Für die nachweisliche Erfüllung der vielfältigen Anforderungen der ab Mai 2018 in ganz Europa gültigen Datenschutz-Grundverordnung (DSGVO) werden geeignete Zertifizierungsverfahren benötigt. Gestützt auf langjährige, internationale Erfahrungen in den Bereichen Datenschutz, Sicherheit, Zertifizierung und Cloud Computing unterstützen ausgewählte Experten der ecsec GmbH das kürzlich gestartete AUDITOR-Projekt (www.auditor-cert.de) bei der Entwicklung eines für Cloud-Dienste geeigneten Verfahrens für die Europäische Datenschutz-Zertifizierung.
AUDITOR entwickelt Verfahren für die Europäische Datenschutz-Zertifizierung
Die Cloud-Nutzung boomt weltweit und mit ihr die Fülle an Cloud-Diensten und Zertifizierungsverfahren. Der gegenwärtige Markt gleicht einem kaum überschaubaren Dschungel an Angeboten und Zertifizierungen. Gleichzeitig ergeben sich neue Anforderungen durch das Inkrafttreten der neuen EU-Datenschutz-Grundverordnung, die bislang von den existierenden Zertifizierungsverfahren im Bereich der Informationssicherheit oder Cloud Computing oft nicht ausreichend berücksichtigt wurden. Das vom Bundesministerium für Wirtschaft und Energie (BMWi) unterstützte Forschungsprojekt „AUDITOR“ will hier deshalb Klarheit und mehr Rechtssicherheit schaffen und gestützt auf Vorarbeiten aus dem „Trusted Cloud“ Technologieprogramm (https://trusted-cloud.de) eine europaweit einheitliche Zertifizierung unter Einbindung der etablierten Normung entwickeln. ecsec ist Teil des speziell zu diesem Zweck etablierten, interdisziplinären Teams aus akademischen und industriellen Experten, das auf Basis internationaler Standards ein EU-weit gültiges Verfahren zur Datenschutz-Zertifizierung von Cloud-Diensten entwickeln wird, durch das die Erfüllung der Anforderungen der EU-Datenschutz-Grundverordnung gegenüber den Betroffenen, den Aufsichtsbehörden oder Dritten nachgewiesen werden kann.
Zertifizierung gemäß Artikel 42 DSGVO für nachweisliche Erfüllung der Anforderungen
Ziel des „AUDITOR“-Projektes ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung für Cloud-Dienste. Die Zertifizierung gemäß Artikel 42 DSGVO ist im Interesse aller Beteiligten: der Cloud-Kunden, die nur mit solchen Cloud-Anbietern zusammenarbeiten dürfen, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können, der Cloud-Anbieter, die mit einer Zertifizierung ebendiese Sicherheit bieten können, der Prüf- und Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht, und der potentiell durch die Datenverwendungen betroffenen Endverbraucher, deren Schutz personenbezogener Daten im Mittelpunkt der Zertifizierung von Cloud-Diensten steht.
Kriterienkatalog und Zertifizierungsschema als Basis für internationale Normung
Um eine nachhaltige Datenschutzzertifizierung zu konzipieren, wird im AUDITOR-Projekt zunächst ein Kriterienkatalog für die Zertifizierung von Cloud-Diensten nach der DSGVO entwickelt und eine entsprechende Standardisierung in Form einer DIN-Spezifikation angestrebt. Diese DIN-Spezifikation bildet die Grundlage für die Europäische Normung und die Entwicklung eines EU-weit anerkannten Datenschutz-Zertifizierungsschemas. Dies ist vor dem Hintergrund des europäischen Binnenmarkts sehr wichtig und Deutschland kann sich mit diesem Projekt und der DIN-Spezifikation entsprechend positionieren. Außerdem werden geeignete Organisationsstrukturen und Verfahren zur Durchführung der hier beabsichtigten Zertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen unter Berücksichtigung internationaler Standards. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen sodann bereits während des Projektzeitraums in der Praxis erprobt und validiert werden.
AUDITOR schafft Transparenz und Rechtssicherheit
„Das Projekt AUDITOR soll die Vergleichbarkeit von Cloud-Diensten, die vonseiten der Unternehmen aus unterschiedlichen EU-Mitgliedstaaten angeboten werden, verbessern und damit Transparenz schaffen. Dies kommt vor allem den kleinen und mittelständischen Unternehmen aber auch größeren Unternehmen zugute, da durch eine nachhaltig anwendbare EU-weite Datenschutzzertifizierung von Cloud-Diensten nach Maßgabe der DSGVO neue Marktpotenziale erschlossen werden können. Wir arbeiten quasi im Interesse aller am Markt beteiligten Akteure an einer Weiterentwicklung, die maßgebliche Verbesserungen im Bereich der Zertifizierung von Cloud-Diensten mit sich bringt.“, berichtet Prof. Dr. Ali Sunyaev (Direktor am wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel). Das Projekt AUDITOR mit einem Gesamtvolumen von 1,7 Mio. Euro hat eine Laufzeit von zwei Jahren und ist am 01.11.2017 offiziell gestartet. Eine erste interne Kick-Off Veranstaltung wurde bereits am 08.11.2017 unter großer Beteiligung aller Projektpartner im Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel abgehalten.
Die folgenden Institutionen und Organisationen sind direkt an dem Projekt beteiligt:
Universität Kassel, Fachgebiet Wirtschaftsinformatik und Systementwicklung (Verbundkoordination)
CLOUD&HEAT Technologies GmbH
DIN-Normenausschuss Informationstechnik und Anwendungen (NIA), DIN e.V.
ecsec GmbH
EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft
Universität Kassel, Fachgebiet Öffentliches Recht mit Schwerpunkt Recht der Technik und des Umweltschutzes, Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Darüber hinaus wird das AUDITOR-Projekt von einer wachsenden Anzahl assoziierter Partner begleitet:
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Fabasoft Austria GmbH
Hornetsecurity GmbH
PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft
SCOPE Europe b.v.b.a/s.p.r.l.
Kompetenznetzwerk Trusted Cloud e.V.
TÜV Informationstechnik GmbH
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
VOICE-Bundesverband der IT-Anwender e.V.
Firmenkontakt und Herausgeber der Meldung:
ecsec GmbH
Sudetenstr. 16
96247 Michelau
Telefon: +49 (9571) 6048014
Telefax: +49 (9571) 6048016
http://www.ecsec.de
Dateianlagen: