Gerüstet für die dsgvo - Die Open Telekom Cloud als deutsche Alternative zu US-Clouds
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Gerüstet für die dsgvo Die Open Telekom Cloud als deutsche Alternative zu US-Clouds
Agenda 01 Cloud als Fundament für die Digitalisierung 02 Vielfalt der Cloud-Lösungen – „One size fits all“ ist eine Illusion 03 Die europäische Datenschutz-Grundverordnung (EU-DSGVO) 04 Open Telekom Cloud als Lösung im Kontext der EU-DSGVO
Cloud als fundament für die diGitalisierunG
Notwendigkeit der
Privates Umfeld Geschäftliches Umfeld Herausforderungen
Digitalisierung
Bücher Durchgängig digitale Kollaborationswerkzeuge Statische/veraltete IT
Fotos Geschäftsprozesse Planungs- und Verfügbarkeit und
Kommunikation Skalierungspotenzial Steuerungssysteme Bereitstellungs-
Innovationsfähigkeit Robotersysteme geschwindigkeit von
Wettbewerbsdruck IT-Services
Gerüstet für die DSGVO 10.10.2017 3
Cloud als fundament für die diGitalisierunG
Skalierbarkeit und Verfügbarkeit Kostenvorteile Konnektivität
Möglichkeit mit IT-Anforderungen Flexible Preismodelle Ortsunabhängiger
zu wachsen CapEx OpEx Datenzugriff
Gesenktes Risiko bei Zentralisierte
experimentellen IT-Projekten Steuerungssysteme
Schnelle Reaktion auf Ressourcen-
anforderungen & Marktveränderungen
Gerüstet für die DSGVO 10.10.2017 4
Vielfalt der Cloud-lösunGen
„One size fits all“ ist eine illusion
Die eine Cloud als Problemlöser gibt es nicht
89% der Firmen Unterschiede zwischen den Cloud-Lösungen
Nutzen Bereits 11%
Schnittstellen-Support als Basis für
Multi-Cloud Automation
Geografische Verfügbarkeit 18%
Quelle: Forrester’s Global Business Technographics®
Infrastructure Survey, 2016
48%
Latenz
Ökosysteme der Cloud-Plattformen 11%
Preispunkte einzelner Services 12%
Gewährleistung von Datenschutz
Kunden entwickeln sich in Ein Anbieter Drei Anbieter Fünf oder
Richtung Multi-Cloud Zwei Anbieter Vier Anbieter
mehr Anbieter
Gerüstet für die DSGVO 10.10.2017 5
Datenschutz-Grundverordnung (DSGVO)
Wesentliche Ziele
Harmonisierung
Verordnung
Marktortprinzip
Effektivität
Accountability
Rechte der Betroffenen/Transparenz
Privacy Impact Assessment
Privacy by Design/by Default
Gerüstet für die DSGVO 10.10.2017 6
Datenschutz-Grundverordnung (DSGVO)
Anwendbarkeit
Die Verordnung ist in Gänze und direkt anwendbar.
Sie gilt für alle Verarbeitungen zum Anwendungszeitpunkt.
Entscheidungen von Kommission/Aufsichtsbehörden
bleiben bestehen, soweit sie nicht aufgehoben, geändert
oder ersetzt werden.
DSGVO hat immer Vorrang, soweit Regelungsbereich reicht.
Ausnahmen Öffnungsklauseln, insbesondere
Regelungen im Bereich der elektronischen Kommunikation
(TKG ,TMG).
inhaltliche Ausgestaltung des Beschäftigtendatenschutzes.
