Das Forschungsprojekt European Cloud Service Data Protection Certification (AUDITOR) soll eine europaweite Datenschutzzertifizierung für Anbieter von Cloud-Diensten entwickeln. So können diese transparent nachweisen, dass sie sich an die Regeln der Datenschutz-Grundverordnung (DSGVO) halten. Einen wesentlichen Meilenstein nahm das vom Bundesministerium für Wirtschaft und Energie (BMWi) geförderte Projekt mit seinem Ende März 2019 veröffentlichten Kriterienkatalog. Der AUDITOR-Kriterienkatalog setzt als systematischer Maßnahmenleitfaden die technikneutralen Vorgaben der DSGVO in prüffähige Kriterien um. Zudem entwickelt er aus den abstrakten datenschutzrechtlichen Anforderungen greifbare Umsetzungsempfehlungen und -hinweise und verbindet diese mit Vorgabenhinweisen aus anderenRegelungswerken wie etwa der ISO 27001.

AUDITOR baut auf die bereits bestehenden Datenschutzstandards von Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP) sowie dem Standard-Datenschutz-Modell (SDM) auf und erweitert diese um die DSGVO-Anforderungen. Bei der Ausarbeitung des AUDITOR-Kriterienkatalogs sind neben zahlreichen Experten aus Wissenschaft, Wirtschaft und Anwaltschaft auch die Datenschutzbehörden involviert gewesen.

Der neue AUDITOR-Kriterienkatalog stellt ein umfangreiches Prüfungsprogramm für die Datenschutzzertifizierung von Cloud-Diensten gemäß den Anforderungen der DSGVO auf. Cloud Provider, die dies nachweisen, können sich perspektivisch sowohl national als auch europaweit durch das Zertifikat "European Cloud Service Data Protection Certification" als datenschutzkonformer Anbieter von Cloud-Diensten identifizieren.

Nach der Veröffentlichung des AUDITOR-Kriterienkatalogs wird ein AUDIT-Schema entwickelt, das mit Pilotzertifizierungen in ersten Anwendungsfällen praktisch erprobt werden soll. Die Ergebnisse des AUDITOR-Projekts werden dann in eine DIN-Spezifikation einfließen. Laut BMWi soll das Forschungsprojekt im Jahr 2019 mit ersten Pilotzertifizierungen abgeschlossen werden.

Zertifizierungsprozess

Um künftig erfolgreich die DSGVO-Zertifizierung durchlaufen zu können, sollen Anbieter von Cloud-Diensten zahlreiche Kriterien erfüllen, die datenschutzrelevante Aspekte sowohl aus der Perspektive eines Auftragsverarbeiters als auch aus Sicht eines Verantwortlichen im Sinne der DSGVO einbeziehen.

Während des Zertifizierungsprozesses wird für jedes Unternehmen einzelfallbezogen bestimmt, in welchem Umfang es den ziemlich umfassenden Kriterienkatalog in seinem Betrieb erfüllen soll. Somit muss nicht jedes Unternehmen, das eine Zertifizierung anstrebt, alle Kriterien aus dem AUDITOR-Kriterienkatalog erfüllen. Das Zertifikat soll für die Dauer von drei Jahren gelten. Es gilt sowohl für kleine und mittlere als auch große Cloud-Dienste-Anbieter. Bis zum Ende dieses Jahres sollen erste öffentlich anerkannte Zertifikate ausgestellt werden, die die Datenschutzkonformität der Cloud-Dienstleitungen ihrer Inhaber bestätigen.

Datenverarbeitungsvorgang als Gegenstand der Datenschutzzertifizierung

Der AUDITOR-Kriterienkatalog betrachtet alle Dienstleistungen und Produkte eines Cloud Providers aus dem Blickwinkel eines Verarbeitungsvorganges. Dabei können Cloud Provider gemäß DSGVO sowohl als Auftragsbearbeiter (Art. 28 DSGVO) als auch als Verantwortliche (Art. 4 Nr. 7 DSGVO) auftreten. Die Zertifizierung umfasst beide Möglichkeiten. In den meisten Fällen ordnen die Aufsichtsbehörden Cloud-Dienste als Auftragsverarbeitung ein. Bereits die Artikel-29-Gruppe, ein früheres unabhängiges Beratungsgremium der Europäischen Kommission in Fragen des Datenschutzes aus Vertretern der europäischen Datenschutzbehörden, hatte Cloud Computing als Auftragsverarbeitung eingeordnet. Daher stellen Zertifizierungskriterien und Umsetzungsempfehlungen für Datenverarbeitungsvorgänge, die von einem Unternehmen als Auftragsverarbeiter durchgeführt werden, den wesentlichen Teil desAUDITOR-Kriterienkataloges.

Als Verantwortlicher tritt der Cloud-Anbieter auf, wenn er mit dem Cloud-Nutzer Verträge über die Bereitstellung und Durchführung von Cloud-Produkten und -Diensten schließt. Auch dies deckt die künftige Datenschutzzertifizierung ab, die somit alle Datenverarbeitungsvorgänge von Cloud Providern lückenlos erfasst.