AUDITOR
European Cloud Service Data Protection Certification
Cloud-Dienste erfreuen sich großer Beliebtheit. Ihre Nutzung ist aus dem Alltag vieler Unternehmen und Endnutzer kaum mehr wegzudenken. Wirtschaftlichen Vorteilen stehen jedoch Risiken für die Persönlichkeitsrechte von Betroffenen gegenüber. Denn personenbezogene Daten werden in der Cloud verarbeitet und auch an Dritte übermittelt, oftmals ohne, dass der einzelne Betroffene Kenntnis hiervon erlangt oder einen konkreten Einfluss hierauf ausüben kann. Aufgrund der im Cloud-Dienst bestehenden Mehrparteienkonstellation und der hierdurch für den Endverbraucher bestehenden Unübersichtlichkeit, ist die Einhaltung von datenschutzrechtlichen Vorgaben und datensicherheitstechnischen Standards umso wichtiger. Dieses ist im Interesse sowohl der Endverbraucher, d.h. der potentiell Betroffenen, wie auch der Cloud-Anbieter und –Nutzer. Ihre informationelle Selbstbestimmung ist ein hohes Gut. Daher werden Verstöße gegen die Regelungen der DSGVO mit empfindlichen Geldbußen für die Verantwortlichen sanktioniert. Ihre Vermeidung ist im Interesse aller Beteiligter, insbesondere kleiner und mittlerer Unternehmen (KMU). Trotz der zahlreichen Vorteile von Cloud-Diensten bestehen durch den möglichen Verlust der Kontrolle über die Prozesse und Daten weiterhin Bedenken gegen ihre Nutzung, weil Cloud-Nutzer und Betroffene mangelnde Transparenz und Kontrollverlust befürchten. Dies wäre besonders problematisch, wenn sensitive Daten verarbeitet werden.
Zertifizierungen von IT-Anwendungen als Selbstregulierungsinstrumente werden daher oft dort eingesetzt, wo der Verantwortliche über keine eigene unmittelbare Steuerung mehr über die konkrete Datenverarbeitung verfügt. Zudem werden Zertifikate herangezogen, um den Cloud-Nutzern einen schnellen Überblick über das Datenschutzniveau des angebotenen Cloud-Dienstes zu ermöglichen. Sie schaffen damit mehr Transparenz, dienen dem Nachweis der Datenschutzkonformität und ermöglichen dem Kunden einen einfachen Vergleich zwischen den verschiedenen Anbietern. Außerdem sollen Zertifizierungen die Einhaltung insbesondere des Datenschutzrechts und weiterer Compliance-Vorgaben verbessern. Das Zertifizierungsverfahren soll Vertrauen der Nutzer dadurch generieren, dass unabhängige Dritte die Verordnungskonformität eines Dienstes überprüfen und bestätigen.
Die neue Datenschutzgrundverordnung (DSGVO), deren Geltungsbeginn am 25.5.2018 bevorsteht, regelt nunmehr erstmalig im EU-Datenschutzregime ausdrücklich, dass die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen gefördert werden soll, die dazu dienen, die Verordnungs- und damit die Datenschutzkonformität nachzuweisen.
Ziel des Forschungsprojekts „AUDITOR“ ist es, diese Vorgaben des europäischen Gesetzgebers zu konkretisieren und zu präzisieren. Dabei steht die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten im Mittelpunkt des interdisziplinären Forschungsvorhabens.
Ein primäres Teilziel bei diesem Konkretisierungsauftrag ist die Entwicklung eines cloud-spezifischen Kriterienkatalogs für die Zertifizierung im Anwendungsbereich der Datenschutz-Grundverordnung. Des Weiteren werden geeignete Organisationsstrukturen und Verfahren zur Durchführung einer europaweit anerkannten Datenschutzzertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren, unter Einbeziehung von Anforderungen an die Akkreditierung von Zertifizierungsstellen, und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen schließlich in der Praxis erprobt und validiert werden. Die Entwicklung des Auditor-Katalogs erfolgt auf der Basis bereits etablierter Standards, wie etwa dem C5-Anforderungskatalog des BSI oder von einschlägigen internationalen Standards, wie ISO-Normen.
Aus rechtswissenschaftlicher Perspektive besteht insbesondere Forschungsbedarf hinsichtlich des Datenschutzes und der Datensicherheit bei der Zertifizierung von Cloud-Diensten nach der neuen Rechtslage gemäß der Datenschutz-Grundverordnung, den aktuellen technischen Standards und dem aktuellen Stand der Technik.
Forschungsschwerpunkte der Projektgruppe verfassungsverträgliche Technikgestaltung liegen in der Konkretisierung und Präzisierung der Regelungen zum datenschutzspezifischen Zertifizierungsverfahren nach den Artikeln 42 und 43 DSGVO.
