© copyright 2010 ecsec gmbh, all rights reserved. © 2013 skidentity-team identitätsmanagement im...
TRANSCRIPT
© Copyright 2010 ecsec GmbH, All Rights Reserved.© 2013 SkIDentity-Team
Identitätsmanagement im Cloud Computing aus rechtlicher
Perspektive
Stephan Sädtler (Universität Passau)
© 2013 SkIDentity-Team
Übersicht
I. Einleitung: Datenschutz und Datensicherheit im Cloud Computing
II. Bedeutung des IDM im Cloud Computing
III. Datenschutzrechtlicher Umgang mit Identitätsdaten
IV. Einsatz elektronischer Ausweise als technisch-organisatorische Maßnahme – Projekt SkIDentity
V. Rechtliche Herausforderungen und Chancen
VI. Fazit
© 2013 SkIDentity-Team
Aussgangssituation
Zahllose Geschäftsmodelle
In allen Lebens- und Geschäftsbereichen • Unternehmen • Verbraucher • Verwaltung
Datenmasse / Datenvielfalt
Vorteile: Verfügbarkeit, Kosten
Nachteil: Kontrollverlust, Datenschutzrecht, etc.
© 2013 SkIDentity-Team
Datenschutz und Datensicherheit im CC
Datenschutzrecht• Schutz personenbezogener Daten• Erhebliche Probleme im Bereich des CC
- Räumlicher Anwendungsbereich, Verbotsprinzip- Übertragung, ADV (§ 3 VIII 3 i.V.m. § 11 BDSG)- Drittstaatenverkehr- Technisch-organisatorische Maßnahmen (§ 9 BDSG) - Sektorspezifische Besonderheiten
Datensicherheit• Schutzgegenstand• § 2 II BSIG• Schnittstelle im Datenschutzrecht: § 9 BDSG und Anlage • Für sonstige Daten?
© 2013 SkIDentity-Team
Übersicht
I. Einleitung: Datenschutz und Datensicherheit im Cloud Computing
II. Bedeutung des IDM im Cloud Computing
III. Datenschutzrechtlicher Umgang mit Identitätsdaten
IV. Einsatz elektronischer Ausweise als technisch-organisatorische Maßnahme – Projekt SkIDentity
V. Rechtliche Herausforderungen und Chancen
VI. Fazit
© 2013 SkIDentity-Team
Bedeutung des IDM im CC
Technische Schutzpflichten für personenbezogenen Daten • § 9 BDSG + Anlage• Insbes. Zugangs-, Zugriffs- und Weitergabekontrolle
Schutzpflicht für Daten ohne Personenbezug? • Z.B. Betriebs- und Geschäftsgeheimnisse • Vertragliche Vereinbarungen • Sonstige
Beweisrecht
Einheitliche Empfehlungen des BSI: (siehe nächste Folie)
© 2013 SkIDentity-Team >>
7
© 2013 SkIDentity-Team
Übersicht
I. Einleitung: Datenschutz und Datensicherheit im Cloud Computing
II. Bedeutung des IDM im Cloud Computing
III. Datenschutzrechtlicher Umgang mit Identitätsdaten
IV. Einsatz von elektronischer Ausweise als technisch-organisatorische Maßnahme – Forschungsprojekt „SkIDentity“
V. Rechtliche Herausforderungen und Chancen
VI. Fazit
© 2013 SkIDentity-Team
Datenschutzrechtlicher Umgang Identitätsdaten
Grundsätzlich entsprechend Cloud-Inhalten • Räumlicher Anwendungsbereich, Verbotsprinzip• Übermittlung, ADV § 3 VIII 3 i.V.m. § 11 BDSG• Übermittlung in unsichere Drittstaaten• Technisch-organisatorische Maßnahmen § 9 BDSG • Sektorspezifische Besonderheiten• …
Besonderes Gefährdungspotential
Unterschiedliche Behandlung?
© 2013 SkIDentity-Team
Übersicht
I. Einleitung: Datenschutz und Datensicherheit im Cloud Computing
II. Bedeutung des IDM im Cloud Computing
III. Datenschutzrechtlicher Umgang mit Identitätsdaten
IV. Einsatz elektronischer Ausweise als technisch-organisatorische Maßnahme – Projekt SkIDentity
V. Rechtliche Herausforderungen und Chancen
VI. Fazit
© 2013 SkIDentity-Team
Doppelrelevanz des § 9 BDSG
Schutz der Cloud Inhaltsdaten durch• Sichere Authentisierung• IDM • Rechtemanagement
Schutz der Identitätsdaten selbst durch• Sichere Infrastruktur
- nPA- Gesundheitskarte- Sonstige
© 2013 SkIDentity-Team
SkIDentity – Referenzarchitektur
>>
12
© 2013 SkIDentity-Team
eID-Funktion nPA
Personalausweis-behörde
Ausweisinhaber Diensteanbieter
Hersteller (z.Z. Bundesdruckerei)
Vergabestelle für Berechtigungs-zertifikate (ggf.:
Sperrlistenbetreiber)
