Die Datenschutzzertifizierung des Kompetenznetzwerks
Trusted Cloud e.V
Unter dem Projektnamen AUDITOR wurde, gefördert vom Bundesministerium für Wirtschaft und Klimaschutz, vom KIT gemeinsam mit der Universität Kassel und weitern Konsortialpartnern ein Schema für eine Zertifizierung gemäß Artikel 42 DSGVO für Clouds-Dienste entwickelt. Das Kompetenznetzwerk Trusted Cloud e.V. fungiert als Verwalter dieses Konformitätsbewertungsprogramms. Dieses ist, nach Prüfung durch den Europäischen Datenschutzausschuss (EDSA), am 28.06.2024 durch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI) bewilligt worden und kann nunmehr als verbindliche Basis für Zertifizierungen unter der Marke GDPR-CC eingesetzt werden.
Was sind Zertifizierungen gemäß Artikel 42 DSGVO ?
Gemäß Artikel 42,1 DSGVO handelt es sich hierbei um datenschutzspezifische Zertifizierungsverfahren, die dazu dienen, nachzuweisen, dass diese Verordnung (DSGVO) bei Verarbeitungsvorgängen von Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Durch diesen spezifischen Charakter unterscheiden sie sich von Zertifizierungen wie der ISO 27001 oder ISO 27018.
Gemäß Artikel 5,2 der DSGVO muss der Verantwortliche für die Verarbeitung personenbezogener Daten die Sicherheit der Verarbeitung nachweisen und hat hierfür auch eine Rechenschaftspflicht. Ein Nachweis hierfür kann gemäß Art. 28,5 DSGVO durch genehmigte Zertifizierungen geführt werden und, im Falle möglicher Geldbußen, mildernd berücksichtigt werden.
Was ist der Gegenstand der Zertifizierung?
Durch AUDITOR können Cloud-Anbieter die Vereinbarkeit ihrer Datenverarbeitungsvorgänge mit datenschutzrechtlichen Anforderungen der DSGVO nachweisen. Den Zertifizierungsgegenstand bilden Verarbeitungsvorgänge von personenbezogenen Daten. Der AUDITOR Kriterienkatalog bildet den Prüfstandard der Zertifizierung und enthält Kriterien, Erläuterungen, Umsetzungshinweise und Nachweise für Cloud Dienste.
Speziell werden auch Bedürfnisse von KMU werden berücksichtigt durch
- Schutzklassenkonzept
- Modularisierung und Anerkennung bestehender Zertifikate
- Nur Mindestanforderungen gemäß DSGVO, keine zusätzlichen Anforderungen
Wer kann Zertifikate erteilen?
Das Kompetenznetzwerk Trusted Cloud e.V. agiert als neutraler Verwalter des Zertifizierungsprogramms und erteilt selbst keine Zertifikate.
Zertifikate werden von spezialisierten Unternehmen erteilt; die Zertifizierungsstellen müssen sich nach der ISO/IEC 17065 i.V.m. den ergänzenden Anforderungen zur Akkreditierung nach Art. 43 Abs. 3 DSGVO und dem AUDITOR-Programm akkreditieren lassen.
Die Akkreditierung erfolgt bei der Deutschen Akkreditierungsstelle (DAkkS). Die Zertifizierungsstellen weisen gegenüber der DAkkS nach, dass sie ihre Tätigkeiten fachlich kompetent, unter Beachtung gesetzlicher sowie normativer Anforderungen und auf international vergleichbarem Niveau erbringen. Ebenso ist von den Zertifizierungsstellen eine Nutzungsvereinbarung mit dem Kompetenznetzwerk Trusted Cloud abzuschließen.
Der Cloud Anbieter wendet sich zur Durchführung von Audits und Erteilung eines Zertifikats direkt an eine der akkreditierten Zertifizierungsstellen.
Das Verzeichnis der akkreditierten Zertifizierungsstellen wird auf dieser Website geführt werden.
Warum sollte ein Cloud Anbieter sich zertifizieren lassen?
- Erfüllung von Nachweis- und Rechenschaftspflichten für die Kunden des Cloud Anbieters.
Zertifizierungen werden als Faktor für hinreichende Garantien bei der Auswahl eines Auftragsverarbeiters herangezogen.
- Minimierung von Risiken für den Cloud Anbieter.
Ein DSGVO-Zertifikat wird bei der Bemessung von Geldbußen mildernd berücksichtigt.
- Eventuelle Einhaltung von Marktzutrittsvoraussetzungen
zum Beispiel im Bereich von Videosprechstunden BMV-Ä ("Ein Zertifikat gemäß Artikel 42 DS-GVO für den Geltungsbereich der Verarbeitung von personenbezogenen Daten bei Videodiensten in der vertragsärztlichen Versorgung zur Durchführung von Videosprechstunden...").
