IMTB Rechtsanwaltsgesellschaft für IT-, Kommunikations- und Vergaberecht mbHGleimstraße 5010437 Berlin
E-Mail [email protected] www.imtb-ikv.de
Telefon +49 (0)30 486 259 95Telefax +49 (0)30 486 259 95
IMTB BMC GmbHSchumannstraße 14 b10117 Berlin E-Mail [email protected]
Internet www.imtb.de
Telefon +49 (0)30 440 483 24Telefax +49 (0)30 440 483 25
||||
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag- Hamburger Vergabetag 2015 -
Alexander BockOlaf Volz
Hamburg 23.01.2015
Kurze Vorstellung
2Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
MTC
Group
BMC
- Unternehmensstruktur
IKV
in Kooperation mitRechtsanwalts-
gesellschaft
Agenda
Kurze Einführung
Überblick technische Rahmenbedingungen
Überblick rechtliche Rahmenbedingungen
Herausforderungen
Workshop-Szenario
Agenda
Kurze Einführung
Überblick technische Rahmenbedingungen
Überblick rechtliche Rahmenbedingungen
Herausforderungen
Workshop-Szenario
Was ist Cloud Computing?
Definition„Cloud“
• Automatische Diensterbringung auf AnforderungNutzer sind in der Lage, selbständig Dienste und Ressourcen anzufordern, ohne dass eine Interaktion mit menschlichen Operatoren auf Seiten des Anbieters notwendig wird.
• Netzwerkbasierter ZugangNetzzugang über das Internet oder aber auch ein dediziertes Netzwerk, sodass Dienste aus der Cloud auf verschiedenen Endgeräten verwendet werden können..
• MandantenfähigkeitDie Ressourcen des Anbieters sind in Pools konsolidiert, die eine parallele Diensterbringung für mehrere Mandanten (Kunden) erlauben.
• ElastizitätRessourcen und Dienste werden elastisch zur Verfügung gestellt, d.h. entsprechend seines augenblicklichen Bedarfs erhält der Benutzer Ressourcen in adäquaten Quantitäten.
• Messbare DienstqualitätCloud-Systeme verfügen über eingebaute Monitoring- und Messfunktionen, die sowohl eine optimierte Ressourcen-Nutzung als auch eine Validation der erreichten Dienstqualität seitens des Nutzers erlauben
5Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Quelle: Cloud-Fahrplan für die öffentliche Verwaltung , Kompetenzzentrum öffentliche IT, Fraunhofer FOKUS in Kooperation mit dem Lorenz-von Stein-Institut, April 2014
Was ist Cloud Computing?
Begriffe aus der„Cloud“
• Cloud-AnwenderCloud-Anwender ist jede natürliche oder juristische Person, die von Betroffenen personenbezogene Daten erhebt, verarbeitet oder nutzt und hierfür von anderen Stellen IT-Dienstleistungen für Cloud-Services in Anspruch nimmt.
• Cloud-AnbieterCloud-Anbieter ist jede natürliche oder juristische Person, die einem Cloud-Anwender IT-Dienstleistungen für Cloud-Services bereitstellt. Fehlen dem Cloud-Anbieter hierfür die Ressourcen, so kann dieser zur Erfüllung seiner Verpflichtungen gegenüber dem Cloud-Anwender u. U. weitere Unter-Anbieter einbeziehen.
6Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Quelle: Orientierungshilfe Cloud Computing (Version 2.0/09.10.2014)
Was ist Cloud Computing?
Abgrenzung zur„Cloud“
• Inhouse-Betrieb (On Premise)– Inhouse-Betrieb wird von externem Dienstleister unterstützt– Inhouse Technik wird von externem Dienstleister betrieben– Miete von fremden Rechnern zum eigenverantwortlichen Betrieb
• Grid-Computing– Verteilung von rechenintensiven Prozessen auf mehrere Computersysteme– Betreiber meist Institutionen– Werden in einem bestimmten Zeitraum für eine bestimmte Aufgabe zugewiesen
• Grenzfälle– Betrieb mehrerer eigener, dezidierter, physikalischer Rechner in einem fremden
Rechenzentrum („Hosting“)– Betrieb mehrerer, eigener, dedizierter, physikalischer Rechner in einem eigenen,
entfernten Rechenzentrum („Private Cloud“)
7Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
8Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Übersicht zu Cloud
Computing-Modellen
PRIVATE CLOUD
innerhalb einer
Institution, individuell,
exklusivPRIVATEGOVERN-
MENT CLOUD
Betreiber = öffentliche
Hand
HYBRIDCLOUD
Gemischte Public und
Private CloudMANAGED
PUBLIC CLOUD
Ausgehan-delter
Vertrag
PUBLIC CLOUD
am freien Markt
COM-MUNITY CLOUD
Zusammen-schluss von
Cloud-Anbietern
Standortbezug
Standorte des Cloud Computing Deutschland
Standorte des Cloud Computing innerhalb EU/EWR
Standorte des Cloud Computing weltweit; Staat mit angemessenem
Datenschutzniveau
Standorte des Cloud Computing weltweit; Staat ohne angemessenes
Datenschutzniveau
Betreibermodelle
Dienstmodelle
IaaS PaaS SaaS
9Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Infrastructure as a Service
Liefert Rechenkapazität,
Speicher und Netzverbindungen(Rechenzentrum)
Platformas a Service
Liefert Datenbanken und Webdienste auf
denen eigene Anwendungen
entwickelt werden können
Softwareas a Service
Liefert fertige Anwendungen wie z.B. E-Mail, CRM
oder Office
Dienstmodelle
Eigenbetrieb
