Der Einsatz von Cloud-Diensten eröffnet neue Möglichkeiten der effizienten Ressourcennutzung. Insbesondere kleine und mittelständische Unternehmen profitieren von ausgelagerten IT-Strukturen. Kurz gesagt, der Cloud-Markt boomt.

Die damit verbundenen Risiken, wie der mögliche Kontrollverlust, mangelnde Transparenz oder IT-Sicherheitsfragen, beschäftigen jedoch sowohl Anbieter als auch Nutzer von Cloud-Diensten. Die Anforderungen der Datenschutzgrundverordnung (DSGVO) und die implizierten Verpflichtungen für Verantwortliche, Auftragsverarbeiter oder auch gemeinsam Verantwortliche der Datenverarbeitung schaffen weitere Unsicherheiten. Das Forschungsprojekt AUDITOR zielt daher auf mehr Rechtssicherheit durch die Entwicklung einer EU-weit anwendbaren Zertifizierung des Datenschutzes von Cloud-Diensten.

AUDITOR steht für European Cloud Service Data Protection Certification und soll die Erkenntnisse aus dem Vorgängerprojekt „Trusted Cloud“ unter Einbeziehung der einschlägigen internationalen Normen und Anforderungen der DSGVO weiterentwickeln. Zu diesem Zweck erarbeitet ein interdisziplinäres Team aus Wissenschaftlern und Unternehmen die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten. Die Zertifizierung soll Cloud-Kunden die Sicherheit geben, dass ihr Cloud-Anbieter hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen kann. Cloud-Anbieter sollen durch eine aussagekräftige Zertifizierung nachweisen können, dass technische und organisatorische Maßnahmen den Datenschutz sicherstellen und so das Vertrauen ihrer Kunden erlangen können.

Gefördert wird das Forschungsprojekt mit zweijähriger Laufzeit durch das Bundesministerium für Wirtschaft und Energie (BMWi). Zunächst wird ein Kriterienkatalog für die Zertifizierung von Cloud-Diensten unter Berücksichtigung der Anforderungen der DSGVO und einschlägiger internationaler sowie nationaler Standards erarbeitet. Begleitend wird eine Standardisierung als nationaler Standard bei dem DIN als DIN SPEC und perspektivisch als europäischer Standard bei CEN/CENELEC angestrebt. Darüber hinaus soll das „AUDITOR-Verfahren“ in enger Abstimmung mit der Deutschen Akkreditierungsstelle (DAkkS), der „European Cooperation for Accreditation“ und den zuständigen Aufsichtsbehörden entwickelt werden, damit dieses als Grundlage für das Europäische Datenschutzsiegel gemäß Art. 42 Abs. 5 DSGVO dienen kann. Das im AUDITOR-Projekt erarbeitete Zertifizierungsverfahren und die für eine Standardisierung vorbereiteten Kriterien sollen sodann bereits während des Projektzeitraums in der Praxis durch Pilotprojekte erprobt und validiert werden.

Geleitet wird das Vorhaben durch die Professoren Alexander Roßnagel und Ali Sunyaev von der Universität Kassel. Projektpartner sind die CLOUD&HEAT Technologies GmbH, die datenschutz cert GmbH, der DIN-Normenausschuss Informationstechnik und Anwendungen (NIA), DIN e.V., die ecsec GmbH, der EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft und die Universität Kassel, Fachgebiet Öffentliches Recht mit Schwerpunkt Recht der Technik und des Umweltschutzes, Projektgruppe verfassungsverträgliche Technikgestaltung (provet).

Assoziierte Partner sind das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Fabasoft Austria GmbH, die Hornetsecurity GmbH, die PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft, SCOPE Europe b.v.b.a/s.p.r.l., das Kompetenznetzwerk Trusted Cloud e.V., TÜV Informationstechnik GmbH, das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein und der VOICE-Bundesverband der IT-Anwender e. V.

Weitere Informationen zu AUDITOR finden Sie hier und hier.