Cloud-Computing wird in Deutschland datenschutzrechtlich als Auftragsdatenverarbeitung nach § 11 BDSG klassifiziert. Das bedeutet für den Cloud-Nutzer, dass er für die Auftragsdatenverarbeitung verantwortliche Stelle ist und bleibt. Die Auftragsdatenverarbeitung wird vom Bundesdatenschutzgesetz insoweit privilegiert, dass der Cloud-Nutzer für die Weitergabe personenbezogener Daten an den Cloud-Anbieter keine Einwilligung des Dateninhabers benötigt. Das bedeutet ein erhebliches Maß an Flexibilität und spart Aufwand.
Dieser Vorteil ist aber auch mit Pflichten verbunden: Der Cloud-Nutzer muss nach § 11 Absatz 2 BDSG den Cloud-Anbieter auf die Einhaltung von geeigneten technischen und organisatorischen Maßnahmen zur IT-Sicherheit überprüfen.
Für den Cloud-Anbieter bedeutet dies, dass er im Rahmen der Prüfung jedem einzelnen seiner Kunden Zugang zum genutzten Rechenzentrum gewähren muss. Das ist mit erheblichem zeitlichen und personellen Aufwand verbunden, insbesondere wenn sich der Cloud-Anbieter seinerseits eines Unterauftragnehmers bedient.
Im Interesse des Cloud-Nutzers liegt es, durch die Nutzung des Dienstes Kosten für eigene Infrastruktur und Expertise zu sparen. Diese Synergie durch Zentralisierung spezieller Leistung von ist wesentliches Merkmal von Cloud Computing. Durch seine Prüfpflichten wird der Cloud-Nutzer gezwungen, entsprechende Expertise allein für die Prüfung des Anbieters vorzuhalten oder extern mit erheblichem Aufwand einzukaufen. Dadurch reduziert sich der Gesamtnutzen des Cloud Computings.
Zertifizierung als Ausweg aus einem Dilemma
Wenn ein Cloud-Anbieter für mehrere Kunden tätig ist, müsste jeder einzelne Cloud-Nutzer den gleichen Anbieter prüfen. Das ist auch volkswirtschaftlich nicht sinnvoll. In der Vergangenheit wurde eine Selbstauskunft des Diensteanbieters als Lösung des Dilemmas vorgeschlagen. Eine Selbstauskunft wird jedoch den Anforderungen an eine Kontrolle, die nach dem BDSG vorgeschrieben ist, nicht gerecht. Kontrolle sieht eine Überprüfung durch eine unabhängige, kritische Instanz vor, die bei einer Selbstauskunft nicht gegeben ist.
Die Datenschutz-Zertifizierung löst das Dilemma auf eine andere Weise: Eine Prüfung des Dienstes durch eine sachkundige und unabhängige Stelle.
Zertifizierung als Kostenersparnis für Cloud-Anbieter und Cloud-Nutzer
Das Zertifikat erfüllt für den Cloud-Nutzer und den Cloud-Anbieter gleichermaßen eine kostensparende Funktion.
Cloud-Nutzer dürfen zulässigerweise auf die Aussage einer akkreditierten Stelle vertrauen, die ihre personelle und fachliche Eignung für eine Prüfung nachgewiesen hat. Damit spart sich der Cloud-Nutzer die eigene Beauftragung einer fachlichen Stelle oder die Entsendung eines fachkundigen Mitarbeiters zur Überprüfung des Cloud-Anbieters. Für eine gewissenhafte Prüfung eines einzelnen, mittelständischen Rechenzentrums ist etwa ein Tag einzuplanen. Je nach Größe des Anbieters und mehreren, über den Globus verteilten Rechenzentren des Cloud-Anbieters, in denen Daten des Nutzers verarbeitet werden können, dürften schon die eingesparten Reisekosten erheblich sein.
Cloud-Anbieter gewinnen mit der Zertifizierung einen erheblichen Wettbewerbsvorteil. Die Ersparnis der eigenen Prüfung stellt in der Auswahl eines geeigneten Dienstes ebenso einen wichtigen Punkt dar wie der Nachweis eines datenschutzkonformen Einsatzes eines Dienstes. Auch im laufenden Betrieb sparen Cloud-Anbieter Kosten: Publikumsverkehr im eigenen oder dem Rechenzentrum des Unterauftragnehmers bindet dauerhaft personelle Ressourcen, die durch eine einmalige Zertifizierung freigegeben werden können. Nicht zuletzt dient die Zertifizierung auch der Compliance im eigenen Unternehmen.
Der Cloud-Anbieter erhält mit seinem Zertifikat ein Prüfzeichen, anhand dessen der Cloud-Nutzer unmittelbar ablesen kann in welcher Schutzklasse und mit welchem Wiederherstellbarkeitsniveau der Cloud-Anbieter zertifiziert wurde.
Kosteneffiziente Zertifizierung dank Modularität
Bei der Entwicklung des TCDP wurde von Beginn an darauf geachtet, eine möglichst kosteneffiziente Lösung zu schaffen. Die Zertifizierung ist daher in doppelter Hinsicht modular aufgebaut: Einerseits werden zu zertifizierende Dienste in verschiedene Module unterteilt, die jeweils individuell zertifiziert werden können. Andererseits wird durch das TCDP auf etablierte Standards der ISO 2700er-Reihe verwiesen. Zertifikate nach der ISO 27000er-Reihe können im Rahmen einer kosteneffizienten TCDP-Zertifizierung ebenso wie Zertifikate nach BSI IT-Grundschutz berücksichtigt werden um eine doppelte Prüfung zu vermeiden.
Die individuellen Kosten der Zertifizierung werden vertraglich zwischen der Zertifizierungsstelle und dem Diensteanbieter vereinbart. Weder das Pilotprojekt „Datenschutz-Zertifizierung für Cloud-Dienste“ noch die Stiftung Datenschutz als Verwalterin des TCDP haben einen Einfluss auf die individuelle Höhe der Kosten.