• Eigenverwaltung• Applikationen• Daten• Mittelschicht• Betriebssystem• Virtualisierung• Server• Speicher• Netzwerk
IaaS
• Eigenverwaltung• Applikationen• Daten• Mittelschicht• Betriebssystem
• Fremdverwaltung• Virtualisierung• Server• Speicher• Netzwerk
PaaS
• Eigenverwaltung• Applikationen• Daten
• Fremdverwaltung• Mittelschicht• Betriebssystem• Virtualisierung• Server• Speicher• Netzwerk
SaaS
• Fremdverwaltung• Applikationen• Daten• Mittelschicht• Betriebssystem• Virtualisierung• Server • Speicher• Netzwerk
10Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Gra
d de
r Fle
xibi
lität
de
s An
wen
ders
Betreibermodell
Angebote für die öffentliche Hand
• Spezifische Fachverfahren für die öffentliche Hand werden regelmäßig (noch) nicht als Cloud-Computing angeboten
• Nutzungsbeispiele aus der öffentlichen Verwaltung:– Im Schulumfeld über kommunale IT-Dienstleister der öffentlichen Verwaltung– Projekt goBerlin (www.goberlin-projekt.de)
• Eine Reihe von Standardverfahren werden als Cloud-Computing auf dem Markt angeboten (Office-Anwendungen, Dokumentenmanagement etc.)
• IaaS – Infrastructure as a Service– Nutzungsszenarien für öffentliche Hand denkbar (z.B. Rahmenvereinbarung eines
Rechenzentrums zum Ausgleich von Lastspitzen)
• PaaS – Platform as a Service– Nutzungsszenarien für öffentliche Hand denkbar (z.B. für Tests etc.)
• SaaS – Software as a Service– Nutzungsszenarien für öffentliche Hand denkbar (z.B. Office-SW)
11Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Nutzung Cloud-Computing in Unternehmen
12
Art und Umfang der derzeitigen Cloud-Nutzung
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Auszug: Pressekonferenz Cloud Monitor 2014, 30. Januar 2014; BITKOM, Bundesverband Informationswirtschaft,Telekommunikation und neue Medien e.V. http://www.bitkom.org/files/documents/Cloud_Monitor_2014_KPMG_Bitkom_Research.pdf
Agenda
Kurze Einführung
Überblick technische Rahmenbedingungen
Überblick rechtliche Rahmenbedingungen
Herausforderungen
Workshop-Szenario
Technische Rahmenbedingungen
Grundlegende Technologien des Cloud Computing:
• Virtualisierung von IT-Ressourcen– Speichervirtualisierung
• bestehen aus mehreren miteinander verbundenen, zentral verwalteten Speichersystemen (SAN)
• „Thin Provisioning“ (Virtualisierung der Größe der zugewiesenen Volumen) – Servervirtualisierung
• Serversysteme werden von der Hardware(-schicht) entkoppelt und können unabhängig von dieser betrieben werden
• greifen auf denselben Storage zu („shared storage“)– Destopvirtualisierung
• Nutzer verbindet sich über RDP auf seinen eigenen Desktop auf seinem eigenen Betriebssystem (Unterschied zu Terminalserver)
– Applikationsvirtualisierung• Gekapselte Anwendung (Sandboxes)• Ermöglicht die Installation von inkompatiblen Applikationen auf einem Betriebssystem
• Internet als schnelles Übertragungsmedium
14Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Datensicherheit in der Cloud (I)
• Die Schutzziele „Vertraulichkeit“, „Integrität“ und „Verfügbarkeit“ von Daten müssen in der Cloud gewährleistet werden!
• Szenario 1: Bedrohungen für die Cloud-Infrastruktur und den Cloud-Dienst durch Datenverlust bzw. Informationsabfluss
– Beeinflussung der verschiedenen Nutzer in der gemeinsamen (shared) Cloud-Infrastruktur bis hin zu Angriffen aus der Cloud
– Ausfall der Internet- oder Netzverbindung, sodass ein externer Zugriff auf die Daten verhindert wird (z.B. durch „Denial-of-Service Angriffen“)
– Fehler in der Cloud-Administration
• Szenario 2: Bedrohungen bei der Nutzung von Cloud-Diensten– Identitätsdiebstahl bzw. Missbrauch von Accounts– Verlust der Kontrolle über die Daten und Anwendungen– Verletzung geltender Vorgaben und Richtlinien (z.B. Datenschutzanforderungen)– Sicherheit der Endgeräte, mit denen die Cloud-Dienste verwendet werden– Daten können über das Netz abgefangen und (bei schlechter oder nicht
vorhandener Verschlüsselung ) ausgespäht werden
15Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Datensicherheit in der Cloud (II)
• Szenario 3: Bedrohung bei Einführung und Nutzung der Cloud– Es gibt keine Cloud-Strategie und deshalb sind die Ziele, die mittels Cloud
Computing erreicht werden sollen, weder klar noch überprüfbar– Bei der Planung des Einstiegs in die Cloud wird die Exit-Strategie nicht
berücksichtigt (ggf. große Abhängigkeit vom Cloud-Anbieter)– Der Cloud-Anbieter bezieht selbst Dienste von Unterauftragnehmern– Es fehlt an einem Notfallplan (Datensicherung und Datenwiederherstellung; keine
Desaster Recovery Tests)
• Grundsätzlich gilt: Ob und unter welchen Bedingungen Anwendungen der öffentlichen Verwaltung in die Cloud verlagert werden können, hängt grundsätzlich nicht von deren Schutzbedürftigkeit ab!
16Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Auswahl des Cloud-Anbieters
Zur Überprüfung der Eignung eines Anbieters sollten folgende Kriterien Berücksichtigt werden (vgl. BSI, IT-Grundschutz M 2.540):
• Reputation (überprüfbare Referenzen)• Rankings oder Bewertungsmatrizen von möglichst (unabhängigen)
Organisationen (Zertifikate)• Ist Cloud Computing das Kerngeschäft des Anbieters?
(Zuverlässigkeit der Leistungserbringung: Mögliches Risiko, dass der Cloud-Dienst rasch eingestellt oder von einem anderen Anbieter übernommen wird?)
• Welche Zugriffe durch den Dienstanbieter oder Dritte werden erlaubt oder sind möglich?
• An welchen Standorten werden die Informationen verarbeitet und gespeichert? (Welches geltende Recht liegt einem Vertrag zugrunde, welchen rechtlichen Rahmenbedingungen unterliegt der Anbieter?)
• Angabe der Subunternehmen zur Service-Erbringung um Abhängigkeiten des Cloud-Anbieters beurteilen zu können.
17Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Zertifizierungssysteme (I)
• ISO/IEC – Basisnormen für Informationssicherheits-Management– ISO/IEC 27001 Informationstechnik - IT-Sicherheitsverfahren - Informationssicherheits-
Managementsysteme - Anforderungen– ISO/IEC 27002: Informationstechnik - IT-Sicherheitsverfahren - Leitfaden für das
Informationssicherheits-Management
• ISO/IEC – Normen für Informationssicherheits-Management im Bereich Cloud-computing– ISO/IEC 27018 Informationstechnik - Sicherheitsverfahren - Anwendungsregel für den Schutz
von Personenbezogenen Daten (PII) in Public Clouds, die als PII Processor auftreten – ISO/IEC 27017 Informationssicherheits-Management für Cloud-Computing (Information
technology — Security techniques — Code of practice for information security controls based on ISO/IEC 27002 for cloud services); derzeit in noch Entwicklung
• Cloud Security Alliance (CSA)– Open Certification Framework (OCF)– CSA Security Guidance und Cloud Control Matrix – CSA Star = System mit drei Vertrauensstufen:
• Selbstauskunft (1)• Assessment durch Dritte (2)• künftig: Kontinuierliche Kontrolle (3)
18Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Zertifizierungssysteme (II)
• FedRAMP– Federal Risk and Authorization Management Programm (USA) auf der Basis des US-Standards
NIST SP 800.53
• EU-Kommission– Positionspapier der EU-Kommission aus dem Jahr 2012 („Unleashing the Potential of Cloud
Computing in Europe”)– ENISA Liste von Zertifizierungssystemen
• EuroCloud Deutschland e.V. – Auditierung zum Gütesiegel Ein- bis Fünf-Sterne-Zertifizierung
19Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Agenda
Kurze Einführung
Überblick technische Rahmenbedingungen
Überblick rechtliche Rahmenbedingungen
Herausforderungen
Workshop-Szenario
Rechtlichen Grundlagen - Datenschutz
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag 21
Zu beachten ist deutsches Datenschutzrecht sowie ggf. europäisches Recht sowie internationales Recht zum Datenschutz• Zentrale europäische Rechtsnorm
– Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr
– Richtlinie 2002/58/EG - Datenschutzrichtlinie für elektronische Kommunikation (Fassung 2009)
• Zentrale deutsche Rechtsnormen – Recht auf informationelle Selbstbestimmung, Art 2 Abs. 1 GG i.V.m Art 1
GG sowie Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme
– Bundesdatenschutzgesetz– Spezialgesetzlicher Datenschutz
(z.B. Telemediengesetz, Sozialgesetzbuch) – Landesdatenschutzgesetze
Überblick zu rechtlichen Grundlagen - Vertraulichkeit
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag 22
• Art 10 GG: Briefgeheimnis sowie das Post- und Fernmeldegeheimnis• Postgesetz: Abschnitt 9, Postgeheimnis, Datenschutz; §§ 39 ff.• Telekommunikationsgesetz: § 88 Fernmeldegeheimnis• Berufsrechtliche Vorschriften z.B. für Rechtsanwälte, Steuerberater, etc.• StGB Fünfzehnter Abschnitt, Verletzung des persönlichen Lebens- und
Geheimbereichs z.B.– § 203 StGB: Verletzung von Privatgeheimnissen– § 206 StGB: Verletzung des Post- oder Fernmeldegeheimnisses
• Gesetz über die Voraussetzungen und das Verfahren von Sicher-heitsüberprüfungen des Bundes (Sicherheitsüberprüfungsgesetz - SÜG)
• Geheimschutzordnung des Deutschen Bundestages (Anlage 3 der Geschäftsordnung des Deutschen Bundestages, BGBl. I 1980, 123)
