12.03.2018 Am 25. Mai 2018 werden die EU-Datenschutz-Grundverordnung (DSGVO) und das neue Bundesdatenschutzgesetz (BDSG (neu)) anwendbar.

Der verantwortliche Cloud-Nutzer ist verpflichtet, die Einhaltung der Anforderungen der DSGVO nachzuweisen. Der Auftragsverarbeiter - also der Cloud-Anbieter - hat ihn dabei zu unterstützen. Hierzu können geeignete Zertifikate als "Nachweiserleichterung" herangezogen werden - doch zu diesem Thema kursieren derzeit viele Mythen und Halbwahrheiten zur DSGVO im Netz. Da es für Cloud-Nutzer schwierig ist, die Einhaltung der Datenschutzanforderungen selbst zu überprüfen, möchte der Europäische Gesetzgeber den Einsatz von Zertifikaten durch die DSGVO fördern. In verschiedenen Artikeln sind diese als ein möglicher Faktor zum Nachweis von Anforderungen vorgesehen. Mehr noch, die DSGVO geht in Artikel 42, Abs. 1 sogar weiter: Der "Ausschuss", der die Kommission vertritt, kann bestimmte Kriterienkataloge gutheißen, damit sich leichter einheitliche Standards etablieren. Im Bereich Cloud-Computing gibt es zurzeit noch keine vom Ausschuss genehmigten Zertifizierungsverfahren, zugehörige Kriterienkataloge sowie akkreditierte Stellen für die Prüfung und Zertifizierung. Dies bedeutet jedoch nicht, dass spezifische Compliance-Zertifikate nicht als ein Faktor zum Nachweis der DSGVO-Anforderungen herangezogen werden könnten. Dazu gehören insbesondere Zertifikate, die bereits im Hinblick auf die DSGVO entwickelt wurden. "Datenschutz-Zertifizierungen, die auf dem BDSG (alt) basieren, sind natürlich den Anforderungen der DSGVO anzupassen", erklärt Dr. Hubert Jäger, Cloud-Security-Experte und CTO des TÜV SÜD-Tochterunternehmens Uniscon GmbH. So legt z.B. die Verfahrensordnung des Trusted Cloud Datenschutzprofils (TCDP) explizit fest, dass die Zertifikate nach TCDP v0.9 oder v1.0 am 25. Mai erlöschen. Dies ist auch sinnvoll, denn es ergeben sich aus der DSGVO gegenüber dem BDSG (alt) neue, zusätzliche Anforderungen.

 

Weitere Informationen:
www.uniscon.de