Trusted Clouds: Datenschutz-Zertifizierung von Cloud-Diensten

cloud 08
Fachbeitrag

Cloud-Dienste, wie z.B. von Microsoft, Amazon oder Google sind bereits seit einigen Jahren auf dem Vormarsch und das nicht nur im privaten Bereich. Viele Firmen setzten bereits heute auf die allgegenwärtige Verfügbarkeit ihrer Daten und Anwendungen, die die „Cloud“ ihnen bietet und lagern immer mehr Dienste und Kapazitäten aus.

Den Datenschutz stellt diese Entwicklung vor erhebliche Herausforderungen, gilt es doch sicher zu stellen, dass personenbezogene Daten sowie Unternehmensdaten auch wenn Sie in der „Cloud“ liegen, nicht für jedermann zugänglich sind und Geheimes auch geheim bleibt. Dies war bisher häufig Anlass für kritische Beurteilungen von Cloud Diensten, wie wir in der Vergangenheit in mehreren Artikeln berichtet hatten.

Voraussetzungen für die Nutzung von Cloud-Diensten

Eine spezielle gesetzliche Regelung für die Nutzung von Cloud-Diensten findet man im Datenschutzgesetz auch bei intensiver Suche nicht. Dies ist allerdings auch nicht weiter verwunderlich, sind die Möglichkeiten zu Nutzung von Cloud-Diensten sehr vielfältig. Die Zulässigkeit und die Voraussetzungen haben sich daher immer am konkreten Einzelfall zu orientieren.

Die Aufsichtsbehörden sehen die Nutzung  von Cloud-Diensten in den allermeisten Fällen als Auftragsdatenverarbeitung und verlangen bei deren Nutzung daher insbesondere die Einhaltung der Vorgaben des § 11 BDSG. Hierzu gehören z.B. nach der Art-29 Datenschutzgruppe und der Orientierungshilfe der Konferenz der Datenschutzbeauftragten des Bundes und der Länder:

  • Eine schriftliche Auftragsvergabe,
  • die eigenständige Sicherstellung eines ausreichenden Schutzniveaus für die Übermittlung ins nicht EU-Ausland,
  • das Ausbedingen ausreichender Kontroll- und Weisungsrechte sowie
  • die Festlegung konkreter technischer und organisatorischer Maßnahmen zu Datenschutz und Datensicherheit beim Auftragnehmer (TOMs).

Dies ist für einzelne Nutzer insbesondere von großen Cloud-Diensten nahezu unmöglich.

Wie aber kann der Auftraggeber praktikabel sicher stellen, dass der Datenschutz beim Auftragnehmer ausreichend eingehalten ist.

Genau dies ist im Bereich der Cloud-Dienste die zentrale Frage

Wie kann der Auftragnehmer die Sicherheit der von ihm „übermittelten“ Daten überprüfen, ohne dass jeder einzelne Auftraggeber diese vor Ort für sich überprüfen muss? Gerne wird hier auf bestehende Zertifikate zurückgegriffen, die die Einhaltung der datenschutzrechtlichen Anforderungen bestätigen sollen. Allerdings sind längst nicht alle Anbieter mit entsprechenden Zertifikaten ausgestattet und gerade im Bereich Safe Harbour gibt es immer noch diverse Vorbehalte in Bezug auf die Gewährleistung der Datensicherheit. Auch existiert bisher in speziell auf die Belange on Cloud-Diensten angepasstes Zertifizierungsverfahren nicht.

Projekt Trusted Cloud

Hier setzt jetzt das vom Bundesministerium für Wirtschaft und Technologie (BMWi) ins Leben gerufene Pilotprojekt „Trusted Clouds“ an. Ziel des Vorhabens ist, nach Angaben des BMWi in seiner Pressemitteilung vom 05.11.2013 mitteilt,

geeignete Zertifizierungsverfahren für Cloud-Dienste zu entwickeln, um ein hohes Datenschutzniveau für die Nutzer der Dienste sicherzustellen

Mit Hilfe dieses Pilotprojektes sollen, so die Informationen auf der eigens hierzu vom BMWi eingerichteten Projektseite gerade für den Cloud-Bereich verbindliche Standards für Cloud-Dienste entwickelt und sichere und rechtskonforme Cloud-Lösungen geschaffen werden, die kombinierbar sind und an denen sich der Nutzer dann orientieren kann. Das aus dem Projekt zu entwickelnde Datenschutz-Zertifizierungsverfahren soll künftig von unabhängigen Zertifizierungsstellen zur Verfügung stehen.

Beteiligt sind an diesem aus insgesamt 14 Einzelprojekten bestehenden Pilotprojekt nach Angaben des BMWi, insgesamt 36 Unternehmen, 27 wissenschaftliche Einrichtungen und 4 weitere Institutionen, darunter mehrere Datenschutzbehörden, Anbieter und Anwender von Cloud-Diensten sowie Unternehmen aus den Bereichen der IT-Prüfung und IT-Rechtsberatung.

Das Projekt soll im Frühjahr 2015 abgeschlossen werden.

Weitere Informationen

finden Sie auf der eigens für dieses Projekt eingerichteten Internetseite: www.trusted-cloud.de

Hinterlassen Sie einen Kommentar

Die von Ihnen verfassten Kommentare erscheinen nicht sofort, sondern erst nach Prüfung und Freigabe durch unseren Administrator. Bitte beachten Sie auch unsere Nutzungsbedingungen und unsere Datenschutzerklärung.