Trusted-Cloud-Datenschutzprofil (TCDP) und European Privacy Seal (EuroPriSe) erklärt

Was bringen Zertifizierungen von Cloud-Diensten?

Der Bezug von Cloud-Diensten, vor allem solcher aus der Public Cloud, wirft datenschutzrechtliche und haftungsrelevante Fragen auf. Inwieweit Zertifizierungen bessere Übersichtlichkeit und Vergleichbarkeit ermöglichen, erläutert Dr. Hubert Jäger, Geschäftsführer von Uniscon.

  • „Das TCDP schließt eine große Lücke für Unternehmen, die vorhaben, Cloud-Dienste zu beziehen. Aktuell besitzen diese nämlich kaum Möglichkeiten, die Anbieter bezüglich Rechtskonformität bei der Datenverarbeitung zu prüfen“, sagt Dr. Hubert Jäger zum deutschen TCDP-Zertifikat.

ITM: Herr Jäger, welche Standards gibt es hinsichtlich der Datensicherheit bei Cloud-Anwend­ungen?
Hubert Jäger:
Datenschutz in der Cloud ist seit April 2014 durch die ISO/IEC-Norm 27018 definiert. Formal handelt es sich dabei um Umsetzungsempfehlungen, die man berücksichtigen kann, wenn man 27001-Zertifikate ausstellen lässt. Denn die ISO/IEC-Reihe 27000 umfasst ausschließlich Normen für das Informationssicherheits-Management, also wie man sich innerhalb einer Organisation um die Sicherheit der Daten kümmert. Darin geht  es in erster Linie um Organisatorisches. Nur der normative Anhang A geht auf die IT-Sicherheit ein.

Ein Zertifikat soll beglaubigen, dass die gesetzlichen Vorgaben und Normen vom Cloud-Dienstleister eingehalten werden. Dafür gibt es verschiedene Zertifikate: z.B. das European Privacy Seal (EuroPriSe) und das Zertifikat nach dem Anforderungskatalog des Trusted-Cloud-Datenschutzprofils (TCDP). Vorher konnte nur eine Zertifizierung gemäß der Norm ISO/IEC 27001:2013 erfolgen, nicht eine nach ISO/IEC 27018:2014.

ITM: Was ist der Unterschied zwischen einer Umsetzungsempfehlung und einem Anforderungskatalog?
Jäger:
Bei Umsetzungsempfehlungen ist niemals definiert, welche Anforderungen genau für ein Zertifikat erfüllt sein müssen. Auditoren können den Cloud-Dienst nicht anhand einer Liste von Datenschutz-anforderungen überprüfen und daraus ein Ergebnis ableiten. Ein Anforderungskatalog, wie z.B. das TCDP, verlangt für eine bestimmte Schutzklasse die Umsetzung bestimmter Maßnahmen. Nach diesen Vorgaben beurteilt ein Auditor das Schutzniveau des Dienstes.

ITM: Welche deutschen Zertifikate beziehen sich ganz klar auf die Datensicherheit?
Jäger:
Sowohl das EuroPriSe, das TCDP als auch der Standard DS-BvD-GDD-01 der Datenschutzverbände sind deutsche Zertifikate und haben die Datensicherheit auf dem Schirm. EuroPriSe wurde 2007 vom Unabhängigen Landeszentrum für Datenschutz in Schleswig-Holstein gestartet und von der Europäischen Union im Rahmen des eTEN-Programms gefördert. Seit 2014 bietet die EuroPriSe GmbH in Bonn Zertifizierungen an.

Das TCDP ist Ergebnis des Pilotprojekts Datenschutzzertifizierung im Rahmen des Trusted-Cloud-Programms des Bundeswirtschaftsministeriums (BMWi). Der Anforderungskatalog ermöglicht es, dass 2016 auch Zertifikate danach vergeben werden. Zusätzlich haben Experten des Berufsverbands der Datenschutzbeauftragten Deutschlands (BvD) und der Gesellschaft für Datenschutz und Datensicherheit (GDD) den Datenschutzstandard DS-BvD-GDD-01 entwickelt, der speziell für die Auftragsdatenverarbeitung gilt, aber nicht explizit für die Cloud.

ITM: Welche Fragen müssen Unternehmer an ein Datenschutzzertifikat stellen?
Jäger:
Zunächst muss klar sein, wie die Prüfung der einzelnen Dienste aussieht und wer der Prüfer und Zertifikatsgeber ist. Dann stellt sich die Frage, wer die Risikoanalyse durchführt und nach welchen Kriterien sie durchgeführt wird. Wichtig ist zudem, ob sich die Cloud-Dienste hinsichtlich der Datensicherheit miteinander vergleichen lassen. Gibt es verschiedene, dem jeweiligen Schutzbedarf angepassten Schutzklassen? Für die Relevanz eines Zertifikats ist außerdem entscheidend, inwieweit sich mit ihm rechtliche Datenschutzverpflichtungen abdecken lassen.