Erforscht werden sollen zudem Rechtswirkungen eines solchen AUDITOR-Zertifikats sowie weitere rechtliche Fragen u.a. zur Verantwortungsteilung unter den Cloud-Beteiligten, Vertragsgestaltung, Haftung, Eignungskriterien für die in den Prüf- und Zertifizierungsprozess involvierten Akteure sowie zum angemessenen Ausgleich zwischen dem Recht auf Schutz personenbezogener Daten von potentiell Betroffenen und der Gewährleistung des freien Datenverkehrs im europäischen Binnenmarkt. Die Projektgruppe verfassungsverträgliche Technikgestaltung hat sich zum Ziel gesetzt, konkrete Vorschläge für eine bestmöglich rechtskonforme Gestaltung von Zertifizierungsverfahren nach der Datenschutz-Grundverordnung und weiteren relevanten Vorschriften zu erarbeiten.
Das Projekt AUDITOR wird durch das Bundesministerium für Wirtschaft und Energie (BMWi) gefördert, um vertrauenswürdige Cloud Services für die Wirtschaft – insbesondere für den Mittelstand – auf dem europäischen Binnenmarkt weiter zu etablieren und dabei die bestmögliche Einhaltung des Datenschutzrechts durch die Förderung von Zertifizierungen zu gewährleisten.
Projektpartner
Konsortialpartner
Karlsruher Institut für Technologie (KIT)
Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB)
Prof. Dr. Ali Sunyaev
CLOUD&HEAT Technologies GmbH
Dr. Marius Feldmann
Datenschutz cert GmbH
Dr. Sönke Maseberg und Dr. Irene Karper
DIN e.V. - DIN-Normenausschuss Informationstechnik und Anwendungen (NIA)
Dr. Volker Jacumeit
Ecsec GmbH
Dr. Detlef Hühnlein
EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft
Andreas Weiss
Assoziierte Partner
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Der Bundesverband IT-Mittelstand e.V. (BITMi)
Fujitsu Technology Solutions GmbH
Mitteldeutsche Gesellschaft für Informationssicherheit und Datenschutz mbh Uniscon GmbH
PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft
VIVAI Software AG, Smart Service Power
VOICE-Bundesverband der IT-Anwender e. V.
x-ion GmbH Cloud-IaaS, Hamburg
Projektinfos
Finanzierung:
Bundesministerium für Wirtschaft und Energie (BMWi) aufgrund eines Beschlusses des Deutschen Bundestages
Laufzeit:
November 2017 -
Oktober 2023
Projektverantwortliche:
Dr. jur. Christian Geminn, Mag. iur.
Ansprechpartner:
Ass. jur. Johannes Müller, MLE.
(Dr. Natalie Maier-Reinhardt, LL.M. bis 24.12.2021)
Homepage:
Projektverlauf
- Offizieller Projektbeginn am 1.11.2017.
- Auftaktveranstaltung und erster Projektworkshop am 8.11.2017 in Kassel: Das Projekt AUDITOR wurde unter großer Beteiligung der Projektpartner erfolgreich und arbeitsintensiv begonnen.
- Pressemitteilung des Bundesministeriums für Wirtschaft und Energie (BMWi) zum Projektbeginn AUDITOR.
- Pressemitteilung zum Projektbeginn vom Lehrstuhl von Prof. Ali Sunyaev vom 29.11.17.
- A. Batman zusammen mit A. Weiss (EuroCloud, eco Verband der Internetwirtschaft), J. Schlißke (TÜV Informationstechnik), und T. Niessen (Kompetenznetzwerk Trusted Cloud) auf der Cloud Security Expo am 29.11.2017, Messe Frankfurt, Panel und Dialog zum Thema „EU DSGVO – Wie werden die Verantwortlichkeiten zur Einhaltung des Datenschutzes zwischen Nutzer und Cloud Anbieter geregelt?”. Siehe Newsmeldung.
- Veröffentlichung vom Dezember 2017: A. Roßnagel, A. Sunyaev, A. Batman, S. Lins, N. Maier, H. Teigeler, AUDITOR: Neues Forschungsprojekt zur Datenschutz-Zertifizierung von Cloud-Diensten nach der DS-GVO, in: ZD-Aktuell 2017, 05900.
- Vortrag von A. Roßnagel zum Thema „Datenschutz-Grundverordnung – Herausforderung und Chance für Anbieter und Nutzer“, Trusted Cloud Lounge zu Gast im Bundesministerium für Wirtschaft und Energie am 17.1.2018 in Berlin.
- Erster Entwurf des AUDITOR-Zertifizierungsgegenstandes wurde am 17.2.2018 im Konsortium diskutiert.
- AUDITOR-Projekttreffen mit Projektträger BMWi und DLR am 23.3.2018 in Karlsruhe.
