AUDITOR

European Cloud Service Data Protection Certification

Cloud-Dienste erfreuen sich großer Beliebtheit. Ihre Nutzung ist aus dem Alltag vieler Unternehmen und Endnutzer kaum mehr wegzudenken. Wirtschaftlichen Vorteilen stehen jedoch Risiken für die Persönlichkeitsrechte von Betroffenen gegenüber. Denn personenbezogene Daten werden in der Cloud verarbeitet und auch an Dritte übermittelt, oftmals ohne, dass der einzelne Betroffene Kenntnis hiervon erlangt oder einen konkreten Einfluss hierauf ausüben kann. Aufgrund der im Cloud-Dienst bestehenden Mehrparteienkonstellation und der hierdurch für den Endverbraucher bestehenden Unübersichtlichkeit, ist die Einhaltung von datenschutzrechtlichen Vorgaben und datensicherheitstechnischen Standards umso wichtiger. Dieses ist im Interesse sowohl der Endverbraucher, d.h. der potentiell Betroffenen, wie auch der Cloud-Anbieter und –Nutzer. Ihre informationelle Selbstbestimmung ist ein hohes Gut. Daher werden Verstöße gegen die Regelungen der DSGVO mit empfindlichen Geldbußen für die Verantwortlichen sanktioniert. Ihre Vermeidung ist im Interesse aller Beteiligter, insbesondere kleiner und mittlerer Unternehmen (KMU). Trotz der zahlreichen Vorteile von Cloud-Diensten bestehen durch den möglichen Verlust der Kontrolle über die Prozesse und Daten weiterhin Bedenken gegen ihre Nutzung, weil Cloud-Nutzer und Betroffene mangelnde Transparenz und Kontrollverlust befürchten. Dies wäre besonders problematisch, wenn sensitive Daten verarbeitet werden.

Zertifizierungen von IT-Anwendungen als Selbstregulierungsinstrumente werden daher oft dort eingesetzt, wo der Verantwortliche über keine eigene unmittelbare Steuerung mehr über die konkrete Datenverarbeitung verfügt. Zudem werden Zertifikate herangezogen, um den Cloud-Nutzern einen schnellen Überblick über das Datenschutzniveau des angebotenen Cloud-Dienstes zu ermöglichen. Sie schaffen damit mehr Transparenz, dienen dem Nachweis der Datenschutzkonformität und ermöglichen dem Kunden einen einfachen Vergleich zwischen den verschiedenen Anbietern. Außerdem sollen Zertifizierungen die Einhaltung insbesondere des Datenschutzrechts und weiterer Compliance-Vorgaben verbessern. Das Zertifizierungsverfahren soll Vertrauen der Nutzer dadurch generieren, dass unabhängige Dritte die Verordnungskonformität eines Dienstes überprüfen und bestätigen.

Die neue Datenschutzgrundverordnung (DSGVO), deren Geltungsbeginn am 25.5.2018 bevorsteht, regelt nunmehr erstmalig im EU-Datenschutzregime ausdrücklich, dass die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen gefördert werden soll, die dazu dienen, die Verordnungs- und damit die Datenschutzkonformität nachzuweisen.

Ziel des Forschungsprojekts „AUDITOR“ ist es, diese Vorgaben des europäischen Gesetzgebers zu konkretisieren und zu präzisieren. Dabei steht die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten im Mittelpunkt des interdisziplinären Forschungsvorhabens. 

Ein primäres Teilziel bei diesem Konkretisierungsauftrag ist die Entwicklung eines cloud-spezifischen Kriterienkatalogs für die Zertifizierung im Anwendungsbereich der Datenschutz-Grundverordnung. Des Weiteren werden geeignete Organisationsstrukturen und Verfahren zur Durchführung einer europaweit anerkannten Datenschutzzertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren, unter Einbeziehung von Anforderungen an die Akkreditierung von Zertifizierungsstellen, und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen schließlich in der Praxis erprobt und validiert werden. Die Entwicklung des Auditor-Katalogs erfolgt auf der Basis bereits etablierter Standards, wie etwa dem C5-Anforderungskatalog des BSI oder von einschlägigen internationalen Standards, wie ISO-Normen. 

Aus rechtswissenschaftlicher Perspektive besteht insbesondere Forschungsbedarf hinsichtlich des Datenschutzes und der Datensicherheit bei der Zertifizierung von Cloud-Diensten nach der neuen Rechtslage gemäß der Datenschutz-Grundverordnung, den aktuellen technischen Standards und dem aktuellen Stand der Technik.

Forschungsschwerpunkte der Projektgruppe verfassungsverträgliche Technikgestaltung liegen in der Konkretisierung und Präzisierung der Regelungen zum datenschutzspezifischen Zertifizierungsverfahren nach den Artikeln 42 und 43 DSGVO.

Erforscht werden sollen zudem Rechtswirkungen eines solchen AUDITOR-Zertifikats sowie weitere rechtliche Fragen u.a. zur Verantwortungsteilung unter den Cloud-Beteiligten, Vertragsgestaltung, Haftung, Eignungskriterien für die in den Prüf- und Zertifizierungsprozess involvierten Akteure sowie zum angemessenen Ausgleich zwischen dem Recht auf Schutz personenbezogener Daten von potentiell Betroffenen und der Gewährleistung des freien Datenverkehrs im europäischen Binnenmarkt. Die Projektgruppe verfassungsverträgliche Technikgestaltung hat sich zum Ziel gesetzt, konkrete Vorschläge für eine bestmöglich rechtskonforme Gestaltung von Zertifizierungsverfahren nach der Datenschutz-Grundverordnung und weiteren relevanten Vorschriften zu erarbeiten.

Das Projekt AUDITOR wird durch das Bundesministerium für Wirtschaft und Energie (BMWi) gefördert, um vertrauenswürdige Cloud Services für die Wirtschaft – insbesondere für den Mittelstand – auf dem europäischen Binnenmarkt weiter zu etablieren und dabei die bestmögliche Einhaltung des Datenschutzrechts durch die Förderung von Zertifizierungen zu gewährleisten. 

Projektpartner
Konsortialpartner

Karlsruher Institut für Technologie (KIT)
Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB)
Prof. Dr. Ali Sunyaev

CLOUD&HEAT Technologies GmbH
Dr. Marius Feldmann

Datenschutz cert GmbH
Dr. Sönke Maseberg und Dr. Irene Karper

DIN e.V. - DIN-Normenausschuss Informationstechnik und Anwendungen (NIA)
Dr. Volker Jacumeit

Ecsec GmbH
Dr. Detlef Hühnlein 

EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft
Andreas Weiss

Projektinfos

Finanzierung:

Bundesministerium für Wirtschaft und Energie (BMWi) aufgrund eines Beschlusses des Deutschen Bundestages 

Laufzeit:

November 2017 -
Oktober 2023

Projektverantwortliche:

Prof. Dr. Alexander Roßnagel

Dr. jur. Christian Geminn, Mag. iur.

Ansprechpartner:

Ass. jur. Johannes Müller, MLE.

(Dr. Natalie Maier-Reinhardt, LL.M. bis 24.12.2021)

Homepage:

Projektverlauf