Wie kann ich erfolgreich belegen, dass mein Unternehmen nicht nur auf dem Papier, sondern auch in der Praxis DSGVO-konform handelt? Diese Frage haben sich wohl viele Betriebe nach der Inkraftsetzung der Datenschutz-Grundverordnung im vergangenen Jahr gestellt. In der Regel gilt eine Zertifizierung als sichtbarer Nachweis, doch zum jetzigen Zeitpunkt gibt es noch keine spezifischen DSGVO-Zertifikate. Hier setzt insbesondere das Forschungsprojekt AUDITOR an und erarbeitet aktuell eine EU-weite Datenschutzzertifizierung von Cloud-Diensten. Aber ab wann ist nun mit ersten Zertifikaten zu rechnen? Wir geben eine Übersicht über die aktuellen Entwicklungen.
AUDITOR – Was ist das?
Sicherheit und Transparenz – das sind mitunter die entscheidenden Eigenschaften, die Cloud-Anbieter für den eigenen Erfolg, aber auch den ihrer Kunden, garantieren sollten. Eine Möglichkeit diese Qualitätsmerkmale sowie eine DSGVO-Konformität nachzuweisen, bietet zukünftig das AUDITOR-Zertifikat.
Den entscheidenden Grundstein für die Entstehung des Projektes AUDITOR (European Cloud Service Data Protection Certification) hat der Gesetzgeber mit Artikel 42 und 43 der DSGVO gelegt, die die Einführung von datenschutzspezifischen Akkreditierungs- und Zertifizierungsverfahren behandeln.
Ziel ist die Konzeptionierung, Einführung und Erprobung einer europaweiten Zertifizierung von Cloud-Diensten auf Basis der DSGVO. Zu diesem Zweck arbeitet ein interdisziplinäres Team aus Wissenschaftlern und Unternehmen an der Entwicklung eines entsprechenden Kriterienkatalogs. Auch die TÜV Informationstechnik GmbH ist Partner des Forschungsprojektes und beteiligt sich in diesem Rahmen unter anderem aktiv an der Realisierung eines Kriterien-Leitfadens. Dieser überführt die Anforderungen des Gesetzes in geeignete und prüffähige Zertifizierungskriterien. Damit bildet er die Basis der Zertifizierung und enthält ebenso weitere Erläuterungen, Umsetzungshinweise und Nachweise. Ein zentrales Element ist die Unterscheidung nach Schutzklassen, die es Unternehmen bei einigen Kriterien ermöglicht, den eigenen Schutzbedarf von Datenverarbeitungsvorgängen individuell festzulegen. Dies drückt sich in unterschiedlichen Anforderungen aus.
Neben der Entwicklung dieser Kriterien steht außerdem die Konzeptionierung von Verfahrensrichtlinien sowie geeigneter Organisationsstrukturen und Prüfmethoden im Vordergrund. Ebenso stellt die Standardisierung der Ausarbeitungen eine grundlegende Zielsetzung dar.
Verarbeitungsvorgänge als Zertifizierungsgegenstand
Gegenstand der Zertifizierung bilden Verarbeitungsvorgänge von personenbezogenen Daten. Das bedeutet, es werden zum einen die Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter als Auftragsverarbeiter durchführt. Zum anderen rücken auch die Vorgänge in den Fokus, die der Anbieter für das Abschließen eines Vertrages mit einem Cloud-Nutzer und das Bereitstellen des entsprechenden Cloud-Dienstes umsetzt. Insgesamt sind in dem Zusammenhang folglich drei Komponenten zu berücksichtigen:
- Die personenbezogenen Daten als solche,
- die technischen Systeme, die genutzt werden, um diese Daten zu verarbeiten, und
- Prozesse und Verfahren, die mit den Verarbeitungsvorgängen in Verbindung stehen.
Das macht deutlich: Hier werden im Gegensatz zu anderen Normen keine konkreten Produkte oder ganze Managementsysteme zertifiziert, sondern spezifische Prozesse in Form von Verarbeitungsvorgängen. Diese müssen den Anforderungen der DSGVO entsprechen. Das grenzt die AUDITOR-Zertifizierung beispielsweise von einer Zertifizierung nach ISO 27001 ab, die alleine gesehen keine DSGVO-Konformität bescheinigt.
Da im Rahmen des AUDITOR-Prüfprozesses allerdings auch andere Zertifizierungen berücksichtigt werden, ist es für Unternehmen möglich, ein bestehendes ISO 27001-Zertifikat vorzulegen, das die Erfüllung von übereinstimmenden Anforderungen belegt.
AUDITOR: Aktueller Stand und Zeitplan
Seit April dieses Jahres liegt der AUDITOR-Kriterienkatalog, der die notwendige Grundlage des Zertifizierungsverfahrens bildet, in der Version 0.9 vor.
Aktuell befindet sich das Projekt noch in der Pilotierungsphase, die voraussichtlich im Oktober 2019 endet. Im Anschluss daran wird das Programm bei der Deutschen Akkreditierungsstelle (DAkkS) zur Prüfung und Bewilligung der Kriterien eingereicht. Ende 2019 ist mit einer ersten Veröffentlichung der Datenschutzzertifizierung in Form einer DIN-SPEC zu rechnen. In Abhängigkeit davon, wie lange die Überprüfung durch die DAkkS dauert, können sich Zertifizierungsstellen ab Frühjahr 2020 akkreditieren lassen. Bald darauf kann demnach auch mit der Ausstellung erster AUDITOR-Zertifikate gerechnet werden, die vor allem in Sachen Marketing und positiver Außendarstellung einen entscheidenden Mehrwert mit sich bringen.
Weitere Informationen zu AUDITOR erhalten Sie hier.
Über TÜViT
Die TÜV Informationstechnik GmbH ist auf die Prüfung und Zertifizierung der Sicherheit in der Informationstechnik ausgerichtet. Als unabhängiger Prüfdienstleister für IT-Sicherheit ist die TÜV Informationstechnik GmbH international führend. Zahlreiche Kunden profitieren bereits von der geprüften Sicherheit des Unternehmens. Zum Portfolio gehören Cyber Security, Evaluierung von Software und Hardware, IoT/Industrie 4.0, Datenschutz, ISMS, Smart Energy, Mobile Security, Automotive Security, eID und Vertrauensdienste sowie die Prüfung und Zertifizierung von Rechenzentren hinsichtlich ihrer physischen Sicherheit und Hochverfügbarkeit. Die 1995 gegründete TÜV Informationstechnik GmbH mit Sitz in Essen ist ein Unternehmen der TÜV NORD GROUP, die mit über 10.000 Mitarbeitern und Geschäftsaktivitäten in weltweit 70 Ländern als einer der größten Technologie-Dienstleister agiert.
TÜViT ist die Dachmarke des Geschäftsbereiches IT, einem der sechs weltweit aufgestellten Geschäftsbereiche in der TÜV NORD GROUP.
31.07.2019