- Vortrag von N. Maier zum Thema „Rechtliche Aspekte des Cloud Computing“ bei der IT-Fachtagung des Deutschen Studentenwerks e.V. am 16. Mai 2018 in Göttingen.
- Veröffentlichung vom Juni 2018: Roßnagel, A., Sunyaev, A., Batman, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Kriterienkatalog, Entwurfsfassung 0.7, Beitrag zum Forschungsprojekt AUDITOR.
- Pressebericht zur Vorstellung des AUDITOR-Kriterienkatalogs beim Bundesministerium für Wirtschaft und Energie am 6.6.2018 in Berlin: Im Rahmen eines presseöffentlichen Fachgesprächs wurde der AUDITOR-Kriterienkatalog der Öffentlichkeit präsentiert.
- AUDITOR wurde vom 11. bis 15.6.2018 auf der CEBIT 2018 präsentiert. Siehe Newsmeldung.
- Vortrag von A. Batman zum Thema „ Europäische Datenschutzzertifizierung von Cloud-Diensten – Projektvorstellung AUDITOR“ auf der Akkreditierungskonferenz 2018 der DAkkS am 16.6.2018 in Berlin. S. Newsmeldung.
- AUDITOR-Projekttreffen am 4.7.2018 in Frankfurt a. M.
- 1. Workshop für Cloud Service Provider am 12.7.2018 in Köln, Veranstalter: AUDITOR-Konsortium und EuroCloud Deutschland. Siehe Newsmeldung.
- AUDITOR-Workshop mit der DAkkS am 29.8.2018 in Kassel.
- Neuzugänge im Projekt im September 2018: AUDITOR begrüßt neue assoziierte Partner. Siehe Newsmeldung.
- AUDITOR-Projekttreffen am 6.11.2018 in Frankfurt a. M.
- 2. Workshop für Cloud Service Provider in Berlin. Siehe Ergebnisbericht vom 15.11.2018.
- AUDITOR auf der Digital Single Market Cloud Stakeholder Konferenz der EU am 7 und 8.12.2018. Siehe Newsmeldung.
- Kick-Off-Veranstaltung am 22.2.2019 in Köln zur Erarbeitung einer DIN SPEC auf Basis des AUDITOR-Kriterienkatalogs (DIN SPEC 27557). Siehe Projektvorstellung.
- AUDTOR beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit am 28.3.2019 in Bonn.
- AUDITOR auf der DSM Cloud Stakeholder Konferenz der EU am 2.4.2019 in Berlin. Siehe Newsmeldung.
- Veröffentlichung vom April 2019: Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9 (deutsche Fassung/englische Fassung).
- Veröffentlichung vom April 2019: Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Zertifizierungsgegenstand – Entwurfsfassung 0.4 (deutsche Fassung/englische Fassung).
- Veröffentlichung vom April 2019: Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Schutzklassenkonzept – Entwurfsfassung 0.2 (deutsche Fassung/englische Fassung).
- Veröffentlichung vom April 2019: N. Maier, S. Lins, H. Teigeler, A. Roßnagel, A. Sunyaev, Die Zertifizierung von Cloud-Diensten nach der DSGVO, Datenschutz und Datensicherheit (DuD), 43. Jg. (2019), Heft 4, 225-229.
- AUDITOR bei den Tagen der digitalen Technologien am 14 und 15.5.2019 in Berlin. Siehe Newsmeldung.
- AUDITOR bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit von Nordrhein-Westfalen am 17.6.2019 in Düsseldorf. Siehe Newsmeldung.
- Pilotierung bei der Cloud&Heat GmbH am 17. und 18.6.2019 in Frankfurt a. M. Siehe Newsmeldung.
- Pilotierungen im Juli und August 2019 bei der Hornetsecurity GmbH in Hannover und der ecsec GmbH im Rechenzentrum der noris network AG in Nürnberg. Siehe Newsmeldung.
- Veröffentlichung vom August 2019: N. Maier und T. Bile, Die Zertifizierung nach der DSGVO - Innovatives, aber hochkomplexes Instrument, Datenschutz und Datensicherheit (DuD), 43. Jg. (2019), Heft 8, 478-482.
- Projekttreffen der AUDITOR-Konsortialpartner am 7.8.2019 in Kassel.
- AUDITOR-Projekttreffen am 18.9.2019 in Karlsruhe. Siehe Newsmeldung.
- AUDITOR bei der Kanada Roadshow vom 22.9 bis 27.9.2019. Siehe Newsmeldung.
- AUDITOR bei dem Arbeitstreffen der „Deutsch-Chinesischen Arbeitsgruppe Akkreditierung und Konformitätsbewertung“ am 4.11.2019 in Peking. Siehe Newsmeldung.
