Anbieterauswahl erleichtern

Im Laufe dieses Jahres wird es das erste staatlich anerkannte DSGVO-Zertifikat für kleine und mittelständische Cloud-Provider geben. Die Zertifizierung wird für drei Jahre gelten und auch von den Branchenschwergewichten angestrebt.

AUDITOR zertifiziert Cloud-Provider

Das Zertifikat wird vom Forschungsprojekt AUDITOR, „European Cloud Service Data Protection Certification”, erstellt und im Laufe dieses Jahres erprobt. Durch das Zertifikat wird es leichter, datenschutzkonforme Cloud-Anbieter auf dem Markt zu identifizieren und deren Angebote sicher für den eigenen Unternehmenserfolg zu nutzen.

Umgekehrt sollen Cloud-Provider durch eine aussagekräftige Zertifizierung nachweisen können, dass sie den Schutz von personenbezogenen Daten während der Nutzung ihrer Dienste vollumfänglich sicherstellen, und so das Vertrauen ihrer Kundschaft stärken. Neben dem Zertifikat wird momentan zusätzlich eine DIN-Norm mit Standards für eine rechtskonforme Verarbeitung von personenbezogenen Daten erarbeitet.

Für die Zertifizierung müssen die Cloud-Provider eine Reihe von Kriterien erfüllen, die von AUDITOR in Form eines Kriterien-Katalogs erarbeitet wurden. Bei personenbezogenen Daten gelten unterschiedliche Stufen des Schutzbedarfes. Die Mindestanforderungen werden durch die Schutzklasse 1 abgebildet. Die höchste Schutzklasse, die vom AUDITOR-Zertifikat berücksichtigt wird, ist die Schutzklasse 3. Die Klassifizierung der Daten findet nach der Höhe des Schutzbedarfes statt. Beispielsweise finden sich der Name und die Anschrift einer Person in der Schutzklasse 1 wieder. Das Einkommen als personenbezogenes Datum zählt zur Schutzklasse 2. Daten, die beispielsweise dem Fernmeldegeheimnis unterliegen, werden der Schutzklasse 3 zugeordnet. Von dem Zertifikat ausgeschlossen sind Daten, die einen extremen Schutzbedarf haben. Hierzu gehören Daten, die eine Gefahr für Leib und Leben der betroffenen Personen mit sich bringen können, beispielsweise Informationen aus einem Zeugenschutzprogramm.

Analog zu den verarbeiteten Daten werden die Systeme der Cloud-Provider sogenannten Schutzanforderungsklassen zugeordnet. Die Anforderungen an die Systeme treffen den Bedarf der zu schützenden Daten und werden ebenfalls in drei Klassen unterteilt.

Als letzter Bestandteil der Zertifizierung wird die Dokumentation der Prozesse gefordert. Dadurch soll sichergestellt werden, dass beispielsweise die angewendeten Verschlüsselungsverfahren und Prüfprozesse dem aktuellen Stand der Technik entsprechen.

Praxistauglichkeit sicherstellen

Insgesamt soll das Zertifikat eine höhere Praxistauglichkeit von Cloud-Diensten sicherstellen, indem die Vertragsgestaltung zwischen den Parteien, die Cloud-Dienste anbieten und nutzen, vereinfacht wird.

Wie hoch die Praxistauglichkeit und damit die Akzeptanz des Zertifikates am Markt letztendlich sein wird, wird sich zeigen. Klar ist jedoch, dass die Nachfrage nach einem strukturierten Maßnahmenkatalog für die Umsetzung der DSGVO groß ist – nicht nur auf der Anbieterseite von Cloud-Diensten.

 


Dieser Artikel erschien in der direkt informiert 01/2019. Weitere Artikel aus der Ausgabe lesen Sie hier: blog.direkt-gruppe.de/direkt-informiert/tatkraft/

Diesen Artikel teilen: