Die vorliegende Masterarbeit beschäftigt sich mit der Definition und Implementierung von Geschäftsprozessen, die üblicherweise auf der internen Unternehmensinfrastruktur ausgeführt werden und im Zuge der voranschreitenden Digitalisierung auf Cloud-Services umgesetzt werden sollen. Durch die Nutzung von Cloud-Services entstehen viele datenschutzrechtliche Probleme. Es wird versucht werden, diese mittels homomorpher Kryptografie auszubessern und ein höheres Datenschutzniveau zu erlangen. Dazu wird im ersten Schritt eine Übersicht aller relevanten Datenschutzregularien gegeben und eine Marktanalyse durchgeführt, die aufzeigt, wie die meistgenutzten Cloud-Anbieter die Datenschutzregularien umsetzen.
Darauffolgend werden vier Geschäftsprozesse definiert, Teile der internen Infrastruktur auf die Cloud-Infrastruktur umgestellt sowie eine Datenschutzanalyse und -Folgenabschätzung für die abgeänderten Konzepte durchgeführt. Um die daraus resultierenden Datenschutzprobleme auszubessern, werden Konzepte zur Nutzung von homomorpher Kryptografie beschrieben. Im letzten Schritt werden Anforderungen an die zu implementierenden Anwendungen definiert, die definierten Konzepte implementiert und eine Überprüfung der implementierten Anwendungen durchgeführt. Schlussendlich wird eine Diskussion der umgesetzten Geschäftsprozesse durchgeführt, die aufzeigt welche Punkte verbesserungswürdig sind und für einen Produktivbetrieb umgesetzt werden müssen. Als wichtiger Punkt wird diesbezüglich das Schlüsselmanagement angeführt werden. Im Fazit wird deutlich werden, dass homomorphe Kryptografie durchaus das Potenzial hat datenschutzrechtliche Aspekte auszubessern, aber dennoch nur in begrenzten Situationen einsetzbar ist.
Inhaltsverzeichnis
Kurzfassung
2 Einleitung und Problemstellung
3 Zielsetzung
4 Analyse der am Markt befindlichen Datenschutz Regularien ...
4.1 Datenschutz-Grundverordnung (DSGVO)
4.1.1 Bezug zu Cloud-Computing
4.1.2 Datenschutz-Folgenabschätzung
4.2 Bundesdatenschutzgesetz (BDSG)
4.2.1 Bezug zu Cloud-Computing
4.3 Landesdatenschutzgesetze (LDSG)
4.4 Auswertung
5 Marktanalyse Cloud-Anbieter und Zertifikate
5.1 Analyse der gräßten Cloud-Anbieter
5.2 Zertifikate
5.2.1 ISO 27001
5.2.2 ISO 27002
5.2.3 ISO 27017
5.2.4 ISO 27018
5.2.5 CSA
5.2.6 C5
5.2.7 IT-Grundschutz Konformität
5.2.8 EU-US Privacy Shield
5.3 Auswertung
6 Homomorphe Kryptografie
6.1 Einfährung
6.1.1 Partielle Homomorphie
6.1.2 Volle Homomorphie
6.2 Kryptosysteme
6.2.1 Additiv homomorphes Kryptosystem (Paillier)
6.2.2 Multiplikativ homomorphes Kryptosystem (Elgamal)
6.2.3 Volle homomorphe Kryptosysteme
7 Definition von Geschäftsprozessen
7.1 Geschäftsprozess 1: Patientendaten in Krankenhäusern und Arztpraxen
7.1.1 Überführung in die Cloud
7.1.2 Datenschutzanalyse
7.1.3 Ausbesserung der Datenschutzprobleme
7.1.4 Schwerpunkt der Homomorphie
7.2 Geschäftsprozess 2: Berechnung der individuellen Arbeitszeit
7.2.1 Berechnungsmetrik
7.2.2 Überfuhrung in die Cloud
7.2.3 Datenschutzanalyse
7.2.4 Ausbesserung der Datenschutzprobleme
7.2.5 Schwerpunkt der Homomorphie
7.3 Geschäftsprozess 3: Lohnberechnung
7.3.1 Berechnungsmetrik
7.3.2 Überfuhrung in die Cloud
7.3.3 Datenschutzanalyse
7.3.4 Ausbesserung der Datenschutzprobleme
7.3.5 Schwerpunkt der Homomorphie
7.4 Geschäftsprozess 4: Berechnung der Versicherungsprämie
7.4.1 Berechnungsmetrik
7.4.2 Überfuhrung in die Cloud
7.4.3 Datenschutzanalyse
7.4.4 Ausbesserung der Datenschutzprobleme
7.4.5 Schwerpunkt der Homomorphie
7.5 Auswertung
8 Implementierung
8.1 Anforderungen
8.1.1 Funktionale Anforderungen
8.1.2 Nicht-funktionale Anforderungen
8.1.3 Tabellarische Zusammenfassung
8.2 Geschäftsprozess 1
8.2.1 Schlüsselmanagement
8.2.2 SQL-Server
8.2.3 Client
8.2.4 Server
8.2.5 Überpriifung der Anforderungen
8.2.6 Test
8.2.7 Auswertung
8.3 Geschäftsprozess 2
8.3.1 Schlässelmanagement
8.3.2 SQL-Server
8.3.3 Client
8.3.4 Server
8.3.5 Überprüfung der Anforderungen
8.3.6 Test
8.3.7 Auswertung
8.4 Geschäftsprozess 3
8.4.1 Schlässelmanagement
8.4.2 Client
8.4.3 Server
8.4.4 Überprüfung der Anforderungen
8.4.5 Test
8.4.6 Auswertung
8.5 Geschäftsprozess 4
8.5.1 Schlässelmanagement
8.5.2 Client
8.5.3 Server
8.5.4 Auswertung
8.6 Zusammenfassung und Vergleich der Geschaftsprozesse
9 Zusammenfassung und Ausblick
9.1 Zusammenfassung
9.2 Diskussion und Ausblick
9.2.1 Schlässelmanagement
9.2.2 Transportverschlässelung
9.2.3 Robustere Kryptosystem Implementierungen
9.2.4 Integritätsschutz
9.2.5 Alternative Ansätze
9.3 Fazit
Literaturverzeichnis
Kurzfassung
Die vorliegende Masterarbeit beschäftigt sich mit der Definition und Implementierung von Geschaftsprozessen, die äblicherweise auf der internen Unternehmensinfrastruktur ausgeführt werden und im Zuge der voranschreitenden Digitalisierung auf Cloud-Services umgesetzt werden sollen. Durch die Nutzung von Cloud- Services entstehen viele datenschutzrechtliche Probleme. Es wird versucht werden, diese mittels homomorpher Kryptografie auszubessern und ein häheres Datenschutzniveau zu erlangen. Dazu wird im ersten Schritt eine Übersicht aller relevanten Datenschutzregularien gegeben und eine Marktanalyse durchgefährt, die aufzeigt, wie die meistgenutzten Cloud-Anbieter die Datenschutzregularien umsetzen. Darauffolgend werden vier Geschaftsprozesse definiert, Teile der internen Infrastruktur auf die Cloud-Infrastruktur umgestellt sowie eine Datenschutzanalyse und -Folgenabschätzung fur die abgeanderten Konzepte durchgefährt. Um die daraus resultierenden Datenschutzprobleme auszubessern, werden Konzepte zur Nutzung von homomorpher Kryptografie beschrieben. Im letzten Schritt werden Anforderungen an die zu implementierenden Anwendungen definiert, die definierten Konzepte implementiert und eine Uä berpruäfung der implementierten Anwendungen durchgefuhrt. Schlussendlich wird eine Diskussion der umgesetzten Geschäftsprozesse durchgefährt, die aufzeigt welche Punkte verbesserungswärdig sind und fur einen Produktivbetrieb umgesetzt werden mussen. Als wichtiger Punkt wird diesbezuäglich das Schluässelmanagement angefuährt werden. Im Fazit wird deutlich werden, dass homomorphe Kryptografie durchaus das Potenzial hat datenschutzrechtliche Aspekte auszubessern, aber dennoch nur in begrenzten Situationen einsetzbar ist.
