenabschätzung 3. Cloud Computing 4. Fazit 1. Ochrana dat / zabezpečení dat 2. Zabezpečení dat Technická a organizační opatření Data Protection by Design and by Default Ochrana dat odhad následků 3. Cloud Computing 4. Shrnutí 2

Abgrenzung Vymezení Datenschutz Informationelle Selbstbestimmung Betroffene Person DSGVO/BDSG u.v.m. absolut Wie? Datensicherheit Wirtschaftsgrundrechte Interessen des Verarbeiters Nebeneffekt: DS BSIG (Cybersicherheits-RL) relativ IT- Sicherheit Ochrana dat Informační sebeurční Dotčená osoba GDPR/BDSG u.v.m. absolutní Jak? Zabezpečení dat Ekonomická práva Zájmy zpracovatele Vedlejší efekt: Ochrana dat BSIG (bezpečnostní kyber-rl) relativní IT zabezpečení

Anwendungsbereich DSGVO Rozsah užití GDPR Personenbezug Osobní reference sachlich DV Sitz innerhalb EU/EWR věcně DV Sídlo v EU/EWR DGSVO GDPR CSK / CSP CSK / CSP örtlich místně Kein Ausschluss Drittstaat Žádné vyloučení Třetí stát Familiär Anonym EU Markt Beobachtung Rodinné Anonymní EU trh Dodržení 4

Technische & organisatorische Maßnahmen (Art. 32 DSGVO) Technická a organizační opatření (čl. 32 GDPR) CSK CSP CSK CSP Risikobewertung Stand der Technik Implementierungskosten, Art, Umfang, Umstände & Zwecke Eintrittswahrscheinlichkeit & Schwere der mit der DV Geeignete TOM Hodnocení rizika Stav techniky Náklady na realizaci, druh, rozsah, okolnosti & účely Pravděpodobnost výskytu & závažnost DV Vhodný TOM Pseudonymisierung Verschlüsselung Sicherstellen Vertraulichkeit, Integrität, Verfügbarkeit, Belastbarkeit Tvorba pseudonymů Kódování Zajištění důvěrnosti, integrity, dostupnosti, odolnosti

design default Data protection by design & by default (Art. 25 DSGVO) CSK TOM, die Datenschutzgrundsätze (z.b. Zweckbindung, Datenminimierung) wirksam umsetzen Vorab (bei Festlegung der Verarbeitungsmittel) & bei Verarbeitung Risikobewertung Hodnocení rizika TOM, die durch Vorteinstellung sicherstellen, dass nur für Zweck erforderliche Daten verarbeitet Menge der Daten/ Umfang/ Speicherfrist/ Zugänglichkeit Daten dürfen nicht ohne Eingreifen der Person einer unbestimmten Zahl von Nutzern zugänglich sein 6 Technická a organizační opatření, účinně uskutečňovat zásady ochrany osobních údajů (např. omezení účelu, minimalizace dat) Před (u určování prostředků ke zpracování) & během zpracování Technická a organizační opatření, který díky nastavením zaručuje, že data budou zpracována pouze k účelům Množství dat/ rozsah/ délka uchování dat/ přístupnost Data nemají být bez zásahu osoby přístupné neurčenému počtu uživatelů

Data Protection Impact Assessment (Art. 35 DSGVO) CSK Risikobewertung: voraussichtlich hohes Risiko Vorab (& widerholt bei Veränderungen des Risikos) Hohes Risiko (+) systematischer & umfassender Bewertung, die z.b. auf Profiling basiert & Grundlage für den Betroffenen beeinträchtigende Entscheidungen ist umfangreiche Verarbeitung besonderer Kategorien oder Strafrecht systematische umfangreiche Überwachung öffentlicher Bereiche Wihte/black list der Aufsichtsbehörden Ohodnocení rizika: Předpokládané vysoké riziko Před (& opakující se změny rizik) Vysoké riziko (+) Systematické & komplexní hodnocení, které je založeno např. na profilování & základ pro dotčené osoby ovlivňující rozhodnutí Rozsáhlé zpracování zvláštních kategorií nebo trestního práva Systematický rozsáhlý dohled nad veřejnou oblastí Wihte/black list supervisorů 7

