Ist Google Apps gefahrlos fuer Unternehmen mit hohem Aufkommen an
personenbezogenen Daten Dritter nutzbar?
Fuer Mails und Dokumente
die z.b. Patientendaten in Form von Text oder Anhaengen
enthalten?
Da ich selbst Google Anwender seit vielen
Jahren bin und wir derzeit im Unternehmen ueberlegen, Googel Apps
etc. zu testen, habe ich mal recherchiert.
Google und ISA 3402:
Grundsaetzlich beruft sich Google auf die Einhaltung des
Standards ISA 3402, nach dem es auch als eines der ersten
zertifiziert wurde (was aufhorchen laesst):
Googles Information ueber ISAE 3402
Compliance
http://googleenterprise.blogspot.com/2011/08/security-first-google-apps-and-google.html
ISAE3402
ISAE 3402 ist der Nachfolger des SAS 70 Type 2 - Reports - ein
Finanz-Pruefungsstandard vergleichbar den Grundsaetzen
ordnungsgemaesser Buchfuehrung (GOB), nur auf internationaler Ebene.
Quelle:
http://www.compliance-net.de/sas70
Quelle:
http://sas70.com/sas70_overview.html
Einordnung des Standards im Verhaeltnis zu GOB, ISO und
spezifischen Normen etc .: siehe PDF/PPT -
November_2010_IT_Compliance.pdf, Seite 10
Der verlinkte Vortrag betrachtet alle relevanten Punkte - aus
Sicht eines Wirtschaftspruefers!
Quelle:
Thelemann_November_2010_IT_Comliance.pdf
Bestandteil
des Standards ist entsprechend auch ein IT - Audit, das die
Datensicherheit ueberprueft, vergleichbar dem bei uns durch die
Wirtschaftspruefer durchgefuehrten IT-Audit.
"
Beispiele
für solche Kontrollen können sein: „Für Zahlungen über $10.000
sind zwei Unterschriften erforderlich“ oder „Fehlerlog-Dateien
werden mindestens einmal pro Woche überprüft“.
Per 15. Juni 2011 wurde der SAS 70 Bericht durch den SSAE 16
Bericht von AICPA ersetzt.
Quelle:
http://www.goldmoney.com/de/faq/bedeutung-von-isae-3402.html
Es handelt sich hier also eher um die internationale Version der
GOB.
Homepage des Standards: http://isae3402.com/
FAQ:
http://isae3402.com/ISAE3402_faqs.html
Derzeit
nicht vorhanden, es werden nur die FAQ zum alten Standard SAS 70 Type
II angeboten.
Eine gute Uebersicht ueber die derzeit im Bereich Cloudcomputing
ueblichen Standards gibt die folgende Quelle:
Cloudcomputing - uebliche Standards - BMWI Studie:
FZI-Studie
zu Normung und Standartisierung im Cloud-Computing
Kurz:
http://bit.ly/wdBnQE
Lang:
http://bit.ly/xl5AxK
Google:
Google
Whitepaper ueber
Sicherheit:
https://docs.google.com/file/d/0B5Y-fwYJF2hLOTVmMzQ1MjAtMDFmNS00YjFhLWI3MmUtZjI5MDQ5Mzc3NmMz/edit?pli=1
Siehe
besonders die Abschnitte
- " Deleted Data"
- "Media
Disposal"
Das machen wir aehnlich, aufgrund weniger Personal
aber nicht so ausgefeilt ;)
Es geht zwar um Datensicherheit,
nicht aber unbedingt um Datenschutz.
Selbiges trifft fuer die
Operational Security Massnahmen zu, die bei uns ebenfalls in diesen
Formen oder Abwandlungen existieren.
Datenschutz wird
spaetestens im Abschnitt "Distaster Recovery" zum Thema.
Data replication and backup - alle Daten werden in ein zweites
Datencenter gespiegelt - das ist ueblich.
Problematisch wird es, wenn Daten dann in ein Datacenter
gespiegelt werden, das anderer Gesetzgebung unterliegt, z.b. in die
USA oder UK/Ire
Das Grosse ABER:
Zwar will Google garantieren, dass keine unauthorisierten
Personen auf personenbezogenen Daten zugreifen koennen, aber es gibt
keine Garantie, dass Google die Daten nicht selbst verwertet - etwa
zur Anzeige passender Werbung im Mailprogramm.