Datenschutz-aufsichtsbehörde
1. Antrag
2. Produktions-prozess
3. Ausgabe / Erklärung über Nutzung
4. Antrag
5. Prüfung,Vergabe, Übermittlung Sperrliste
6. Datenübermittlung:Zweipersonenverhältnis!
Ggf. Verlangen von Rücknahme / Widerruf
Sperrung
Veranlassung
Beschwerde
© 2013 SkIDentity-Team
SkIDentity – Service Provider
>>
14
SP
Client
IdP
eID-Broker
© 2013 SkIDentity-Team
Probleme des 2-Personen-Verhältnisses
Jeder Diensteanbieter (= jeder Cloud-Provider, jede Behörde, ggf. jedes Fachverfahren!) benötigt ein eigenes Berechtigungszertifikat, § 21 PAuswG
Antragsverfahren und Betrieb des eID-Servers als Kostentreiber• Für KMUs als Cloud Provider• Für kleine Kommunen / Behörden
Aber gerade Chancen für diese:• Kostenvorteile durch nutzungsbezogene Abrechnung• Ggf. sogar erstmalige Chance, bestimmte Dienstleistungen
anzubieten, die sonst zu hohe Grundkosten hätten
>>
15
Quelle: Hornung
© 2013 SkIDentity-Team
Übersicht
I. Einleitung: Datenschutz und Datensicherheit im Cloud Computing
II. Bedeutung des IDM im Cloud Computing
III. Datenschutzrechtlicher Umgang mit Identitätsdaten
IV. Einsatz von elektronischer Ausweise als technisch-organisatorische Maßnahme – Projekt SkIDentity
V. Rechtliche Herausforderungen und Chancen
VI. Fazit
© 2013 SkIDentity-Team
Personalausweisrecht
§ 21 II 1 Nr. 2 PAuswG: „geschäftsmäßige Übermittlung der Daten“ rechtswidrig
§ 29 I Nr. 1 PAuswV: kein Zertifikat, wenn „der Zweck der Datenerhebung ausschließlich in der Auslesung oder Bereitstellung personenbezogener Daten aus dem Personalausweis für den Ausweisinhaber oder Dritte besteht“!
>>
17
-----------------------------------------
© 2013 SkIDentity-Team
Europarechtliche Hürden?
Verordnungsentwurf der Kommission: eIAS-V-E• Akzeptanzpflicht „notifizierter“ eID-Systeme anderer MS (Art. 5) • Staatliche eIDs• Keine Notifzierung von Systemen die „bestimmte technische
Vorgaben“ machen bzw. kostenpflichtig sind (Art. 6 I d) • Haftung für „eindeutige Zuordnung der
Personenidentifizierungsdaten“ und „Authentifizierungsmöglichkeit“ (Art. 6 I e)
Auswirkungen: • nPA • Gesundheitskarte, § 291a SGB V • Sonstige, z.B. § 6 DeMailG
© 2013 SkIDentity-Team
Lösungsansätze
Allgemeines Datenschutzrecht• Föderiertes IDM • Pseudonymisierung und Anonymisierung
Personalausweisrecht• Gewährleistung der selbstbestimmten Verfügung des
Ausweisinhabers
eIAS-V-E• Einheitliche Schnittstelle• Ohne Nachteile eines zentralen „Gateways“ (STORK)
© 2013 SkIDentity-Team
Übersicht
I. Einleitung: Datenschutz und Datensicherheit im Cloud Computing
II. Bedeutung des IDM im Cloud Computing
III. Datenschutzrechtlicher Umgang mit Identitätsdaten
IV. Einsatz elektronischer Ausweise als technisch-organisatorische Maßnahme – Projekt SkIDentity
V. Rechtliche Herausforderungen und Chancen
VI. Fazit
© 2013 SkIDentity-Team
Fazit
Ungelöste Probleme des Datenschutzrechts im CC
Abhilfe zumindest im Bereich des IDM?
Einsatz elektronischer Ausweise und föderiertes IDM?• Technisch vorteilhaft• Rechtlich: Chance und Risiko
Weitere Herausforderungen
Stets Verfolgung eines interdisziplinäreren Ansatzes zur rechtskonformen Technikgestaltung
© 2013 SkIDentity-Team >>
22
© Copyright 2010 ecsec GmbH, All Rights Reserved.
Titelmasterformat durch Klicken bearbeiten
Formatvorlage des Untertitelmasters durch Klicken bearbeiten
© 2012 SkIDentity-Team
Herzlichen Dank für Ihre Aufmerksamkeit!
Kontakt:
c/o Universiät Passau
Innstr. 3994032 PassauTelefon +49 851 509 2384
RA Stephan SädtlerWiss. MA