Was taugen Datenschutz-Zertifikate für Cloud Computing?

Datenschutz-Zertifikate können die eigene Kontrolle bei Auftragsdatenverarbeitung nicht ersetzen, sondern müssen selbst hinterfragt werden.

Dieser Artikel behandelt

Datenschutz

Cloud Computing kann von vielen Aufgaben befreien, von der Verantwortung und der Kontrolle im Datenschutz aber nicht. Für Unternehmen in Deutschland ergibt sich dies aus den rechtlichen Vorgaben für eine Auftragsdatenverarbeitung, die in der Regel bei Cloud Computing innerhalb des EU/EWR-Raumes vorliegt. Die notwendige Auftragskontrolle stellt sich keinesfalls einfach dar: Anwenderunternehmen müssen sich von der Datensicherheit bei dem Cloud-Anbieter überzeugen, je nach Betriebsstandort ein schwieriges Unterfangen.

Noch komplizierter wird es, wenn eine Cloud genutzt wird, die außerhalb des EU/EWR-Raumes betrieben wird: Wird eine Datenübermittlung in Drittstaaten geplant, muss zuvor geprüft werden, ob das Datenschutzniveau ausreichend ist.

Da scheinen Datenschutz-Zertifikate gerade recht zu kommen, die den Datenschutz des Cloud-Anbieters bescheinigen sollen. Doch wie sind solche Zertifikate zu bewerten?

Einheitliches Zertifikat: Fehlanzeige

Datenschutz-Audits, die Basis eines entsprechenden Zertifikats sein können, sind zwar bereits seit langem vom Gesetzgeber geplant, doch leider gibt es das entsprechende Gesetz noch nicht, das die näheren Umstände regeln soll. Einzelne Bundesländer haben bereits eigene Datenschutz-Zertifikate, auch ein Projekt EuroPriSe (European Privacy Seal) gibt es seit längerem. Doch anstatt sich auf ein einheitliches Zertifikat zu einigen, blüht der Markt der Datenschutz-Zertifikate gerade im Bereich Cloud Computing. Für Anwenderunternehmen ist dies eine Herausforderung.

Position der Aufsichtsbehörden

Datenschutz-Zertifikate können zwar die eigene Datenschutz-Kontrolle im Fall von Cloud Computing nicht einfach ersetzen, wie eine Entschließung und eine Orientierungshilfe der deutschen Aufsichtsbehörden für den Datenschutz klarstellen. Zertifikate gehören aber explizit zu den möglichen Nachweisen zur Informationssicherheit der Infrastruktur, die beim Cloud Computing in Anspruch genommen wird- Voraussetzung ist, die Zertifikate sind aktuell, aussagekräftig, und die Prüforganisation ist anerkannt und unabhängig. Diese zwingend notwendigen Voraussetzungen jedoch führen zu einem weiteren Prüfauftrag an die Anwenderunternehmen.

Bewertung der Zertifikate

Als Cloud-Nutzer kann man sich nicht einfach auf ein Datenschutz-Zertifikat verlassen, ohne zu hinterfragen, ob es aktuell, aussagekräftig und von einer anerkannten, unabhängigen Prüfstelle stammt. Dabei ist die Aktualität noch relativ einfach zu prüfen. Bei der Überlegung, ob die Aussagekraft gegeben ist, sollten sich die Anwender ansehen, was genau Gegenstand der Zertifizierung ist und ob der Zertifizierungsumfang den gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung (§ 11 BDSG) entspricht.

Ein Blick in das Eckpunktepapier des BSI zu Cloud Computing zeigt, was das Bundesamt für Sicherheit in der Informationstechnik (BSI) im Bereich Cloud Computing empfiehlt. So sollte der Anbieter unter anderem über ein anerkanntes IT-Sicherheitsmanagement verfügen. Als Beispiele werden IT-Grundschutz und ISO 27001 genannt. Entsprechende Zertifikate zu verlangen, ist also bei einer Cloud-Kontrolle sinnvoll.

Zertifikate auf Basis von Prüfungen

Die Entschließung der Aufsichtsbehörden für den Datenschutz spricht von Zertifikaten, die von anerkannten und unabhängigen Prüforganisationen stammen sollen. Dies impliziert auch, dass das Cloud-Zertifikat auf Basis einer Prüfung vergeben wird. Eine reine Konformitätserklärung durch den Anbieter ist offensichtlich keine solche Prüfung. Es gibt allerdings Zertifikate auf dem Markt, die an dieser Stelle der Selbstbewertung stehen bleiben. Anwenderunternehmen sollten deshalb hinterfragen, ob ein Zertifikat neben der Selbstbeurteilung des Cloud-Anbieters auch eine externe Prüfung vorsieht.

Fazit: Zertifikate hinterfragen und Augen offen halten

Als Cloud-Anwender sollte man also Datenschutz-Zertifikate nicht einfach als Ersatz der Auftragskontrolle ansehen, und zuerst die Zertifizierungsbedingungen und den Zertifizierungsumfang hinterfragen. Der Markt der Datenschutz-Zertifizierung ist sehr dynamisch, neue Zertifikate sind angekündigt oder gerade eingeführt worden.

Die Vielfalt an Datenschutz-Zertifikaten für Clouds dürfte noch steigen, immerhin nennt die Fachinitiative „Cloud Computing“ (AG2 „Digitale Infrastrukturen für innovative Anwendungen“, Nationaler IT-Gipfel) in „Chancen für den Mittelstand durch Cloud Computing – ein Wegweiser“ rund 150 verschiedene Organisationen, die sich weltweit um die Standardisierung im Cloud Computing bemühen.

Nicht nur aus Sicht der Anwender wäre eine einheitliche Grundlage für die Cloud- und Datenschutz-Zertifizierung mehr als wünschenswert. Auch Cloud-Anbieter würden mehr Zuspruch erfahren: So sieht die EU-Cloud-Strategie die Festlegung von Normen, die zertifiziert werden können, als grundlegend an, damit das Vertrauen in Cloud Computing steigen kann. Bis dahin sollten Cloud-Anwender allerdings nicht einfach jedem Zertifikat vertrauen, sondern genauer hinschauen.

Artikel wurde zuletzt im Oktober 2013 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Datenschutz und Datensicherheit

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close