Gerüstet für die DSGVO 10.10.2017 7
Datenschutz-Grundverordnung (DSGVO)
Überblick der themen
Grundsätze Rechte des Datenschutz- Technische Aspekte/
der Datenverarbeitung Einzelnen folgenabschätzung Sicherheit
Gesetzliche Grundlagen Transparenz PSA Privacy by Design/
Weiterverarbeitung Auskunft by Default
Einwilligung Profiling Pseudonymisierung
(ePrivacy) Datenportabilität Sicherheit
Recht auf Löschung TOMs
Verantwortlicher und Internationaler Daten- Sanktionen – Öffnungsklauseln
Auftragsverarbeiter transfer (Beispiel) zwei Level (Beispiel)
Haftung Verbindliche interne 10 Mio./20 Mio. € bzw. Mitarbeiterdaten
Dokumentation Datenschutzvorschriften 2%/4% des weltweiten Gesundheitsdaten
Vertrag Zertifizierung jährlichen Umsatzes des Daten für Wissenschaft
Allg. neue Regelungen Unternehmens
Verfahrensverzeichnis
Gerüstet für die DSGVO 10.10.2017 8
Cloud Computing – Rechtliche Themen
Datenschutz IT-Sicherheit
Compliance Virtualisierung/ Vertragsrecht
Cloud Computing
Mitbestimmung Lizenzfragen
Gerüstet für die DSGVO 10.10.2017 9
Cloud Computing – Datenschutzaspekte
Aktuelle Trends in der IT Verantwortung für ordnungsgemäße
Datenverarbeitung
Rechtsgrundlage
Cloud
Computing Weisungen des Auftraggebers
Auftraggeber Auftragnehmer
Technische/organisatorische
Maßnahmen zum Datenschutz
Kontrolle des Auftraggebers
Auftragsverarbeitung
Transparenz- und Trennungsgebot
Gerüstet für die DSGVO 10.10.2017 10Cloud Computing – Datenschutzaspekte
Unsichere Drittstaaten
Wo (in welchem Land) werden
die Daten gespeichert?
Von wo aus (von welchem Land aus)
wird auf die Daten zugegriffen?
Nach DSGVO ist die Verarbeitung (Art. 4(2) DSGVO) Legitimation einer Verarbeitung von personenbezogenen Daten
personenbezogener Daten in Ländern untersagt, die in „Drittstaaten“
nicht über ein (der EU) vergleichbares Datenschutz-
Angemessenheitsbeschluss der Datentransfer mit USA ist über
niveau (Beschluss nach Art. 45(3) DSGVO) verfügen.
EU-Kommission (u. a. Schweiz, „Safe Harbor Principles“ nicht
Argentinien, Kanada, Israel) mehr möglich; sie wurde durch
Binding Coorporate Rules die Nachfolgeregelung „Privacy
Shield“ ersetzt
EU-Standardvertragsklauseln
Gerüstet für die DSGVO 10.10.2017 11Cloud Computing – Datenschutzaspekte
behördenzugriffe
Viele Verantwortliche haben Es gibt inzwischen sich Im Falle Microsoft hat ein Gericht Hier ist die Rechtsgrundlage
Angst, dass die NSA die Daten widersprechende Rechts- festgestellt, dass Microsoft „nur“ der Stored Communi-
abgreift bzw. sich zu diesen prechung in den USA, ob Daten, die in Irland gespeichert cations Act, der vor ordentlichen
Zugang verschafft. Zwar ein E-Mail-Anbieter den Inhalt sind, nicht herausgeben muss. Gerichten verhandelt wird.
widersprechen solche Eingriffe von E-Mails an Sicherheits- Bei Google, kam ein anderes
meist europäischen rechtlichen behörden aufgrund des Stored Gericht zu der gegenteiligen
Vorgaben, befinden sich Communications Act heraus- Auffassung und hat die
allerdings im Einklang mit der geben muss. Herausgabe angeordnet.
amerikanischen Rechtslage.
Gerüstet für die DSGVO 10.10.2017 12Treuhandmodell
Microsoft Cloud Germany
T-Systems agiert als sogenannter Daten- Bei technischen Problemen, die nicht Microsoft hat keinen dauerhaften Zugang
treuhänder. Als Datentreuhänder führt durch den Treuhänder selbst gelöst zu den Kundendaten und auch kein dauer-
T-Systems alle Operationen aus, die werden können, kann Microsoft – nur haftes Recht, Zugang zu den Kundendaten
Remote-Zugang zu den Kundendaten mit Erlaubnis des Datentreuhänders zu erteilen. Microsoft kann sich nicht
oder Zugang zu der Infrastruktur mit den T-Systems – für Wartungen oder zur eigenständig auf die Server aufschalten,
Kundendaten erfordern. Störungsbeseitigung auf die Kundendaten auf denen die Kundendaten lagern.
zugreifen. Der Zugang wird von T-Systems
lediglich für kurze Zeit gewährt, eng
überwacht und – sobald der Zugang nicht
mehr benötigt wird – wieder beendet.
Gerüstet für die DSGVO 10.10.2017 13Cloud Computing – Datenschutzaspekte
Paradigmenwechsel
Klassische Auftragsverarbeitung Auftragsverarbeitung in der Cloud
Welcher Anbieter erfüllt meine individuellen Welches Angebot kommt meinen Anforderungen
Anforderungen am besten? am nächsten?
Individuell gestaltete Lösung Allgemein gestaltete Lösung
Erfüllung sämtlicher Anforderungen Erfüllung bestimmter Anforderungen
Individuelle Kontrollrechte Kontrollrechte als Ausnahme
Umfangreiche Nachweise, vertraglich vereinbart Nachweise in Form von Zertifikaten
Einfluss auf Verarbeitungsstandorte Kein bzw. geringer Einfluss auf Verarbeitungsstandorte
Sicherheit vs. Anforderungen Funktion vs. Anforderungen
Gerüstet für die DSGVO 10.10.2017 14Open Telekom Cloud
Features
Enterprise Agreements Financial Dashboard
FWaaS Security RDS CCE Workspace Distributed Big Data Market-
Services Cache place
PaaS SaaS
KMS
Cloud Eye Price Tag Mgmt. Cloud MaaS SMN DMS HEAT/
EVS Encrypt. Online Service Trace Res.
Management Display Template
OBS Encrypt.
ECS DeH AS IMS Bare Object Elastic Volume
Metal Storage Volume Backup
Compute Storage Service Service Service
IAM
Elastic Virtual Private Cloud Unified Load Domain Name Direct
Anti-DDoS IP Balancer Service Connect
Network
ECS = Elastic Cloud Server, DeH = Dedicated Host, AS= Auto Scaling, IMS = Image Mgmt System
KMS = Key Mgmt System, MaaS = Migration aaS, SMN = SimpleMessage Notification, DMS = Distributed Message Service
Gerüstet für die DSGVO 10.10.2017 15Open Telekom Cloud
Flavors
Comp I Comp II Gen Purpose Mem Opt
VCPU RAM/GB
1 1 2 4 8
2 2 4 8 16
4 4 8 16 32
8 8 16 32 64
16 16 32 64 128
32 32 64 128 —
Gerüstet für die DSGVO 10.10.2017 16Open Telekom Cloud
Flavors
High Disk Large
GPU Workspace
Performance intensive Memory
VCPU RAM/GB + additional resources
2 4, 8, 16 4
4 8, 16, 32 8 + vGPU 8 (+1 vGPU) 32 + 5,4 TB 128
6 16
16 + vGPU
8 16, 32, 64 16 + vGPU 64 + 10,8 TB 128/256
64 + GPU (pass through)
12 128, 256 256
16 32, 64, 128 128 + 21,6 TB 470
18 445
32 64, 128, 256 940
36 256 + 43,2 TB 890
Gerüstet für die DSGVO 10.10.2017 17Open Telekom Cloud
Benefits
Datenschutz laut
Markt und Kunden-
Sicher deutschem Recht
erwartungen Für Enterprise-Bedürfnisse
im Wandel Schneller Zugang
Einfach Support/Starthilfe
Einfach zu nutzen
Beste Preise
Nachfrage nach Günstig CapEx/OpEx-Umwandlung
dynamischer IT steigt. für IT-Infrastrukturen
Public IaaS als Antwort! OpenStack-API
(Computing, Storage,
Netzwerk, Management)
Offen Kein Vendor Lock-in
Einfach integrierbar
Gerüstet für die DSGVO 10.10.2017 18Open Telekom Cloud
Preismodelle
Open Telekom Cloud Open Telekom Cloud
Open Elastic Reserved
Sie zahlen nur für Ressourcen, die Sie nutzen Reservierte Instanzen für ausgewählte Konfigurationen
Abrechnung nach Stundentarifen Vertragsdauer 12, 24 oder 36 Monate
(akkumuliert über einen Monat) Monatliche Zahlung/Upfront
Dynamische Kosten Discounts
für hohe it-flexibilität für lanGfristiGen einsatz
Gerüstet für die DSGVO 10.10.2017 19Open telekom cloud im Kontext der eu-Dsgvo
Magdeburg Biere Management erfolgt ausschließlich
durch Deutsche Telekom bzw.