Abbildungsverzeichnis
2.1 Cloud-Computing Nutzung bis 2017 (siehe [cloc])
4.1 Angemessener Datenschutz in Drittstaaten (siehe [ang])
5.1 Marktanteile Cloud-Computing (siehe [mar])
5.2 CSA STAR-Zertifizierung Level Vergleich (siehe [csab])
6.1 Normale Verschlüsselung (siehe [hom])
6.2 Homomorphe Verschlusselung (siehe [hom])
7.1 Cloud-Computing Geschüftsmodelle (siehe [clob])
7.2 Geschüftsprozess 1 ohne Cloud-Infrastruktur
7.3 Geschüftsprozess 1 mit Cloud-Infrastruktur
7.4 Geschaftsprozess 2 ohne Cloud-Computing
7.5 Geschaftsprozess 2 mit Cloud-Computing
7.6 Geschaftsprozess 3 ohne Cloud-Computing
7.7 Geschaftsprozess 3 mit Cloud-Computing
7.8 Geschaftsprozess 4 ohne Cloud-Computing
7.9 Geschaftsprozess 4 mit Cloud-Computing
8.1 MVP Entwurfsmuster
8.2 Geschaftsprozess 1: Zusammenspiel der Komponenten
8.3 GP1 - Client Eingabemaske
8.4 GP1 - Client Insert
8.5 GP1 - Client Insert Code
8.6 GP1 - Client Get
8.7 GP1 - Client Get Code
8.8 GP1 - Client Update
8.9 GP1 - Client Update Code
8.10 GP1 - Client Add
8.11 GP1 - Client Add Code
8.12 GP1 - Client Sum
8.13 GP1 - Client Sum Code
8.14 GP1 - Server Insert Code
8.15 GP1 - Server Get Code
8.16 GP1 - Server Update Code
8.17 GP1 - Server Add Code
8.18 GP1 - Server Sum Code
8.19 GP1 - INSERT SQL-Eintrag
8.20 GP1 - GET Rückgabe
8.21 GP1 - UPDATE SQL-Eintrag
8.22 GP1 - Add Test
8.23 GP1 - SUBTRACT Test
8.24 GP1 - SUM Test
8.25 Geschäftsprozess 2: Zusammenspiel der Komponenten
8.26 GP2 - Client Eingabemaske
8.27 GP2 - Client Add a new employee
8.28 GP2 - Client Add a new employee Code
8.29 GP2 - Client Get working hours
8.30 GP2 - Client Get working hours Code
8.31 GP2 - Client Update working hours
8.32 GP2 - Update working hours Code
8.33 GP2 - “Add a new employee“ Test
8.34 GP2 - “Get working hours“ Test
8.35 GP2 - “Update working hours“ Test
8.36 Geschäftsprozess 3: Zusammenspiel der Komponenten
8.37 GP3 - Client Eingabemaske
8.38 GP3 - Client Code
8.39 GP3 - Server Code
8.40 GP3 - Client Test
8.41 GP3 - Server Test
8.42 Geschäftsprozess 4: Zusammenspiel der Komponenten
Tabellenverzeichnis
5.1 Datenschutz und Zertifizierungen der drei größten Cloud-Anbieter. .
5.2 Subjektive Einschötzung der zur Verfögung gestellten Informationen
5.3 IT-Grundschutz Cloud Bausteine
6.1 Tabellarische Zusammenfassung der FHE Libraries
7.1 Schwellwertanalyse Geschaftsprozess 1
7.2 Schwellwertanalyse Geschaftsprozess 2
7.3 Schwellwertanalyse Geschaftsprozess 3
7.4 Schwellwertanalyse Geschaftsprozess 4
8.1 Zusammenfassung der Anforderungen an die Anwendungen
8.2 Zusammenfassung und Vergleich der Geschöftsprozesse
2. Einleitung und Problemstellung
Durch die immer weiter voranschreitende Digitalisierung der heutigen Gesellschaft wurden mit der Zeit immer mehr neue Felder in der Informationstechnik geschaffen, die zur Digitalisierung beitragen. So wurden im letzten Jahrzehnt immer wieder die Schlusseltechnologien Blockchain und Künstliche Intelligenz ins Spiel gebracht, mittels dessen eine sicherere und bessere digitale Welt geschaffen werden soll. Doch auch neuere Technologien wie Cloud-Computing und Internet of Things treten immer weiter in den Vordergrund. Nicht zuletzt durch den immer weiter steigenden Konsum der Gesellschaft, durch neue digitale Gerüte und Technologien wie das Internet of Things, ist eine immer staürkere Vernetzung aller beteiligten Stellen von Nüten. Aus Sicht der Unternehmen ist durch die stetig steigende Nutzerzahlen nicht nur eine stürkere Vernetzung notig, sondern auch immer mehr Rechen-, Speicher- und Netzwerkkapazitaüt. Durch diese Aspekte sind Unternehmen immer wieder mit Problemen wie Kosten, Geschwindigkeit, Skalierung, Leistung, Produktivität und Sicherheit konfrontiert. Heutzutage wird kein Unternehmen mehr von solchen Aspekten verschont, so setzten 2017 nach dem Cloud Monitor 2018 bereits 66 % der befragten Unternehmen auf Cloud-Computing (vgl. Abb. 2.1 siehe [cloc]).
Abbildung in dieser Leseprobe nicht enthalten
Abb. 2.1. Cloud-Computing Nutzung bis 2017 (siehe [cloc])
Global Player wie Amazon, Google, Microsoft und Oracle versprechen durch ihre Cloud-Computing (vgl. Definition 2.1) Losungen Amazon AWS (siehe [aws]), Google Cloud (siehe [gooa]), Microsoft Azure (siehe [azua]) und Oracle Cloud (siehe [oraa]), solche Probleme anzugehen und unter anderem für finanzielle Stabilität zu sorgen.
Definition 2.1. (Cloud-Computing)
Cloud-Computing ist im Grunde die Bereitstellung von Computing Diensten (Server, Speicher, Datenbanken, Netzwerkkomponenten, Software, Analyse- und intelligente Funktionen etc.) -über das Internet (”die Cloud”), um schnellere Innovationen, flexible Ressourcen und Skaleneffekte zu bieten. In der Regel bezahlen Sie nur fur die Cloud-Dienste, die Sie tatsächlich nutzen (siehe [azua]).
Im Kontext der eben genannten Produkte sprechen wir dabei immer von einer sogenannten Public Cloud (vgl. Definition 2.2).
Definition 2.2. (Public Cloud)
Public Clouds befinden sich im Besitz externer Cloud-Dienstanbieter und werden von diesen ausgefuhrt. Dabei werden die Computingressourcen wie Server und Speicher uber das Internet bereitgestellt. Bei Public Clouds sind sämtliche Hardware-, Software- und andere unterstutzende Infrastrukturkomponenten Eigentum des Cloud Anbieters und vjerden von diesem verwialtet. Sie nutzen einen Webbrowser, um auf diese Dienste zuzugreifen und ihr Konto zu verwialten (siehe [azua]).
Im Gegensatz zur Public Cloud gibt es noch den Ansatz der Private Cloud (vgl. Definition 2.3) sowie einen hybriden Ansatz der sowohl Public und Private Cloud kombiniert.
Definition 2.3. (Private Cloud)
Bei einer privaten Cloud werden die Cloud-Computing Ressourcen exklusiv von einem einzigen Unternehmen genutzt. Private Clouds können sich physisch im lokalen Datencenter des Unternehmens befinden. Einige Unternehmen nutzen jedoch auch die Leistungen externer Dienstanbieter, um ihre private Cloud zu hosten. Bei privaten Clouds vjerden die Dienste und Infrastrukturkomponenten in einem privaten Netzwerk verwaltet (siehe [azua]).
Eine Private Cloud bietet grundsätzlich den Vorteil, dass der Hoster (oft auch gleichzeitig der Nutzer der Cloud) für alle Aspekte wie Rechenkapazität, Speicherkapazität, Netzwerkkapazität und vor allem die Sicherheit zuständig ist, wodurch ein wesentlich höheres Transparenzlevel als bei Public Cloud Läsungen garantiert ist, denn bei diesen kommt es ganz darauf an, was der Anbieter bereit ist Preis zu geben.
Sicherheit ist heutzutage ein großes Thema, vor allem die Sicherheit von personenbezogenen Daten, um die Persänlichkeitsrechte der betroffenen Personen zu schutzen. Diese Daten werden in der Bundesrepublik Deutschland unter anderem durch Gesetze und einer Grundverordnung versucht abzusichern. Doch setzten die Global Player in ihren Cloud Angeboten datenschutzrechtliche und gesetzliche Belange um? Und wie kann der Nutzer einer Public Cloud die Sicherheit dieser beurteilen?
3. Zielsetzung
Ziel dieser Arbeit ist es, alle aktuellen datenschutzrechtlichen Regularien zu analysieren und einen Überblick über relevante Aspekte fur das Cloud-Computing zu geben (vgl. Kapitel 4). Anschließend sollen populüre Cloud-Losungen von Cloud- Anbietern auf datenschutzrechtlichen Aspekte hin analysiert und ein Üüberblick über deren datenschutzrechtlichen Zertifizierungen gegeben werden (vgl. Kapitel 5).
Im darauffolgenden Teil dieser Arbeit sollen Geschüftsprozesse definiert werden, die klassischerweise innerhalb der internen Infrastruktur eines Unternehmens ausgeführt werden. Im Zuge der Einführung von Cloud-Computing in diesen Ünter- nehmen sollen Teile der definierten Geschüaftsprozesse in die Cloud verlagert werden. Ziel ist es, bei der Verlagerung in die Cloud datenschutzrechtliche Aspekte zu analysieren und besonders zu beleuchten, um diese durch besonderen Blick auf homomorphe Kryptografie versuchen auszubessern und ein höheren Datenschutzniveau zu garantieren (vgl. Kapitel 7). Im letzten Teil sollen die definierten umstrukturierten Geschüftsprozesse durch Beispielanwendungen implementiert werden (vgl. Kapitel 8).
