Trusted Cloud – Effizienter Datenschutz durch Cloud-Zertifizierung

cloud 04
Fachbeitrag

Das Bundeswirtschaftsministerium (BMWi) hat in dem im November 2013 gestarteten Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“ ein Konzept zur Zertifizierung von Cloud-Diensten und einen Prüfstandard (TCDP) entwickelt und diese nun vorgestellt. Ein einheitliches Zertifizierungsverfahren soll für den Cloud-Nutzer Rechtssicherheit schaffen und dem Cloud-Anbieter Wettbewerbsvorteile sichern. Rechtlich soll das Zertifizierungsverfahren in der Datenschutzgrundverordnung (DSGVO) geregelt werden.

Cloud und Auftragsdatenverarbeitung nach dem BDSG

Da in der Regel personenbezogene Daten im Auftrag verarbeitet werden, liegt nach dem Bundesdatenschutzgesetz eine Auftragsdatenverarbeitung nach § 11 BDSG vor. Damit sind für den Cloud-Nutzer als Auftraggeber umfassende Prüfpflichten verbunden. Er muss insbesondere sichergehen, dass der Cloud-Anbieter als Auftragnehmer die notwendigen technischen und organisatorischen Maßnahmen nach dem BDSG getroffen hat. Dies ist anschließend auch zu dokumentieren.

Erfüllt der Unternehmer seine Prüf-und Dokumentationspflichten nicht, stellt dies eine Ordnungswidrigkeit nach § 43 BDSG dar und kann mit einem Bußgeld von bis zu 50.000€ geahndet werden.

In der Praxis führt dies dazu, dass jedes Unternehmen jeden Cloud Dienst eigenständig überprüfen müsste. Dies erfordert Fachwissen und Zeit und ist besonders von kleineren und mittelständigen Unternehmen auch aus finanziellen Gründen kaum zu leisten.

Was nutzt das Zertifikat für die Cloud?

Ein einheitliches Zertifizierungsverfahren soll die Nutzung von Cloud-Diensten sicher und effizienter gestalten. Ein Zertifikat gilt als „Wissensbekundung“ darüber, dass der Cloud-Dienst die rechtlichen und technischen Anforderungen des BDSG erfüllt und damit als „sicher“ eingestuft wird. Der Rückgriff auf einen Cloud-Dienst mit Zertifikat soll:

  • die Prüf- und Dokumentationspflicht nach § 11 BDSG erfüllen
  • Haftungsrisiken des Cloud-Nutzers minimieren
  • dem Cloud-Anbieter einen Wettbewerbsvorteil schaffen.

Das Zertifizierungsverfahren

Für das Zertifizierungsverfahren sind im Wesentlichen drei Schritte vorgesehen, die gesetzlich einheitlich in der DSGVO geregelt werden sollen:

  • Antrag des Cloud-Anbieters bei der Prüfstelle auf Durchführung eines Zertifizierungsverfahrens
  • Prüfstelle überprüft den Cloud-Dienst nach festgelegter Prüfordnung (TCDP) und erstellt Prüfbericht
  • Zertifizierungsstelle entscheidet anhand des Prüfberichts über die (eingeschränkte) Erteilung oder Versagung des Zertifikates

Das Zertifikat soll anschließend zeitlich begrenzt auf eine Dauer von drei Jahren ausgestellt werden und im gesamten Anwendungsbereich der DSGVO gültig sein. Nach Ablauf der der drei Jahre muss eine Rezertifizierung erfolgen. An diese sind jedoch weniger hohe Anforderungen zu stellen.

Welche Anforderungen müssen die Prüf-und Zertifizierungsstellen erfüllen?

Um tatsächlich mehr Rechtssicherheit zu schaffen, müssen an die Prüf-und Zertifizierungsstellen verbindliche Anforderungen gestellt werden. Nach dem BMWi sind künftig folgende Punkte zu beachten:

  • Die Zertifizierung von Cloud-Diensten kann nach heutigem Stand sowohl von öffentlichen, als auch von privaten Anbietern erfolgen. Das soll in der DSGVO geregelt werden.
  • Zwischen den Prüf-und Zertifizierungsstellen ist eine funktionale Trennung vorgesehen. Eine rechtliche und organisatorische Trennung ist nicht zwingend erforderlich, gilt aber als erprobt und wird empfohlen.
  • Notwendig ist die Eignung und Unabhängigkeit der zertifizierenden Stelle. Eignung umfasst die Fachkunde, Organisation und Ressourcen. Um hier Rechtsicherheit zu schaffen sollen die Voraussetzungen an die Stellen konkretisiert und gesetzlich festgelegt werden.
  • Um dies auch in der Praxis umzusetzen ist ein Akkreditierungsverfahren vorgesehen. Die Anforderungen an die Akkreditierungsstellen sollten wiederum in des DSGVO im Grundsatz geregelt werden.

Ausblick

Generell bleibt abzuwarten, ob und wie eine gesetzliche Regelung zur Zertifizierung von Cloud-Diensten getroffen wird. Insbesondere bleibt kritisch zu beobachten, in wie weit der Rückgriff auf einen zertifizierten Anbieter tatsächlich von Haftungsrisiken befreit.

Auch die Kostenfrage ist noch unklar und wird sich erst durch Erprobung des Verfahrens zeigen. Der Erlass einer gesetzlichen Kostenregelung ist allerdings nicht vorgesehen.

Der Prüfstandard (TCDP) für die Zertifizierung liegt momentan in der Version v.0.9 vor. Er wird nun getestet und weiterentwickelt und soll 2016 in einer Endversion zur Verfügung stehen. Der TCDP ist jedoch auf den aktuellen Stand uns ist damit zur Verwendung freigegeben.

Die Ergebnisse der Projektgruppe sind unter www.trusted-cloud.de einsehbar und stehen dort zum Download bereit.

Sie haben Fragen?

Unsere Berater helfen Ihnen dabei, den Umgang mit personenbezogenen Daten in Ihrem Unternehmen rechtssicher und praxisgerecht zu gestalten. Dabei unterstützen wir Sie u.a. bei folgenden Themen:

  • Auswahl eines Cloud Anbieters nach Aspekten des Datenschutzes
  • Einhaltung gesetzlicher Anforderungen bei Beauftragung internationaler Cloud Anbieter
  • Datenschutzvereinbarungen und Zertifizierungen für Cloud Anbieter

Informieren Sie sich hier über unser Leistungsspektrum: Outsourcing mit Cloud-Diensten

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.