• Allgemeinen Verwaltungsvorschrift des Bundesministerium des Innern zum materiellen und organisatorischen Schutz von Verschlusssachen (VS-Anweisung – VSA)
Überblick zu Regelungen zur IT-Sicherheit
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag 23
• Das BSI kann nach § 8 Abs. 1 Satz 1 BSIG Mindeststandards für Bundesverwaltung festsetzen wie etwa – Mindeststandards des BSI: Mindeststandard des BSI nach § 8 Abs. 1
Satz 1 BSIG für den Einsatz des SSL/TLS-Protokolls in der Bundesverwaltung
• Für bestimmte Produkte oder Leistungen kann beim Bundesamt eine Sicherheits- oder Personenzertifizierung oder eine Zertifizierung als IT-Sicherheitsdienstleister beantragt werden (§ 9 Abs. 2 Satz 1); es gilt die BSI-Zertifizierungs- und -Anerkennungsverordnung - BSIZertV
• § 10 EGovG - Umsetzung von Standardisierungsbeschlüssen des IT-Planungsrates– z.B. Leitlinie für Informationssicherheit in der öffentlichen Verwaltung
(gemäß Beschluss IT-Planungsrat Nr. 2013/3) mit Mindestanforderungen an das Informationssicherheitsmanagement
• Künftig: IT-Sicherheitsgesetz (Aktuell: „Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“)
Wann liegt Auftragsdatenverarbeitung vor?
24Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
• § 11 Abs. 1 BDSG “Werden personen-bezogene Datenim Auftrag durch andereStellen erhoben, verarbeitetoder genutzt, ist der Auftraggeber für die Einhaltung der Vorschriftendieses Gesetzes und anderer Vorschriftenüber den Datenschutzverantwortlich. Die in den §§ 6, 7 und 8 genannten Rechte sindihm gegenüber geltendzu machen.”
Besonderheiten Cloud-Computing
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag 25
• Bei Verarbeitung personenbezogener Daten mittels Auftragsdaten-verarbeitung bestehen folgende besondere Hürden nach § 11 Abs. 2 BDSG– Qualifizierter Vertrag– Anfängliche Kontrollpflicht des Auftraggebers vor Aufnahme der
Auftragsdatenverarbeitung (d.h. bei der öffentlichen Hand im Rahmen des Vergabeverfahrens)
– Laufende Kontrollpflicht des Auftraggebers während der Auftragsdatenverarbeitung
– Auswirkungen nicht nationaler Cloud-Standorte (global)– Handhabung der Einbindung von Nachunternehmern
• Wichtiger Aspekt– Die Definition personenbezogener Daten ist sehr weit und umfassend– Der Kreis von Anwendungsfällen für Cloud-Services, die
personenbezogene Daten nicht tangieren, ist relativ klein
Überblick zu vergaberechtlichen Besonderheiten
26
• Ausgangspunkt– Die Beschaffung von Cloud-Computing-Leistungen unterliegt dem
Vergaberecht, so dass ein Vergabeverfahren durchgeführt werden muss– Regelmäßig wird ein europaweites Vergabeverfahren notwendig sein– Standard-Cloud-Leistungen hier nicht Gegenstand der Betrachtung
• Besonderheiten für Beschaffung von Cloud-Computing-Leistungen – Beschaffung von Cloud-Computing-Leistungen als Managed Cloud-
Computing ist ein komplexer Vergabegegenstand– Verhandlungsverfahren i.d.R. einschlägig (§ 3 EG Abs. 4 lit. b VOL/A)– Eine Festlegung auch eine Cloud-Computing-Leistungen sollte
vergaberechtlich begründet werden (z.B. gegenüber herkömmlichen Lösungen mit SW am Arbeitsplatz = „on premise“)
– Auftragsdatenverarbeitung im Umfeld des Cloud-Computing beeinflusst Vergabe insbesondere bei der Auswahl geeigneter Bieter
– Umgang mit Lizenzierung von Software unter Berücksichtigung von Cloud-Computing
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Agenda
Kurze Einführung
Überblick technische Rahmenbedingungen
Überblick rechtliche Rahmenbedingungen
Herausforderungen
Workshop-Szenario
• Bei Beschaffung steht komplexer Vergabegegenstand im Mittelpunkt• Alle notwendigen vertraglichen Regelungen für ein Cloud-Computing sind im
Voraus vom Auftraggeber zu entwickeln• Anforderungen an Auftragsdatenverarbeitung sind abzubilden • Alle notwendigen technischen Anforderungen an das Cloud-Computing sollten
im Voraus vom Auftraggeber „vorgedacht werden“• Marktkenntnis zu Ausprägung der am Markt angebotenen
Cloud-Computing-Modelle ist notwendig • Überlegungen zum Standort der Leistungserbringer sind anzustellen und
etwaige Vorgaben müssen vergaberechtlichen Grundsätzen genügen• Einbeziehung von Nachunternehmern ist bei Vergabe sowie im Vertrag zu
berücksichtigen • Vorhandene Prüf- und Zertifizierungssysteme sollten bekannt sein und ggf.
