Thought Leadership
Einige Cloud-Anbieter werben bereits jetzt mit DSGVO-zertifizierten Diensten, dies muss derzeit aber noch als Halbwahrheit gesehen werden. Der TÜV SÜD-Tochter Uniscon zufolge wurde bisher keine genehmigten Zertifizierungsverfahren verabschiedet. Fest steht: Ab dem 25. Mai werden nicht mehr alle bestehenden Datenschutz-Zertifikate gültig sein.
Dr. Hubert Jäger, UnisconIn knapp zweieinhalb Monaten ist es soweit, ab dem 25 Mai kommt die EU-Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG) zur Anwendung. Soweit so gut und bekannt. Was aber passiert mit den bisherigen Datenschutz-Zertifikaten, verlieren diese dann automatisch ihre Gültigkeit? Nach Angaben der TÜV SÜD-Tochterunternehmens Uniscon gibt es hierzu noch keine eindeutige Antwort.
Fest steht, wer Cloud-Dienste anbietet muss seinen Kunden die Einhaltung der Anforderungen der DSGVO nachweisen. Hierzu können geeignete Zertifikate als »Nachweiserleichterung« herangezogen werden – doch zu diesem Thema kursieren derzeit viele Mythen und Halbwahrheiten zur DSGVO im Netz.
Im Bereich Cloud-Computing gibt es zurzeit noch keine genehmigten Zertifizierungsverfahren, zugehörige Kriterienkataloge sowie akkreditierte Stellen für die Prüfung und Zertifizierung. Dies bedeute laut Uniscon jedoch nicht, dass spezifische Compliance-Zertifikate nicht als ein Faktor zum Nachweis der DSGVO-Anforderungen herangezogen werden könnten. Dazu gehören insbesondere Zertifikate, die bereits im Hinblick auf die DSGVO entwickelt wurden.
»Datenschutz-Zertifizierungen, die auf dem BDSG (alt) basieren, sind natürlich den Anforderungen der DSGVO anzupassen«, erklärt Dr. Hubert Jäger, Cloud-Security-Experte und CTO des TÜV SÜD-Tochterunternehmens Uniscon. So legt beispielsweise die Verfahrensordnung des Trusted Cloud Datenschutzprofils (TCDP) explizit fest, dass die Zertifikate nach TCDP v0.9 oder v1.0 am 25. Mai erlöschen. Dies ist auch sinnvoll, denn es ergeben sich aus der DSGVO gegenüber dem BDSG (alt) neue, zusätzliche Anforderungen.
Sollte der TCDP-Kriterienkatalog und die TCDP-Verfahrensordnung entsprechend erweitert und aktualisiert werden, können Zertifikate nach dem angepassten Standard als Hilfsmittel zum Nachweis der DSGVO-Compliance zum Einsatz kommen.
Das Forschungsprojekt AUDITOR entwickelt derzeit einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO. Dabei wird eine Anerkennung durch den Europäischen Datenschutz-Ausschuss nach Art. 42 Abs. 5 DSGVO angestrebt. Assoziierte Partner sind neben dem Kompetenznetzwerk Trusted Cloud und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch der Branchenverband Bitkom und die Uniscon. Die Stiftung Datenschutz berät das den Standard ausarbeitende Konsortium und wird den erstellten Zertifizierungsstandard verwalten.
.
