Die Nutzung von Cloud-Diensten erlebt seit Jahren einen weltweiten Boom und ist heute ein fester Bestandteil jeder modernen IT-Infrastruktur. Hohe Flexibilität bei gleichzeitig geringer Komplexität sind dabei klare Vorteile moderner Cloud Anwendungen. Trotz der Selbstverständlichkeit, mit der Cloud-Services heutzutage zum Alltag geworden sind, ergeben sich sowohl aus Sicht der Informationssicherheit als auch aus Sicht des Datenschutzes verschiedene Herausforderungen. Häufig werden mit Hilfe von Cloud-Lösungen schützenswerte, wie zum Beispiel personenbezogene Daten, verarbeitet. Dabei kommt es nicht selten vor, dass die Daten dazu an einen externen Cloud-Anbieter (Cloud Service Provider) bzw. an dessen zur Verfügung gestellte Systeme übertragen werden. Eine zwingend erforderliche Voraussetzung für die Verarbeitung solcher Daten ist der datenschutzkonforme Betrieb des Dienstes.
Für Cloud-Anbieter war es bislang schwierig, sich von unabhängigen Stellen bescheinigen zu lassen, dass ihre einzelnen Cloud-Dienste den Anforderungen der Datenschutz-Grundverordnung gerecht werden. Es fehlte eine offiziell akkreditierte Datenschutz-Zertifizierung zum Nachweis einer Datenschutzkonformität für die jeweiligen Verarbeitungsvorgänge je Service. In der Regel wurde dann auf verschiedene ISO-Zertifizierungen zurückgegriffen, welche jedoch keine Zertifizierung im Sinne des Art. 42 DSGVO darstellen.
An dieser Stelle setzt das Forschungsprojekt „AUDITOR“ (European Cloud Service Data Protection Certification) an. Ziel ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutz-Zertifizierung von Cloud-Diensten, die Datenverarbeitungsvorgänge im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO durchführen.
PwC hat als einzige große Wirtschaftsprüfungsgesellschaft das Forschungsprojekt von Beginn an beratend begleitet.
Die vorgesehene Zertifizierung erfolgt auf Grundlage der Datenschutz-Grundverordnung (DSGVO) und soll für Cloud Service Provider, Cloud-User sowie Prüf- und Zertifizierungsstellen eine klare, transparente und rechtssichere Lösung darstellen. „AUDITOR“ ist damit auf dem besten Weg, die erste akkreditierte Datenschutz-Zertifizierung gem. Art. 42 DSGVO zu werden. Das bisher rein deutsche Forschungsprojekt wird mittlerweile auch durch die EU-Kommission unterstützt. Dies ist insbesondere im Hinblick auf die Weiterentwicklung als europäisches Datenschutzsiegel wichtig.
Mit einem akkreditierten Datenschutz-Zertifikat können Sie als Cloud-Anbieter, im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DSGVO, Ihren Kunden Sicherheit und Transparenz für den zertifizierten Dienst bieten. Außerdem heben Sie sich positiv von Ihren Wettbewerben auf dem Markt ab und zeigen, dass Ihnen die Bedürfnisse Ihrer Kunden (datenschutzkonforme Cloud-Lösungen einzusetzen) wichtig sind.
Auf eine Datenschutz-Zertifizierung sollte sich Ihr Unternehmen entsprechend vorbereiten, sodass auch eine Zertifikatserteilung ohne Nachprüfungen und zusätzliche Kosten sowie unnötigen Zeitdruck möglich ist.
Wesentliche Voraussetzungen für eine Zertifizierung von Cloud-Services sind
Im Rahmen der Vorbereitung auf eine Zertifizierung haben sich sogenannte Dry-Runs (Probeläufe) bewährt. Bei der Durchführung eines Dry-Runs können wir die Umsetzung der vorhandenen Vorgaben in Ihrem Unternehmen und dem zu betrachtenden Cloud-Service in Bezug auf die angestrebte Zertifizierung nach „AUDITOR“ prüfen und beurteilen sowie Verbesserungspotential identifizieren und Sie bei der Auswahl geeigneter Maßnahmen unterstützen. Dabei setzen unsere erfahrenen Experten das beste Know-how aus den Bereichen der Cloud-Dienstleistungen, des Datenschutzes, der Compliance, der Informationstechnik und des technischen Managements ein.
Der nachfolgenden Grafik können Sie den exemplarischen Ablauf eines Dry-Runs entnehmen.