ITM: Was sagt das European Privacy Seal (EuroPriSe) genau aus?
Jäger:
Das Zertifikat bescheinigt, dass ein IT-Produkt oder ein IT-basierter Dienst mit den Vorgaben der europäischen Datenschutzregelungen konform geht. Die von der Zertifizierungsstelle zugelassenen Gutachter wurden vom Hersteller beauftragt, das Produkt zu beurteilen. Die Zertifizierungsstelle selbst prüft daraufhin, ob die Anwendung der Kriterien auf das Produkt oder den Dienst tatsächlich zutreffen – und zwar auch im Hinblick auf die konkrete Anwendung. Dann erst erteilt sie das EuroPriSe-Gütesiegel. Es muss also jede einzelne Anwendung eines Dienstes jedes Mal neu überprüft werden, wenn er in verschiedenen Zusammenhängen eingesetzt wird.

ITM: Was besagt das deutsche TCDP-Zertifikat?
Jäger:
Das TCDP schließt eine große Lücke für Unternehmen, die vorhaben, Cloud-Dienste zu beziehen. Aktuell besitzen diese nämlich kaum Möglichkeiten, die Anbieter bezüglich Rechtskonformität bei der Datenverarbeitung zu prüfen. Die technischen und organisatorischen Vorkehrungen zu kontrollieren, die diese hinsichtlich der Datensicherheit getroffen haben, gestaltet sich ebenfalls schwierig. Letztlich sind Unternehmen dazu aber verpflichtet.

Das Zertifikat bezieht sich explizit auf den Datenschutz und die Datensicherheit innerhalb einer Public Cloud. Es standardisiert die Anforderungen des Datenschutzes einschließlich der Informationssicherheit. Damit potentielle Cloud-Nutzer eine Wahl zwischen verschiedenen Diensten treffen und den Grad an Datensicherheit beurteilen können, müssen sie vergleichen können. Hierfür sieht TCDP Schutzklassen vor, die auf den unterschiedlichen Schutzbedarf einzelner Unternehmen eingehen. Dies soll den Cloud-Nutzern die Wahl erleichtern und sie unterstützen, die von den Datenschutzgesetzen geforderten Kontrollpflichten zu erfüllen. IT-Leiter sollen damit Haftungsrisiken vermeiden können.

ITM: Gibt es bereits Cloud-Dienste, die nach TCDP zertifiziert sind?
Jäger:
Im ersten Quartal 2016 wird die Pilotzertifizierung von Idgard abgeschlossen sein, einem Public-Cloud-Dienst für die Zusammenarbeit in Teams. In einer Vorbewertung des TÜV-iT hat er bereits die höchste Schutzklasse, nämlich Schutzklasse 3, erhalten.

ITM: Welche Schutzklasse können amerikanische Dienste erreichen?
Jäger:
Solange ein amerikanisches Unternehmen auf die Daten zugreifen kann, so lange hat die US-Regierung auch die Möglichkeit, Daten zu verlangen und anlasslos zu speichern. Dies ist ein so zentraler Punkt für die Datensicherheit, dass US-Clouds mit der Schutzklasse 0 zu bewerten sind. Aus diesem Grund hat ja auch der Europäische Gerichtshof (EuGH) das „Safe Harbor“-Abkommen für ungültig erklärt. Mit diesem Abkommen war bisher rechtlich abgesichert, wenn Daten von EU-Bürgern in die USA weitergeleitet wurden.

ITM: Microsoft beispielsweis kooperiert ganz bewusst mit T-Systems beim Hosting von Office 365, um dem Zugriff der US-Gerichtsbarkeit zu entgehen. Wie bewerten Sie diesen Schachzug?
Jäger:
Microsoft tritt in diesem Modell als Technologielieferant auf und bietet gemeinsam mit den deutschen Partnern Dienstleistungen an: Der Konzern behauptet, tatsächlich nur noch bei speziellen Service-Vorfällen auf die Daten zugreifen zu können. Er könne selbst keine Daten weiterleiten, selbst wenn die US-Regierung es wünsche. Das Ganze ist ein Konstrukt, um mit den rechtlichen Gegebenheiten umzugehen: Die Verantwortung – also die Zutritts- und Zugriffskontrolle – liegt, so die Unternehmenssprecher, bei T-Systems und damit bei der Telekom. Um zu sagen, welche Schutzklasse für das „deutsche“ Office 365 gilt, müssen wir eine TCDP-Zertifizierung abwarten.

Würde Microsoft in Europa wieder als Dienstanbieter ohne deutsche Schützenhilfe auftreten wollen, müsste der Konzern beweisbar ausschließen, dass er selbst und damit die US-Gerichtsbarkeit auf die Daten zugreifen kann. Das ließe sich umsetzen, wie man am Beispiel des Dienstes Idgard sieht. Die Schutzklasse 3 hat er wegen der Technologie erreicht, die ihm zugrunde liegt: Sie hindert selbst den Cloud-Betreiber daran, auf Daten zuzugreifen. Privacy by Design eben, wie es der Entwurf der EU-Datenschutz-Grundverordnung verlangt. 

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok