Foto: Sinuswelle - shutterstock.com
Das Forschungsprojekt European Cloud Service Data Protection Certification (AUDITOR) soll eine europaweite Datenschutzzertifizierung für Anbieter von Cloud-Diensten entwickeln. So können diese transparent nachweisen, dass sie sich an die Regeln der Datenschutz-Grundverordnung (DSGVO) halten. Einen wesentlichen Meilenstein nahm das vom Bundesministerium für Wirtschaft und Energie (BMWi) geförderte Projekt mit seinem Ende März 2019 veröffentlichten Kriterienkatalog. Der AUDITOR-Kriterienkatalog setzt als systematischer Maßnahmenleitfaden die technikneutralen Vorgaben der DSGVO in prüffähige Kriterien um. Zudem entwickelt er aus den abstrakten datenschutzrechtlichen Anforderungen greifbare Umsetzungsempfehlungen und -hinweise und verbindet diese mit Vorgabenhinweisen aus anderenRegelungswerken wie etwa der ISO 27001.
AUDITOR baut auf die bereits bestehenden Datenschutzstandards von Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP) sowie dem Standard-Datenschutz-Modell (SDM) auf und erweitert diese um die DSGVO-Anforderungen. Bei der Ausarbeitung des AUDITOR-Kriterienkatalogs sind neben zahlreichen Experten aus Wissenschaft, Wirtschaft und Anwaltschaft auch die Datenschutzbehörden involviert gewesen.
Der neue AUDITOR-Kriterienkatalog stellt ein umfangreiches Prüfungsprogramm für die Datenschutzzertifizierung von Cloud-Diensten gemäß den Anforderungen der DSGVO auf. Cloud Provider, die dies nachweisen, können sich perspektivisch sowohl national als auch europaweit durch das Zertifikat "European Cloud Service Data Protection Certification" als datenschutzkonformer Anbieter von Cloud-Diensten identifizieren.
Nach der Veröffentlichung des AUDITOR-Kriterienkatalogs wird ein AUDIT-Schema entwickelt, das mit Pilotzertifizierungen in ersten Anwendungsfällen praktisch erprobt werden soll. Die Ergebnisse des AUDITOR-Projekts werden dann in eine DIN-Spezifikation einfließen. Laut BMWi soll das Forschungsprojekt im Jahr 2019 mit ersten Pilotzertifizierungen abgeschlossen werden.
Zertifizierungsprozess
Foto: SB_photos - shutterstock.com
Um künftig erfolgreich die DSGVO-Zertifizierung durchlaufen zu können, sollen Anbieter von Cloud-Diensten zahlreiche Kriterien erfüllen, die datenschutzrelevante Aspekte sowohl aus der Perspektive eines Auftragsverarbeiters als auch aus Sicht eines Verantwortlichen im Sinne der DSGVO einbeziehen.
Während des Zertifizierungsprozesses wird für jedes Unternehmen einzelfallbezogen bestimmt, in welchem Umfang es den ziemlich umfassenden Kriterienkatalog in seinem Betrieb erfüllen soll. Somit muss nicht jedes Unternehmen, das eine Zertifizierung anstrebt, alle Kriterien aus dem AUDITOR-Kriterienkatalog erfüllen. Das Zertifikat soll für die Dauer von drei Jahren gelten. Es gilt sowohl für kleine und mittlere als auch große Cloud-Dienste-Anbieter. Bis zum Ende dieses Jahres sollen erste öffentlich anerkannte Zertifikate ausgestellt werden, die die Datenschutzkonformität der Cloud-Dienstleitungen ihrer Inhaber bestätigen.
Datenverarbeitungsvorgang als Gegenstand der Datenschutzzertifizierung
Der AUDITOR-Kriterienkatalog betrachtet alle Dienstleistungen und Produkte eines Cloud Providers aus dem Blickwinkel eines Verarbeitungsvorganges. Dabei können Cloud Provider gemäß DSGVO sowohl als Auftragsbearbeiter (Art. 28 DSGVO) als auch als Verantwortliche (Art. 4 Nr. 7 DSGVO) auftreten. Die Zertifizierung umfasst beide Möglichkeiten. In den meisten Fällen ordnen die Aufsichtsbehörden Cloud-Dienste als Auftragsverarbeitung ein. Bereits die Artikel-29-Gruppe, ein früheres unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes aus Vertretern der europäischen Datenschutzbehörden, hatte Cloud Computing als Auftragsverarbeitung eingeordnet. Daher stellen Zertifizierungskriterien und Umsetzungsempfehlungen für Datenverarbeitungsvorgänge, die von einem Unternehmen als Auftragsverarbeiter durchgeführt werden, den wesentlichen Teil desAUDITOR-Kriterienkataloges.
