Cloud-Prüfsiegel für mehr Datenschutz

Für mehr Datenschutz

von - 09.11.2017
Vor allem in Hinblick auf die Europäische Datenschutz-Grundverordnung (DSGVO), deren Umsetzung europäische Unternehmen bis zum 25. Mai kommenden Jahres erledigt haben sollen, steht das Thema Datenschutz laut Frank Strecker aktuell im Vordergrund. Seiner Ansicht nach werden Kunden auf Garantien und Nachweise bestehen, dass der Cloud-Anbieter die Datenschutzregularien einhält. „IT-Sicherheits- sowie Datenschutzbeauftragte haben dank Cloud-Zertifikaten die Chance, die gewissenhafte Auswahl eines Anbieters nachzuweisen. Nach aktuellem Stand der Technik, mit einer vertraglichen Regelung der verpflichtenden Auftragsdatenverarbeitung (ADV).“
Als Auftragsdatenverarbeitung bezeichnet man die Erhebung, Verarbeitung oder Nutzung von personenbezogenen Daten durch einen Dienstleister. Welche Rechte, Pflichten und Maßnahmen im Einzelnen durch einen Vertrag zwischen Auftraggeber und Auftragnehmer, also etwa einem Cloud-Dienstleister, zu treffen sind, regeln §11 des Bundesdatenschutzgesetzes (BDSG) und Art. 28 der Europäischen Datenschutz-Grundverordnung.
Was man nämlich wissen muss: Auch wenn ein Unternehmen seine Daten von einem externen Cloud-Dienstleister verarbeiten lässt, so ist das Unternehmen nach wie vor die verantwortliche Stelle, die gewährleisten muss, dass die einschlägigen Datenschutzgesetze eingehalten werden. So muss ein Unternehmen nach §11 Abs. 2 des BDSG den Cloud-Dienstleister auf die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen zur IT-Sicherheit überprüfen. Theoretisch würde das bedeuten, dass der Cloud-Dienstleister jedem Kunden im Rahmen der Überprüfung Zugang zum Rechenzentrum gewähren muss. Das ist natürlich weder organisatorisch und zeitlich noch personell machbar. Hinzu kommt, dass es einem Unternehmen bei einem Besuch im Rechenzentrum in der Regel dennoch nicht möglich wäre, die korrekte Einhaltung der Datenschutzanforderungen zu überprüfen.
Hier kommen die Zertifikate ins Spiel: Es gibt Zertifikate, die zeigen, dass ein Cloud-Anbieter die Datenschutzregeln bezüglich des Bundesdatenschutzgesetzes und der Datenschutz-Grundverordnung sorgfältig einhält.
Audit oder Self-Assessment – wo liegen die Unterschiede?
Bevor ein Cloud-Anbieter ein Zertifikat erhält, muss überprüft werden, ob er die Anforderungen erfüllt. Das erfolgt über ein Self-Assessment oder ein Audit.
So umfangreich die Zahl verfügbarer Zertifikate ist, so unterschiedlich sind auch die Kriterien, die man erfüllen muss, um die Zertifikate zu erhalten. Jede Organisation legt die Anfor­derungen zur Vergabe ihres Zertifikats selbst fest – die Qualität eines Cloud-Zertifikats steht und fällt also damit, welche Maßstäbe eine Organisation für ihr Prüfsiegel anlegt. Wenn der Cloud-Dienst die Mindestanforderungen der jeweiligen Zertifizierungsstelle erfüllt, dann erhält er ein Zertifikat, mit dem er werben darf.
Unterschiede gibt es auch in der Art und Weise, wie die Mindestanforderungen für die Vergabe eines Zertifikats überprüft werden – mit einem Self-Assessment oder über ein Audit:
  • Self-Assessment: Bei einem Self-Assessment, also einer Selbstbewertung, wird das Prüfsiegel lediglich anhand einer Selbstauskunft des Cloud-Providers vergeben. Dazu beantwortet der Cloud-Dienstleister einen Fragenkatalog – und wenn die Antworten die Mindestanforderungen der jeweiligen Prüforganisation erfüllen, dann gibt es das Prüfsiegel. Diese Self-Assessments kommen häufig bei Zertifikaten von Interessenverbänden zum Einsatz und sind für das zu bewertende Unternehmen kostengünstiger. „Hier muss man natürlich darauf vertrauen, dass der Anbieter die richtigen Angaben macht“, so Frank Türling, Geschäftsführer von Cloud Ecosystem. Häufig werden zusätzlich Referenzen abgefragt, „denn wir sind der Überzeugung, dass positive Referenzen noch mehr Aussagekraft haben als viele Siegel.“
  • Audit: Bei einem Audit stellt ein unabhängiger Prüfer der jeweiligen Zertifizierungsorganisation fest, ob bei einem Cloud-Anbieter die Mindestvoraussetzungen zur Erteilung eines Zertifikats gegeben sind. Im Gegensatz zum Self-Assessment ist ein solches Audit in der Regel kein kostengünstiges Unterfangen und nimmt auch einige Zeit in Anspruch.
Seite
  1. Teil: Cloud-Prüfsiegel für mehr Datenschutz
  2. Teil: Für mehr Datenschutz
  3. Teil: TCDP
  4. Teil: BSI C5, ISO 27001 und ISO 27018
Verwandte Themen

Mehr zum Thema