Mehr Rechtssicherheit durch die Entwicklung einer EU-weit anwendbaren Zertifizierung des Datenschutzes von Cloud-Diensten. Dieses Ziel hatte sich 2017 das Forschungsprojekt AUDITOR (European Cloud Service Data Protection Certification) gesetzt, wir berichteten. Seither ist viel passiert. Die Akkreditierung und damit die Anerkennung, die erforderlich ist, um ein DSGVO-Zertifikat zu erteilen ist zwar noch nicht erfolgt (zu den Hintergründen der Akkreditierung haben wir bereits hier berichtet), viele Meilensteine wurden aber bereits erreicht.

Beispielsweise wurde ein AUDITOR Zertifizierungsverfahren entwickelt, welches nun zeitnah bei der Deutschen Akkreditierungsstelle (DAkkS) eingereicht wird. In die Entwicklung der Dokumente wurden zahlreiche Stakeholder aus der Wissenschaft und der Praxis innerhalb und außerhalb des Konsortiums einbezogen. Dazu zählen z.B. Cloudanbieter, Verbände, Zertifizierungsstellen, Aufsichtsbehörden aber auch das Deutsche Institut für Normung. Denn auch die Entwicklung eines Standards (DIN) ist Bestandteil des Projektes. Die entwickelten Dokumente und das Vorgehen wurden in umfassender praktischer Anwendung im Rahmen von Pilotverfahren durch die datenschutz cert GmbH getestet.

Das bundesweite Interesse an AUDITOR ist bereits hoch. Auch von der Landesbeauftragten für den Datenschutz und Informationsfreiheit (LDI) Nordrhein-Westfalen, Frau Block, gab es bereits positive Rückmeldung zu dem Projekt.

Nun will das Konsortium noch einen Schritt weiter gehen. Da Cloud-Dienste länderübergreifend angeboten werden, bringen nationale Zertifizierungsverfahren nur einen begrenzten Nutzen. Der Cloud-Anbieter müsste in jedem der EU-Mitgliedstaaten, in denen er tätig ist, ein nationales Zertifizierungsverfahren durchlaufen, wenn er die DSGVO-Konformität seines Dienstes durch ein Zertifikat bestätigt haben möchte. Neben der Akkreditierung in Deutschland soll daher das im Konsortium entwickelte Zertifikat auch zum europäischen Gütesiegel weiterentwickelt werden.

Mit diesem Ziel wurde das Forschungsprojekt nun um weitere 24 Monate durch das Bundesministerium für Wirtschaft und Energie (BMWi) verlängert. Die zweite Projektphase zur Europäisierung des AUDITOR-Gütesiegels ist im November 2019 gestartet. In der zweiten Projektphase (November 2019 bis Oktober 2021) steht daher die Anerkennung des AUDITOR-Zertifizierungsverfahrens als Europäisches Datenschutzsiegel durch den Europäischen Datenschutzausschuss im Fokus.

Die folgenden Institutionen und Organisationen sind in der zweiten Runde an dem Projekt beteiligt.

Verbundkoordination:

  • Karlsruher Institut für Technologie (KIT), Critical Information Infrastructures (cii) Lab, Prof. Dr. Ali Sunyaev

Projektpartner:

  • CLOUD&HEAT Technologies GmbH;
  • datenschutz cert GmbH;
  • DIN-Normenausschuss Informationstechnik und Anwendungen (NIA), DIN e.V.;
  • ecsec GmbH;
  • EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft;
  • Universität Kassel, Fachgebiet Öffentliches Recht mit Schwerpunkt Recht der Technik und des Umweltschutzes, Projektgruppe verfassungsverträgliche Technikgestaltung (provet)

Weitere Informationen finden Sie auch auf der Webseite zu Auditor. Dort werden auch alle bereits jetzt verfügbaren Dokumente verfügbar gemacht. Zeitnah nach der Einreichung (Anfang 2020) werden zudem die neuen überarbeiteten Dokumente veröffentlicht werden, etwa der Kriterienkatalog. Die Dokumente in der Fassung v0.99 werden, wie auch die aktuellen Dokumente, unter folgendem Link verfügbar sein: https://www.auditor-cert.de/publikationen/