Als Verantwortlicher tritt der Cloud-Anbieter auf, wenn er mit dem Cloud-Nutzer Verträge über die Bereitstellung und Durchführung von Cloud-Produkten und -Diensten schließt. Auch dies deckt die künftige Datenschutzzertifizierung ab, die somit alle Datenverarbeitungsvorgänge von Cloud Providern lückenlos erfasst.
Schutzklassen-Konzept des AUDITOR-Kriterienkatalogs
Je nach Art und Schutzbedürftigkeit personenbezogener Daten teilt der AUDITOR-Kriterienkatalog Verarbeitungsvorgänge in entsprechend definierte Schutzklassen auf. Das Zertifizierungsprogramm eines Datenverarbeitungsvorganges ist somit von der Art der zu verarbeitenden personenbezogenen Daten abhängig.
Zur Schutzklasse 1 gehören alle normalen personenbezogenen Daten, deren Schutzbedürftigkeit bereits daraus resultiert, dass die Verarbeitung personenbezogener Daten immer einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt. Die personenbezogenen Daten mit einer hohen oder sehr hohen Schutzbedürftigkeit werden den Schutzklassen 2 beziehungsweise 3 zugeordnet. Von der Zuordnung zur jeweiligen Schutzklasse hängt ab, welche Zertifizierungskriterien erfüllt werden müssen. Um die Datenverarbeitungsvorgänge den jeweiligen Schutzklassen zuordnen zu können, ist immer der Kontext der Datenverarbeitung zu beachten. So wird etwa der Schutzbedarf der Daten, die bei dem Betrieb eines Web-Shops verarbeitet werden, anders beurteilt als der von Daten in einer Datenbank für besondere Krankheiten.
Daten, die einen extremen Schutzbedarf aufweisen, werden keiner der drei Schutzklassen zugeordnet. Dabei handelt es sich um personenbezogene Daten, deren Offenlegung erhebliche Gefahren für Leib und Leben der betroffenen Personen mit sich bringen kann, wie etwa Daten aus einem Zeugenschutzprogramm. Diese Kategorie personenbezogener Daten wird also von dem AUDITOR-Kriterienkatalog ausdrücklich nicht berücksichtigt.
Anforderungen an technische und organisatorische Maßnahmen je nach Schutzklasse
Die Einordnung der Datenverarbeitungsvorgänge in die Schutzklassen ermöglicht es, dass Kriterien, Umsetzungsempfehlungen und -hinweise entsprechend dem jeweiligem Schutzbedarf der Daten in technische und organisatorische Maßnahmen überführt werden. Diese müssen die Cloud-Dienstanbieter in ihre Datenverarbeitungsvorgänge implementieren, um den DSGVO-Anforderungen genügen zu können. Je höher der Schutzbedarf der zu verarbeitenden Daten, desto höher sind die Anforderungen an die technischen und organisatorischen Maßnahmen. Daten mit einer hohen Schutzbedürftigkeit sollten daher nur von Systemen verarbeitet werden, die einen entsprechend hohen technischen und organisatorischen Schutz gewährleisten.
Ausblick
Der AUDITOR-Kriterienkatalog greift bereits bestehende Datenschutzstandards seiner Vorgänger auf und ergänzt diese um die Anforderungen der DSGVO. Darüber hinaus wandelt er für die Praxis nur schwer greifbare, abstrakte und technikneutrale Vorgaben der DSGVO in konkrete Hinweis- und Umsetzungsempfehlungen um. Es bleibt jedoch abzuwarten, ob er tatsächlich geeignete Lösungen für die Problemfelder des Cloud Computing bieten wird. Auf jeden Fall kann ein Unternehmen durch eine DSGVO-Zertifizierung auf Basis des AUDITOR-Katalogs nachweisen, dass es die notwendigen Garantien zur Einhaltung der DSGVO bietet und so demonstrieren, dass es im Geschäftsbereich Cloud Computing marktfähig ist.