Cloud-Dienste werden für verschiedenste Arten von Aufgaben eingesetzt. So sehr, wie sich die Einsatzbereiche und Zwecke der Dienste unterscheiden, unterscheiden sich auch die Anforderungen an den Schutz von personenbezogenen Daten. Diese Anforderungen finden auch im Bundedatenschutzgesetz Niederschlag: Der Cloud-Nutzer muss gemäß § 9 BDSG als verantwortliche Stelle einen angemessenen Schutz für die konkrete, von ihm vorgenommene Datenverarbeitung gewährleisten.
Schutzklassen dienen Cloud-Anbieter und Cloud-Nutzer
Die mit dem TCDP 0.9 erstmals eingeführten Schutzklassen erfüllen eine Doppelfunktion: Der Cloud-Anbieter kann anhand der Schutzanforderungsklasse Maßnahmen ergreifen, der Cloud-Nutzer anhand der Schutzbedarfsklasse seiner Daten einen geeigneten Cloud-Dienst auswählen.
Das TCDP differenziert Schutzanforderungen aus Sicht den Nutzers. Die Schutzklassen spiegeln die zu erreichenden Schutzzwecke wider. Zertifikate nach TCDP werden deshalb ausdrücklich für eine spezielle Schutzklasse erteilt. Dies stellt eine wesentliche Besonderheit des TCDP gegenüber anderen Normen dar.
Schutzklassenkonzept für die Datenschutz-Zertifizierung nach TCDP Version 1.0
Stand: September 2016
Download [pdf]
"Drei plus zwei" Schutzklassen für die Datenschutz-Zertifizierung
Das Schutzklassenkonzept unterscheidet die Schutzbedarfsklassen 0, 1, 2, 3 und 3+. Eine Schutzbedarfsklasse "0" zeigt das Fehlen eines datenschutzrechtlichen Schutzbedarfs an, etwa bei nicht-personenbezogenen Daten. Eine Schutzklasse "3+" gilt für Daten, die nicht zur Verarbeitung durch Cloud-Dienste geeignet sind.
Bestimmung des Schutzbedarfs und Auswahl eines geeigneten Dienstes
Der Cloud-Nutzer muss einen Dienst auswählen, der für seine Zwecke einen angemessenen Schutz gewährleistet. Dazu muss er zunächst seinen konkreten Schutzbedarf kennen. Dieser hängt unter anderem ab von der Art der verarbeiteten Daten, der Menge der verarbeiteten Datensätze und dem Verwendungszweck der Daten ab. Das Begleitpapier zum TCDP sieht eine Ermittlung der Schutzbedarfsklasse in drei Schritten vor.
Im ersten Schritt wird die Schutzbedarfsklasse anhand der Art der verwendeten Daten ermittelt. Personenbezogene Daten sind mindestens in die Schutzbedarfsklasse "1" einzuordnen. Soweit sie Aussagekraft über die Persönlichkeit oder Lebensumstände des Betroffenen haben können, und/oder bei erheblicher Aussagekraft und der Möglichkeit eines schwerwiegenden Nachteils für den Betroffenen werden die Schutzbedarfsklassen "2" bzw. "3" erreicht.
In einem zweiten Schritt sind mögliche Erhöhungen des Schutzbedarfs zu berücksichtigen. Dies trägt dem Umstand Rechnung, dass auch der dem Kontext der Verarbeitung das Risiko erhöhen kann, zum Beispiel, wenn besonders viele Daten verarbeitet werden, wodurch die Attraktivität eines Angriffs vergrößert würde.
In einem dritten Schritt werden schutzbedarfsmindernde Umstände berücksichtigt. Insbesondere die Verschlüsselung von Daten wird als schutzbedarfsmindernd beurteilt: Speichert der Cloud-Nutzer ausschließlich verschlüsselte Daten, ist die Gefahr, dass durch unberechtigten Datenzugriff Nachteile für Betroffene entstehen gering.
Der Vorteil des Schutzklassenkonzepts besteht darin, dass der Cloud-Nutzer aufgrund der Schutzbedarfsermittlung einen Dienst mit der entsprechenden Schutzanforderungsklasse korrespondiert und so einen angemessenen Schutz erhält. Hat der Cloud-Nutzer einen Schutzbedarf der Schutzbedarfsklasse "2" ermittelt, benötigt er einen Cloud-Dienst, der die Schutzanforderungsklasse "2" oder höher erfüllt.
Für die Bestimmung des Schutzbedarfs nach dem geschilderten Vorgehen hat die Unison GmbH, Beteiligte des Pilotprojekts, einen Schutzbedarfsrechner entwickelt, der hier zur Verfügung steht.
