Schutzklassen des Trusted Cloud Datenschutzprofils

Schutzklasse I:  Der Dienstanbieter muss durch technische und organisatorische Maßnahmen, die dem Risiko angemessen sind, gewährleisten, dass die Daten nicht unbefugt verwendet, verändert oder gelöscht werden. Die Maßnahmen müssen so gestaltet sein, dass sie dies auch ausschließen, falls technische oder organisatorische Fehler geschehen, einschließlich von Bedienfehlern, oder fahrlässiger Handlungen Dritter (Cloud-Nutzer, sonstige Dritte). Vorsätzliche Eingriffe müssen durch einen Mindestschutz erschwert werden.

Schutzklasse II: Die Maßnahmen müssen auch technische oder organisatorische Fehler durch den Cloud-Anbieter und seine Mitarbeiter ausschließen. Außerdem sind vorsätzliche Eingriffe so zu schützen, dass zu erwartende Eingriffe „hinreichend sicher“  verhindert werden. Dazu gehört vor allem der Schutz gegen bekannte Angriffsszenarien.

Schutzklasse III: Die zuvor genannten Maßnahmen müssen dem Stand der Technik entsprechen. Außerdem muss der Dienst in der Lage sein,  Eingriffe oder auch Missbräuche festzustellen.

Schutzklasse 0: Dienste, welche die Anforderungen der Schutzklasse I nicht erfüllen, sind der Schutzklasse 0 zuzuordnen. Höhere Anforderungen als die der Schutzklasse III beziehen sich auf eine heute im Cloud-Computing noch nicht darstellbare vollständige Nachweisbarkeit der Vertrauenswürdigkeit aller verwendeten Komponenten und führen zur Schutzklasse „III+“.