Cloud Computing nach der Datenschutz-Grundverordnung: Amazon Web Services, Google, Microsoft & Clouds anderer Anbieter in der Praxis

Cover
Titel
Impressum
Inhalt
Vorwort
1 Einleitung
1.1 Cloud Computing und Datenschutz im Spannungsfeld
1.2 Cloud Computing: flexible Nutzung von IT
1.3 Datenschutz, Datensicherheit und Compliance
2 Cloud Computing: Einführung, Basics und wichtigste Begriffe
2.1 Cumulus oder Stratus: Was ist Cloud Computing?
2.2 Begriffsklärung und begriffliche Entwicklung
2.2.1 Die »NIST Definition of Cloud Computing«
2.2.2 Definition des BSI
2.2.3 Wie Cloud Computing in diesem Buch verstanden wird
2.3 Technische Grundlagen »in a Nutshell«
2.3.1 Technische Rahmenbedingungen
2.3.2 Basistechnologien
2.4 Cloud-Service-Modelle
2.4.1 Infrastructure as a Service (IaaS)
2.4.2 Platform as a Service (PaaS)
2.4.3 Software as a Service (SaaS)
2.5 Cloud-Bereitstellungsformen
2.5.1 Public Cloud
2.5.2 Private Cloud
2.5.3 Hybrid Cloud
2.5.4 Multi Cloud
2.5.5 Community Cloud
2.6 Begriffsvielfalt und weitere Unterscheidungen
2.7 AWS, Google und Microsoft – Kurzporträts und Standorte der jeweiligen Cloud-Infrastrukturen
2.7.1 Amazon Web Services (AWS)
2.7.2 Google Cloud Platform (GCP)
2.7.3 Microsoft Azure und Microsoft 365
3 Datenschutz nach der DSGVO: Einführung und wichtigste Basics für die Cloud-Computing-Praxis
3.1 Datenschutz und informationelle Selbstbestimmung
3.2 Datenschutzreform
3.3 Cloud Computing und die Datenschutzreform
3.4 Warum ist der Datenschutz im Cloud Computing und in einer digitalen Welt so wichtig?
3.5 DSGVO-Basics im Cloud Computing: zentrale Begriffe und Grundprinzipien des »Daten-Schutz-Rechts«
3.5.1 »Daten« – Verarbeitung personenbezogener Daten
3.5.2 »Schutz« – Verbot mit Erlaubnisvorbehalt
3.5.3 »Recht« – Rechtmäßigkeit der Datenverarbeitung
3.5.4 Die wichtigsten Akteure im Datenschutz
3.5.5 Die Landkarte des Datenschutzes
3.5.6 Aufbau der DSGVO
4 Wann ist die DSGVO im Cloud Computing überhaupt anzuwenden?
4.1 Sachlicher Anwendungsbereich: Werden personenbezogene Daten verarbeitet?
4.1.1 Personenbezogene Daten
4.1.2 Verarbeitung
4.1.3 Ganz oder teilweise automatisierte Verarbeitung
4.1.4 Keine Ausnahme (z. B. für private Zwecke)
4.2 Räumlicher Anwendungsbereich: Wo und durch wen werden die Daten verarbeitet?
4.2.1 Verarbeitung durch eine Niederlassung in der EU (Niederlassungsprinzip)
4.2.2 Verarbeitung durch eine Niederlassung außerhalb der EU (Marktortprinzip)
4.3 Andere Rechtsgebiete
4.4 FAQs
4.5 Checkliste zum Anwendungsbereich der DSGVO
5 Wann ist die Datenverarbeitung erlaubt? – Zulässigkeit (1. Stufe): Erlaubnistatbestände als Rechtsgrundlage
5.1 Datenverarbeitung auf Basis einer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO)
5.2 Datenverarbeitung zur Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO)
5.3 Datenverarbeitung zur Erfüllung einer rechtlichen Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO)
5.4 Datenverarbeitung zum Schutz lebenswichtiger Interessen (Art. 6 Abs. 1 lit. d DSGVO)
5.5 Datenverarbeitung zur Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe und zur Ausübung öffentlicher Gewalt (Art. 6 Abs. 1 lit. e DSGVO)
5.6 Datenverarbeitung zur Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO)
5.7 Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO; »besonders sensible Daten«)
5.8 Bereichsspezifischer Datenschutz
5.9 FAQs
5.10 Checkliste
6 Auftragsverarbeitung
6.1 Hohe Praxisrelevanz im Cloud Computing
6.2 Definition der Auftragsverarbeitung und kennzeichnendes Privileg
6.3 Verarbeitung »im Auftrag« – Beispiele und Erscheinungsformen der Auftragsverarbeitung in der Praxis
6.3.1 Typische Beispiele für eine Auftragsverarbeitung
6.3.2 Keine Auftragsverarbeitung
6.3.3 Colocation als besondere Fallgestaltung im Rechenzentrumsumfeld
6.4 Beteiligte der Auftragsverarbeitung
6.5 Voraussetzungen der Auftragsverarbeitung
6.5.1 Sorgfältige Auswahl
6.5.2 Abschluss eines AV-Vertrags
6.5.3 Praxisprobleme bei Standardverträgen
6.6 Einsatz von Unterauftragsverarbeitern (den sogenannten Subunternehmern)
6.6.1 Genehmigung der Subunternehmer durch den Verantwortlichen
6.6.2 Weiterreichung der Datenschutzpflichten an den Subunternehmer
6.7 Auftragsverarbeitung im Ausland
6.7.1 Auftragsverarbeitung innerhalb von EU und EWR
6.7.2 Internationale Auftragsverarbeitung in Drittländern außerhalb von EU und EWR
6.8 Besonderheiten in regulierten Märkten
6.9 FAQs
6.10 Checkliste: Auftragsverarbeitung/AV-Vertrag
7 Gemeinsame Verantwortlichkeit (Joint Control)
7.1 Gemeinsame Verantwortlichkeit zwischen den an der Datenverarbeitung Beteiligten
7.2 Gemeinsame Verantwortlichkeit am Beispiel von Microsoft 365 und Google Analytics
7.3 FAQs
7.4 Checkliste
8 Allgemeine Grundsätze für die Verarbeitung personenbezogener Daten
8.1 Rechtmäßigkeit
8.2 Verarbeitung nach Treu und Glauben
8.3 Transparenz
8.4 Zweckbindung
8.5 Datenminimierung
8.6 Richtigkeit
8.7 Speicherbegrenzung
8.8 Integrität und Vertraulichkeit
8.9 Rechenschaftspflicht
8.10 FAQs
8.11 Checkliste
9 Verarbeitungsverzeichnis
9.1 Pflicht zur Verzeichniserstellung
9.2 Verarbeitungstätigkeiten
9.3 Führung des Verarbeitungsverzeichnisses
9.3.1 Verarbeitungsverzeichnis des Verantwortlichen
9.3.2 Verarbeitungsverzeichnis der gemeinsam Verantwortlichen (Joint Controller)
9.3.3 Verarbeitungsverzeichnisse des Auftragsverarbeiters
9.4 FAQs
9.5 Checkliste
10 Datensicherheit
10.1 Klassische Schutzziele der Datensicherheit
10.2 Rechtsgrundlagen der Datensicherheit
10.2.1 Datensicherheit in der DSGVO
10.2.2 Datensicherheit außerhalb der DSGVO
10.3 Typische Gefährdungslage im Cloud Computing und Leitfaden für Datensicherheitsaspekte
10.4 Implementierung technischer und organisatorischer Maßnahmen in der IT-Sicherheitsarchitektur
10.4.1 Infrastruktur- und Rechenzentrumsebene (Gelände und Gebäude)
10.4.2 IT-System- und -Virtualisierungsebene
10.4.3 Netzwerkebene
10.4.4 Software-/Anwendungsebene
10.4.5 Ebenenübergreifende Aspekte
10.4.6 Weitere Vertiefung
10.5 Cloud-Zertifizierungen
10.5.1 BSI-C5-Kriterienkatalog
10.5.2 ISO/IEC 27001 (einschließlich ISO/IEC 27017 und 27018)
10.5.3 ISO 9001
10.5.4 BSI-IT-Grundschutz und BSI-Standards
10.5.5 Cloud Security Alliance
10.5.6 EuroCloud Star Audit
10.5.7 Trusted Cloud
10.5.8 Datenschutzzertifizierungen nach der DSGVO
10.5.9 Andere Zertifizierungsverfahren
10.6 Notfallmanagement: Vorbereitung auf den Ernstfall
10.7 FAQs
10.8 Checkliste für einen IT-Sicherheitsvorfall
11 Datenschutz-Folgenabschätzung
11.1 Wann ist eine DSFA verpflichtend durchzuführen?
11.2 Wie ist eine DSFA durchzuführen, und was sind deren Inhalte?
11.3 Praxisbeispiel: Microsoft 365
11.4 FAQs
11.5 Checkliste
12 Wann dürfen Daten in Länder außerhalb der EU übermittelt werden? – Zulässigkeit (2. Stufe): Internationale Datentransfers
12.1 Übermittlung in Drittländer
12.1.1 Übermittlung
12.1.2 Drittland
12.1.3 Internationale Datentransfers im Cloud Computing
12.2 Voraussetzungen für internationale Datentransfers in ein Drittland
12.3 Das angemessene Datenschutzniveau
