Das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) ist ein Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. Anbieter und Nutzer von Cloud-Diensten profitieren gleichermaßen von der Prüfung und Zertifizierung des durch akkreditierte, fachkundige Stellen. Vorteile sind Kostenersparnis, Compliance und Transparenz.

Das BDSG wurde mit Wirkung zum 25. Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ersetzt. Damit haben sich große Teile des Datenschutzrechts geändert, darunter auch die Anforderungen an die Auftrags(daten)verarbeitung.Logo Auditor

Daher entwickelt das Forschungsprojekt AUDITOR derzeit einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO. Dabei wird eine Anerkennung durch den Europäischen Datenschutz-Ausschuss nach Art. 42 Abs. 5 DSGVO angestrebt. Die Stiftung Datenschutz berät das den Standard ausarbeitende Konsortium und kann den erstellten Zertifizierungsstandard verwalten.

 

UPDATE : JANUAR 2023

Uns erreichen immer wieder berechtigte Anfragen über den aktuellen Stand der nationalen Bewilligung der AUDITOR-Zertifizierung. Bereits im Februar 2020 wurde das Zertifizierungsprogramm offiziell eingereicht. Leider ist derzeit kein konkretes Enddatum für die Bewilligung absehbar. Gerne möchten wir Ihnen daher einen kurzen Einblick in die Roadmap geben.
 
Meilensteine bei der Bewilligung von AUDITOR:

  • Februar 2020: Einreichung des Zertifizierungsprogramms bei der DAkkS
  • November 2020: Die DAkkS hat nach einer Überarbeitungsrunde das Zertifizierungsverfahren freigegeben und keine Mängel, die der Akkreditierung des Programms entgegenstehen können, festgestellt. Anschließend wurde das Zertifizierungsprogramm an die zuständige Datenschutzaufsichtsbehörde NRW übermittelt
  • Januar 2022: Abschluss der Fachprüfung durch die Landesbeauftragte für Datenschutz und Informationsfreiheit Nordrhein-Westfalen (LDI NRW). Das LDI NRW hat den Kriterienkatalog nach einer Überarbeitungsrunde freigegeben. Anschließend wurde das Zertifizierungsprogramm in die informelle Konsultationsphase auf der europäischen Ebene gegeben.
  • September 2022: Rückmeldung der europäischen Co-Reviewer zum Zertifizierungsverfahren.
  • Oktober & November 2022: Zwe Web-Konferenzen zur Besprechung des Feedbacks und Übersendung von überarbeiteten Versionen durch das AUDITOR-Konsortium.
  • Ende Dezember 2022: Die Berliner Datenschutzaufsichtsbehörde übermittelt unerwartet Kommentare und sieht Änderungsbedarf an AUDITOR, welche adressiert werden müssen.
  • Januar 2023: Das AUDITOR-Konsortium arbeitet die Änderungswünsche der Berliner Aufsichtsbehörde ein und finalisiert die aktualisierten Dokumente des Zertifizierungsverfahrens

 
Offene Schritte im Rahmen der nationalen Bewilligung:

  1. Freigabe der Änderungen durch die Co-Reviewer (und Aufsichtsbehörde Berlin). Wie schnell eine Rückmeldung erfolgt, liegt außerhalb der Kontrolle des Konsortiums
  2. Versand der Unterlagen an die mitgliedstaatlichen Aufsichtsbehörden innerhalb der europäischen Union durch das LDI NRW. Diese haben 30 Tage Zeit zur Kommentierung. Anschließend Überarbeitung durch das AUDITOR-Konsortium und Abstimmung mit dem LDI NRW. Dauer abhängig vom Umfang und der Schwere des Feedbacks
  3. Nach Freigabe der Änderungen durch das LDI NRW: Förmliche Vorlage und Stellungnahme zur Zertifizierung beim europäischen Datenschutzausschuss (EDSA)
  4. Der EDSA hat eine Frist von 8 bis 14 Wochen zur finalen Stellungnahme nach Artikel 64 Absatz 3 DSGVO (Stellungnahme des EDSA [engl. EDPB’s Opinion]) einzuhalten. Diese Stellungnahme wird veröffentlicht.
  5. Sollte die Stellungnahme noch Änderungen fordern, müssen diese in Abstimmung mit dem LDI NRW vom AUDITOR-Konsortium umgesetzt werden. Anschließend gilt das Zertifizierungsverfahren als bewilligt.
  6. Zertifizierungsstellen am Markt können sich akkreditieren lassen und anschließend das AUDITOR-Verfahren anbieten.

 
Die Details zum allgemeinen Verfahren können auch hier nachgelesen werden:
https://edpb.europa.eu/our-work-tools/our-documents/procedure/edpb-document-procedure-approval-certification-criteria-edpb_en
 
Für die verbleibenden Schritte werden mindestens drei bis vier Monaten. Abhängig von Kritikalität, Komplexität und Umfangs des Feedbacks auf europäischer Ebene benötigt das AUDITOR-Konsortium zusätzlich Zeit zur Umsetzung der Änderungswünsche. Schließlich werden das LDI NRW und die DAkkS Zeit zur finalen Freigabe und Abstimmung benötigen.
 
Sobald neue Informationen vorliegen, werden wir Sie wie immer informieren.
 

Cloud-Anbieter

  • Sparen Kosten durch einmalige Prüfung der datenschutzrechtlichen Maßnahme
  • Weisen gegenüber ihren Nutzern Datenschutzkonformität nach
  • Erhalten maßgeschneiderte Lösung durch modulare Zertifizierung

Cloud-Nutzer

  • Sparen Kosten: Eigene Prüfung nicht mehr erforderlich
  • Können den datenschutzrechtlichen Stand des Dienstes transparent einschätzen
  • Weisen eigenen Kunden die Einhaltung der datenschutzrechtlichen Vorschriften nach
Joomla3 Appliance - Powered by TurnKey Linux