4. Analyse der am Markt befindlichen Datenschutz Regularien
Innerhalb der Europäischen Union (EU) gelten verschiedene Regularien, die unter anderem die Sicherheit personenbezogener Daten von natärlicher Personen sicherstellen sollen. Dabei ist darauf zu achten, dass es sowohl Regularien auf der Ebene der EU gibt, als auch Regularien die speziell fär die einzelnen Mitgliedsstaaten innerhalb der EU gelten und somit die Vorgaben der EU Regularien noch weiter aufweichen. Aus diesem Grund ist es notwendig diese Regularien getrennt zu betrachten und jeweils einen Bezug zum Cloud-Computing herzustellen. Im Weiteren werden nur Regularien betrachtet, die fur die Bundesrepublik Deutschland gelten.
4.1 Datenschutz-Grundverordnung (DSGVO)
Die Datenschutz-Grundverordnung, kurz DSGVO, wurde vom Europaischen Parlament am 27. April 2016 verabschiedet und ist am 25. Mai 2018 in Kraft getreten. Sie enthält 11 Kapitel mit insgesamt 99 Artikeln, die verschiedene Aspekte des Datenschutzes definieren und regeln. Die DSGVO gilt fur den gesamten Europäischen Wirtschaftsraum (EWR). Der EWR beinhaltet sowohl die EU-Mitgliedsstaaten, als auch die Mitgliedsstaaten der Europäischen Freihandelsassoziation (EFTA) Island, Liechtenstein und Norwegen (siehe [dsg]).
Kapitel 1 (Artikel 1-4)
Kapitel eins der DSGVO bezieht sich auf die Artikel eins bis vier. In diesen Artikeln werden allgemeine Bestimmungen festgelegt. So wird in Kapitel eins unter anderem das Ziel sowie der Anwendungsbereich der DSGVO definiert.
Kapitel 2 (Artikel 5-11)
In Kapitel zwei werden Grundsätze und Rechtmäßigkeiten bei der Verarbeitung personenbezogener Daten festgelegt. So werden unter anderem Bedingungen festgehalten, die eingehalten werden muässen, um von einer natuärlichen Personen die Einwilligung zur Verarbeitung ihrer personenbezogener Daten einzuholen.
Kapitel 3 (Artikel 12 - 23)
Im dritten Teil der Datenschutz-Grundverordnung werden die Rechte der Personen, von denen personenbezogene Daten erhoben werden, definiert. In solch einem Fall hat die betroffene Person unter anderem das Recht darauf, Auskunft darüber zu bekommen, für welchen Verarbeitungszweck die Daten erhoben wurden. Genauso kann verlangt werden, dass die personenbezogenen Daten, sofern ein Fehler vorliegt, berichtigt werden oder gar, unabhüangig von der Richtigkeit der Daten, dass sie gelüscht werden sollen.
Kapitel 4 (Artikel 24 - 43)
Kapitel vier beschüftigt sich damit, die Pflichten der fur die Verarbeitung verantwortlichen Person und fuür Auftragsverarbeiter zu definieren, sowie ein ausreichendes Sicherheitsniveau fur die Verarbeitung personenbezogener Daten zu implementieren. So beschaftigen sich die Artikel 25 und 32 intensiver mit der Implementierung eines ausreichenden Sicherheitsniveaus durch Sicherstellung der Schutzziele Integritüt, Vertraulichkeit und Verfugbarkeit, halten aber die genaue Umsetzung außen vor. Des Weiteren werden die Aufgaben eines Datenschutzbeauftragten definiert. Im letzten Teil dieses Kapitels wird auf die Müglichkeit einer Zertifizierung nach der DSGVO hingewiesen. Um solch eine Zertifizierung zu erhalten, muss eine Zertifizierung durch eine zugelassene Zertifizierungsstelle durchgefuührt werden, die nach den Kriterien, die in diesem Kapitel definiert werden, akkreditiert wurde.
Kapitel 5 (Artikel 44 - 50)
In diesem Kapitel werden die Bedingungen definiert, unter welchen eine Übermittlung von personenbezogenen Daten an ein - aus EU Sicht - Drittland oder eine internationale Organisation zulüssig ist. Dabei gibt es zwei Möglichkeiten, bei denen eine Uübermittlung akzeptabel ist. Der einfachste Weg ist, indem die Eu- ropüische Kommission festgestellt hat, dass ein Drittland oder eine internationale Organisation ein angemessenes Schutzniveau bietet. In solch einem Fall wird dieser Beschluss im Amtsblatt der Europaischen Union veröffentlicht. Falls kein solcher Beschluss vorliegt, kann eine Datenubermittlung vorbehaltlich geeigneter Garantien stattfinden. Dazu muüssen einige Vorschriften, die in diesem Kapitel beschrieben werden, eingehalten und umgesetzt werden.
Kapitel 6 (Artikel 51 - 59)
Die DSGVO sieht vor, dass jeder Mitgliedsstaat geeignete unabhüngige Aufsichts- behorden bereitstellt, die die Vorschriften der DSGVO überwachen. In diesem Kapitel werden Bedingungen, Zustaündigkeiten, Aufgaben und Befugnisse fuür diese Aufsichtsbehürden definiert.
Kapitel 7 (Artikel 60 - 76)
Kapitel sieben beschreibt die Zusammenarbeit und Kohärenz der unabhängigen Aufsichtsbehörden der Mitgliedsstaaten. Des Weiteren wird die Einführung eines Europäischen Datenschutzausschusses festgehalten sowie dessen Aufgaben definiert.
Kapitel 8 (Artikel 77 - 84)
In diesem Kapitel werden die Rechte einer naturlichen Person im Falle einer Verletzung der Personlichkeitsrechte definiert. Des Weiteren werden die Regelungen im Bezug auf Haftung, Recht auf Schadensersatz und Sanktionen definiert.
Kapitel 9 (Artikel 85 - 91)
Das Kapitel 9 beschreibt Vorschriften hir besondere Verarbeitungssituationen von personenbezogenen Daten. Darunter faällt unter anderem das Recht auf freie Meinungsäußerung sowie die Verarbeitung von personenbezogenen Daten im Beschäftigungskontext.
Kapitel 10 (Artikel 92 - 93)
Hauptteil dieses Kapitels ist die Befugnisübertragung zur Erlassung von Rechtsakten an die Europaäische Kommission, sofern diese im Einklang mit dieser Verordnung sind.
Kapitel 11 (Artikel 94 - 99)
Im letzten Teil werden einige Schlussbestimmungen festgehalten, die unter anderem die Aufhebung des Vorgangers dieser Datenschutz-Grundverordnung, der Richtlinie 95/46/EG, regeln sowie den Zeitpunkt der Inkrafttretung der DSGVO bestimmen.
4.1.1 Bezug zu Cloud-Computing
Cloud-Computing beinhaltet oft eine Verarbeitung von personenbezogenen Daten, doch unter welchen Paragraph der DSGVO fäallt die Verarbeitung der personenbezogenen Daten in der Cloud? Und welche Restriktionen gelten laut der DSGVO fär den Fall, dass die personenbezogenen Daten äber Landesgrenzen hinweg zum Cloud-Anbieter uäbertragen werden?
4.1.1.1 Auftragsverarbeitung
Laut dem Bayrischen Landesamt fur Datenschutzaufsicht gehären nach Artikel 4 Nr. 8 DSGVO zum Beispiel folgende Tätigkeiten zur Auftragsverarbeitung (siehe [faq]):
- DV-technische Arbeiten für die Lohn- und Gehaltsabrechnung oder die Finanzbuchhaltung durch Rechenzentren,
- Outsourcing personenbezogener Datenverarbeitung im Rahmen von CloudComputing, ohne dass ein inhaltlicher Datenzugriff des Cloud-Betreibers erforderlich ist,
- Werbeadressenverarbeitung in einem Lettershop,
- Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielraume dort,
- Auslagerung der E-Mail-Verwaltung oder von sonstigen Datendiensten zu Webseiten (z.B. Betreuung von Kontaktformularen oder Nutzeranfragen),
- Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten,
- Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen,
- Datentrüagerentsorgung durch Dienstleister,
- Prufung oder Wartung (z. B. Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tütigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann,
- Zentralisierung bestimmter SShared Services-Dienstleistungenünnerhalb eines Konzerns, wie Dienstreisen-Planungen oder Reisekostenabrechnungen (jedenfalls sofern kein Fall gemeinsamer Verantwortlichkeit nach Artikel 26 DSGVO vorliegt),
- Apothekenrechenzentren nach § 300 SGB V,
- ürztliche/zahnürztliche Verrechnungsstellen ohne Forderungsverkauf,
- Sicherheitsdienste, die an der Pforte Besucher- und Anliefererdaten erheben,
- externe Personen, Dienstleister, usw., die im Auftrag Messwerte in Mietwohnungen (Heizung, Strom, Wasser etc.) ablesen und/oder erfassen bzw. verarbeiten,
- Visabeschaffungsdienstleister, die hierfur vom Arbeitgeber die Beschaftigten- daten erhalten.
Nach diesen Punkten füllt in vielen Füllen auch Cloud-Computing unter die Auftragsverarbeitung. Dementsprechend muss der Artikel 28 DSGVO (Auftragsverarbeiter) beachtet werden.
