TÜV Datenschutz Zertifikat für iDGARD

STS Machnig freut sich über TÜV Datenschutz ZertifikatTÜV Datenschutz Zertifikat mit der höchsten Schutzklasse nach dem Trusted Cloud Datenschutzprofil (TCDP) ging gestern an den Cloud-Dienst für Zusammenarbeit, iDGARD! Am 17. März 2016 übergab der Parlamentarische Staatssekretär des Bundesministeriums für Wirtschaft und Energie (BMWi), Matthias Machnig, auf der CeBIT 2016 eines der wenigen Zertifikate nach dem TCDP. Die „versiegelte Cloud“, in der Dokumente versendet und Datenräume eingerichtet werden können, erhielt das höchste Datenschutzniveau bescheinigt – Schutzklasse 3. Zwei Jahre lang entwickelten Experten im Auftrag des BMWi das Datenschutz-Zertifikat. Ziel war es, Unternehmen ein Instrument in die Hand zu geben, mit dem sie Cloud-Dienste schnell und fundiert hinsichtlich ihrer Datensicherheit beurteilen können. Damit soll sich die Prozedur einer Entscheidung vereinfachen, sobald Einzelunternehmen, der Mittelstand oder auch Großkonzerne einen Cloud-Dienst beauftragen wollen.

Wer war an der Entwicklung beteiligt?

Grundlage dieses Datenschutz-Zertifikats ist das 2015 entwickelte Trusted Cloud Datenschutzprofil, ein Anforderungskatalog, der auf anerkannte Standards (z. B. ISO 27018) aufbaut. Er erfüllt alle datenschutzrechtlichen Vorgaben für die Auftragsverarbeitung in der Cloud. An der Entwicklung des Profils waren unter der Leitung der TÜV Informationstechnik GmbH (TÜVit) Vertreter aller maßgeblichen Akteure beteiligt, darunter

  • mehrere Datenschutzaufsichtsbehörden: unter anderen der Bundesdatenschutzbeauftragte, Datenschutz Berlin, ULD, Datenschutz Brandenburg, Nordrhein-Westfalen, Bayern.
  • Anbieter und Anwender von Cloud-Diensten: zum Beispiel der Telekom, regioIT, Uniscon, SAP,
  • Verbände wie der Branchenverband BitKOM und die Eurocloud
  • Ministerien: darunter das Bundesministerium des Inneren (BMI) und das BMWi,
  • Stiftungen und Ämter des Bundes, Standardisierungsorganisationen: zum Beispiel das Bundesamt für Sicherheit in der Informationstechnologie (BSI), die Stiftung Datenschutz, das Deutsche Institut für Normung (DIN e.V. )
  • Unternehmen aus den Bereichen der IT-Auditierung: unter anderen das TÜV Süd, TÜViT, TÜV Rheinland.

Das Zertifikat bezieht sich nun explizit auf den Datenschutz und die Datensicherheit einer Public Cloud. Es standardisiert die Anforderungen des Datenschutzes einschließlich der Informationssicherheit. Damit potentielle Cloud-Nutzer eine Wahl zwischen verschiedenen Diensten treffen und den Grad an Datensicherheit beurteilen können, brauchen sie eine Vergleichsmöglichkeit. Hierfür sieht das Zertifikat nach dem TCDP Schutzklassen vor, die auf den unterschiedlichen Schutzbedarf einzelner Unternehmen eingehen. Die Schutzklassen erleichtern den Cloud-Nutzern 1. grundsätzlich die Wahl und 2. unterstützen sie Unternehmen dabei, die von den Datenschutzgesetzen geforderten Kontrollpflichten zu erfüllen. IT-Leiter sollen in Zukunft damit sogar Haftungsrisiken vermeiden können.

Was bringt Unternehmen dieses TÜV Datenschutz-Zertifikat?

Unternehmen brauchen dringend Hilfe im Bereich Compliance. Das finden neben den meisten Entscheider selbst auch der Berufsverband der Datenschutzbeauftragten Deutschlands (BvD). Denn durch die Änderungen im Bereich des Datenschutzes ist für viele die Sachlage noch komplizierter als zuvor: Dadurch, dass ab 2018 dann die neue EU-Datenschutzgrundverordnung (EU-DSGVO) gilt, aber auch durch die geplante Nachfolge-Vereinbarung zu „Safe Harbour“, den Privacy Shield, sowie durch das für Juni erwartete Urteil zur Speicherung von IP-Adressen stehen die Unternehmen vor großen Herausforderungen. „Die Entscheidungen bergen viele juristische und technische Fallstricke“, sagte letzte Woche der BvD-Vorstandsvorsitzende, Thomas Spaeing.

Mithilfe des vom TÜVit vergebenen Datenschutz Zertifikats nach TCDP können Firmen viele dieser Fallstricke vermeiden. Denn Anbieter von Cloud-Diensten, die ein solches TÜV Datenschutz Zertifikat nach dem TCDP besitzen sind  bezüglich der Rechtskonformität bei der Datenverarbeitung geprüft. Die technischen und organisatorischen Vorkehrungen, die diese hinsichtlich der Datensicherheit getroffen haben, sind vom jeweiligen Auditor – in diesem Fall von TÜVit – kontrolliert.

Für Unternehmen heißt das konkret:

  • 1. Schritt: Mithilfe eines Schutzklassen-Rechners können sie ermitteln, welche Schutzklasse die Unternehmensdaten benötigen.
  • 2. Schritt: Sie wählen einen Cloud-Dienst mit der entsprechenden Schutzklasse aus.
  • 3. Schritt: Sie wissen, dass mit der richtigen Schutzklasse die von den Datenschutzgesetzen geforderten Kontrollpflichten erfüllt sind. Tritt die EU-Datenschutz-Grundverordnung in Kraft, sollen IT-Leiter damit sogar Haftungsrisiken vermeiden.

Einen guten Überblick, was genau das Datenschutz Zertifikat nach dem TCDP Unternehmen bringt, hat privacyblog-Autor Dr. Hubert Jäger, Mitglied der Arbeitsgruppe zur Datenschutz-Zertifizierung im Rahmen des Trusted Cloud Programms des BMWis zusammengestellt.

Laden Sie ein umfassendes White Paper zur Datenschutz-Zertifizierung hier herunter.