Sollten Sie spezielle Fragen zur Datenschutzzertifizierung haben, freuen wir uns über Ihre Kontaktaufnahme unter geschaeftsstelle@trusted-cloud.de.
FAQs zur Datenschutz-Grundverordnung
Accordion Element
Headline
Wer kontrolliert die Einhaltung der Datenschutz-Grundverordnung?
Text
Die Einhaltung der Datenschutz-Grundverordnung und der nationalen Rechtsvorschriften zum Datenschutz wird in allen Mitgliedstaaten durch unabhängige Aufsichtsbehörden überwacht und durchgesetzt.
In Deutschland sind dies die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) und die Aufsichtsbehörden der Bundesländer. Die BfDI ist zuständig für die Aufsicht über die öffentlichen Stellen des Bundes, die Gemeinsamen Einrichtungen nach dem Sozialgesetzbuch II (Jobcenter) und die Unternehmen, die Telekommunikations- oder Postdienstleistungen erbringen; im Übrigen sind die Aufsichtsbehörden der Länder zuständig.
Eine Übersicht über die Aufsichtsbehörden und deren Kontaktdaten findet sich auf der Website der BfDI.
Die Aufsichtsbehörden verfügen über die umfangreichen Untersuchungs-, Abhilfe- und Genehmigungsbefugnisse des Artikels 58 Datenschutz-Grundverordnung. Sie können gegenüber dem Verantwortlichen insbesondere Verbote oder Anordnungen aussprechen und Bußgelder verhängen. Sie beraten zudem die nationalen Parlamente und Regierungen und gehen Beschwerden betroffener Personen nach. Bei der Erfüllung ihrer Aufgaben sind die Aufsichtsbehörden völlig unabhängig; sie unterstehen insbesondere keiner Rechts- oder Fachaufsicht.
Die Aufsichtsbehörden der Mitgliedstaaten arbeiten bei der Überwachung und Durchsetzung der Datenschutz-Grundverordnung eng zusammen. Sie leisten sich gegenseitige Amtshilfe und können gemeinsame Maßnahmen durchführen. Wichtige Auslegungs- und Anwendungsfragen, insbesondere solche mit grenzüberschreitendem Bezug, werden im Europäischen Datenschutzausschuss, dem Zusammenschluss aller Aufsichtsbehörden der Mitgliedstaaten auf EU-Ebene, beraten und verbindlich entschieden. Der Europäische Datenschutzausschuss trägt mit diesem Kohärenzverfahren zu einer EU-weit einheitlichen Anwendung der Datenschutz-Grundverordnung bei.
Die Aufsichtsbehörde am Ort der Hauptniederlassung oder der einzigen Niederlassung eines Unternehmens in der Europäischen Union handelt bei den Abstimmungsprozessen mit den Aufsichtsbehörden der übrigen Mitgliedstaaten als federführende Aufsichtsbehörde. Sie ist für Fragen grenzüberschreitender Datenverarbeitung einziger Ansprechpartner des Verantwortlichen (Artikel 56 Datenschutz-Grundverordnung). Dieses "One Stop Shop-Prinzip" bewirkt für Daten verarbeitende Unternehmen eine erhebliche Vereinfachung.
Quelle: BMI
Headline
Welche Rolle spielen Verhaltensregeln und Zertifizierungen?
Text
Die Harmonisierung bietet enorme Chancen für die Wirtschaft, insbesondere für grenzüberschreitend tätige Unternehmen, da in der gesamten Europäischen Union die gleichen Regeln gelten; der hohe Abstraktionsgrad der Datenschutz-Grundverordnung stellt die Wirtschaft jedoch auch vor Rechtsunsicherheit.
Von hoher Bedeutung sind daher die Mechanismen, die die Wirtschaft befähigen, eigeninitiativ zur Konkretisierung der Datenschutz-Grundverordnung beizutragen. Die Instrumente der Verhaltensregeln, so genannte Codes of Conduct, und der Datenschutz-Zertifizierung werden durch die Datenschutz-Grundverordnung gestärkt und dienen als wichtiges Mittel zur Schaffung von Rechtssicherheit. Sie sind ein wichtiger Aspekt, um Datenschutz-Konformität nachzuweisen und hierdurch Vertrauen zu schaffen. Die Aufsichtsbehörden sind in die Ausarbeitung von Verhaltensregeln und der Zertifizierungskriterien eng einzubinden und genehmigen diese, so dass es sich um Instrumente der „regulierten“ Selbstregulierung handelt. Genehmigte Verhaltensregeln und Zertifizierungsmechanismen können Teil geeigneter Garantien für Datenübermittlung in Drittländer sein (Artikel 46 Absatz 2 Buchstabe e) und f) Datenschutz-Grundverordnung).