Artikel 28 Nr. 1 DSGVO verlangt, dass der Cloud-Nutzer nur mit Cloud-Anbietern zusammenarbeitet, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgefuhrt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte Betroffener gewahrleistet (siehe Artikel 28 DSGVO).
Nun stellt sich die Frage, was kann als hinreichende Garantie verstanden werden? Was muss bei der Auswahl eines Cloud-Anbieters beachtet werden, um die Anforderungen der DSGVO zu erfüllen?
Als Antwort auf diese Fragen kann nach Artikel 28 Nr. 5 DSGVO die Einhaltung genehmigter Verhaltensregeln (Artikel 40 DSGVO) oder die Einhaltung eines genehmigten Zertifizierungsverfahrens (Artikel 42 DSGVO) als Faktor herangezogen werden (siehe Artikel 28 DSGVO). Etwas klarer ausgedrückt bedeutet das, dass der Cloud-Nutzer darauf achten sollte, ob der Cloud-Anbieter Uber eine Datenschutzzertifizierung nach DSGVO verfügt oder entsprechende Verhaltensregeln von der jeweils zustündigen Aufsichtsbehürde des Mitgliedsstaats genehmigt wurden. Wobei aber auch ganz klar gesagt ist, dass das Vorhandensein einer Zertifizierung oder Verhaltensregen nur als Faktor herangezogen werden kann und den Cloud-Nutzer nicht aus der Verantwortung zieht, dafuür zu sorgen, dass er nur mit Cloud-Anbietern arbeitet, die ausreichend Schutz fuür personenbezogene Daten bieten. Demnach muss der Cloud-Nutzer theoretisch dennoch weitere Kontrollen, am besten vor Ort beim Cloud-Anbieter, durchfuhren, um auf Nummer sicher zu gehen.
4.1.1.2 Zertifizierung nach DSGVO
Nach Artikel 28 DSGVO kann ein genehmigtes Zertifizierungsverfahren nach Artikel 42 DSGVO als Faktor hinzugezogen werden, um hinreichende Garantien im Sinne der Absatze 1 und 4 Artikel 28 nachzuweisen. An dieser Stelle stellt sich die Frage, welche Zertifizierungsmüglichkeiten nach DSGVO aktuell auf dem Markt zur Verfuügung stehen.
Um ein Zertifikat nach DSGVO anbieten zu können, muss eine Zertifizierungsstelle sich von der Deutschen Akkreditierungsstelle (DAkks) nach den Vorgaben des BDSG sowie dem Artikel 43 DSGVO akkreditieren lassen. Das bedeutet, dass vorab eine Konformitütspriifung mit der DSGVO durchgeführt werden muss. Mit Stand Januar 2019 wurde allerdings von der DAkks noch keine private Zertifizierungsstelle akkreditiert, wodurch auch noch kein Zertifikat am Markt verfuügbar ist, das eine Konformitüt mit der DSGVO bestütigt (siehe [zer]). Sofern wir diese Betrachtung auf EU-Ebene durchführen, künnen wir feststellen, dass aktuell auch in den anderen EU-Mitgliedsstaaten noch kein Zertifikat oder Siegel auf dem Markt ist, dass eine Konformitüt mit der DSGVO bestütigt (siehe [eud]).
Dennoch existieren eine Reihe von expliziten und impliziten Zertifikaten fur CloudComputing, wie beispielsweise die DIN ISO 27001 in Zusammenhang mit DIN ISO 27018 und der BSI IT-Grundschutz, die bereits einige Aspekte der DSGVO umsetzen, jedoch keine direkte Zertifizierung nach DSGVO darstellen. So wurde auch ein Pilotprojekt von dem Bundesministerium fur Wirtschaft und Energie (BMWi) 2016 ins Leben gerufen, das zur Aufgabe hatte, eine Datenschutz Zertifizierung für Cloud-Dienste zu entwickeln. Als Ergebnis wurde das Trusted Cloud Datenschutzprofil fur Cloud Dienste (TCDP) 2016 veröffentlicht (siehe [tcd]). Das TCPD ist aktuell in der Version 1.0 verfuügbar und beruücksichtigt auch teilweise Inhalte der DIN ISO 27001, DIN ISO 27002 und DIN ISO 27018. Grundidee des TCDP war es, das TCDP in der Version 2.0 in einen Standard beziehungsweise ein Zertifikat für Cloud-Dienste entsprechend der DSGVO zu uberfuhren, was bisher jedoch noch in Bearbeitung ist (siehe [bet]).
4.1.1.3 Verarbeitung von personenbezogenen Daten in Drittländern
Cloud-Anbieter beschränken sich oft nicht auf die Verarbeitung und Speicherung übergebener Daten innerhalb des Landes, in dem die Daten übergeben wurden, denn ein Hauptaspekt des Cloud-Computing ist die Ausfallsicherheit der Server sowie der Zugangspunkte zur Cloud. Um diese Ausfallsicherheit zu gewührleisten, mussen Daten in mehrere Rechenzentren dupliziert werden. Dabei ist auch darauf zu achten, dass diese Rechenzentren nicht in derselben Region angesiedelt sind, um so auch die Ausfallsicherheit der Cloud bei Ausfüllen ganzer Regionen z.B durch Naturkatastrophen vorzubeugen. Auch für solche Fülle halt die DSGVO entsprechende Artikel bereit. In der DSGVO ist ganz klar geregelt, unter welchen Umstanden personenbezogene Daten in ein EU-Land und unter welchen Umstünden diese Daten in ein Drittland (aus Sicht der EU) ubertragen werden dürfen. Denn nach Kapitel 5 DSGVO durfen nur dann personenbezogene Daten in ein Drittland uübertragen werden, wenn in diesem Land ein angemessenes Schutzniveau existiert. Nach Artikel 45 DSGVO besteht nur dann ein angemessenes Schutzniveau, wenn in einem Drittland auf Grundlage seiner innerstaatlichen Rechtsvorschriften und deren Anwendung, der Existenz und der wirksamen Funktionsweise einer oder mehrerer unabhaüngiger Aufsichtsbehoürden sowie seiner eingegangenen internationalen Verpflichtungen ein Schutzniveau existiert, dass dem der DSGVO gleichwertig ist.
Um es den Cloud-Nutzern zu erleichtern, an solche Informationen heran zu kommen, sieht die DSGVO auch eine regelmüßige Veröffentlichung einer Liste mit allen Lündern vor, für die ein Angemessenheitsbeschluss nach Artikel 45 DSGVO von der Europüischen Kommission erlassen wurde. Mit solch einem Angemessenheitsbeschluss wird festgehalten, dass ein Land alle noütigen Bedingungen nach Artikel 45 DSGVO erfüllt und somit ein angemessenes Schutzniveau bietet. Die Liste wird von der Europaischen Kommission auf deren Webseite zur Verhigung gestellt. Der aktuelle Stand ist der folgenden Auflistung sowie der Abbildung 4.1 zu entnehmen (siehe [ang]):
- Schweiz
- Andorra
- Faürüoer Inseln
- Guernsey
- Jersey
- Isle of Man
- Argentinien
- Kanada
- Israel
- USA
- Neuseeland
- Uruguay
Abbildung in dieser Leseprobe nicht enthalten
Abb. 4.1. Angemessener Datenschutz in Drittstaaten (siehe [ang])
In dieser Auflistung sind jedoch zwei Ausnahmen zu vermerken: USA und Kanada. In diesen Ländern haben die Angemessenheitsbeschlüsse durch mangelnde allgemein geltender Datenschutzgesetze nur einschrankende Geltung. In den USA kännen sich Firmen nach dem EU-US Privacy Shield zertifizieren lassen und sind somit berechtigt, personenbezogene Daten aus der EU zu beziehen. Mit dieser Zertifizierung gehen US-Unternehmen die Verpflichtung ein, dass sie bestimmte Datenschutz-Prinzipien befolgen und betroffenen EU-Burgern bestimmte Rechte gewahren, unter diese Rechte gehären:
- Recht auf Information
- Recht auf Auskunft
- Recht auf Berichtigung falscher Daten
- Recht auf Loäschung
- Widerspruchsrecht
- Beschwerderecht
Des Weiteren verpflichten sich die US-Unternehmen bei einer Inanspruchnahme eines EU-Bürgers eines seiner Rechts, dass die Ausfuhrung innerhalb von 45 Tagen stattfindet (siehe [pri]). Mit Stand April 2019 sind 4657 Amerikanische Organisationen nach dem EU-US Privacy Shield zertifiziert (siehe [euu]).
Sofern personenbezogene Daten nach Kanada uäbermittelt werden sollen, muss darauf geachtet werden, dass diese nur an Unternehmen uäbermittelt werden, die unter das kanadische Bundesgesetz Personal Information Protection and Electronic Documents Act (PIPEDA) fallen. Nach dem PIPEDA fallen alle Unternehmen unter dieses Gesetz, die privat gefuährt werden.
Sofern personenbezogene Daten in ein Land übertragen werden sollen, hir das kein Angemessenheitsbeschluss nach Artikel 45 DSGVO von der Europäaischen Kommission erlassen wurde, stellt die DSGVO ein weiteres Mittel zur Verfuägung. In solch einem Fall müssen geeignete Garantien gegeben werden, durch die ein angemessenes Datenschutzniveau sichergestellt werden soll. Um geeignete Garantien zu geben, haben die Verantwortlichen nach Artikel 46 und 47 DSGVO vier Möglichkeiten (siehe [sti]):
- Binding Corporate Rules
- Standarddatenschutzklauseln
- Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus
- Genehmigte Vertragsklauseln
Binding Corporate Rules
Binding Corporate Rules sind verbindliche interne Datenschutzvorschriften. Der Mindestinhalt dieser Vorschriften ist in Artikel 47 DSGVO konkret festgelegt und soll im Grunde den vorgesehenen Schutz der DSGVO widerspiegeln. Um solche Datenschutzvorschriften anwenden zu durfen, mössen diese im Vorfeld durch ein Kohörenzverfahren nach Artikel 63 DSGVO von einer zustöndigen Aufsichts- behöorde genehmigt werden.
Standarddatenschutzklauseln
Von Seiten der Europaischen Kommission wurden Standardvertragsklauseln zur Sicherstellung eines angemessenen Datenschutzes veröffentlicht. Werden diese Vertragsklauseln rechtsverbindlich von den Verantwortlichen unterzeichnet, so legitimiert dies die Übertragung von personenbezogenen Daten in ein entsprechendes Drittland.
Genehmigte Verhaltensregeln und genehmigter Zertifizierungsmechanismus
Bei dieser Möglichkeit müssen rechtsverbindliche und durchsetzbare Verpflichtungen des Verantwortlichen oder des Auftragsverarbeiters festgelegt werden, die wiederum von der zustaöndigen Aufsichtsbehoörde genehmigt werden muössen.
Genehmigte Vertragsklauseln
Ahnlich den Standarddatenschutzklausen konnen eigene Vertragsklauseln zwischen den Verantwortlichen aufgesetzt werden, um ein angemessenes Schutzniveau zu etablieren. Diese Vertragsklauseln mussen allerdings von der zustöndigen Auf- sichtsbehöorde genehmigt und ein Kohaörenzverfahren nach Artikel 63 DSGVO durchgefuöhrt werden.
4.1.2 Datenschutz-Folgenabschätzung
Nach Artikel 35 DSGVO muss eine Datenschutz-Folgenabschötzung durchgeföhrt werden, wenn durch die Verarbeitung von personenbezogenen Daten ein hohes Risiko fur die Rechte und Freiheiten naturlicher Personen entsteht. Diese DatenschutzFolgenabschatzung muss von dem Verantwortlichen fur die Verarbeitung der Daten durchgeführt werden. Um die Risiken einschätzen zu können muss immer im Vorfeld eine sogenannte Schwellwertanalyse stattfinden. Mit dieser Schwellwertanalyse soll ermittelt werden, ob eine Datenverarbeitung grundsatzlich einem hohen Risiko unterliegt. Um dies in konkreten Fällen ermitteln zu konnen, hat die Artikel-29- Datenschutzgruppe in ihrem Working Paper 248 hierzu folgende neun Kriterien herausgearbeitet (siehe [dsfa]):
1) Bewerten oder Einstufen:
Das Erstellen von Profilen und Prognosen, insbesondere auf der Grundlage von “Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persänliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen“ (siehe [wor]).
2) Automatisierte Entscheidungsfindung mit Rechtswirkung oder aähnlich bedeutsamer Wirkung:
Verarbeitung, auf deren Grundlage für Betroffene Entscheidungen getroffen werden sollen, “die Rechtswirkung gegenuäber natuärlichen Personen entfalten“ oder diese “in ahnlich erheblicher Weise beeinträchtigen“ (siehe [wor]).
3) Systematische Überwachung:
Verarbeitungsvorgange, die die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel haben und auf beispielsweise uber Netzwerke erfasste Daten oder auf “eine systematische [...] Überwachung üffentlich zugänglicher Bereiche“ zurückgreifen (siehe [wor]).
4) Vertrauliche Daten oder hochst personliche Daten:
Hierzu zählen besondere Kategorien personenbezogener Daten im Sinne von Artikel 9 (z. B. Informationen äber die politischen Meinungen von Einzelpersonen) sowie personenbezogene Daten uber strafrechtliche Verurteilungen oder Straftaten im Sinne von Artikel 10. Daruber hinaus gibt es weitere Datenkategorien, die zwar nicht in den DSGVO-Bestimmungen aufgefährt sind, jedoch die mäglichen Risiken fur die Rechte und Freiheiten von Personen erhohen kännen. Diese personenbezogenen Daten gelten als vertraulich (im gängigen Sinne des Wortes), da sie mit häuslichen und privaten Aktivitäten verknäpft sind (wie etwa die elektronische Kommunikation, deren Vertraulichkeit geschutzt werden muss), sich auf die Ausubung eines der Grundrechte auswirken (wie etwa Standortdaten, deren Erfassung die Freizuägigkeit in Frage stellt) oder die Verletzung derselben mit ernsthaften Konsequenzen fur den Alltag des Betroffenen einhergeht (wie etwa Finanzdaten, die fär den Zahlungsbetrug missbraucht werden kännten) (siehe [wor]).
5) Datenverarbeitung in großem Umfang:
Zwar ist “in großem Umfang“ in der DSGVO nicht definiert, aber Erwagungs- grund 91 liefert einige Hinweise. In jedem Fall empfiehlt die WP29 die Beräck- sichtigung speziell folgender Faktoren, wenn ermittelt werden soll, ob die fragliche Verarbeitung in großem Umfang durchgeführt wird (siehe [wor]):
- Zahl der Betroffenen, entweder als konkrete Anzahl oder als Anteil der entsprechenden Bevülkerungsgruppe
- verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente
- Dauer oder Dauerhaftigkeit der Datenverarbeitung
- geografisches Ausmaß der Datenverarbeitung
6) Abgleichen oder Zusammenführen von Datensützen:
Zum Beispiel solcher Datensütze, die aus zwei oder mehreren Datenverarbei- tungsvorgangen stammen, die zu unterschiedlichen Zwecken und/oder von verschiedenen fuür die Datenverarbeitung Verantwortlichen durchgefuührt wurden, und zwar in einer Weise, die uber die vernunftigen Erwartungen der Betroffenen hinausgeht (siehe [wor]).
7) Daten zu schutzbedürftigen Betroffenen:
Die Verarbeitung dieser Art von Daten stellt ein Kriterium dar, weil zwischen den Betroffenen und dem fuür die Datenverarbeitung Verantwortlichen ein grüßeres Machtungleichgewicht vorliegt; d. h. den Personen ist es unter Umstünden nicht ohne Weiteres müglich, der Verarbeitung ihrer Daten zuzustimmen bzw. zu widersprechen oder ihre Rechte auszuuben. Als schutz- beduürftige Betroffene gelten beispielsweise folgende Bevoülkerungsgruppen: Kinder (bei ihnen kann nicht davon ausgegangen werden, dass sie in der Lage sind, der Verarbeitung ihrer Daten wissentlich und uüberlegt zu widersprechen bzw. zuzustimmen), Arbeitnehmer, Teile der Bevölkerung mit besonderem Schutzbedarf (psychisch Kranke, Asylbewerber, Senioren, Patienten usw.) und Betroffene in Situationen, in denen ein ungleiches Verhüaltnis zwischen der Stellung des Betroffenen und des fur die Verarbeitung Verantwortlichen vorliegt (siehe [wor]).
8) Innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lüosungen:
Zum Beispiel die Kombination aus Fingerabdruck- und Gesichtserkennung zum Zwecke einer verbesserten Zugangskontrolle (siehe [wor]).
9) Fülle, in denen die Verarbeitung an sich die betroffenen Personen an der Ausuübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchfuüh- rung eines Vertrags hindert:
Hierzu zühlen Verarbeitungsvorgange, mit deren Hilfe Betroffenen der Zugriff auf eine Dienstleistung oder der Abschluss eines Vertrags gestattet, geaündert oder verwehrt werden soll (siehe [wor]).
Sofern zwei dieser Kriterien erfüllt sind, besteht die Notwendigkeit einer Datenschutz-Folgenabschätzung.
Des Weiteren ist nach Artikel 35 DSGVO zwingend eine Datenschutz-Folgenabschätzung notwendig, wenn personenbezogene Daten besonderer Kategorien verarbeitet werden oder es sich um einen speziellen Verarbeitungsvorgang handelt, der nach Artikel 35 Nr. 4 DSGVO von der Aufsichtsbehärde in einer speziellen Liste, die fortlaufend bearbeitet und ergänzt wird, veröffentlicht wurde (aktuelle Liste: siehe [dsfb]).
Nach Artikel 9 DSGVO handelt es sich unter anderem bei genetischen und biometrischen sowie bei Gesundheitsdaten um personenbezogene Daten besonderer Kategorien.
Fur den Weiteren Verlauf dieser Arbeit sind aus der Liste mit speziellen Verarbei- tungsvorgangen insbesondere die Vorgänge aus Definition 4.1 und Definition 4.2 wichtig.
Definition 4.1. (Datenverarbeitung Nr. 5)
Zusammenführung von personenbezogenen Daten aus verschiedenen Quellen und Verarbeitung der so zusammengefuhrten Daten, sofern
- die Zusammenfuhrung oder Verarbeitung in großem Umfang vorgenommen werden,
- fur Zwecke erfolgen, fur welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
- die Anwendung von Algorithmen einschließen, die fur die betroffenen Personen nicht nachvollziehbar sind, und
der Erzeugung von Datengrundlagen dienen, die dazu genutzt vjerden können, Entscheidungen zu treffen, die Rechtswirkung gegenüber den betroffenen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen können (siehe [dsfb]).
Definition 4.2. (Datenverarbeitung Nr. 10)
Zusammenfuhrung von personenbezogenen Daten aus verschiedenen Quellen und
der Verarbeitung der so zusammengefäuhrten Daten, sofern
- die Zusammenfuhrung oder Verarbeitung in großem Umfang vorgenommen werden,
- fur Zwecke erfolgen, fur welche nicht alle der zu verarbeitenden Daten direkt bei den betroffenen Personen erhoben wurden,
- die Anwendung von Algorithmen einschließen, die fur die betroffenen Personen nicht nachvollziehbar sind, und
- der Entdeckung vorher unbekannter Zusammenhange zwischen den Daten für nicht im Vorhinein bestimmte Zwecke dienen (siehe [dsfb]).
Nach Artikel 35 Nr. 7 DSGVO muss eine Datenschutz-Folgenabschätzung mindestens die folgenden vier Punkte enthalten:
1) Systematische Beschreibung der geplanten Verarbeitungsvorgänge
2) Bewertung der Notwendigkeit
3) Bewertung der Risiken
4) Geplante Abhilfemaßnahmen
4.2 Bundesdatenschutzgesetz (BDSG)
Das Bundesdatenschutzgesetz, kurz BDSG, ist in der aktuellen Fassung am 25. Mai 2018 in Kraft getreten und gilt allein fur die Bundesrepublik Deutschland. Das BDSG ist in vier Teile aufgeteilt und enthält insgesamt 85 Paragraphen.
Teil 1 (§ 1 - 21)
Teil eins des BDSG bezieht sich auf die Paragraphen 1 bis 21, in diesen Paragraphen befinden sich unter anderem allgemeine Rechtsgrundlagen fär die Datenverarbeitung und fur die Videouberwachung, Regelungen zu den Datenschutzbeauftragten öffentlicher Stellen, zur Ausgestaltung des Amtes, der Aufgaben und Befugnisse des oder der Bundesbeauftragten fur den Datenschutz und die Informationsfreiheit sowie zur deutschen Vertretung im Europäischen Datenschutzausschuss. So besagt beispielsweise der § 1 Nr. 5 BDSG, dass dieses Gesetz keine Anwendung findet, wenn ein Aspekt durch die DSGVO geregelt wird.
Teil 2 (§ 22 - 44)
Im zweiten Teil des Bundesdatenschutzgesetzes werden ergaänzende Bestimmungen zu den Oä ffnungsklauseln der Datenschutzgrundverordnung festgehalten. Die Oä ffnungsklauseln koännen konkretisiert, ergaänzt und modifiziert werden. Die ergäanzenden Bestimmungen enthalten unter anderem:
- Verarbeitung besonderer Kategorien personenbezogener Daten
- Weiterverarbeitung zu anderen Zwecken
- Datenubermittlungen durch äffentliche Stellen
- Besondere Verarbeitungssituationen
- Verfahrensregelungen fur Geldbußen bei Verstoß gegen die DSGVO
Teil 3 (§ 45 - 84)
Dieser Teil beschäftigt sich mit der Umsetzung der Datenschutz-Richtlinie Polizei und Justiz. Neben allgemeinen Regelungen zur Datenverarbeitung enthält dieser Teil unter anderem Bestimmungen zu Betroffenenrechten, zu Pflichten der Verantwortlichen und Datenuäbermittlungen an Drittstaaten.
Teil 4 (§ 85)
Teil vier regelt besondere Bestimmungen, die weder unter die DSGVO noch unter die Datenschutz-Richtlinie Polizei und Justiz fallen.
4.2.1 Bezug zu Cloud-Computing
Auch das BDSG enthalt einige Regelungen, die Bezug zum Cloud-Computing haben. Im Folgenden werden diese je nach Bezugspunkt einzeln angefuhrt.
4.2.1.1 Auftragsverarbeitung
Im Bereich der Auftragsverarbeitung hat das BDSG eine wesentliche Konkretisierung der technischen und organisatorischen Maßnahmen zur Sicherstellung der Sicherheit bei der Verarbeitung und Übertragung von personenbezogen Daten im Sinne. So sind die Ziele der technischen und organisatorischen Maßnahmen in Artikel 25 und 32 DSGVO noch recht vage gehalten, so werden diese in § 64 BDSG in folgende konkretisiert:
- Zugangskontrolle
- Datentragerkontrolle
- Speicherkontrolle
- Benutzerkontrolle
- Zugriffskontrolle
- Übertragungskontrolle
- Eingabekontrolle
- Transportkontrolle
- Wiederherstellbarkeit
- Zuverlässigkeit
- Datenintegrität
- Auftragskontrolle
- Verfuägbarkeitskontrolle
- Trennbarkeit
Paragraph 64 BDSG befindet sich allerdings in Teil 3 des BDSG, welcher fär die Ümsetzung der Datenschutz-Richtlinie Polizei und Justiz zustaändig und dementsprechend auch nur fur die Polizei und Justiz anwendbar ist. Fur den Bereich der nichtäffentliche Stellen sieht das BDSG im Bereich der Auftragsverarbeitung keine Konkretisierung vor.
4.2.1.2 Zertifizierung nach DSGVO
Zur Zertifizierung sowie zu Zertifizierungsstellen ist im BDSG nicht viel festgehalten. Relevant fur eine Zertifizierung ist, dass nach § 39 BDSG in der Bundesrepublik Deutschland die Deutsche Akkreditierungsstelle (DAkks) dafär zustandig ist, dass eine Zertifizierungsstelle akkreditiert wird und dementsprechend eine Zertifizierung nach der DSGVO anbieten kann.
4.2.1.3 Verarbeitung von personenbezogenen Daten in Drittländern
Auch im Bezug auf die Ubertagung von personenbezogenen Daten in Drittländer hat das BDSG einen relevanten Unterschied zur DSGVO furs Cloud-Computing. Zusätzlich zu den genannten Mäglichkeiten in der DSGVO, in denen eine Übertragung von personenbezogenen Daten in Drittlander genehmigt ist, wird dem Verantwortlichen durch das BDSG eine weitere Alternative gegebene. Nach § 79 Nr.1 BDSG kann die Uäbertragung von personenbezogenen Daten in Drittläander auch dann erfolgen, wenn der Verantwortliche nach Beurteilung aller Umstaände, die bei der Übermittlung eine Rolle spielen, zu der Auffassung gelangt ist, dass geeignete Garantien für den Schutz personenbezogener Daten bestehen. In solch einem Fall muss der Verantwortliche allerdings die Übertragung nach den Vorgaben des § 79 Nr. 2 BDSG dokumentieren und nach § 79 Nr. 3 BDSG jährlich an die / den Bun- desbeauftragte/n ubermitteln.
Wie § 64 BDSG befindet sich auch § 79 BDSG in Teil 3 des BDSG, dementsprechend ist auch dieser Teil nur für die Polizei und Justiz anwendbar. Fur den Bereich der nichtoäffentliche Stellen sieht das BDSG im Bereich der Verarbeitung von personenbezogenen Daten in Drittlandern keine Konkretisierung vor.
4.3 Landesdatenschutzgesetze (LDSG)
Die Landesdatenschutzgesetze der einzelnen Bundesländer der Bundesrepublik Deutschland finden in dieser Analyse keine gesonderte Beachtung, da diese zum Beispiel nach § 2 Nr. 1 LDSG Rheinland-Pfalz nur fur äffentliche Stellen, wie beispielsweise Behörden in dem jeweiligen Bundesland, gelten (und die Bestimmungen fur diesen Bereich verscharfen).
