Pilotprojekt: Datenschutz-Zertifizierung von Cloud-Diensten

Herausforderung: Effizienter Datenschutz im Cloud Computing

Bei der Nutzung von Cloud-Computing-Diensten muss ein hinreichender Datenschutz gewährleistet sein, der sich auch auf die Sicherheit der Datenverarbeitung beim Cloud-Anbieter erstreckt. Daher müssen die technischen und organisatorischen Maßnahmen des Cloud-Anbieters überprüft werden.

Eine Überprüfung der technischen Systeme des Cloud-Anbieters durch jeden Cloud-Nutzer wäre jedoch kaum praktikabel und würde zu weit überhöhten Kosten führen. Viele Unternehmen, die Cloud-Dienste nutzen möchten, können diese nicht aus eigener Kraft durchführen.

Ziel der Datenschutz-Zertifizierung

Diese Schwierigkeiten können durch ein geeignetes Zertifizierungsverfahren überwunden werden, das alle datenschutzrechtlichen Anforderungen an den Auftragsdatenverarbeiter im Cloud Computing umfasst. Dabei werden die technischen Maßnahmen des Cloud-Anbieters von einer fachlich geeigneten und unabhängigen Zertifizierungsstelle überprüft. Das Ergebnis der Prüfung kommt allen Cloud-Nutzern zugute.

Mit dieser Zertifizierung kann sowohl ein hohes Datenschutzniveau gewährleistet als auch eine effiziente Grundlage für die Nutzung von Cloud-Diensten geschaffen werden.

Ziel des Pilotprojekts

Die Arbeitsgruppe „Rechtsrahmen des Cloud Computing“ im Kompetenzzentrum Trusted Cloud hat in ihrem rechtspolitischen Thesenpapier "Datenschutzrechtliche Lösungen für Cloud Computing" von Oktober 2012 ein Konzept für ein solches Zertifizierungsverfahren ausgearbeitet. Die Bundesregierung hat einen darauf aufbauenden Gesetzesvorschlag abgestimmt und in den Verhandlungsprozess zur Datenschutz-Grundverordnung auf europäischer Ebene eingebracht.

Im Rahmen des Pilotprojekts wurde ein datenschutzrechtlicher Prüfkatalog für Cloud-Dienste, der „Trusted Cloud-Datenschutzprofil für Cloud Dienste“ (TCDP) erarbeitet. Das TCDP beruht auf dem Standard ISO/IEC 27018 und konkretisiert die gesetzlichen Anforderungen des BDSG für Cloud-Dienste.

Hintergrund

Beim Cloud Computing wird datenschutzrechtlich meist eine Auftragsdatenverarbeitung durchgeführt, bei der der Cloud-Nutzer als Auftraggeber, der Cloud-Anbieter als Auftragnehmer tätig wird. Deutsches und europäisches Datenschutzrecht, ebenso der Entwurf der Datenschutz-Grundverordnung, verlangen vom Auftraggeber, sich von der Erfüllung der datenschutzrechtlichen Anforderungen einschließlich der technischen Maßnahmen zur Gewährleistung der Datensicherheit, zu überzeugen.

Das Konzept der Arbeitsgruppe "Rechtsrahmen des Cloud Computing" sieht vor, dass der Cloud-Nutzer diese Pflicht dadurch erfüllen kann, dass er sich vom Cloud-Anbieter ein Testat (Compliance-Zertifikat) vorlegen lässt, das die Gewährleistung der datenschutzrechtlichen Anforderungen durch den Cloud-Anbieter bestätigt.

Eine entscheidende Grundlage für das Gelingen eines solchen Zertifizierungsverfahrens ist es, dass die Zertifizierung von einer fachlich geeigneten und unabhängigen Zertifizierungsstelle durchgeführt wird. Wesentlich ist, dass die Prüfung und Zertifizierung auf der Grundlage allgemeiner, anerkannter Kriterien erfolgt, die für alle Zertifizierungsvorgänge gleichermaßen gelten. Die technischen und organisatorischen Anforderungen sollten bei Standard-Diensten, die sich an einen großen Nutzerkreis richten, soweit wie möglich konkretisiert werden, um die Gleichartigkeit der Anforderungen zu sichern.

Das vorgeschlagene Konzept sieht eine gesetzliche Regelung der Zertifizierung von Auftragsverarbeitung durch die künftige europäische Datenschutz-Grundverordnung vor, die die maßgeblichen Elemente eines solchen Zertifizierungsverfahrens benennt. Der Entwurf der Datenschutz-Grundverordnung enthält die gesetzliche Grundlage für ein solches Verfahren.

Zur praktischen Umsetzung der Zertifizierung sind etliche Schritte erforderlich, die einer Regelung, etwa durch delegierte Rechtsakte sowie durch technische Normen, bedürfen.

Träger des Pilotprojekts

In einem ersten Schritt wurde ein Pilotprojekt im Auftrag des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) vom Kompetenzzentrum Trusted Cloud in Kooperation mit Projektpartnern des Technologieprogramms Trusted Cloud durchgeführt.

Daran waren alle maßgeblichen Interessenvertreter beteiligt, insbesondere Datenschutzbehörden und Privatwirtschaft, d. h. Anbieter und Nutzer von Cloud-Diensten, sowie Stellen mit Erfahrung in Normung und Zertifizierung von IT Diensten. Die Zahl der Projektbeteiligten war begrenzt, um die Arbeitsfähigkeit der Gruppe sicherzustellen. Das Pilotprojekt wurde von Prof. Dr. Georg Borges (Universität des Saarlandes) geleitet.

Wesentliche Arbeitsergebnisse wurden im Rahmen der Abschlusskonferenz Trusted Cloud (10./11. Februar 2015) sowie im Rahmen einer Abschlussveranstaltung des Pilotprojekts veröffentlicht.

Das Pilotprojekt wird mit Unterstützung des BMWK bis Ende 2016 fortgeführt. Aktuelle Informationen sowie die Kontaktdaten finden Sie hier. http://www.digitale-technologien.de/DT/Navigation/DE/Foerderprogramme/Trusted_Cloud/trusted_cloud.html