© copyright 2010 ecsec gmbh, all rights reserved. © 2013 skidentity-team identitätsmanagement im...

© Copyright 2010 ecsec GmbH, All Rights Reserved.© 2013 SkIDentity-Team

Identitätsmanagement im Cloud Computing aus rechtlicher

Perspektive

Stephan Sädtler (Universität Passau)

© 2013 SkIDentity-Team

Übersicht

I. Einleitung: Datenschutz und Datensicherheit im Cloud Computing

II. Bedeutung des IDM im Cloud Computing

III. Datenschutzrechtlicher Umgang mit Identitätsdaten

IV. Einsatz elektronischer Ausweise als technisch-organisatorische Maßnahme – Projekt SkIDentity

V. Rechtliche Herausforderungen und Chancen

VI. Fazit


Aussgangssituation

Zahllose Geschäftsmodelle

In allen Lebens- und Geschäftsbereichen • Unternehmen • Verbraucher • Verwaltung

Datenmasse / Datenvielfalt

Vorteile: Verfügbarkeit, Kosten

Nachteil: Kontrollverlust, Datenschutzrecht, etc.


Datenschutz und Datensicherheit im CC

Datenschutzrecht• Schutz personenbezogener Daten• Erhebliche Probleme im Bereich des CC

- Räumlicher Anwendungsbereich, Verbotsprinzip- Übertragung, ADV (§ 3 VIII 3 i.V.m. § 11 BDSG)- Drittstaatenverkehr- Technisch-organisatorische Maßnahmen (§ 9 BDSG) - Sektorspezifische Besonderheiten

Datensicherheit• Schutzgegenstand• § 2 II BSIG• Schnittstelle im Datenschutzrecht: § 9 BDSG und Anlage • Für sonstige Daten?


Übersicht






VI. Fazit


Bedeutung des IDM im CC

Technische Schutzpflichten für personenbezogenen Daten • § 9 BDSG + Anlage• Insbes. Zugangs-, Zugriffs- und Weitergabekontrolle

Schutzpflicht für Daten ohne Personenbezug? • Z.B. Betriebs- und Geschäftsgeheimnisse • Vertragliche Vereinbarungen • Sonstige

Beweisrecht

Einheitliche Empfehlungen des BSI: (siehe nächste Folie)

© 2013 SkIDentity-Team >>

7


Übersicht




IV. Einsatz von elektronischer Ausweise als technisch-organisatorische Maßnahme – Forschungsprojekt „SkIDentity“


VI. Fazit


Datenschutzrechtlicher Umgang Identitätsdaten

Grundsätzlich entsprechend Cloud-Inhalten • Räumlicher Anwendungsbereich, Verbotsprinzip• Übermittlung, ADV § 3 VIII 3 i.V.m. § 11 BDSG• Übermittlung in unsichere Drittstaaten• Technisch-organisatorische Maßnahmen § 9 BDSG • Sektorspezifische Besonderheiten• …

Besonderes Gefährdungspotential

Unterschiedliche Behandlung?


Übersicht






VI. Fazit


Doppelrelevanz des § 9 BDSG

Schutz der Cloud Inhaltsdaten durch• Sichere Authentisierung• IDM • Rechtemanagement

Schutz der Identitätsdaten selbst durch• Sichere Infrastruktur

- nPA- Gesundheitskarte- Sonstige


SkIDentity – Referenzarchitektur

>>

12


eID-Funktion nPA

Personalausweis-behörde

Ausweisinhaber Diensteanbieter

Hersteller (z.Z. Bundesdruckerei)

Vergabestelle für Berechtigungs-zertifikate (ggf.:

Sperrlistenbetreiber)

Datenschutz-aufsichtsbehörde

1. Antrag

2. Produktions-prozess

3. Ausgabe / Erklärung über Nutzung

4. Antrag

5. Prüfung,Vergabe, Übermittlung Sperrliste

6. Datenübermittlung:Zweipersonenverhältnis!

Ggf. Verlangen von Rücknahme / Widerruf

Sperrung

Veranlassung

Beschwerde


SkIDentity – Service Provider

>>

14

SP

Client

IdP

eID-Broker


Probleme des 2-Personen-Verhältnisses

Jeder Diensteanbieter (= jeder Cloud-Provider, jede Behörde, ggf. jedes Fachverfahren!) benötigt ein eigenes Berechtigungszertifikat, § 21 PAuswG

Antragsverfahren und Betrieb des eID-Servers als Kostentreiber• Für KMUs als Cloud Provider• Für kleine Kommunen / Behörden

Aber gerade Chancen für diese:• Kostenvorteile durch nutzungsbezogene Abrechnung• Ggf. sogar erstmalige Chance, bestimmte Dienstleistungen

anzubieten, die sonst zu hohe Grundkosten hätten

>>

15

Quelle: Hornung


Übersicht




IV. Einsatz von elektronischer Ausweise als technisch-organisatorische Maßnahme – Projekt SkIDentity


VI. Fazit


Personalausweisrecht

§ 21 II 1 Nr. 2 PAuswG: „geschäftsmäßige Übermittlung der Daten“ rechtswidrig

§ 29 I Nr. 1 PAuswV: kein Zertifikat, wenn „der Zweck der Datenerhebung ausschließlich in der Auslesung oder Bereitstellung personenbezogener Daten aus dem Personalausweis für den Ausweisinhaber oder Dritte besteht“!

>>

17

-----------------------------------------


Europarechtliche Hürden?

Verordnungsentwurf der Kommission: eIAS-V-E• Akzeptanzpflicht „notifizierter“ eID-Systeme anderer MS (Art. 5) • Staatliche eIDs• Keine Notifzierung von Systemen die „bestimmte technische

Vorgaben“ machen bzw. kostenpflichtig sind (Art. 6 I d) • Haftung für „eindeutige Zuordnung der

Personenidentifizierungsdaten“ und „Authentifizierungsmöglichkeit“ (Art. 6 I e)

Auswirkungen: • nPA • Gesundheitskarte, § 291a SGB V • Sonstige, z.B. § 6 DeMailG


Lösungsansätze

Allgemeines Datenschutzrecht• Föderiertes IDM • Pseudonymisierung und Anonymisierung

Personalausweisrecht• Gewährleistung der selbstbestimmten Verfügung des

Ausweisinhabers

eIAS-V-E• Einheitliche Schnittstelle• Ohne Nachteile eines zentralen „Gateways“ (STORK)


Übersicht






VI. Fazit


Fazit

Ungelöste Probleme des Datenschutzrechts im CC

Abhilfe zumindest im Bereich des IDM?

Einsatz elektronischer Ausweise und föderiertes IDM?• Technisch vorteilhaft• Rechtlich: Chance und Risiko

Weitere Herausforderungen

Stets Verfolgung eines interdisziplinäreren Ansatzes zur rechtskonformen Technikgestaltung

© 2013 SkIDentity-Team >>

22

© Copyright 2010 ecsec GmbH, All Rights Reserved.

Titelmasterformat durch Klicken bearbeiten

Formatvorlage des Untertitelmasters durch Klicken bearbeiten


Herzlichen Dank für Ihre Aufmerksamkeit!

Kontakt:

c/o Universiät Passau

Innstr. 3994032 PassauTelefon +49 851 509 2384

[email protected]

RA Stephan SädtlerWiss. MA

© copyright 2010 ecsec gmbh, all rights reserved. © 2013 skidentity-team identitätsmanagement im...

Documents