4.4 Auswertung
Durch die DSGVO sowie die Neuauflage des BDSG wird innerhalb der Europäischen Union und speziell innerhalb der Bundesrepublik Deutschland ein sehr hohes Datenschutzniveau erreicht. Auch werden Kontrollmechanismen definiert, die dafär zu sorgen haben, dass dieses Schutzniveau eingehalten wird, wodurch langfristig personenbezogene Daten geschuätzt und dementsprechend die Rechte der betroffenen Personen gewahrt werden käonnen. Auch in Bezug zum CloudComputing stellen die DSGVO sowie das BDSG einige Richtlinien bereit, die zu beachten sind. Werden diese Richtlinien beachtet, ist auch der Bereich des CloudComputing datenschutzrechtlich gut abgesichert. Dennoch stellen diese Regularien den Nutzer von Cloud-Diensten sowie den Cloud-Anbieter (Auftragsverarbeiter) vor große Probleme. Denn der Cloud-Nutzer muss sich nach diesen Regularien vorab daruber informieren, wie sicher die personenbezogenen Daten beim Anbieter sind. Fur den Nutzer ist dies ein großes Problem, da er im Grunde nicht einfach so hinter die Kulissen schauen kann und auch eine persoänliche Inspektion vor Ort oftmals nicht möglich ist oder in keinem Verhältnis steht. Der von der DSGVO vorgesehene Weg der Zertifizierung macht es durchaus einfacher, die Sicherheit der personenbezogenen Daten bei den Cloud-Anbietern festzustellen. Doch aktuell ist dies noch ein theoretischer Ansatz, da einfach keine Zertifizierung verfügbar ist, die die DSGVO in vollem Umfang berucksichtigt, woraus aktuell eine Pattsituation entsteht. Die einzige Möglichkeit hör den Nutzer ist, auf Zertifizierungen wie ISO 27001, ISO 27002, ISO 27018 zu achten, die bereits Teile der DSGVO umsetzen und eventuell eine rechtsverbindliche Garantie vom Cloud-Anbieter zu erwirken, die die Sicherheit der personenbezogenen Daten nach der DSGVO versichert. Im Bereich der Zertifizierungen ist dementsprechend gegenwärtig noch ein gewaltiger Teil aufzuarbeiten und es ist abzuwarten, wie es sich in naöchster Zeit weiterentwickelt.
5. Marktanalyse Cloud-Anbieter und Zertifikate
In diesem Kapitel wird eine kurze Marktanalyse zu den führenden Cloud-Anbietern durchgeführt, woraufhin die drei grüßten etwas genauer im Bezug auf die vorhandenen Datenschutzzertifizierungen betrachtet werden. Um diese Zertifizierungen besser verstehen zu künnen, werden im zweiten Teil dieses Kapitels die Zertifizierungen genauer betrachtet und der Bezug zum Cloud-Computing hergestellt.
5.1 Analyse der größten Cloud-Anbieter
Mittlerweile existieren unzühlige Cloud-Anbieter, die die unterschiedlichsten Services anbieten. Zu den bekanntesten gehören Amazon Web Services, Google Cloud Platform, Microsoft Azure, Oracle Cloud und IBM Cloud doch auch unbekanntere Anbieter rücken auf dem Cloud Markt vor. Zu diesen zahlen unter anderem Alibaba, Tencent Cloud und China Telekom. Auffallig ist, dass diese meist ihren Hauptsitz in China haben. Nun stellt sich die Frage, welche von diesen Cloud-Anbieten auf dem Markt die Fuhrungsrollen gemessen am Marktanteil ubernehmen. Zu diesem Zweck werden jührlich mehrere Statistiken ausgegeben. Mit Stand Q3 2018 waren die drei grüßten Anbieter Amazon Web Services, Microsoft Azure und Google Cloud Platform. Insgesamt haben diese drei einen Marktanteil von 57 Prozent (vgl. Abbildung 5.1).
Abbildung in dieser Leseprobe nicht enthalten
Abb. 5.1. Marktanteile Cloud-Computing (siehe [mar])
Mit mehr als 50 Prozent beherrschen diese drei Anbieter den Cloud-Computing Markt, doch wie haben diese Anbieter die datenschutzrechtlichen Regularien umgesetzt und welche Zertifizierungen besitzen diese im Bezug auf datenschutzrechtliche Aspekte? Um diese Fragen zu beantworten, werden die drei größten Anbieter genauer betrachtet und uberpriift, welche Informationen einem potenziellen Kunden öber die Webseiten zur Verftigung gestellt werden. Das Ergebnis dieser Uberprufung ist der Tabelle 5.1 zu entnehmen.
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 5.1. Datenschutz und Zertifizierungen der drei größten Cloud-Anbieter
Wie in Tabelle 5.1 zu sehen, bieten alle drei Anbieter nahezu das gleiche Portfolio an Zertifizierungen an, die Bezug zum Datenschutz haben. Wobei auch zu sehen ist, dass Microsoft zwei verschiedene Cloud-Platformen zertifiziert hat, Microsoft Azure und Microsoft Azure Deutschland. Nur Microsoft Azure Deutschland kann aktuell mit den Zertifizierungen von AWS und Google mithalten. Microsoft Azure Deutschland wird allerdings durch zu geringe Nutzungszahlen ab diesem Jahr nicht mehr fur Neukunden zur Verfögung stehen und dementsprechend in den nöchsten Jahren wohl komplett eingestellt. Aktuell ist Microsoft alle Vorbereitungen am treffen, um Microsoft Azure auf ein vergleichbares Datenschutzniveau zu bringen (siehe [azub]). Schlussendlich möchte ich eine subjektive Einschatzung dazu abgeben, wie leicht diese Informationen zuganglich waren beziehungsweise wie viel Aufwand nötig war, um all diese Informationen des jeweiligen Anbieters zu sammeln, vergleiche dazu Tabelle 5.2.
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 5.2. Subjektive Einschätzung der zur Verfügung gestellten Informationen
5.2 Zertifikate
In Tabelle 5.1 wurden alle von den Anbietern durchgefährten Zertifizierungen, die Bezug zum Datenschutz haben, aufgelistet. Im Folgenden werden alle Zertifizierungen genauer betrachtet und der Bezug zum Cloud-Computing hergestellt.
5.2.1 ISO 27001
Bei der ISO 27001 handelt es sich um eine internationale Norm, mit deren Hilfe die Informationssicherheit in Organisationen gewährleistet werden soll. Basis der Norm bildet die Beschreibung der Anforderungen zur Implementierung und zum Betrieb eines Informationssicherheitsmanagementsystems (ISMS). Das System ist an die Gegebenheiten der jeweiligen Organisation angepasst und beräcksichtigt individuelle Besonderheiten. Neben dem Informationssicherheitsmanagementsystem beschäftigt sich ISO 27001 mit der Analyse und der Behandlung von Risiken der Informationssicherheit. Im Rahmen der beschriebenen Anforderungen werden die Werte und Wertschäpfungsketten durch die Auswahl der geeigneten Sicherheitsmechanismen geschätzt. Für Unternehmen bietet ISO 27001 einen systematisch strukturierten Ansatz, die Integritaät der betrieblichen Daten und deren Vertraulichkeit zu schutzen. Gleichzeitig sorgt sie fär die Sicherstellung der Verfugbarkeit der an den Unternehmensprozessen beteiligten IT-Systeme. Diese Norm ist die Grundlage fär zahlreiche Erweiterungen, die die ISO 27001 hir spezielle Teilbereiche erweitern, so auch fur ISO 27017 und ISO 27018. ISO 27001 hat sich weltweit als Standard etabliert und ist eine der bekanntesten Normen fur Informationssicherheit.
Eine Zertifizierung nach ISO 27001 bietet folgende Vorteile:
- Minimierung von Haftungsrisiken
- Minimierung von Geschäftsrisiken
- Senkung von Versicherungsprämien
- Optimierung von Prozess- und IT-Kosten
- Steigerung der Wettbewerbsfähigkeit
- Schaffung von Vertrauen bei Kunden, Geschäftspartnern und in der Öffentlichkeit
- Bedrohungen im Unternehmen zuverlässig erkennen und reduzieren
- Schutz von vertraulichen Daten vor Missbrauch, Verlust und Offenlegung
Mit der Zertifizierung erbringt die Organisation den dokumentierten Nachweis, dass die Anforderungen der Informationssicherheit eingehalten und die Maßnahmen zum Schutz von Daten umgesetzt sind. Kunden und Geschaftspartner erhalten dank der Zertifizierung einen vertrauenswrndigen Beleg dafur, dass eine ausreichende IT-Sicherheit gewährleistet werden kann (siehe [isoa]).
5.2.2 ISO 27002
Der ISO 27002 ist ein internationaler Standard, der Empfehlungen fur diverse Kontrollmechanismen beinhaltet. Dieser Standard kann auch als umfassende “Best Practice“ Sammlung angesehen werden. Er umfasst 14 Uberwachungsbereiche, die sich in Kontrollziele und Sicherheitsmaßnahmen untergliedern.
Uberwachungsbereiche:
- Security Policy
- Organization of Information Security
- Human Resources Security
- Asset Management
- Access Control
- Cryptography
- Physical And Environmental Security
- Operations security
- Communications Security
- Information Systems Acquisition, Development, Maintenance
- Supplier Relationships
- Information Security Incident management
- Information Security Aspects of Business Continuity
- Compliance
Eine Zertifizierung nach diesem Standard ist grundsaätzlich nicht moäglich. Die ISO 27002 ist die Grundlage fur zahlreiche Erweiterungen, so auch fur den ISO 27018 Standard.