Cloud Computing Auftragsverarbeitung (Art. 28 DSGVO) Cloud computing Zpracovatel (čl. 28 GDPR) Verantwortlich = wer über Zwecke und Mittel entscheidet: idr CSK CSK muss CSP kontrollieren Odpovědný = kdo rozhoduje o účelech a prostředcích: idr CSK CSK musí kontrolovat CSP Informationsasymmetrie Informační asymetrie Technik Tatsachen Recht Technika Fakta Právo Dynamik Kontrolle ist nicht realisierbar Dynamika Kontrola není realizovatelná 8

Fazit: Rechtsunsicherheit Shrnutí: Právní nejistota Rechtsunsicherheit, da Právní nejistota, protože DGSVO zu abstrakt und unterkomplex GDPR je příliš abstraktní a podkomplexní 99 Artikel vs. > 1000 dt. Regelungen 99 článků vs. > 1000 předpisů Unzählige unbestimmte Rechtsbegriffe Nespočetné neurčité právní pojmy 80 úvodních ustanovení 80 Öffnungsklauseln Verstöße Bußgelder bis 10 Mio. EUR / 4 % des gesamten weltweit erzielten Jahresumsatzes (höherer Betrag!) BSIG keine konkreten Bestimmungen, wer Vorgaben einzuhalten hat, obgleich ab 10.Mai 2018 anzuwenden Porušení peněžní pokuta do 10 mil. EUR / 4 % celosvětového ročního obratu (vyšší částka!) BSIG žádná zvláštní ustanovení o tom, kdo musí dodržovat předpisy, přestože od 10. května 2018 musí být aplikovaná Lösung: Technikadäquate Konkretisierung rechtlicher Vorgaben Rechtskonforme Technikgestaltung Řešení: Adekvátní technická konkretizace právních předpisů Právně konformní technické úpravy 9

Vielen Dank! Děkuji! Johanna M. Hofmann, LL.M. Associate I Data Protection & Technology CMS Hasche Sigle +49 89 23807 248 j.hofmann@cms-hs.com 10

Herausforderungen durch Brexit Výzvy Brexitu 12

Brexit DSGVO CSK Zusätzliche Anforderungen an Drittstaatentransfers: Angemessenes Datenschutzniveau Angemessenheitsbeschluss (Privacy Shield) Zertifizierungsverfahren Standardvertragsklauseln Alternativ: Rückführung der Daten, da sonst unzulässige Verarbeitung (P) Lokalisierung? CSP GDPR CSK CSP Další požadavky na transfery třetích zemí: Přiměřená úroveň ochrany dat Usnesení o přiměřenosti (Privacy Shield) Proces certifikace Standardvertragsklauseln Alternativa: Vrácení dat, protože jinak neoprávněné zpracování (P) Umístění?

Gesetz über das Bundesamt für Sicherheit in der Informationsrechnik (BSIG) Zákon o federálním úřadu pro bezpečnost v informačních technologiích (BSIG) CSP Adressaten: (KMU ausgeschlossen) 1. Anbieter digitaler Dienste Hauptsitz in D, keine EU-Niederlassung, aber Dienstangebot in EU und deren Vertreter in D niedergelassen ist) Digitaler Dienst = Cloud-Dienst = Dienst, der Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht 2. Betreiber Kritischer Infrastrukturen Pflichten: TOM, geeignet um 1. Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der EU nutzen, zu bewältigen. 2. Auswirkungen von Sicherheitsvorfällen auf innerhalb der EU erbrachte digitale Dienste vorzubeugen/so gering wie möglichzu halten. Meldepflichten bei Sicherheitsvorfall mit erheblichen Auswirkungen auf den Dienst Adresáti: (výlučně malé a střední podniky) 1. Poskytovatel digitální služby Hlavní bydliště v Německu, žádná EU-pobočka, ale nabídka služby v EU a její zástupci trvale sídlící v Německu) Digitální služba = cloudová služba = služba, která umožňuje přístup ke škálovatelnému a pružnému fondu sdílených výpočetních prostředků 2. Provozovatel kritických infrastruktur Povinnosti: TOM, vhodné k 1. Zvládnout rizika pro bezpečnost síťových a informačních systémů, které se využívají k poskytování služeb v rámci EU. 2. Důsledky bezpečnostních incidentů digitálních služeb v rámci EU držet v co nejmenší míře, jak je to možné. Povinnost ohlásit bezpečnostní incident se závažnými důsledky pro službu 15

BSI C5-Katalog 16