Was bedeutet die DSGVO für Datenschutz-Zertifikate?

Am 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) nach zweijähriger Übergangszeit anwendbar. Im Vergleich zum bisherigen Recht nach dem Bundesdatenschutzgesetz (BDSG) kommen damit u.a. mehr Nachweispflichten auf die Akteure zu.

Das heißt, der verantwortliche Cloud-Nutzer ist künftig dazu verpflichtet, die Einhaltung der Anforderungen der DSGVO nachzuweisen. Der Auftragsverarbeiter – also der Cloud-Anbieter – hat ihn dabei zu unterstützen. Hierzu können beispielsweise geeignete Zertifikate als „Nachweiserleichterung“ herangezogen werden – doch zu diesem Thema kursieren derzeit viele Mythen und Halbwahrheiten zur DSGVO im Netz. Sind bestehende Datenschutz-Zertifikate nach dem 25. Mai überhaupt noch gültig? Und gibt es jetzt schon zertifizierte Dienste?

Datenschutz-Zertifikate in Arbeit

Mit einem knappen „Ja“ oder „Nein“ lassen sich diese beiden Fragen leider nicht beantworten. Der aktuelle Stand der Dinge ist folgender:

  • Da es für Cloud-Nutzer schwierig ist, die Einhaltung der Datenschutzanforderungen selbst zu überprüfen, möchte der Europäische Gesetzgeber den Einsatz von Zertifikaten durch die DSGVO fördern. In verschiedenen Artikeln sind diese als ein möglicher Faktor zum Nachweis von Anforderungen vorgesehen. Mehr noch, die DSGVO geht in Artikel 42, Abs. 1 sogar weiter: Der „Ausschuss“, der die Kommission vertritt, kann bestimmte Kriterienkataloge gutheißen, damit sich leichter einheitliche Standards etablieren.
  • Im Bereich Cloud-Computing gibt es zurzeit noch keine vom Ausschuss genehmigten Zertifizierungsverfahren, zugehörige Kriterienkataloge sowie akkreditierte Stellen für die Prüfung und Zertifizierung. Dies bedeutet jedoch nicht, dass spezifische Compliance-Zertifikate nicht als ein Faktor zum Nachweis der DSGVO-Anforderungen herangezogen werden könnten. Dazu gehören insbesondere Zertifikate, die bereits im Hinblick auf die DSGVO entwickelt wurden.

Was passiert ab dem 25. Mai mit bestehenden Zertifikaten?

„Datenschutz-Zertifikate, die auf dem BDSG basieren, sind natürlich den Anforderungen der DSGVO anzupassen“, erklärt Cloud-Security-Experte und Uniscon-CTO Dr. Hubert Jäger. So legt beispielsweise die Verfahrensordnung des Trusted Cloud Datenschutzprofils (TCDP) explizit fest, dass die Zertifikate nach TCDP v0.9 oder v1.0 am 25. Mai erlöschen. Dies ist auch sinnvoll, denn es ergeben sich aus der DSGVO gegenüber dem BDSG neue, zusätzliche Anforderungen.

Wenn nun der TCDP-Kriterienkatalog und die TCDP-Verfahrensordnung entsprechend erweitert und aktualisiert werden, können Zertifikate nach dem neuen, angepassten Standard direkt als Hilfsmittel zum Nachweis der DSGVO-Compliance zum Einsatz kommen.

Datenschutz-Zertifikat AUDITOR

Das Forschungsprojekt AUDITOR entwickelt derzeit einen Kriterienkatalog für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO. Dabei wird eine Anerkennung durch den Europäischen Datenschutz-Ausschuss nach Art. 42 Abs. 5 DSGVO angestrebt. Assoziierte Partner sind neben dem Kompetenznetzwerk Trusted Cloud und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auch der Branchenverband Bitkom und die Uniscon GmbH. Die Stiftung Datenschutz berät das den Standard ausarbeitende Konsortium und wird den erstellten Zertifizierungsstandard verwalten.

Jetzt kostenlos iDGARD testen!

Sie möchten einen sicheren Cloud-Dienst testen, der nach dem TCDP v0.9 zertifiziert ist und bereits jetzt den Vorschriften der DSGVO entspricht?

Dann melden Sie sich an und testen Sie iDGARD 14 Tage kostenlos.

  • Sie gehen kein Risiko ein: Der Test läuft automatisch aus.
  • Sie brauchen bei der Anmeldung zum Test keine Zahlungsdaten angeben.

Sie haben Fragen oder möchten uns Ihr Feedback mitteilen? Schreiben Sie uns an: support@idgard.de.

Leser dieses Artikels  interessieren sich auch für folgende Inhalte:

Privacyblog: Was bedeuten die Forderungen der DSGVO?

White Paper: Datenschutzzertifizierung von Cloud-Diensten

Privacyblog: Wann ist ein Cloud-Dienst DSGVO geeignet?