T-Systems
Zertifizierungen
ISO 27001 – Information Security
Hochsicherheitsstandort Hochsicherheitsstandort ISO 27017/18 – Sicherheit &
Gesamtfläche 40.000 m² Gesamtfläche 36.000 m² Datenschutz in der Cloud
ca. 6.000 m² reine IT-Fläche ca. 9.000 m² reine IT Fläche TÜV Trusted Cloud Service
Nahezu baugleich zu Biere Data Center 2020 mit modernster, CSA STAR level 2
Primäres Mainframe-RZ – geschütztes umweltfreundlicher Technologie TCDP 1.0
Areal mit entsprechenden Sicherheits- BSI C5 – Testat
einrichtungen
Gerüstet für die DSGVO 10.10.2017 20Gerüstet für die DSGVO 10.10.2017 21
Gerüstet für die DSGVO 10.10.2017 22
Aktuelle Situation EU Standard ContrActual clauses
Max Schrems vs. Facebook
Gerichtsentscheidung vom 03.10.2017
Standard Contractual Clauses müssen durch den
In simple terms, US law requires
Europäischen Gerichtshof überprüft werden.
Facebook to help the NSA with
Voraussichtliche Dauer: Eineinhalb Jahre.
mass surveillance and EU law
prohibits just that. As Facebook
Die Datenverarbeitung in den USA insbesondere is subject to both jurisdictions,
die – nach europäischem Verständnis – zu weit they got themselves in a legal
gehende und z. T. undifferenzierte und massen- dilemma that they cannot
hafte Überwachung könnten nach Auffassung possibly solve in the long run.
des Gerichts Grundrechte europäischer Bürger
verletzen. MAX SCHREMS
Foto: extrajournal.net
Gerüstet für die DSGVO 10.10.2017 23Grundbedingung
frÜhzeitige Beteiligung
Create
plan
bUILD
run
Time
Gerüstet für die DSGVO 10.10.2017 24Deutsche Telekom
Most trusted internet and mobile brand*
47 %
50
45
40
35
28% 27%
30 25% 24% 24% 22% 21%
25 20%
20 18% 18%
15 11%
7%
10
5
0
*Source: Institut für Demoskopie Allensbach, Allensbach Study 2016 – Question: Which company do you consider trustworthy when it comes to handling personal data? 2014 2016 2015 2016 DT
Gerüstet für die DSGVO 10.10.2017 25Vielen dank für ihre Aufmerksamkeit
links zu weiterführenden informationen
Privacy & Security Assessment (PSA), incl Link zum Download der Securityanforderungen:
https://www.telekom.com/de/verantwortung/datenschutz-und-datensicherheit/sicherheit/sicherheit/privacy-and-security-
assessment-verfahren-342724
Binding Interpretations zur Umsetzung der DSGVO:
https://www.telekom.com/de/verantwortung/datenschutz-und-datensicherheit/archiv-datenschutznews/news/eu-
datenschutz-einheitlich-interpretiert-481772
Binding Corporate Rules Privacy
https://www.telekom.com/resource/blob/308848/a5b240da398da5160daf834bd2f12268/dl-141021-bcrp-data.pdf
Cloud Portal der Deutschen Telekom
https://www.cloud.telekom.de/
Gerüstet für die DSGVO 10.10.2017 27Sie können auch lesen
