© Hans G. Zeger 2012 e-commerce monitoring gmbh Kann Cloud Computing funktionieren? Folgt dem virtuellen Höhenflug der (reale) Absturz? Hans G. Zeger, e-commerce monitoring GmbH
Apr 05, 2015
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Kann Cloud Computing funktionieren?Folgt dem virtuellen Höhenflug der (reale)
Absturz? Hans G. Zeger, e-commerce monitoring GmbH
© Hans G. Zeger 2012
e-commerce monitoring gmbh
SaaS
BPaaS
PaaSIaaS
Die Cloud-Diskussion
Zwischen Euphorie und Verunsicherung
Do more with less
KostenersparnisVendor Managed
IaaS
BP
aaS
Polic
y
supply competition
Geo-redundante Datenhaltung
SaaS
Policy
IaaS supply competition
Geo-redundante Datenhaltung
Policy
IaaS
SaaS
BPaaS Framework
IaaS PaaS
IaaS
PaaSPaaS S
aaS
PaaSBPaaS
PaaS
SaaS
Hybrid CloudPrivate Cloud
ComplianceTrust
Policy
SaaSFrameworkBPaaS
Hybrid CloudPrivate CloudCompliance
Trust
Polic
ySaaSFrameworkBPaaS
SaaS
BPaaS PaaS
Aus einer Cloud-Veranstaltung I
Aus einer Cloud-Veranstaltung II"Stellen Sie sich vor, ein Hacker in Indien verschafft sich Zugriff auf die Daten Ihres österreichischen Unternehmens, die ein deutscher Cloud Provider auf einem philippinischen Server lagert - wer haftet dann für den Schaden?"
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
simple technische und rechtliche Fragen I- verantwortlich für den Einsatz von Daten ist der Auftraggeber (z.B. § 4 Z 4 DSG 2000)
- den Auftraggeber trifft die Verpflichtung geeignete Dienstleister auszuwählen (z.B. § 10 Abs. 1 DSG 2000)
- der Auftraggeber hat schriftlich geeignete Vereinbarungen abzuschließen (z.B. § 11 Abs. 2 DSG 2000)
- der Auftraggeber hat die Tätigkeit der Dienstleister zu überwachen (z.B. § 11 Abs. 1 Z 6 DSG 2000)
- der Auftraggeber kann die Beiziehung von Sub-Dienstleistern verbieten (z.B. § 11 Abs. 1 Z 3 DSG 2000)
- den Auftraggeber treffen alle formalen Melde- und Registrierungspflichten (z.B. § 10 Abs. 2, §§ 17-19 DSG 2000)
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
simple technische und rechtliche Fragen II
- der Auftaggeber hat für die Umsetzung der richtigen sicherheitstechnischen Maßnahmen zu sorgen(z.B. § 14 DSG 2000)
Die Cloudfragen sind gelöst!Realität oder Fiktion?
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Man sollte die Annahmen kennen!- Bestimmungen gehen davon aus, dass der Auftraggeber Herr des gesamten IT-Prozesses ist
- Bestimmungen gehen davon aus, dass der Auftraggeber alle Dienstleisterverträge vorgeben kann und die gesamte Supply-Chain unter Kontrolle hat
- Bestimmungen gehen davon aus, dass der Auftraggeber ausreichendes technisches KnowHow zur Überwachung der IT-Prozesse hat und geeignete Sicherheitsvorgaben machen kann
- Bestimmungen gehen davon aus, dass ausreichende rechtliche und technische Kapazitäten bestehen, um einen Haftungsfall korrekt zuzuordnen
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Was ist die Cloud-Realität?
"Stellen Sie sich vor, Sie kommen um 9 Uhr gut erholt in das Büro und ihre Mitarbeiter teilen Ihnen mit, dass sie keinen Brief mehr schreiben können, keine Kundendaten abrufen können, keine Buchungen vornehmen können. Leider konnte man Sie nicht anrufen, da die SaaS-Telefonanlage auch nicht funktioniert. Lieferanten konnte man auch keine kontaktieren, da Kontakt- und Vertragsdaten im nicht mehr zugänglichen Online-Archiv liegen."
Was tun Sie als nächstes?
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Kann Cloud-Computing funktionieren?
Ja, aber .....- Kennen Sie alle expliziten und impliziten (informellen) Geschäftsprozesse im Unternehmen? Sind sie vollständig dokumentiert?
- Welche Bedeutung hat implizites Wissen im Unternehmen?
- Wie haben Sie Authentifizierung in Ihrem IT-System gelöst?
- Wie gut wissen Sie über Ihre Schatten-IT bescheid?
- Kennen Sie alle Backup- und Continuity Management – Prozesse im Unternehmen?
- Welche formellen und informellen Kontrollmechanismen bestehen zur Sicherung der Datenqualität?
