TCDP
Das relativ neue Trusted-Cloud-Datenschutz-Profil (TCDP) ist der nach eigenen Angaben erste und einzige Prüfstandard für
Cloud-Dienstleister, der die Anforderungen des deutschen Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung vollständig abbildet. Mit einem solchen Zertifikat weist ein Cloud-Anbieter nach, dass sein Dienst die gesetzlichen Anforderungen erfüllt. Entwickelt wurde das TCDP im Rahmen des Programms Trusted Cloud des Bundesministeriums für Wirtschaft und Energie (BMWi) unter der Leitung der TÜV Informationstechnik GmbH (TÜViT) des TÜV Nord. Ebenfalls beteiligt waren zahlreiche maßgebliche Akteure auf dem Feld der Datenschutz-Zertifizierung, insbesondere Datenschutzaufsichtsbehörden, Anbieter von Cloud-Diensten unterschiedlicher Größenordnung, Anbieter von Prüf- und Zertifizierungsleistungen sowie Verbände und Institutionen der IT und des Datenschutzes.
Trusted-Cloud-Datenschutz-Profil (TCDP): So sieht das Prüfsiegel aus. Die Schutzklasse gibt an, welches Sicherheitsniveau ein Cloud-Anbieter einhält. Es gibt drei Schutzklassen.
(Quelle: Stiftung Datenschutz)
Die Verwaltung des Trusted-Cloud-Datenschutz-Profils übernimmt die Stiftung Datenschutz. Sie soll auch an einer Weiterentwicklung des Trusted-Cloud-Datenschutz-Profils zu einer europäischen Datenschutz-Zertifizierung mitwirken.
Das Trusted-Cloud-Datenschutz-Profil wird im kommenden Jahr besonders in den Fokus rücken, so die Prognose von Frank Strecker von T-Systems, weil diese Auszeichnung am besten mit der Europäischen Datenschutz-Grundverordnung vereinbar sei. Sein Rat: „Bei drohenden Strafen von bis zu 20 Millionen Euro für einen Verstoß gegen die Verordnung sollten Unternehmen insbesondere auf Zertifikate des Anbieters in diesem Bereich achten.“
Das Trusted-Cloud-Datenschutz-Profil bildet laut TÜV Nord die gesetzlichen Anforderungen des Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung ab, was eine ISO-Norm allein nicht leisten könnte. Das Zertifikat stellt einen umfangreichen Schutz bezüglich Datenschutz und Datensicherheit bereit, da der Prüfstandard die Normen von ISO/IEC 27018, ISO/IEC 27017 und ISO/IEC 27002 miteinbezieht. Darüber hinaus wird durch die Zertifizierung nachgewiesen, dass die datenschutzrechtlichen Vorgaben der Europäischen Datenschutz-Grundverordnung eingehalten werden.
Am Zertifizierungsverfahren des TCDP sind drei Parteien beteiligt: der zu prüfende Cloud-Anbieter, eine Prüfstelle sowie eine Zertifizierungsstelle. Der Cloud-Anbieter hat im Rahmen der Prüfung Mitwirkungs- und Auskunftspflichten gegenüber der Prüfstelle. Die Prüfung der Voraussetzungen erfolgt zunächst anhand der Prüfstelle übermittelter Dokumente. Im zweiten Schritt folgt in der Regel eine Begehung der Rechenzentren des Coud-Anbieters und die Einsicht in die Verwaltungs-Software des Dienstes. Auf Grundlage der Prüfung erstellt die Prüfstelle einen Prüfbericht, welcher der Zertifizierungsstelle übergeben wird. Die Prüf- und die Zertifizierungsstelle müssen dabei rechtlich eigenständige und voneinander unabhängige Stellen sein, denn die Zertifizierung erfolgt auf Grundlage des Prüfberichts, der die Einhaltung der Anforderungen des TCDP feststellen soll.
Zertifizierung |
Inhalt der Zertifizierung |
Ablauf |
Zertifizierungsstellen |
BSI IT-Grundschutz |
Sicherheit |
Dokumenten-Review, Vor-Ort-Audit |
vom Bundesamt für Sicherheit in der Informationstechnik zertifizierte Auditoren |
CSA Star |
Sicherheit |
Self-Assessment |
Cloud Security Alliance (CSA) |
EuroCloud Star Audit |
u. a. Sicherheit, Betrieb, Prozesse sowie Verträge und Compliance |
Dokumenten-Review, Vor-Ort-Audit |
EuroCloud |
ISO/IEC 27001/27018 |
Sicherheit |
Vor-Ort-Audit |
diverse |
Trusted Cloud |
u. a. Sicherheit, Qualität und Rechtskonformität |
Self-Assessment |
Kompetenznetzwerk Trusted Cloud |
Trusted Cloud-Datenschutz-Profil |
Datenschutz |
Dokumenten-Review, Vor-Ort-Audit |
diverse |
Trust in Cloud |
u. a. Referenzen, Datensicherheit, Qualität der Bereitstellung, Vertragsbedingungen |
Dokumenten-Review, Self-Assessment |
Cloud Ecosystem |
Trusted Cloud Service |
Sicherheit, Betrieb und Datenschutz |
Dokumenten-Review, Vor-Ort-Audit |
TÜV Trust IT |
TÜV Cloud Security |
Sicherheit |
Dokumenten-Review, Vor-Ort-Audit |
TÜV Rheinland |