Zertifizierung von Cloud-Diensten nach der DSGVO

auditor
Datenschutzzertifizierung von Cloud-Diensten

AUDITOR veröffentlicht Kriterienkatalog

European Cloud Service Data Protection Certification (kurz: AUDITOR) wird gefördert durch das Bundesministerium für Wirtschaft und Energie (BMWi). Ziel dieses Forschungsprojekts ist die Konzeptionierung sowie die exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten.

Obwohl die Cloud-Nutzung boomt und mit ihr die Fülle an Cloud-Diensten und Zertifizierungen, bestehen – auch wenige Tage nach Beginn der Gültigkeit der DSGVO – weiterhin Unsicherheiten bei der Auslagerung von sensiblen Prozessen und Daten. Insbesondere die kleinen und mittelständischen Unternehmen müssen sich überlegen, wie sie sich aufstellen, um als digitales Unternehmen auch in Zukunft wettbewerbsfähig und datenschutzkonform zu sein. Dabei geht es auch um die Beantwortung von Fragen wie:

  • Welche Angebote sind sicher?
  • Wie zuverlässig sind die unterschiedlichen Anbieter
Forschungsprojekt gegen mangelnde Transparenz bei Cloud-Angeboten

Ein interdisziplinäres Team aus Wissenschaftlern und Unternehmen will dazu Klarheit und mehr Rechtssicherheit schaffen und erarbeitet eine Datenschutzzertifizierung von Cloud-Diensten, die auf Basis der neuen EU-Datenschutzgrundverordnung (DSGVO) in der Praxis als Standard europaweit zum Einsatz kommen soll. Unter der Leitung von Prof. Dr. Ali Sunyaev (Karlsruher Instituts für Technologie), werden die Projektpartner alle relevanten Aspekte vor dem Hintergrund der DSGVO betrachten.

„Das Projekt AUDITOR soll die Vergleichbarkeit von Cloud-Diensten, die vonseiten der Unternehmen aus unterschiedlichen EU-Mitgliedsstaaten angeboten werden, verbessern und damit Transparenz schaffen. Ermöglicht wird dies durch eine nachhaltig anwendbare EU-weite Datenschutzzertifizierung von Cloud-Diensten nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO). Wir arbeiten quasi im Interesse aller am Markt beteiligten Akteure an einer Marktweiterentwicklung im Cloud-Bereich und konnten als wichtigen Meilenstein jetzt den Kriterienkatalog veröffentlichen“, berichtet Prof. Dr. Ali Sunyaev (Critical Information Infrastructures Lab, Karlsruher Institut für Technologie). Neben seinem Lehrstuhl sind ebenfalls der Lehrstuhl von Prof. Dr. Alexander Roßnagel des Öffentlichen Rechts mit Schwerpunkt Recht der Technik und des Umweltschutzes der Universität Kassel sowie weitere Konsortialpartner und assoziierte Partner beteiligt.

Kriterienkatalog als Basis für eine Normung

Um eine nachhaltige Datenschutzzertifizierung zu konzipieren, wurde im AUDITOR-Projekt kürzlich die erste Fassung des Kriterienkatalogs für die Zertifizierung von Cloud-Diensten nach der DSGVO veröffentlicht, um eine entsprechende Standardisierung in Form einer DIN-Spezifikation zu entwickeln. Diese DIN-Spezifikation bildet die Grundlage für die Europäische Normung und die Entwicklung eines EU-weit anerkannten Datenschutz-Zertifizierungsschemas. Alle relevanten Rechtsformtabellen sowie die einzubeziehenden Normen für die technischen und organisatorischen Maßnahmen (TOM) wurden im Kriterienkatalog zu prüffähigen Punkten konkretisiert.

Der AUDITOR-Kriterienkatalog enthält alle Anforderungen, Umsetzungshinweise, Erläuterungen und Nachweise. Die Kriterien sind in der aktuellen Fassung in folgende sechs Kapitel gegliedert:

  • Cloud-Vertrag mit den gesetzlichen Vorgaben gem. DSGVO
  • Rechte und Pflichten des Cloud-Anbieters inkl. Schutzklassenkonzept für TOM und Datenschutz-Folgeabschätzung (DSFA)
  • Datenschutz-Managementsystem des Cloud-Anbieters
  • Datenschutz durch Systemgestaltung
  • Subauftragsverarbeitung
  • Auftragsverarbeitung außerhalb der EU und des EWR

Die aktuelle Version des AUDITOR-Kriterienkatalogs steht zum Download bereit: http://docs.auditor-cert.de/

Projektpräsentation und Pressegespräch am 06.06.2018 in Berlin

Mit Vertretern des BMWI und des AUDITOR-Konsortiums wird der AUDITOR-Kriterienkatalog am 06.06.2018 erstmals in Berlin präsentiert. Im Rahmen einer Projektpräsentation und eines Pressegesprächs erhalten die Teilnehmer die Gelegenheit zentrale Elemente aus dem Kriterienkatalog kennenzulernen. Sie erhalten dabei Einblicke wie in Zukunft die Rechtssicherheit von Cloud-Diensten für die Verarbeitung von personenbezogenen Daten nachgewiesen werden kann. Im Anschluss besteht die Möglichkeit für Einzelgespräche.

Wann:  06.06.2018; 14:00 Uhr bis 16:00 Uhr
Wo:        Bundesministerium für Wirtschaft und Energie,
Scharnhorststraße 34-37, 11115 Berlin
Anmeldung:    https://secure.pt-dlr.de/pt-conference/conference/PROPRESS

Außerdem können sich Besucher der CEBIT vom 11. bis zum 15 Juni in Hannover (Halle 16, Stand E06) umfassend über das AUDITOR-Forschungsprojekt informieren.

Ausblick: AUDITOR-Zertifikat für DSGVO-Konformität

Zukünftig können Unternehmen durch ein AUDITOR-Zertifikat die Konformität zur DSGVO nachweisen, und dadurch Wettbewerbsvorteile durch eine erhöhte Transparenz und vertrauenswürdigem Zertifikat erzielen.

Der AUDITOR-Kriterienkatalog bildet die Grundlage für die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen unter Berücksichtigung internationaler Standards. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein erfolgreiches Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren und die im AUDITOR-Projekt erarbeiteten Kriterien werden während des Projektzeitraums (Projektstart: November 2017 – Projektende: Oktober 2019) aufbauend auf dem Feedback von Cloud-Dienst-Anbietern, Zertifizierungsstellen und weiteren zentralen Stakeholdern fortlaufend verfeinert sowie in der Praxis erprobt und validiert.

Der AUDITOR-Kriterienkatalog wird in regelmäßigen Abständen in einer neuen Fassung veröffentlicht: http://docs.auditor-cert.de/

Weitere Information zum AUDITOR-Projekt: http://www.auditor-cert.de/

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.