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Kann Cloud-Computing funktionieren? II
Ja, aber .....- Welche Bedeutung hat das disziplinär gestützte Weisungsrecht der Vorgesetzten gegenüber den Mitarbeitern? Durch welche Vertragskonstruktionen werden Sie es gegenüber dem Cloud-Anbieter ersetzen?
- Welche Bedeutung hat soziale Kontrolle für die Abwicklung Ihrer Geschäftsprozesse?
- Welche Bedeutung haben adhoc-Anpassungen bei Ihren Geschäftsprozessen?
- Können Sie jeden Geschäftsprozess lückenlos dokumentieren und die Verantwortung zuweisen?
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Kann Cloud-Computing funktionieren? III
Ja, aber .....- Welche Bedeutung spielt die informelle Auftragserteilung in Ihrem Unternehmen?
- Benötigen Sie tatsächlich immer die letzte Softwareversion eines Produkts?
- Welche Strategien/Zeitpläne haben Sie für IT-Wartungsfenster (Updates, Neuinstallationen, ...)? Können Sie diese Strategien auch beim Cloud-Anbieter durchsetzen?
- Welche Continuity - Alternativen haben Sie bei kurzfristigem / dauerhaftem Ausfall des Cloud-Anbieters?
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Kann Cloud-Computing funktionieren? IV
Ja, aber .....- Haben Sie einen Überblick über die Geschäftstätigkeit des Cloud-Anbieters?
- Können Sie sicher sein, dass alle seine Aktivitäten legal sind und nicht auf ihre Dienste Auswirkungen haben? (Beispiel: Online-Archive)
- Kann Ihr Cloud-Anbieter wegen anderer Kunden ins Visier von Sicherheitsbehörden, Hackern, Mitbewerbern, ... gelangen?
- Wissen Sie auch nach drei Jahren noch, wer Ihr Vertragspartner ist?
- Nach welchem Recht werden Haftungsfragen abgehandelt?
- Sind Sie überhaupt in der Position Cloud-Anbietern Geschäftsbedingungen vorzuschlagen?
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Kann Cloud-Computing funktionieren? V
Wer das Gefühl hat, ...- all die aufgeworfenen Fragen schon längst gelöst zu haben,
- sein Geschäft formal völlig zu verstehen,- seine erforderliche IT-Infrastruktur vollständig definieren zu können,
- seine Lieferanten, Mitarbeiter und Gehilfen jederzeit ausreichend motivieren, kontrollieren und/oder disziplinieren zu können, ...
... der ist Cloud-Ready! Wen ich noch auf den einen oder anderen offenen Punkt hinweisen konnte, der sollte von Cloud-Computing die Finger lassen, er hat schon jetzt genug Probleme.
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Dr. Hans G. Zegere-commerce monitoring gmbhA-1010 Wien, Vorlaufstraße 5/6
Tel.: +43 1 53 20 944Fax.: +43 1 53 20 974Mail persönlich: [email protected]
Zertifizierung: http://www.a-cert.ate-commerce: http://www.e-rating.at
Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at
Kontakt
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Ich danke für Ihre Aufmerksamkeit
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Zuletzt:Man sollte auf Erfahrungen aus anderen IT-Epochen/Modeströmungen nicht vergessen:
- Workstation/Mainframe-Diskussion- Client-Server- Outsourcing- Online-Shops
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Die Cloud-Diskussion
Zwischen Hoffen und Bangen
Do more with less
KostenersparnisVendor Managed
IaaS
BP
aaS
Polic
y
supply competition
Geo-redundante Datenhaltung
SaaS
Policy
IaaS supply competition
Geo-redundante Datenhaltung
Policy
IaaS
SaaS
BPaaS Framework
IaaS PaaS
IaaS
PaaSPaaS S
aaS
PaaSBPaaS
PaaS
SaaS
Hybrid CloudPrivate Cloud
ComplianceTrust
Policy
SaaSFrameworkBPaaS
Hybrid CloudPrivate CloudCompliance
Trust
Polic
ySaaSFrameworkBPaaS
SaaS
BPaaS PaaSSaaS
BPaaS
PaaSIaaS
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Dr. Hans G. ZegerARGE DATENA-1160 Wien, Redtenbachergasse 20
Tel.: +43 676 / 9107032Fax.: +43 1 / 53 20 974Mail persönlich: [email protected]
Verein: http://www.argedaten.at
Web2.0: http://web2.0.freenet.atPersonal Page:http://www.zeger.at
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Mehr zu unserer "Lust an totaler Kontrolle"
WIR WOLLEN SICHERHEIT, Überraschungen sind Bedrohungen. Aus dem Bedürfnis, alles planen zu können, erwächst die Notwendigkeit totaler Kontrolle: Wir werden identifizierbar, berechenbar, steuerbar; wir werden zu Objekten in totalen Institutionen.
364 Seiten, Format 125x205, Hardcover, EUR 22,-, ISBN: 9-783701-731022Residenz Verlag 2008
© Hans G. Zeger 2012
e-commerce monitoring gmbh
DSG 2000 - Grundrecht
Einschränkungen des Verbots möglich aufgrund:- der Zustimmung des Betroffenen- von Gesetzen (Behörden)- Wahrung überwiegender Interessen Dritter/Auftraggeber- lebenswichtiger Interessen des Betroffenen- "allgemeiner" Verfügbarkeit von Daten
DSG2000 §1 (Verfassungsbestimmung):
"alles ist verboten"
umfassender Geheimhaltungsanspruch
Grundlage ist Art. 8 EMRK ("Achtung des Privatlebens")
Subjektive Rechte der Betroffenen
Rechtsdurchsetzung
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Grundlagen DSG 2000 / Privatsphäre
Ausblick DSG Novelle
Besondere Bestimmungen
Genehmigung / Registrierung
Betroffenenrechte
Geplanter Seminarablauf
Sicherheit / Strafbestimmungen
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Grundlagen des DSG 2000
Die wichtigsten Begriffe
Zustimmung
Zulässigkeit der Datenverwendung
Rechtmäßige Datenanwendung
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Ziele neuer Datenschutzregelungen:
Datenverarbeitungen sind allgegenwärtig
Datenverarbeitungen haben für die Betroffenen transparent zu sein
Sowohl öffentlich-rechtliche, als auch privat-rechtliche Datenverarbeitungen können in Grundrechte eingreifen
Wesentlich ist der Schutz der Privatsphäre, nicht die Regulierung der Verarbeitungsform
Ziel ist die Schaffung "fairer" Vereinbarungen mit Betroffenen
DSG 2000 - Grundlagen
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Verwenden von Daten
Z8
Übermitteln Verarbeiten
Z9
Z12
Daten-anwendung
Z7
Auftraggeber
Z4
ÜberlassenErmitteln
Z10 Z11
Dienstleister
Z5
AuftragAuswerten,Sortieren,Speichern,Analsysieren,Korrigieren,Ausdrucken,Anzeigen, ...
DSG 2000 - Grundlagen
Die wichtigsten Begriffe (§4 DSG Z ...)
© Hans G. Zeger 2012
e-commerce monitoring gmbh
http://www.argedaten.at/
http://www.dsk.gv.at/
http://ec.europa.eu/justice_home/fsj/privacy/index_de.htm
http://www.datenschutzzentrum.de/
http://www.gdd.de/
Onlineinformation
http://www.datenschutzverein.de/
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Anhang
Verschwiegenheitspflichten
Cybercrime
Standard- und Musteranwendungen
DVR-Meldung
© Hans G. Zeger 2012
e-commerce monitoring gmbhDr. Hans G. Zeger © Hans G. Zeger 2009
"Videoüberwachung war ein Fiasko" Mike Neville, Chef der CCTV-Einheit bei Scotland Yard,
2008
Trotzdem:
"Wir brauchen mehr Kameras, mehr Personal, bessere
Software, ..."derselbe, 2008
"Wir können beliebig viele Postkutschen aneinander reihen, niemals wird daraus eine
Eisenbahn"Joseph Schumpeter, Nationalökonom, 1911
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Missbrauchsopferdatenbank
Melderegister
Kondomregister
KFZ-ZulassungsregisterInsolvenzregister
InfektionsregisterIdentitätsregister
Identitätsdokumentenregister"Hooligan"register
Herzschrittmacher-Register
Grundbuch
Giftbezugsbewilligungsregister
Gewerberegister
Gebäuderegister Führerscheinregister
Fremdenregister
Familienbeihilfenregister
Ergänzungsregister Epidemieregister
DopingregisterBildungsstandsregister
Bevölkerungsregister
SAAS
SAAS
Adressregister
Abgabenverwaltungsregister
Staatsbürgerschaftsregister
Sicherheitsmonitor
Sozialversicherungs-Datenbank
Schweinedatenbank
Schülerregister
Rinderdatenbank
Register für Prostituierte
Personenstandregister
Personeninformationsregister
Patientenverfügungsregister
Patientenregister
PassregisterOrganisationsregister
Testamentsregister
Suchtmittelregister
SubstitutionsregisterStudienbeitragsregister
Studentenregister
IAAS
SteuerregisterStandarddokumentenregister
Stammzahlenregister
StallregisterWaffenregister
IAASIAAS
Visadatenbank
VerwaltungsIAAS
VereinsregisterUnternehmensregister
Treuhandregister
Wohnungsregister
WiderspruchsregisterSAAS
Kondomregister
KFZ-Zulassungsre
gister
Gebäuderegister
SAAS
Register fü
r Prosti
tuierte
Standarddokumentenregister
IAASIAAS
© Hans G. Zeger 2012
e-commerce monitoring gmbh
Es sind nicht Daten vor den Menschen zu schützen, sondern den Menschen ist in der Informationsgesell-schaft das Grundrecht auf Privatsphäre zu sichern.