Was bringt Unternehmen das Datenschutz-Zertifikat?
Das Zertifikat nach dem TCDP schließt eine „große Lücke für Unternehmen, die vorhaben, Public-Cloud-Dienste zu beziehen“, sagte Dr. Hubert Jäger bei der Verleihungszeremonie. Aktuell würden Firmen kaum Möglichkeiten besitzen, die Anbieter von Cloud-Diensten bezüglich Rechtskonformität bei der Datenverarbeitung zu prüfen. Sie müssten oft nur den Angaben der Anbieter selbst vertrauen. Die technischen und organisatorischen Vorkehrungen zu kontrollieren, die diese hinsichtlich der Datensicherheit getroffen haben, gestaltet sich auch aufwändig. Letztlich seien „die Unternehmen aber dazu verpflichtet“.
Das Zertifikat bezieht sich nun explizit auf den Datenschutz und die Datensicherheit einer Public Cloud. Es standardisiert die Anforderungen des Datenschutzes einschließlich der Informationssicherheit. Damit potentielle Cloud-Nutzer eine Wahl zwischen verschiedenen Diensten treffen und den Grad an Datensicherheit beurteilen können, brauchen sie eine Vergleichsmöglichkeit. Hierfür sieht das Zertifikat nach dem TCDP Schutzklassen vor, die auf den unterschiedlichen Schutzbedarf einzelner Unternehmen eingehen. Die Schutzklassen erleichtern den Cloud-Nutzern 1. grundsätzlich die Wahl und 2. unterstützen sie Unternehmen dabei, die von den Datenschutzgesetzen geforderten Kontrollpflichten zu erfüllen. IT-Leiter sollen in Zukunft damit sogar Haftungsrisiken vermeiden können.
Wer war an der Entwicklung beteiligt?
Grundlage dieses Datenschutz-Zertifikats ist das 2015 entwickelte Trusted Cloud Datenschutzprofil, ein Anforderungskatalog, der auf anerkannte Standards (z. B. ISO 27018) aufbaut. Er erfüllt alle datenschutzrechtlichen Vorgaben für die Auftragsverarbeitung in der Cloud. An der Entwicklung des Profils waren unter der Leitung der TÜV Informationstechnik GmbH Vertreter aller maßgeblichen Akteure beteiligt, darunter
- mehrere Datenschutzaufsichtsbehörden: unter anderen der Bundesdatenschutzbeauftragte, Datenschutz Berlin, ULD, Datenschutz Brandenburg, Nordrhein-Westfalen, Bayern.
- Anbieter und Anwender von Cloud-Diensten: zum Beispiel der Telekom, regioIT, Uniscon, SAP,
- Verbände wie der Branchenverband BitKOM und die Eurocloud
- Ministerien: darunter das Bundesministerium des Inneren (BMI) und das BMWi,
- Stiftungen und Ämter des Bundes, Standardisierungsorganisationen: zum Beispiel das Bundesamt für Sicherheit in der Informationstechnologie (BSI), die Stiftung Datenschutz, das Deutsche Institut für Normung (DIN e.V. )
- Unternehmen aus den Bereichen der IT-Auditierung: unter anderen das TÜV Süd, TÜViT, TÜV Rheinland.
Der in Schutzklasse 3 zertifizierte Dienst iDGARD der Münchner Cloud-Security Experten Uniscon bietet digitale Projekträume, die Teams über die Firmengrenzen hinaus zur gemeinsame Datenablage nutzen können wie zur sicheren Kommunikation. Mitglieder eines Teams tauschen sicher Nachrichten aus, chatten und laden ihre Dokumente hoch- oder herunter oder bearbeiten sie.
Diese Projekträume lassen sich mit wenigen Klicks einrichten. Interne Nutzer wie externe Partner erhalten eine Einladung. Dabei entscheidet der Projektleiter für jeden Projektraum individuell, welche Rechte die einzelnen Teammitglieder haben sollen. Da der Dienst Inhalte und Metadaten mit rein technischen Maßnahmen schützt, Bescheinigt das Zertifikat Schutzklasse 3. Der Dienst ist demnach auch - rechtlich abgesichert - für die Verarbeitung von personenbezogenen Daten, für Unternehmens- und Amtsgeheimnisse geeignet, oder vereinfacht ausgedrückt, sogar Rechtsanwälte und Ärzte dürfen iDGARD berufsbezogen nutzen.
Mehr dazu erfahren Interessierte weiterhin auf der CeBIT 2016 am Stand von Uniscon in Halle 007, Stand B62 (DATABUND). Die Verleihung des TCDP-Zertifikats fand am 17. März auf dem Stand C38 des Bundeswirtschaftsministeriums in Halle 6 statt.