5.2.3 ISO 27017
Die ISO 27017 ist eine internationale Norm zur Absicherung von Cloud-Services. In dieser Norm sind spezifische Empfehlungen für die Anbieter von Cloud-Dienstleis- tungen definiert. Die Anforderungen der ISO 27017 sind speziell fur die Anbieter von Cloud-Dienstleistungen zugeschnitten worden. Für jeden Bereich der übergeordneten Norm ISO 27001 werden mügliche Besonderheiten der Cloud- Sicherheit explizit dargelegt. Daruber hinaus spezifiziert die ISO 27017 die Beziehung zwischen Kunden und Cloud-Anbietern. Es wird genau beschrieben, was Kunden von ihrem Anbieter erwarten künnen und was Anbieter selbst an Informationen für Kunden bereithalten sollten. So betrifft die ISO 27017 nicht nur die Anbieter von Cloud-Services selbst, sondern die Sicherheit der Cloud insgesamt. Wenn die Norm eingehalten wird, können beide Seiten davon ausgehen, dass alle wichtigen Punkte in Bezug auf die Sicherheit bei dem jeweiligen Service auch beruücksichtigt werden. Die Norm kann Cloud-Anbietern dabei helfen, wichtige Sicherheitsaspekte zu identifizieren, um sich so fur einen geeigneten Partner zu entscheiden. Die ISO 27017 sorgt durch ein Analyseraster und den gezielten Austausch von Informationen fuür eine Standardisierung der Beziehungen zwischen Kunden und Cloud-Service-Providern und erleichtert so das Management der Geschüftsbeziehung (siehe [isob]).
5.2.4 ISO 27018
ISO 27018 legt datenschutzrechtliche Anforderungen fur die Anbieter von Cloud- Diensten fest und formuliert Überwachungsmechanismen und Richtlinien fur die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen. Dabei beruücksichtigt die Norm datenschutzrechtliche Anforderungen, die in anderen Bereichen bereits existieren und passt diese speziell auf Informationssicherheitsrisiken im Bereich des CloudComputing an und stimmt somit zum Beispiel mit der DSGVO in vielen Punkten überein. Die folgende Zusammenfassung gibt die Kernpunkte des ISO 27018 Standard wieder (siehe [isoc]):
- Personenbezogene Daten durfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
- ISO 27018 verlangt, das Cloud-Provider Tools anbieten, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu personlichen Daten zu gewühren beziehungsweise diese andern, loschen und korrigieren zu künnen.
- Cloud-Provider haben Prozesse festzulegen, die Ruckgabe, Übermittlung, Transfer und Vernichtung von personenbezogenen Daten festlegen.
- Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss von der rechtlichen Verpflichtung in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
- Personenbezogene Daten sind nicht fuür eigene Zwecke zu nutzen.
- Bevor personenbezogene Daten für Marketing- oder Werbezwecke genutzt werden, bedarf es einer ausdrücklichen Einwilligung des Kunden.
- Cloud-Provider haben die Lünder offen zu legen, in denen eine Verarbeitung personenbezogener Daten stattfindet.
- Cloud-Anbieter müssen dem Kunden jede Art von Verletzung der Datensicherheit anzeigen und ihm diejenigen Informationen bereitstellen, die er seinerseits benötigt, um seinen Anzeigepflichten nachzukommen.
- Der Zeitraum fur die Vornahme der Anzeigeverpflichtung ist festzulegen.
- Zeitpunkt, Art und Konsequenzen hinsichtlich der Verletzung der Datensicherheit sind zu dokumentieren.
5.2.5 CSA
Die Cloud Security Alliance (CSA) STAR-Zertifizierung ist eine strenge un- abhüngige Priifung der Sicherheit eines Cloud-Service-Providers durch Dritte. Die technologieneutrale Zertifizierung nutzt die Anforderungen des ISO 27001 Standards zusammen mit der CSA Cloud Controls Matrix, einem festgelegten Kriteriensatz, der die Fühigkeitsstufen des Cloud-Services misst. Organisationen, die Dienste an Cloud-Dienstanbieter auslagern, haben eine Reihe von Bedenken hinsichtlich der Sicherheit ihrer Daten und Informationen. Mit der STARZertifizierung künnen Cloud-Anbieter jeder Grüße potenziellen Kunden ein besseres Verstaündnis ihrer Sicherheitsstufe vermitteln.
Die STAR-Zertifizierung basiert auf der Erreichung von ISO 27001 und den festgelegten Kriterien, die in der Cloud Controls Matrix aufgefuührt sind. Bei der unabhaüngigen Bewertung durch eine akkreditierte CSA-Zertifizierungsstelle wird allen Sicherheitsdomünen eine “Management Capability“-Punktzahl zugewiesen. Jede Domain wird nach einer bestimmten Laufzeit bewertet und anhand von fünf Managementgrundsützen bewertet. Mit der CSA STAR-Zertifizierung kann der Wirtschaftsprufer die Leistung eines Unternehmens hinsichtlich langfristiger Nachhaltigkeit und Risiken bewerten. Dies ermüglicht es dem Management, die Verbesserungen Jahr fur Jahr zu quantifizieren und zu messen (siehe [csaa]).
Die CSA STAR-Zertifizierung kann auf drei verschiedenen Leveln durchgefuührt werden. Eine entsprechende Zuordnung der Level mit Security und Privacy relevanten Aspekten ist in Abbildung 5.2 zu sehen.
Abbildung in dieser Leseprobe nicht enthalten
5.2.6 C5
Der Anforderungskatalog (Cloud-Computing Compliance Controls Catalogue, kurz ”C5”) richtet sich in erster Linie an professionelle Cloud-Anbieter, deren Prüfer und Kunden der Cloud-Anbieter. Es wird festgelegt, welche Anforderungen die Cloud-Anbieter erfüllen müssen beziehungsweise auf welche Anforderungen der Cloud-Anbieter mindestens verpflichtet werden sollte. Mit der Veröffentlichung des Anforderungskatalogs (C5) zur Beurteilung der Informationssicherheit von Cloud- Diensten wird eine Basislinie fur Cloud Security aus Sicht des Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt. Dabei wird ein etabliertes Nachweisverfahren verwendet, das nur einen geringen Mehraufwand fur den Cloud- Anbieter bedeutet.
Der Katalog ist in 17 thematische Bereiche (z. B. Organisation der Informationssicherheit, Physische Sicherheit) unterteilt. Hier bedient sich das BSI bei anerkannten Sicherheitsstandards wie ISO 27001, der Cloud Controls Matrix der CSA sowie BSI-Veroüffentlichungen und uübernimmt deren Anforderungen, wo immer es sich angeboten hat. Neben diesen Basis-Anforderungen sind im Katalog zu vielen Anforderungen auch weitergehende Anforderungen enthalten, die entweder besonders die Vertraulichkeit oder die Verfuügbarkeit oder beides zugleich adressieren. Eine Erweiterung im Vergleich zu anderen Sicherheitsstandards sind die sogenannten Umfeldparameter. Sie geben Auskunft uber Datenlokation, Diensterbringung, Gerichtsstandort, Zertifizierungen und Ermittlungs- und Offenbarungspflichten gegenüber staatlichen Stellen und enthalten eine Systembeschreibung. Die so geschaffene Transparenz erlaubt es potentiellen Cloud-Kunden zu entscheiden, ob gesetzliche Vorschriften (wie z.B. Datenschutz), die eigenen Richtlinien oder auch die Gefährdungslage bezuglich Wirtschaftsspionage die Nutzung des jeweiligen Cloud- Dienstes als geeignet erscheinen lassen (siehe [c5:]).
5.2.7 IT-Grundschutz Konformität
Die gelistete IT-Grundschutz Konformität stellt keine Zertifizierung als solche dar. In diesem Zusammenhang bedeutet die IT-Grundschutz Konformität, dass der Anbieter Kunden Hilfestellung dabei gibt, eine IT-Grundschutz Zertifizierung im Zusammenhang mit Cloud-Diensten zu erlangen. Die Hilfestellung kann zum Beispiel, wie bei AWS, ein Workbook sein, das Informationen zur Umsetzung der Anforderungen der BSI-Standards 200-1 und 200-2 sowie zu den Anforderungen, die an IT-Grundschutz-Zertifizierungen von ausgelagerten Komponenten gestellt werden, enthalten. Die IT-Grundschutz Bausteine, die Bezug zum Cloud-Computing haben, sind in der Tabelle 5.3 aufgelistet (siehe [clod]).
Abbildung in dieser Leseprobe nicht enthalten
Tabelle 5.3. IT-Grundschutz Cloud Bausteine
5.2.8 EU-US Privacy Shield
Eine Zertifizierung nach dem EU-US Privacy Shield bedeutet, dass personenbezogene Daten aus dem europäischen Wirtschaftsraum ohne weitere Maßnahmen in die USA ubertragen werden durfen. Somit können in Bezug auf Cloud-Computing auch Rechenzentren der Cloud-Anbieter genutzt werden, die in den USA errichtet worden sind, ohne datenschutzrechtliche Regularien zu verletzen.
5.3 Auswertung
Entsprechend der Tabellen 5.1 und 5.2 geben sich die drei größten Cloud-Computing Anbieter nicht viel in Bezug auf die Umsetzung von Datenschutzzertifizierungen. Einzig Microsoft höngt mit der Abschaffung von Azure Deutschland etwas mit den Zertifizierungen hinterher, die dadurch fur Azure komplett nachgeholt werden mössen. Zudem gibt es kleinere Unterschiede in der Art und Weise sowie der Strukturierung der zur Verftigung gestellten Informationen. Im Großen und Ganzen kann dennoch gesagt werden, das alle drei Cloud-Anbieter ein hervorragendes Zertifizierungsniveau und dementsprechend Datenschutzniveau bereitstellen.
[...]
-
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X. -
Upload your own papers! Earn money and win an iPhone X.