Sie sind hier: HomeTelekommunikation

Forschungsprojekt Auditor: Prüfstandard für Datenschutz-Zertifizierung von Cloud-Diensten

Die Konzeption, Umsetzung und Erprobung einer EU-weiten Datenschutzzertifizierung von Cloud-Diensten stellt das Ziel von Auditor dar. Mit der Neufassung des Kriterienkatalogs liegt ab jetzt ein Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten gemäß den Anforderungen der DSGVO vor.

Großbritannien wird DSGVO-Drittland: Dringender Handlungsbedarf, um DSGVO-Anforderungen zu erfüllen Bildquelle: © Pixabay

Großbritannien wird DSGVO-Drittland: Dringender Handlungsbedarf, um DSGVO-Anforderungen zu erfüllen

Ein Cloud-Anbieter muss in seiner Rolle als Auftragsverarbeiter Vorschriften erfüllen, um seine Datenverarbeitungsvorgänge zertifizieren zu lassen. Durch den Auditor-Kriterienkatalog werden die technikneutralen Vorschriften der DSGVO in prüffähige, normative Kriterien übersetzt. Die erste öffentliche Version des Kataloges wurde im Juni 2018 offiziell beim BMWi in Berlin vorgestellt und diente seitdem bereits als Referenzrahmen. Der Katalog wurde seit seiner Veröffentlichung auf zahlreichen Messen und Konferenzen, wie der CEBIT, der CloudExpo und den Internet Security Days diskutiert und konnte so kontinuierlich verbessert werden.

Das Auditor-Konsortium hat in mehreren Iterationen durch die Vielzahl von beteiligten Projektpartnern und in öffentlichen Workshops in Berlin und Köln mehrfach Feedback eingeholt. Die etablierten Cloud-Anbieter Cloud&Heat Technologies, ecsec und Hornetsecurity evaluierten außerdem das Verfahren in der Praxis, in dem sie Use Cases schafften, welche die Zertifizierung in kleinen und mittleren Unternehmen kritisch überprüfen. Heute wird der neu erarbeitete Auditor-Kriterienkatalog in der Version v0.9 als Open-Access PDF veröffentlicht und bildet die Grundlage für anstehende Pilotzertifizierungen.

„Es ist uns sehr wichtig, dass dass Datensicherheit in der Cloud gewährleistet ist. Um die Tauglichkeit einer allgemeinen Zertifizierung hierfür zu überprüfen, gilt es nun, die identifizierten Kriterien zu erproben und praktisch zu evaluieren“, erläutert Dr. Marius Feldmann, Leiter des operativen Geschäfts bei Cloud&Heat Technologies.

Ein Cloud-Anbieter verwendet neben seiner Rolle als Auftragsverarbeiter immer auch personenbezogene Daten des Cloud-Nutzers, um diesem den gewünschten Cloud-Dienst bereitzustellen. Hierzu zählen Bestandsdaten des Cloud-Nutzers (bspw. Namen, Adressen, Zahlungsdaten) sowie Nutzungsdaten (bspw. Benutzername, IP-Adressen, Log-Daten). Deshalb stellt die neue Entwurfsfassung des Kataloges die Kriterien an den Cloud-Anbieter als Verantwortlichen, wodurch ganzheitlich die Bedürfnisse des Marktes adressiert werden.