12.4 Angemessenheitsbeschlüsse der EU-Kommission
12.5 Sonderregelungen für transatlantische Datentransfers in die USA
12.5.1 Safe Harbor und Schrems-I-Urteil
12.5.2 EU-U.S. Privacy Shield, Schrems-II-Urteil und seine Folgen
12.5.3 Trans-Atlantic Data Privacy and Security Framework
12.6 Datenübermittlungen auf Grundlage geeigneter Garantien
12.6.1 Verbindliche interne Datenschutzvorschriften (Binding Corporate Rules)
12.6.2 Standardvertragsklauseln (SCC)
12.6.3 Weitere geeignete Garantien
12.6.4 Ausnahmen nach Art. 49 DSGVO
12.7 FAQs
12.8 Checkliste
13 Datenzugriff durch Behörden nach dem Recht der USA
13.1 Nachrichtendienstliche Überwachung
13.2 Herausgabe von Daten als Beweismittel im Rahmen strafrechtlicher Ermittlungen: der CLOUD Act
13.2.1 Der CLOUD Act im Überblick
13.2.2 Microsoft Corp. v. United States: ein Rechtsstreit über die Herausgabe von Daten aus Irland als Anlass für den CLOUD Act
13.2.3 Rechtskonflikt mit der DSGVO
13.3 Typische Praxiskonstellationen und Handlungsempfehlungen für Unternehmen in der EU
13.3.1 Datenverarbeitung bei Cloud-Anbietern in der EU mit Sitz in den USA bzw. mit US-Muttergesellschaft
13.3.2 Datenverarbeitung bei Cloud-Anbietern in der EU mit US-Tochtergesellschaft
13.3.3 Handlungsempfehlungen
13.4 FAQs
13.5 Checklisten
13.5.1 Wie sicher sind meine Daten vor dem CLOUD Act?
13.5.2 Worauf habe ich zu achten, wenn ich eine datenschutzfreundliche Lösung in der EU umsetzen möchte?
13.5.3 Ich möchte Leistungen eines US-Hyperscalers nutzen. Wie begegne ich einem bestehenden behördlichen Zugriffsrisiko nach dem CLOUD Act oder einem anderen US-Gesetz?
14 Rechte der Betroffenen
14.1 Recht auf Information
14.2 Recht auf Auskunft
14.2.1 Was ist das Auskunftsrecht?
14.2.2 Form und Frist der Auskunftserteilung
15 Aufsichtsbehörden
15.1 Datenschutzaufsicht in Deutschland
15.2 Aufsichtsbehörden in anderen EU-Mitgliedstaaten
15.3 Europäische Ebene
16 Datenschutzbeauftragter
16.1 Pflicht zur Bestellung
16.2 Interner oder externer Datenschutzbeauftragter?
16.3 Datenschutzkoordinator
16.4 FAQs
16.5 Checkliste zur Bestellung eines Datenschutzbeauftragten
17 Umgang mit Datenschutzverletzungen
17.1 Dokumentations-, Melde- und Benachrichtigungspflichten im Fall einer Datenschutzverletzung
17.2 Notfallmanagement: Vorbereitung auf den Ernstfall und Erstellung von Notfallplänen
17.3 FAQs
17.4 Checkliste bei einer Datenschutzverletzung
18 Bußgelder, Sanktionen und Haftung: Welche Strafen drohen bei einem Verstoß gegen die DSGVO?
18.1 Bußgelder
18.2 Sanktionen
18.3 Schadensersatz und Haftung
19 Besonderheiten regulierter Märkte
19.1 Cloud Computing in der öffentlichen Verwaltung
19.2 Berufsgeheimnisträger (wie Rechtsanwälte, Steuerberater, Ärzte)
19.3 Finanzsektor (Kredit- und Finanzdienstleister, Zahlungsinstitute)
19.4 Versicherungen
20 Handlungsempfehlungen für ein datenschutzkonformes Cloud Computing (im Lifecycle einer Cloud-Nutzung)
20.1 Marktanalyse
20.2 Auswahlentscheidung
20.2.1 Kommerzielle und technische Aspekte
20.2.2 Datenschutz
20.2.3 Weitere Aspekte im Rahmen der Auswahlentscheidung
20.3 Vertragsabschluss mit dem Cloud-Anbieter
20.4 Vertragsabschluss mit einem Reseller
20.5 Betriebsphase – was ist während der Cloud-Nutzung zu beachten?
20.6 Ende der Cloud-Nutzung (Exit bzw. Migration)
21 Bekannte Cloud-Anbieter im Check – worauf ist zu achten?
21.1 Amazon Web Services (AWS)
21.1.1 AWS-Vertragsbedingungen
21.1.2 Datenschutz
21.2 Google Cloud Platform (GCP)
21.2.1 Google-Vertragsbedingungen
21.2.2 Datenschutz
21.3 Microsoft
21.3.1 Microsoft-Vertragsbedingungen
21.3.2 Datenschutz
Anhang A Glossar
Anhang B Literaturverzeichnis
Fußnoten
Index
Über den Autor
Kolophon