Die aktuelle Entwicklung gibt zu denken:
Aktuell:
Pressemitteilung: Schaar: Neue
Google-Datenschutzerklärung verstößt gegen europäisches
Recht
Bonn/Berlin, 28. Februar 2012
Seite:
http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2012/07_NeueDatenschutzpolitikVonGoogle.html
"
Die französische Datenschutzbehörde Commission Nationale de
l'Informatique et des Libertés (CNIL) hat im Auftrag der Artikel
29-Gruppe der Europäischen Datenschutzbehörden untersucht,
inwieweit die von Google angekündigte neue Datenschutzerklärung den
Anforderungen des europäischen Datenschutzrechts genügen. Die
Untersuchung der CNIL kommt zu dem Ergebnis, dass die von dem
Unternehmen für den 1. März 2012 angekündigte umfassende Nutzung
und Verknüpfung personenbezogener Daten nicht mit den Anforderungen
der EU-Datenschutzrichtlinie vereinbar ist.
Hierzu erklärt
der Bundesbeauftragte für den Datenschutz und die
Informationsfreiheit Peter Schaar: "Die neue
Google-Datenschutzerklärung wirft viele datenschutzrechtliche Fragen
auf. Insbesondere die Verknüpfung personenbezogener Daten von
Google-Kunden aus unterschiedlichen Diensten begegnet erheblichen
Bedenken. Kritisch sehe ich es auch, dass die Nutzer der Neufassung
der Datenschutzerklärung nicht in ausreichender Klarheit entnehmen
können, welche Daten das Unternehmen für welche Zwecke erhebt,
speichert, übermittelt und auswertet. Ich fordere Google auf, die
für den 1. März angekündigte Umstellung der
Datenverarbeitungsregeln des Unternehmens auszusetzen, bis alle
Zweifel an der Rechtskonformität ausgeräumt sind"
Quelle:
http://www.bfdi.bund.de/DE/Oeffentlichkeitsarbeit/Pressemitteilungen/2012/07_NeueDatenschutzpolitikVonGoogle.html
Schreiben
an Google:
Aus dem Schreiben:
"Google online
service are numerous and differ greatly both with regard to purposes
and types of data they process.
The new privacy policy provides
only general information about all the services and types of personal
data Google processes. As a consequence, it impossible for the
average users who read the new policy to distinguish wich purpuses,
collected data, recipients or access rights are currently relevant to
their use of a particular Google service.
The fact that
Google informs users about what it will not do with the data (such as
sharing personal data with advertisers) is not sufficient to provide
comprehensive information either.
...
The CNIL and the EU
data protection authorities are deeply concerned about the
combination of personal data across services: they have strong doubts
about the lawfulness and fairness of such processing, and about its
compliance with European Data Protection legislation , especially
with articles 6 and 7 of the Data Protection Directive.
...
...
"
Googles Position:
Googles
Position ist klar: Google unterliegt US Recht gehorcht im EU - Raum
dem Safe Harbour Abkommen in Interpretation nach US-Recht.
Ansonsten
muss jeder selbst entscheiden - was Google immerhin kurz klar und
knapp feststellt:
Siehe:
http://support.google.com/a/bin/answer.py?hl=en&answer=107819
"Is
my organization compliant with the European Commission Drective on
Data Protection if we use Google Apps?
Google adheres to the
U.S. Safe Harbor Privacy Principles of Notice, Choice, Onward
Transfer, Security, Data Integrity, Access and Enforcement, and is
registered with the U.S. Department of Commerce’s Safe Harbor
Program.
Generally, an organization must decide whether its
use of Google Apps is compliant with any regulations it may be
subject to."
Quelle:
http://support.google.com/a/bin/answer.py?hl=en&answer=107819
Die
EU Richtlinie:
http://en.wikipedia.org/wiki/Data_Protection_Directive
Originaltext:
http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=CELEX:31995L0046:en:HTML
Fazit:
Man sollte abwarten.
Zum aktuellen Zeitpunkt ist die Lage ungeklaert und es sollte die
weitere Entwicklung abgewartet werden.
Da diese Problematik mit jedem "Cloud"-Anbieter wie
Amazon (S3), Apple, Microsoft sowie prinzipiell jedem Anbieter
Internet-gestuetzter Loesungen auftreten wird, ist eine Klaerung auf
europaeischer Ebene sinnvoll.
Sehr zu Gute halten muss man Google, dass das Unternehmen sehr
deutlich hinsichtlich seiner Bestimmungen, und sehr vorbildlich
hinsichtlich der Dokumentation von Prozessen etc. ist.
Andererseits hat jedes Unternehmen, dass in irgendeiner Form
Finanzpruefungen unterliegt, aehnliche Prozesse implementiert.