Über das Instrument der Verhaltensregeln (Artikel 40 Datenschutz-Grundverordnung) können Verbände und andere Vereinigungen die Anwendung der Datenschutz-Grundverordnung für spezielle Verarbeitungsbereiche oder Branchen präzisieren und hierbei insbesondere den Anforderungen kleinerer und mittlerer Unternehmen Rechnung tragen. Die Verhaltensregeln werden von der zuständigen nationalen Aufsichtsbehörde oder den Europäischen Datenschutzausschuss genehmigt und veröffentlicht. Die Europäische Kommission kann die vom Europäischen Datenschutzausschuss genehmigten Verhaltensregeln EU-weit für allgemein gültig erklären. Die Überwachung der Verhaltensregeln kann nach Artikel 41 Datenschutz-Grundverordnung einer unabhängigen Stelle übertragen werden, die von den Aufsichtsbehörden akkreditiert wird. Die Aufgaben und Befugnisse der Aufsichtsbehörden bleiben hiervon unberührt.
Mit datenschutzspezifischen Zertifizierungsverfahren (Artikel 42 Datenschutz-Grundverordnung) können Verantwortliche und Auftragsverarbeiter nachweisen, dass die Datenschutz-Grundverordnung bei den zertifizierten Verarbeitungsvorgängen eingehalten wird. Die Zertifizierung erfolgt anhand der durch die nationalen Aufsichtsbehörden oder - im Falle eines EU-weiten Europäischen Datenschutzsiegels - durch den Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Artikel 42 Absatz 5). Die Stellen, die die Zertifizierung vornehmen (Zertifizierungsstellen), müssen durch die Deutsche Akkreditierungsstelle (DAkkS) unter Einbindung der Aufsichtsbehörden akkreditiert werden (Artikel 43 Datenschutz-Grundverordnung i.V.m. § 39 BDSG 2018).
Für den in der Praxis sehr bedeutsamen Bereich der Auftragsverarbeitung im Rahmen von Cloud Computing steht mit dem Trusted Cloud Datenschutz Profil für Cloud-Dienste (TCDP) ein Zertifizierungsstandard auf der Basis des geltenden Bundesdatenschutzgesetzes zur Verfügung, von dem Anbieter und Nutzer von Cloud-Diensten gleichermaßen profitieren. Der Prüfstandard wurde im Rahmen des Technologieprogramms "Trusted Cloud" des Bundesministeriums für Wirtschaft und Energie entwickelt und wird durch die Stiftung Datenschutz verwaltet. Durch das vom Bundesministerium für Wirtschaft und Energie geförderte Forschungsprojekt AUDITOR wird der Standard derzeit an die Datenschutz-Grundverordnung angepasst und fortentwickelt. Ziel des Projektes ist insbesondere die Erstellung eines durch den Europäischen Datenschutzausschuss nach Artikel 42 Absatz 5 Datenschutz-Grundverordnung genehmigten Kriterienkatalogs für die Zertifizierung und die Entwicklung eines Prüf- und Zertifizierungsverfahrens.
Quelle: BMI
Headline
Unterscheidung Verhaltensregeln und Zertifizierungen
Text
Über das Instrument der Verhaltensregeln (Artikel 40 Datenschutz-Grundverordnung) können Verbände und andere Vereinigungen die Anwendung der Datenschutz-Grundverordnung für spezielle Verarbeitungsbereiche oder Branchen präzisieren und hierbei insbesondere den Anforderungen kleinerer und mittlerer Unternehmen Rechnung tragen. Die Verhaltensregeln werden von der zuständigen nationalen Aufsichtsbehörde oder den Europäischen Datenschutzausschuss genehmigt und veröffentlicht. Die Europäische Kommission kann die vom Europäischen Datenschutzausschuss genehmigten Verhaltensregeln EU-weit für allgemein gültig erklären. Die Überwachung der Verhaltensregeln kann nach Artikel 41 Datenschutz-Grundverordnung einer unabhängigen Stelle übertragen werden, die von den Aufsichtsbehörden akkreditiert wird. Die Aufgaben und Befugnisse der Aufsichtsbehörden bleiben hiervon unberührt.