berücksichtigt werden • Vertragliche Regelungen müssen – standortabhängig - Auslandssachverhalte
regeln
28Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Besondere Herausforderungen beim Cloud-Computing
Zur Lage der IT-Sicherheit 2014
29Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
„Neben gängigen Virenschutzprogrammen kommen weitere Schutzmaßnahmen an unterschiedlichen Schnitt-stellen zum Einsatz, mit denen in Echtzeit schädliche E-Mails abgewehrt werden können. Seit Mai 2014 wurden mit der damit verbundenen Vorgehensweise monatlich bis zu 60.000 verseuchte E-Mails in den Netzen der Bundesverwaltung zusätzlich abgefangen. Um hochwertige Angriffe abwehren zu können, setzt ein weiteres System auf die Erkennung von Angriffen, die gängige Schutzmechanismen bereits überwunden haben. 2014 wurden bisher täglich etwa 15 bis 20 Angriffe auf das Regierungsnetz entdeckt, die durch normale Schutzmaßnahmen nicht erkannt worden wären. Bei durchschnittlich einem Angriff pro Tag handelt es sich um einen gezielten Angriff mit nachrichtendienstlichem Hintergrund.“
Quelle: Bundesamt für Sicherheit in der Informationstechnik (BSI) - Die Lage der IT-Sicherheit in Deutschland 2014, https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2014.pdf?__blob=publicationFile
30
Cloud-Computing-Modelle und Standorte
Standorte
Cloud-Modell
Private CloudCommunity Cloud
ManagedPublic CloudPublic Cloud Private
Gov. Cloud
national
global
EU/EWR
HybridCloud
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
31
Cloud-Computing-Modelle, Standorte und Firmen
Standorte
Cloud-Modell
Private CloudCommunity Cloud
ManagedPublic CloudPublic Cloud Private
Gov. Cloud
national
global
EU/EWR
HybridCloud
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Wer sich alles so tummelt in der Cloud …
32Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Agenda
Kurze Einführung
Überblick technische Rahmenbedingungen
Überblick rechtliche Rahmenbedingungen
Herausforderungen
Workshop-Szenario
Szenario – Teil 1
34Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Szenario – Teil 1
• Eine Bundesbehörde prüft Auslagerung von Daten an einen externen privaten Dienstleister in Deutschland (Varianten: EU/global).
• Gegenstand sind öffentliche (nicht personenbezogene) Daten (Webauftritt), aber auch personenbezogene Daten (Veranstaltungsmanagement).
• Es soll im Rahmen einer Beschaffungsmaßnahme die Nutzung von Cloud-Computing-Angeboten als SaaS ermöglicht werden; dabei sollen auch Public-Cloud-Computing-Angebote, die in Deutschland betrieben werden, berücksichtigt werden; der Anbieter soll die Software-Lizenzen bereitstellen.
• Der Fachbereich und das Justiziariat sind sich uneinig. Das Justiziariat ist der Auffassung, die Auslagerung personenbezogener Daten in einen Public-Cloud-Computing-Service wäre überhaupt nicht zulässig. § 11 Abs. 2 Bundesdatenschutzgesetz stünde dem entgegen.
• Der Fachbereich meint: Es gibt eine Reihe von Bietern der Privatwirtschaft, die ihre Public-Cloud-Computing-Infrastruktur an z.B. zwei bis ca. fünf Standorten in Deutschland vorhalten. Die Vorgaben des § 11 Abs. 2 Bundesdatenschutzgesetz würden von diesen Anbietern erfüllt und Maßnahmen der Bieter könnten auch im Detail ausgehandelt werden.
35Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Aufgabenstellung für Workshop-Arbeit
• Sie erhalten einen Auszug aus dem Bundesdatenschutzgesetz (BDSG) zu § 3, § 4b, § 4c, § 9, § 11, Anlage (zu § 9 Satz 1).
• Bitte sehen Sie sich § 3 Abs. 4, Nr. 3; § 3 Abs. 8, Satz 3; § 4b Abs. 1 und 2; § 4c; § 9; § 11 Abs. 1, 2 sowie die Anlage (zu § 9 Satz 1) BDSG an
• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung:– Steht das BDSG einer Auslagerung von Daten in eine Public Cloud – ggf.
abhängig von Standorten der Rechner dieser Cloud – entgegen?– Entwickeln Sie unter Berücksichtigung des § 11 Abs. 2 BDSG eine
Checkliste für Regelungspunkte eines Vertrags zur Aufgabenauslagerung in eine Public-Cloud-Computing-Lösung; berücksichtigen Sie insbesondere auch weitere vertragliche Regelungspunkte.
– Welche besondere vertraglichen Hürden für ein Public-Cloud Computing erkennen Sie in den Regelungen des § 11 Abs. 2 BDSG?
– Erkennen Sie besondere vergaberechtliche Hürden für ein Public-Cloud Computing in den Regelungen des § 11 Abs. 2 BDSG?
36Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Szenario – Teil 1Lösungsansätze
37Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Lösungsansätze für Aufgabenstellung – Teil 1 (I)
• BDSG ist (wohl) nur für Veranstaltungsmanagement relevant– Steht das BDSG einer Auslagerung von Daten in eine Public Cloud – ggf.
abhängig von Standorten der Rechner dieser Cloud – entgegen? Standorte in Deutschland im Ergebnis: Nein Standorte in EU/EWR im Ergebnis: Nein (gleiche Voraussetzungen) Bei Standorten außerhalb EU/EWR ist zu differenzieren Globale Standorte, bei denen ein angemessenes Datenschutzniveau
gewährleistet ist (§ 4 b, Abs. 2, Satz 1 BDSG) Grundsätzlich zulässig, außer schutzwürdiges Interesse steht dagegen
Globale Standorte, bei denen ein angemessenes Datenschutzniveaunicht gewährleistet ist (§ 4 b, Abs. 2, Satz 2 BDSG) Vorliegen von Ausnahmen nach § 4 c, Abs. 1, Satz 1 Nr. 1 bis 6 BDSG Bei ausreichenden Garantien hinsichtlich des Schutzes des
Persönlichkeitsrechts und Rechtsausübung; z.B. aus Vertragsklauseln oderverbindlichen Unternehmensregelungen(= EU-Standardvertragsklauseln); ansonsten nur über Genehmigung Zudem: Internationale Vereinbarungen wie Safe Harbour Principles
38Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Lösungsansätze für Aufgabenstellung – Teil 1 (II)
• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung– Entwickeln Sie unter Berücksichtigung des § 11 Abs. 2 BDSG eine
Checkliste für Regelungspunkte eines Vertrags zur Aufgabenauslagerung in eine Cloud-Computing-Lösung; berücksichtigen Sie insbesondere auch weitere Regelungspunkte siehe nachfolgende Folien
– Welche besondere vertraglichen Hürden für ein Cloud Computing erkennen Sie in den Regelungen des § 11 Abs. 2 BDSG? siehe nachfolgende Folien
39Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
• Gegenstand und die Dauer des Auftrags• Umfang, die Art und der Zweck der vorgesehenen Erhebung, Verarbeitung
oder Nutzung von Daten, die Art der Daten und der Kreis der Betroffenen• Nach § 9 zu treffenden technischen und organisatorischen Maßnahmen• Berichtigung, Löschung und Sperrung von Daten• Pflichten des AN, insbesondere vorzunehmende Kontrollen §§ 5, 9, 43 Abs. 1
Nr. 2, 10 u. 11, Abs. 2 Nr. 1 bis 3 u. Abs. 3 sowie § 44 / §§ 4f, 4g u. 38 BDSG• Etwaige Berechtigung zur Begründung von Unterauftragsverhältnissen• Kontrollrechte des AG und die entsprechenden Duldungs- und
Mitwirkungspflichten des AN • Mitzuteilende Verstöße des AG oder der bei ihm beschäftigten Personen
gegen Vorschriften zum Schutz personenbezogener Daten oder gegen die im Auftrag getroffenen Festlegungen
• Umfang der Weisungsbefugnisse, die sich der AG gegenüber dem AN vorbehält
• Rückgabe überlassener Datenträger und die Löschung beim AN gespeicherter Daten nach Beendigung des Auftrags
40Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Regelungsinhalte nach § 11 Abs. 2 BDSG
41Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Unter Bedingungen der Cloud zu gewährleisten
8 Gebote der Daten-sicherheit
Zutritts-kontrolle
Zugangs-kontrolle
Zugriffs-kontrolle
Weiter-gabe-
kontrolle
Eingabe-kontrolle
Auftrags-kontrolle
Verfügbarkeits-
kontrolle
Daten-trennung
42Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Anlage zu § 9 Satz 1 BDSG
Checkliste Vertrag Auftragsdatenverarbeitung (I)
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag 43
• Vertragsgegenstand• Vertragsdauer• Sitz und Gesellschafterstruktur
des Anbieters• Standorte der Rechenzentren;
Ausschluss von Standorten• Umfang und Art der Leistung • Qualität der Leistungen (SLA)• Pönalen• Nutzungsrechte für Software • Verantwortlichkeit für
Lizenzmanagement• Verantwortlichkeit des AG für
Daten• Verpflichtung Mitarbeiter auf
Datengeheimnis
• Auftragsdatenverarbeitungs-vereinbarung (zu pers.bez. Daten)– Gegenstand und Dauer des Auftrags– Umfang, die Art und der Zweck ADV,
Datenart, Betroffene– Technische und organisatorische
Maßnahmen– Berichtigung, Löschung und Sperrung von
Daten– Datenschutzrechtliche Pflichten des AN
sowie Kontrollen– Regelung zu Unterauftragsverhältnissen– Kontrollrechte des AG Duldungs- und
Mitwirkungspflichten des AN – Mitzuteilungsplichten des AN bei
Verstößen gegen Regelungen zum Personendatenschutz bzw. des Vertrags
– Weisungsbefugnisse des AG – Rückgabe Datenträger und
Datenlöschung beim AN bei Vertragsende
Checkliste Vertrag Auftragsdatenverarbeitung (II)
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag 44
• IT-Sicherheitskonzept• Datensicherungskonzept• Fragen der Interoperabilität • Übertragbarkeit der Plattform,
Anbieterwechsel • Notfallmanagement • Änderungsmanagement (Pflichten
des AN zur Mitteilung bei Änderung der Standard-SW etc.)
