Voraussetzung für eine sinnvolle Zertifizierung

Auf dieser Basis hat die Trusted Cloud Initiative das Pilotprojekt „Datenschutzzertifizierung“ ins Leben gerufen, in dem ein Expertenteam aus den Bereichen Standardisierung, Forschung und Wirtschaft, wie auch von Prüfern und Aufsichtsbehörden ein mögliches Zertifizierungsverfahren ausgearbeitet hat. Sie haben einen Anforderungskatalog zur Zertifizierung nach den Vorgaben des BDSG und den Umsetzungsempfehlungen des ISO/IEC 27018:2014 entwickelt, das Trusted Cloud Datenschutzprofil (TCDP).

Dieses Datenschutzprofil standardisiert die Anforderungen des Datenschutzes bei Public-Cloud-Diensten, einschließlich der Informationssicherheit. Damit der Cloud-Nutzer eine Auswahl zwischen verschiedenen Diensten treffen und den Grad an Datensicherheit beurteilen kann, muss er diese vergleichen können. Hierfür sind beim TCDP Schutzklassen vorgesehen, die auf den unterschiedlichen Schutzbedarf von einzelnen Unternehmen eingehen. Das soll dem Cloud-Nutzer sowohl die Auswahl wie auch die Erfüllung der von den Datenschutzgesetzen geforderten Kontrollpflicht erheblich erleichtern. CIOs sollen damit Haftungsrisiken vermeiden können.

Das TCDP bezieht sich explizit auf den Teilaspekt Datenschutz und -sicherheit innerhalb einer Public Cloud. Ein Thema, das besonders Unternehmen im europäischen Raum umtreibt und bei dem ein Zertifikat äußerst hilfreich sein dürfte. Für Cloud-Dienst-Anbieter Grund genug, sich um ein solches zu bemühen.

Allerdings sind die Zertifizierungsstellen gründlich und durchlaufen im Rahmen des Trusted Cloud Projekts zunächst eine Pilotzertifizierung, anhand derer sie noch mögliche, offene Fragen abklären. Diese dauert in etwa noch ein Jahr. Bis dahin gibt es noch kein offizielles Zertifizierungsverfahren, das sich explizit des Datenschutzes beim Cloud Computing annimmt.