Mit datenschutzspezifischen Zertifizierungsverfahren (Artikel 42 Datenschutz-Grundverordnung) können Verantwortliche und Auftragsverarbeiter nachweisen, dass die Datenschutz-Grundverordnung bei den zertifizierten Verarbeitungsvorgängen eingehalten wird. Die Zertifizierung erfolgt anhand der durch die nationalen Aufsichtsbehörden oder - im Falle eines EU-weiten Europäischen Datenschutzsiegels - durch den Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Artikel 42 Absatz 5). Die Stellen, die die Zertifizierung vornehmen (Zertifizierungsstellen), müssen durch die Deutsche Akkreditierungsstelle (DAkkS) unter Einbindung der Aufsichtsbehörden akkreditiert werden (Artikel 43 Datenschutz-Grundverordnung i.V.m. § 39 BDSG 2018).
Quelle: BMI
Headline
Nachweis der Konformität zum Datenschutz
Text
Mit datenschutzspezifischen Zertifizierungsverfahren (Artikel 42 Datenschutz-Grundverordnung) können Verantwortliche und Auftragsverarbeiter nachweisen, dass die Datenschutz-Grundverordnung bei den zertifizierten Verarbeitungsvorgängen eingehalten wird. Die Zertifizierung erfolgt anhand der durch die nationalen Aufsichtsbehörden oder - im Falle eines EU-weiten Europäischen Datenschutzsiegels - durch den Europäischen Datenschutzausschuss genehmigten Zertifizierungskriterien (Artikel 42 Absatz 5). Die Stellen, die die Zertifizierung vornehmen (Zertifizierungsstellen), müssen durch die Deutsche Akkreditierungsstelle (DAkkS) unter Einbindung der Aufsichtsbehörden akkreditiert werden (Artikel 43 Datenschutz-Grundverordnung i.V.m. § 39 BDSG 2018).
Quelle: BMI
FAQs zu AUDITOR
Accordion Element
Headline
Wer verwaltet AUDITOR?
Text
Das Kompetenznetzwerk Trusted Cloud e.V. wird die Zertifizierung in Anschluss an das Forschungsprojekt verwalten. Dabei tritt Trusted Cloud e.V. insbesondere als Programmeigner auf. Die Zertifizierung wird durch jede Zertifizierungsstelle am Markt möglich sein, insofern diese sich akkreditieren lassen hat und eine Lizenzvereinbarung zur Vergabe des Zertifikats mit Trusted Cloud abgeschlossen hat.
Headline
Wann wird AUDITOR auf dem Markt angeboten werden?
Text
Das Forschungsprojekt AUDITOR endet in seiner ersten Phase im Oktober 2019. Das AUDITOR-Konformitätsbewertungsprogramm wurde am 4 Februar 2020 bei der Deutschen Akkreditierungsstelle (DAkkS) zur gemeinsamen Programmprüfung und Bewilligung der Kriterien eingereicht. Abhängig von der Dauer der Programmprüfung und der Bewilligung der Kriterien können sich im Sommer 2020 Zertifizierungsstellen akkreditieren lassen. Zertifizierungsstellen müssen sich nach der ISO/IEC 17065 i.V.m. den ergänzenden Anforderungen zur Akkreditierung nach Art. 43 Abs. 3 DSGVO und dem AUDITOR-Programm akkreditieren lassen, damit sie ein AUDITOR-Zertifikat am Markt anbieten können. Zur Nutzung des AUDITOR-Gütesiegels wird ein Lizenzvertrag mit Trusted Cloud geschlossen.
Headline
Wie teuer wird AUDITOR sein?
Text
AUDITOR hat insbesondere kleine und mittelständige Unternehmen als Zielgruppe fokussiert. Durch einen modularen Kriterienkatalog, der risikobasiert nach Schutzklassen ausgerichtet ist, können Kosteneinsparungen bei der Zertifizierung realisiert werden. Eine pauschale Angabe zu den Kosten für eine Zertifizierung ist nicht möglich, da diese immer abhängig vom jeweiligen Zertifizierungsgegenstand ist.
Headline
Wie steht AUDITOR zum TCDP?
Text
AUDITOR ist das Nachfolgeprojekt zum Trusted Cloud Datenschutz-Profil für Cloud-Dienste. Das TCDP ist ein Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. AUDITOR baut maßgeblich auf dem TCDP auf, und hebt ihn auf ein europäisches Level, um die Konformität zur DSGVO nachzuweisen. Das Projektkonsortium arbeite auch eng mit der Stiftung Datenschutz als Verwalterin des TCDP zusammen.
Headline
Wie wird sichergestellt, dass AUDITOR zukünftig Anklang findet?