• Zugriff auf Protokolldaten• Kommunikationsregeln bei
Datenschutzvorfällen• Umgang mit Auskunftsrechten
Betroffener• Nachweis und Aufrechterhaltung
von Zertifizierungen
• Software- und Daten-Hinterlegung• Kündigungsregelungen • Verlängerungsoption• Versicherungsschutz • Beendigungsmanagement, insb.
Datenlöschung beim AN, Übergabe Daten an AG
• Ausschluss Zurückbehaltungs-recht an Leistungen und Daten des AG
• Haftung des AN, insb. für Schäden aufgrund Verletzung der Informationssicherheit
• Vertragsstrafen• Geheimhaltung und Vertraulichkeit• Salvatorische Klausel
Lösungsansätze für Aufgabenstellung – Teil 1 (III)
• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung– Erkennen Sie besondere vergaberechtliche Hürden für ein Cloud
Computing in den Regelungen des § 11 Abs. 2 BDSG? § 11 Abs. 2, Satz 4 BDSG
„Der Auftraggeber hat sich vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Das Ergebnis ist zu dokumentieren. “
Kontrolle muss nicht „Vor-Ort“ erfolgen Kontrolle muss – nach BDSG – nicht vor Vertragsschluss, jedoch vor
Aufnahme der Datenverarbeitung im Auftrag erfolgen Potenzielle Unterauftragnehmer sind zu berücksichtigen
45Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Szenario – Teil 2
46Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Szenario – Teil 2
• Man hat sich darauf geeinigt, dass das geplante Vorgehen grundsätzlich zulässig ist, und auch ein Public-Cloud-Computing-Angebot berücksichtigt werden kann.
• Der Datenschutzbeauftragte wünscht nun, dass – aus Gründen der IT-Sicherheit und mit dem Ziel einer besser möglichen vertraglichen Absicherung – nur Anbieter zugelassen werden, die ihr Public-Cloud-Computing-Angebot ausschließlich von Standorten in Deutschland betreiben.
• Die Vergabestelle meldet Bedenken an. Aufgrund der Durchführung des europaweiten Vergabeverfahrens müssten auch Anbieter von Public-Cloud-Computing-Lösungen zugelassen werden, die Ihre Standorte ausschließlich in Deutschland oder den Mitgliedsstaaten der EU haben.
• Die Vergabestelle sieht im Übrigen das Erfordernis besonderer Kontrollen/ Eignungsprüfungen des Bieters im Vorfeld, weiß aber nicht genau, wie diese bewerkstelligt werden sollen.
47Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Aufgabenstellung für Workshop-Arbeit
• Sie erhalten eine Exemplar der VOL/A EG.• Bitte betrachten Sie § 2 EG Abs. 1 VOL/A und § 8 EG Abs. 3 VOL/A. • Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung:
– Ist die vom Fachbereich gewünschte Festlegung auf Anbieter mit Public-Cloud-Computing-Angebot ausschließlich an deutschen Standorten vor dem Hintergrund des deutschen/europäische Vergaberechts oder des BDSG zulässig?
– Wie ist mit dem Erfordernis besonderer Eignungsprüfungen im Vorfeld der Beauftragung eines Public-Cloud-Computing-Angebots umzugehen? Entwickeln Sie Vorgehensüberlegungen für Eignungsprüfungen im Zuge des Teilnahmewettbewerbs.
– Skizzieren Sie grob wesentliche Vorgehensschritte für ein Einführungsprojekt für Cloud-Computing (von Planung bis zur Betriebsphase).
48Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Szenario – Teil 2Lösungsansätze
49Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Lösungsansätze für Aufgabenstellung – Teil 2 (I)
• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung– Ist die vom Fachbereich gewünschte Festlegung auf Anbieter mit Public-
Cloud-Computing-Angebot ausschließlich an deutschen Standorten vor dem Hintergrund des deutschen/europäische Vergaberechts oder des BDSG zulässig? Aus BDSG und deutschem Datenschutzrecht lässt sich kein Hindernis
ableiten (außer etwaige Zugriffsmöglichkeiten von Behörden aus Drittländern), auch Cloud-Anbieter aus einem EU-Mitgliedsstaat zuzulassen.
Vergaberecht fordert Gleichbehandlung und Diskriminierungsfreiheit (§ 2 EG Abs. 1, Satz 2 VOL/A).
50Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Lösungsansätze für Aufgabenstellung – Teil 2 (II)
• Erörtern Sie folgende Fragestellungen und beziehen Sie Stellung– Wie ist mit dem Erfordernis besonderer Eignungsprüfungen im Vorfeld
Public-Cloud-Computing-Angebot im Vorfeld umzugehen? Entwickeln Sie Vorgehensüberlegungen für Eignungsprüfungen im Zuge des Teilnahmewettbewerbs. Kontrolle im Rahmen der Eignungsprüfung naheliegend, insbesondere Technische Ausrüstung/Qualität, § 7 EG Abs. 3 b) VOL/A Technische Leitung, § 7 EG Abs. 3 c) VOL/A Ggf. eigene Kontrolle oder durch Dritte § 7 EG Abs. 3 f) VOL/A
In diesem Rahmen Fragenkataloge zu § 11 Abs. 2 / § 9 BDSG Zertifizierungen ersetzen nicht die Kontrolle, aber Zertifizierungen
können herangezogen werden (Gegenstand, Fremdauditierung) Überlegung: Eigene Kontrolle oder Kontrolle durch Dritte vorbehalten
– Skizzieren Sie grob wesentliche Vorgehensschritte für ein Einführungsprojekt für Cloud-Computing siehe nachfolgende Folie
51Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Vorgehensweise Vergabeprojekt
52Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Grund-sätzliche
Über-legungen
Bedarfs-analyse
Risiko-analyse
Wahl eines Vergabe-
verfahrens
Auftrags-vergabe
Migration
Quelle: Cloud-Fahrplan für die öffentliche Verwaltung , Kompetenzzentrum öffentliche IT, Fraunhofer FOKUS in Kooperation mit dem Lorenz-von Stein-Institut, April 2014
Wie geht es weiter …
53Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Eine kleine Auswahl von Hilfestellungen und Quellen
• „Orientierungshilfe – Cloud Computing“ der Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder sowie der Arbeitsgruppe Internationaler Datenverkehr des Düsseldorfer Kreises (https://www.datenschutz-bayern.de/technik/orient/oh_cloud.pdf)
• Projekt „Cloud for Europe“ www.cloudforeurope.eu (siehe auch European Cloud Partnership: https://ec.europa.eu/digital-agenda/en/european-cloud-partnership)
• CLOUD-FAHRPLAN FÜR DIE ÖFFENTLICHE VERWALTUNG;Kompetenzzentrum Öffentliche IT, Fraunhofer-Institut für Offene Kommunikationssysteme FOKUS (www.oeffentliche-it.de/documents/18/21941/Cloud-Fahrplan+oeffentliche+Verwaltung)
• Pressekonferenz Cloud Monitor 2014, 30. Januar 2014; BITKOM, Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (http://www.bitkom.org/files/documents/Cloud_Monitor_2014_KPMG_Bitkom_Research.pdf)
54Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Hinweise zu Inhalten
55Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Haftung für Inhalte
• Die Inhalte dieses Foliensatzes sind mit Sorgfalt erarbeitet worden. • Eine Haftung für die Richtigkeit der Inhalte dieser Unterlage sowie der
weiterführenden Hinweise kann nicht übernommen werden.• Darstellungen sind nur allgemeiner Art und dienen der Veranschaulichung von
Fragestellungen und Lösungsansätzen.• Es werden keine konkreten Einzelfälle behandelt und es erfolgt keine
Rechtsberatung oder sonstige Beratung im Einzelfall. • Eine Gewähr für Vollständigkeit, Richtigkeit und Aktualität der Aussagen und
Inhalte dieser Unterlage kann nicht übernommen werden. • Hinsichtlich der wiedergegebenen Hinweise/Links auf Webseiten Dritter kann
keine Gewähr übernommen werden.
56Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Hinweise zu Nutzungsrechten
57Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag
Nutzungsrechte für diesen Foliensatz (I)
• Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung -Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz (siehe Internet-Link: http://creativecommons.org/licenses/by-sa/3.0/de/).
• Nutzungsrechte gemäß o.g. Lizenz:– Teilen
d.h. das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
– Bearbeitend.h. das Material remixen, verändern und darauf aufbauen unter folgenden Bedingungen:
• Bedingungen für die Nutzung– Namensnennung
Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
– Weitergabe unter gleichen BedingungenWenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.
58
Nutzungsrechte für diesen Foliensatz (II)
• Darstellungen mit Quellenangaben unterliegen den Nutzungsrechten der Urheber (Creative Commons gilt nicht); die vorhandenen Quellenangaben müssen beibehalten werden und sind unverändert wiederzugeben
• Folgende Namensnennung ist zur Nutzung im Rahmen der Creative Commons Namensnennung - Weitergabe unter gleichen Bedingungen 3.0 Deutschland Lizenz notwendig:
Autoren:
IMTB Beschaffungsmanagement & Consulting GmbHOlaf Volz, GeschäftsführerSchumannstraße 14 b10117 [email protected]
IMTB Rechtsanwaltsgesellschaft für IT-, Kommunikations- und Vergaberecht mbH (IKV)Alexander Bock, GeschäftsführerGleimstraße 5010437 [email protected]
59
IMTB Rechtsanwaltsgesellschaft für IT-, Kommunikations- und Vergaberecht mbHGleimstraße 5010437 Berlin
E-Mail [email protected] www.imtb-ikv.de
Telefon +49 (0)30 486 259 95Telefax +49 (0)30 486 259 95
IMTB BMC GmbHSchumannstraße 14 b10117 Berlin E-Mail [email protected]
Internet www.imtb.de
Telefon +49 (0)30 440 483 24Telefax +49 (0)30 440 483 25
||||
Auslagerung von Daten und Cloud-Lösungen in Beschaffung und Vertrag- Hamburger Vergabetag 2015 -
Vielen Dank für Ihre Aufmerksamkeit und Mitwirkung