Cloud-Dienste auf Vertrauenswürdigkeit prüfen
Datenschutzbehörden und Industrie haben im Rahmen des Pilotprojekts "Datenschutz-Zertifizierung für Cloud-Dienste" erstmals gemeinsam einen Prüfstandard entwickelt, der die datenschutzrechtlichen Anforderungen für die Auftragsdatenverarbeitung in der Cloud erfüllen soll. Mit TCDP (Trusted-Cloud-Datenschutzprofil) haben die Teilnehmer des Pilotprojekts jüngst einen entsprechenen Prüfstandard verabschiedet.
Cloud-Services kommen in der Regel im Rahmen der sogenannten Auftragsdatenverarbeitung (Erhebung, Verarbeitung oder Nutzung personenbezogener Daten im Auftrag) zum Einsatz. Hierbei ist der Auftraggeber gesetztlich verpflichtet, die Sicherheit der Datenverarbeitung beim Auftragnehmer zu überwachen (Bundesdatenschutzgesetz § 11, BDSG).
Übertragen auf die Auftragsdatenverarbeitung in der Cloud bedeutet dies, so die „Trusted Cloud“-Initiative, dass die Cloud-Nutzer die Server-Räume des Cloud-Anbieters und damit häufig eines multinational tätigen IT-Konzerns inspizieren müssten. Dies sei in der Realität eine unerfüllbare Vorgabe.
Eine Lösung soll deshalb nun das TCDP liefern. Es dient dazu, Anbietern von IT-Diensten den Nachweis der Vereinbarkeit ihrer IT-Dienste mit datenschutzrechtlichen Anforderungen zu ermöglichen. Nutzer von IT-Diensten sollen dann auf die Datenschutzkonformität zertifizierter Dienste vertrauen können.
„Das TCDP ist ein Meilenstein für die Datenschutz-Zertifizierung“, so Prof. Dr. Georg Borges, Leiter des Pilotprojekts. „Mit dem TCDP steht erstmals ein Prüfstandard für Cloud-Dienste zur Verfügung, der die Regeln des BDSG in prüffähige Anforderungen umsetzt.“
Das Protokoll konkretisiert die gesetzlichen Anforderungen des Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung zu prüffähigen Normen. Es baut auf dem ISO/IEC-Standard 27018 auf, der die international anerkannten ISO/IEC-Standards 27001 und 27002 um Cloud- und insbesondere datenschutzspezifische Anforderungen erweitert.
TCDP soll zunächst in einer Version 0.9 veröffentlicht und dann im Rahmen eines Folgeprojekts des Bundesministeriums für Wirtschaft und Energie (BMWi) getestet und gegebenenfalls weiterentwickelt werden. Darüber hinaus soll es die Entwicklung der europäischen Datenschutz-Zertifizierung fördern, indem es Grundlagen entwickelt, die für die Ausgestaltung der Datenschutz-Zertifizierung nutzbar sind.
Das TCDP, das derzeit das Bundesdatenschutzgesetz umsetzt, kann nach Erlass der europäischen Datenschutz-Grundverordnung an diese angepasst werden, so eine Verlautbarung der „Trusted Cloud“-Initiative. Es wird am 13. April im Rahmen der öffentlichen Abschlussveranstaltung des Pilotprojekts in Berlin veröffentlicht.
Das Pilotprojekt wird im Auftrag des BMWi vom Kompetenzzentrum Trusted Cloud in Kooperation mit Projektpartnern des Technologieprogramms Trusted Cloud durchgeführt. Leiter ist Prof. Dr. Georg Borges von der Universität des Saarlandes.
Weitere Informationen finden sich unter www.trusted-cloud.de/719.
