EU-Forschungsprojekt AUDITOR

DSGVO-Zertifizierung für Cloud Provider

07.06.2019
Von  und
Carlo Piltz ist Rechtsanwalt und Experte für IT- und Datenschutzrecht in der auf Produkthaftung spezialisierten Wirtschaftssozietät reuschlaw Legal Consultants.
Olga Kasner ist Rechtsanwältin und Associate bei reuschlaw Legal Consultants.

Schutzklassen-Konzept des AUDITOR-Kriterienkatalogs

Je nach Art und Schutzbedürftigkeit personenbezogener Daten teilt der AUDITOR-Kriterienkatalog Verarbeitungsvorgänge in entsprechend definierte Schutzklassen auf. Das Zertifizierungsprogramm eines Datenverarbeitungsvorganges ist somit von der Art der zu verarbeitenden personenbezogenen Daten abhängig.

Zur Schutzklasse 1 gehören alle normalen personenbezogenen Daten, deren Schutzbedürftigkeit bereits daraus resultiert, dass die Verarbeitung personenbezogener Daten immer einen Eingriff in das Grundrecht auf informationelle Selbstbestimmung darstellt. Die personenbezogenen Daten mit einer hohen oder sehr hohen Schutzbedürftigkeit werden den Schutzklassen 2 beziehungsweise 3 zugeordnet. Von der Zuordnung zur jeweiligen Schutzklasse hängt ab, welche Zertifizierungskriterien erfüllt werden müssen. Um die Datenverarbeitungsvorgänge den jeweiligen Schutzklassen zuordnen zu können, ist immer der Kontext der Datenverarbeitung zu beachten. So wird etwa der Schutzbedarf der Daten, die bei dem Betrieb eines Web-Shops verarbeitet werden, anders beurteilt als der von Daten in einer Datenbank für besondere Krankheiten.

Daten, die einen extremen Schutzbedarf aufweisen, werden keiner der drei Schutzklassen zugeordnet. Dabei handelt es sich um personenbezogene Daten, deren Offenlegung erhebliche Gefahren für Leib und Leben der betroffenen Personen mit sich bringen kann, wie etwa Daten aus einem Zeugenschutzprogramm. Diese Kategorie personenbezogener Daten wird also von dem AUDITOR-Kriterienkatalog ausdrücklich nicht berücksichtigt.

Anforderungen an technische und organisatorische Maßnahmen je nach Schutzklasse

Die Einordnung der Datenverarbeitungsvorgänge in die Schutzklassen ermöglicht es, dass Kriterien, Umsetzungsempfehlungen und -hinweise entsprechend dem jeweiligem Schutzbedarf der Daten in technische und organisatorische Maßnahmen überführt werden. Diese müssen die Cloud-Dienstanbieter in ihre Datenverarbeitungsvorgänge implementieren, um den DSGVO-Anforderungen genügen zu können. Je höher der Schutzbedarf der zu verarbeitenden Daten, desto höher sind die Anforderungen an die technischen und organisatorischen Maßnahmen. Daten mit einer hohen Schutzbedürftigkeit sollten daher nur von Systemen verarbeitet werden, die einen entsprechend hohen technischen und organisatorischen Schutz gewährleisten.

Ausblick

Der AUDITOR-Kriterienkatalog greift bereits bestehende Datenschutzstandards seiner Vorgänger auf und ergänzt diese um die Anforderungen der DSGVO. Darüber hinaus wandelt er für die Praxis nur schwer greifbare, abstrakte und technikneutrale Vorgaben der DSGVO in konkrete Hinweis- und Umsetzungsempfehlungen um. Es bleibt jedoch abzuwarten, ob er tatsächlich geeignete Lösungen für die Problemfelder des Cloud Computing bieten wird. Auf jeden Fall kann ein Unternehmen durch eine DSGVO-Zertifizierung auf Basis des AUDITOR-Katalogs nachweisen, dass es die notwendigen Garantien zur Einhaltung der DSGVO bietet und so demonstrieren, dass es im Geschäftsbereich Cloud Computing marktfähig ist.