Anzeige

Anzeige

VERANSTALTUNGEN

LIVE2019
28.05.19 - 28.05.19
In Nürnberg

Online B2B Conference
04.06.19 - 05.06.19
In Holiday Inn Westpark, München

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

WeAreDevelopers
06.06.19 - 07.06.19
In Berlin, Messe CityCube

Anzeige

Anzeige

Cloud DSGVO 769592452 700

Am 25. Mai 2018 werden die EU-Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG (neu)) nach zweijähriger Übergangszeit anwendbar. Im Vergleich zum bisherigen Recht kommen damit u.a. mehr Nachweispflichten auf die Akteure zu. 

Das heißt, der verantwortliche Cloud-Nutzer ist verpflichtet, die Einhaltung der Anforderungen der DSGVO nachzuweisen. Der Auftragsverarbeiter – also der Cloud-Anbieter – hat ihn dabei zu unterstützen. Hierzu können geeignete Zertifikate als „Nachweiserleichterung“ herangezogen werden – doch zu diesem Thema kursieren derzeit viele Mythen und Halbwahrheiten zur DSGVO im Netz. Sind Datenschutz-Zertifikate ab dem 25. Mai überhaupt noch gültig? Und gibt es schon zertifizierte Dienste?

Stand der Dinge: In Arbeit

Mit einem knappen „Ja“ oder „Nein“ lassen sich diese beiden Fragen leider nicht beantworten. Der aktuelle Stand der Dinge ist folgender:

Da es für Cloud-Nutzer schwierig ist, die Einhaltung der Datenschutzanforderungen selbst zu überprüfen, möchte der Europäische Gesetzgeber den Einsatz von Zertifikaten durch die DSGVO fördern. In verschiedenen Artikeln sind diese als ein möglicher Faktor zum Nachweis von Anforderungen vorgesehen. Mehr noch, die DSGVO geht in Artikel 42, Abs. 1 sogar weiter: Der „Ausschuss“, der die Kommission vertritt, kann bestimmte Kriterienkataloge gutheißen, damit sich leichter einheitliche Standards etablieren.

Im Bereich Cloud-Computing gibt es zurzeit noch keine vom Ausschuss genehmigten Zertifizierungsverfahren, zugehörige Kriterienkataloge sowie akkreditierte Stellen für die Prüfung und Zertifizierung. Dies bedeutet jedoch nicht, dass spezifische Compliance-Zertifikate nicht als ein Faktor zum Nachweis der DSGVO-Anforderungen herangezogen werden könnten. Dazu gehören insbesondere Zertifikate, die bereits im Hinblick auf die DSGVO entwickelt wurden.

Sind existierende Datenschutz-Zertifikate ab dem 25. Mai ungültig?

„Datenschutz-Zertifizierungen, die auf dem BDSG (alt) basieren, sind natürlich den Anforderungen der DSGVO anzupassen“, erklärt Dr. Hubert Jäger, Cloud-Security-Experte und CTO des TÜV SÜD-Tochterunternehmens Uniscon GmbH. So legt z.B. die Verfahrensordnung des Trusted Cloud Datenschutzprofils (TCDP) explizit fest, dass die Zertifikate nach TCDP v0.9 oder v1.0 am 25. Mai erlöschen. Dies ist auch sinnvoll, denn es ergeben sich aus der DSGVO gegenüber dem BDSG (alt) neue, zusätzliche Anforderungen.

Wenn nun der TCDP-Kriterienkatalog und die TCDP-Verfahrensordnung entsprechend erweitert und aktualisiert werden, können Zertifikate nach dem angepassten Standard dann direkt als Hilfsmittel zum Nachweis der DSGVO-Compliance zum Einsatz kommen.

Das Forschungsprojekt Auditor entwickelt derzeit einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO. Dabei wird eine Anerkennung durch den Europäischen Datenschutz-Ausschuss nach Art. 42 Abs. 5 DSGVO angestrebt. Assoziierte Partner sind neben dem Kompetenznetzwerk Trusted Cloud und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch der Branchenverband Bitkom und die Uniscon GmbH. Die Stiftung Datenschutz berät das den Standard ausarbeitende Konsortium und wird den erstellten Zertifizierungsstandard verwalten.  

uniscon.de 

GRID LIST
DSGVO

Nach einem Jahr DSGVO sind noch viele Unternehmen unsicher

Am 25. Mai gilt die DSGVO seit einem Jahr in allen EU-Mitgliedstaaten. In dieser Zeit…
Tb W190 H80 Crop Int D14174f9f546d61501920965da89725c

Ein Jahr DSGVO: Viel Arbeit - und viele offene Fragen

Die größte Aufregung rund um die Datenschutzgrundverordnung hat sich nach einem Jahr…
Tb W190 H80 Crop Int F1f72fabd46e97adb1d88019d7eccd85

Fünf Passwort-Alternativen der Zukunft

Der Welt-Passwort-Tag findet jedes Jahr am ersten Donnerstag im Mai statt. Er ruft dazu…
Tb W190 H80 Crop Int 3beed8ea8d39bc9de7fa829bffb574e8

Facebook bereitet sich auf Milliardenstrafe vor

Facebook rechnet damit, dass die jüngsten Datenschutz-Skandale das Online-Netzwerk bis zu…
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…