- Veröffentlichung vom Dezember 2019: N. Maier, Forschungsprojekt „European Cloud Service Data Protection Certification (AUDITOR), in: ZD-Aktuell 2019, 06876.
- Einreichung des AUDITOR-Zertifizierungsprogramms bei der Deutschen Akkreditierungsstelle (DAkkS) am 4.2.2020. Siehe Newsmeldung.
- Aktualisierung der Projekt-Publikationen im Februar 2020:
AUDITOR-Kriterienkatalog Version 0.99.
AUDITOR-Konformitätsbewertungsprogramm (Auszug) Version 0.99.
AUDITOR-Zertifizierungsgegenstand (Kurzfassung) Version 0.99.
AUDITOR-Zertifizierungsgegenstand (Langfassung) Version 0.99.
AUDITOR-Schutzklassenkonzept Version 0.99.
AUDITOR-Modularitätskonzept Version 0.99. - AUDITOR-Vorstellung beim de.NBI Cloud (Deutsches Netzwerk für Bioinformatik-Infrastruktur) als Websession am 20. Mai 2020. Siehe Newsmeldung.
- Veröffentlichung vom Mai 2020: N. Maier, S. Lins, H. Teigeler, A. Roßnagel, A. Sunyaev, AUDITOR: Einreichung des Zertifizierungsprogramms bei der deutschen Akkreditierungsstelle, in: ZD-Aktuell 2020, 07119.
- Projekttreffen der AUDITOR-Konsortialpartner als Websession am 27.5.2020.
- AUDITOR-Zertifizierung auf dem Weg nach Europa: Gutachten über nationale Kriterien für den AUDITOR-Kriterienkatalog für das EU-Mitglied Slowenien von JK Group Law and Tax Office, Ltd. im Juni 2020 erhalten. Siehe Newsmeldung.
- International AUDITOR Web Session am 15. Juni 2020. Siehe Newsmeldung.
- Bewertung des AUDITOR-Konformitätsbewertungsprogramms durch die DAkkS im August 2020 abgeschlossen. Siehe Newsmeldung.
- AUDITOR-Zertifizierung auf dem Weg nach Europa (II): Gutachten über nationale Kriterien für den AUDITOR-Kriterienkatalog für das EU-Mitglied Österreich von Maybach Görg Lenneis Geréd Rechtsanwälte GmbH (MGLP) im September 2020 erhalten. Siehe Newsmeldung.
- Veröffentlichung vom September 2020: N. Maier, I. M. Pawlowska, S. Lins, A. Sunyaev, Zertifizierung nach der DS-GVO. Transparenz und Vertrauen für Nutzer digitaler Dienste?, in: ZD 2020, 445.
- Veröffentlichung vom September 2020: N. Maier-Reinhardt, Die Zertifizierung von Verarbeitungsvorgängen nach der DSGVO – Anforderungen an Zertifizierungsprogramme in: Hentschel, Hornung, Jandt (Hrsg.), Mensch – Technik – Umwelt: Verantwortung für eine sozialverträgliche Zukunft. Festschrift für Alexander Roßnagel zum 70. Geburtstag, Baden-Baden 2020, 401-417.
- Eintragung des Markennamens „GDPR Cloud Certificate – GDPR CC“. Siehe Newsmeldung.
- AUDITOR-Vorstellung auf dem GAIA-X Technical Deep Dive am 17.2.2021. Siehe Newsmeldung.
- Vortrag von S. Lins, N. Maier-Reinhardt und K. Osterhage zum Thema „Zertifizierung von Cloud-Diensten“ beim Webinar „Datenschutz am Mittag“ der Stiftung Datenschutz am 16.4.2021. Siehe Newsmeldung.
- Vortrag von S. Lins zum Thema „AUDITOR – Entwicklung einer neuen Datenschutzzertifizierung für Cloud-Dienste“ bei den COMMUNITY DAYS “Governance, Risk, Compliance in der IT” am 29. und 30.04.2021. Siehe Newsmeldung.
- Veröffentlichung vom Mai 2021: N. Maier-Reinhardt, Vergleich nationaler Akkreditierungsanforderungen nach Art. 43 Abs. 3 i.V.m. 57 Abs. 1 lit. p DS-GVO, in: ZD-Aktuell 2021, 05169.
- Veröffentlichung vom Dezember 2021: N. Maier-Reinhardt, Nationale Akkreditierungsanforderungen nach Art. 43 Abs. 3 DS-GVO iVm Art. 57 Abs. 1 lit. p DS-GVO – Vergleich Dänemark und Niederlande, ZD-Aktuell 2021, Heft 20, 05559.
- Veröffentlichung von 2022: Müller, AUDITOR: Zwischenstand im Forschungsprojekt „European Cloud Service Data Protection Certification“, ZD-Aktuell 2022, 01239.