Text
Das Forschungsprojekt besteht aus einem Zusammenschluss von verschiedenen Unternehmen und Forschungseinrichtungen. Zudem wird es durch eine Reihe von Assoziierten Partnern unterstützt. Die Zwischenergebnisse von AUDITOR werden der Öffentlichkeit zur Verfügung gestellt, sodass eine Begutachtung von allen Akteuren stattfinden kann. Das Projekt hat bereits in der Vergangenheit immer wieder Meilensteinsitzungen durchgeführt, auf der wesentliche Ergebnisse präsentiert und anschließend diskutiert wurden. Zudem ist zukünftig auch die Entwicklung von Geschäftsmodellen und Transferkonzepten geplant, sodass AUDITOR langfristig erfolgreich auf dem Markt angeboten werden kann.
Headline
Wie steht AUDITOR zu anderen Zertifizierungen, welche auf die DSGVO aufbauen?
Text
Das Projektkonsortium beobachtet den Zertifizierungsmarkt und ist bestrebt einen Austausch mit allen relevanten Parteien durchzuführen. AUDITOR wird zunächst auf nationaler Ebene diskutiert und etabliert. Gleichzeitig soll aber auch eine europäische Anerkennung angestrebt werden. Daher steht das Konsortium bereits im Austausch mit Frankreich, Österreich, Italien und weiteren EU-Mitgliedsstaaten, um die Fachexpertisen in Europa zu bündeln, und AUDITOR gemeinsam voran zu bringen. AUDITOR wird zudem durch die EU-Kommission (DG Connect und DG Justice) befüwortet. Im Rahmen eines ersten EU-Workshops in Brüssel haben bereits einige EU-Mitgliedsstaaten die bisherigen Ergebnisse von AUDITOR begrüßt und eine weitere Zusammenarbeit zugesichert.
Headline
Wie steht AUDITOR zu anderen Cloud-Dienst-Zertifizierungen?
Text
AUDITOR ist eine Datenschutzzertifizierung für Cloud-Dienste gemäß der Anforderungen der DSGVO. AUDITOR steht damit nicht in Konkurrenz zu bestehenden Zertifikaten. Vielmehr berücksichtigt AUDITOR auch andere Zertifizierungen, wie bspw. die ISO27001 und erkennt diese im Rahmen seiner Prüfprozesse an. Dies bedeutet, dass ein Unternehmen welches bereits nach ISO27001 zertifiziert ist, dieses Zertifikat im Rahmen des AUDITOR-Prüfprozesses vorlegen kann, welches dann als Nachweis zur Erfüllung von gemeinsamen Anforderungen herangezogen werden kann. Daher müssen Kriterien in AUDITOR nicht mehrfach geprüft werden, falls ein Anbieter bereits Garantien zum Nachweis vorweisen kann. Bei der Anerkennung von bestehenden Zertifizierungen gelten die Richtlinien der Datenschutzkonferenz "Anforderungen zur Akkreditierung gemäß Art. 43 Abs. 3 DS-GVO i.V.m. DIN EN ISO/IEC 17065".
Headline
Für wen ist AUDITOR vorteilhaft?
Text
Die Zertifizierung nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO) ist im Interesse aller Beteiligten:
- Der Cloud-Kunden, die nur mit solchen Cloud-Anbietern zusammenarbeiten dürfen, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können,
- der Cloud-Anbieter, die mit einer Zertifizierung ebendiese Sicherheit bieten können,
- der Prüf- und Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht, und
- der potentiell durch die Datenverwendungen betroffenen Endverbraucher, deren Schutz personenbezogener Daten im Mittelpunkt der Zertifizierung von Cloud-Diensten steht.
Headline
Welche Standardisierungsmaßnahmen sind geplant?
Text
AUDITOR wird zunächst als DIN-Spezifikation (DIN-SPEC) veröffentlicht. Dadurch sind die Ergebnisse öffentlich verfügbar. Die DIN-SPEC ist jedoch nur eine erste Stufe, welche genommen wird, um zukünftig auch eine internationale Standardisierung vorzunehmen. Das DIN ist Projektpartner im Konsortium und initiiert geeignete Standardisierungsmaßnahmen auch auf europäischer und internationaler Ebene. So ist geplant, die Ergebnisse auch in einer EU-Norm zu veröffentlichen.
Headline
Welche Rolle nimmt der Lenkungsausschuss ein?
Text
Der AUDITOR-Lenkungsausschuss besteht aus Vertretern des BMI, BMWI und der DAkkS. Ziel des Lenkungsausschusses ist die politische Steuerung des Projektes. Gemeinsam mit dem Projektkonsortium werden Maßnahmen für eine Verbreitung und europäische Anerkennung von AUDITOR durchgeführt.