Die Stiftung Datenschutz hat, gefördert durch die Bundesministerien für Wirtschaft und Energie sowie des Innern, den sicheren Standard TCDP, der den hohen bundesdatenschutzrechtlichen Anforderungen entspricht und Rechtssicherheit für Unternehmen und Anwender bietet, ins Leben gerufen.

TCDP – TRUSTED CLOUD DATENSCHUTZ-PROFIL

Das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) ist ein neuer Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. Anbieter und Nutzer von Cloud-Diensten profitieren gleichermaßen von der Prüfung und Zertifizierung des durch akkreditierte, fachkundige Stellen, wie TÜV oder DEKRA.

WAS SIND DIE VORTEILE?

Vorteile für die Cloud Nutzer sind Kostenersparnis durch den Wegfall der Prüfung des Dienstleisters nach § 11 BDSG, Compliancenachweis für die eigenen Kunden und transparente Einschätzung des datenschutzrechtlichen Stands des Dienstes. Die Cloud Anbieter können ebenfalls Kosten sparen, da die datenschutzrechtliche Maßnahme nur einmal geprüft werden braucht. Auch können sie gegenüber den Nutzern Datenschutzkonformität nachweisen und erhalten durch die modulare Zertifizierung eine für sie maßgeschneiderte Lösung .

WIE KANN MAN SICH ZERTIFIZIEREN LASSEN?

Alle Fragen zu der Thematik finden sich in der Verfahrensordnung. Am Zertifizierungsverfahren sind drei Parteien beteiligt: Der Cloud-Anbieter, die Prüfstelle und die Zertifizierungsstelle. Der Cloud-Anbieter hat im Rahmen der Prüfung gegenüber der Prüfstelle Mitwirkungs- und Auskunftspflichten. Prüf- und Zertifizierungsstelle müssen rechtlich eigenständige und voneinander unabhängige Stellen sein, denn die Zertifizierung erfolgt auf Grundlage des Prüfberichts, der die Einhaltung der Anforderungen des TCDP feststellen soll.
Zu Beginn des Prüfverfahrens wird der Prüfgegenstand festgelegt. Hier werden von Prüfstelle und Cloud-Anbieter gemeinsam Schnittstellen bestimmt, bis zu denen die Zertifizierung gelten soll. Der Cloud-Dienst wird von anderen Produkten und in einem Target-of-Audit bezeichneten Dokument (ToA-Dokument) festgehalten.
Auf Grundlage des ToA-Dokuments erfolgt die Prüfung selbst in zwei Schritten: Der Dokumentenprüfung und den Vor-Ort-Audits. Für die Dokumentenprüfung liefert der Cloud-Dienst der Prüfstelle notwendige Unterlagen wie etwa Netzpläne, Sicherheitskonzepte, Prozessbeschreibungen und Vertragsvordrucke für die Auftragsdatenverarbeitung. Auf dieser Grundlage treffen die Prüfer eine erste Bewertung.
Inhaltlich werden die rechtlichen und technischen Voraussetzungen betrachtet. Die Prüfung rechtlicher – etwa vertraglicher – Voraussetzungen nach den TCDP Nrn. 1 bis 11 findet im Wesentlichen durch eine Dokumentenprüfung statt. Offene Fragen werden in Interviews mit dem Personal des Cloud-Anbieters geklärt. Die Prüfung der technischen Voraussetzungen erfolgt zunächst anhand übermittelter Dokumente. Im zweiten Schritt folgt in der Regel eine Begehung von Rechenzentren und die Einsicht in die Verwaltungssoftware des Dienstes. Auf Grundlage der Prüfung erstellt die Prüfstelle einen Prüfbericht, welcher der Zertifizierungsstelle übergeben wird. Nach der Übergabe des Prüfberichts an die Zertifizierungsstelle bewertet die Stelle die Ergebnisse Prüfung. Dabei wird das Vorliegen der Voraussetzungen in Hinsicht auf die beantragte Schutzklasse und das Wiederherstellbarkeitsniveau bewertet. Die Zertifizierungsstelle kann bei Unklarheiten Erläuterungen oder Ergänzungen des Prüfberichts verlangen (§ 4.3 Absatz 2). Die Zertifizierungsstelle entscheidet auch über die Anerkennung von TCDP-Zertifikaten oder von anderen Zertifikaten.

AM ENDE STEHT DAS ZERTIFIKAT

Sind die erforderlichen Voraussetzungen erfüllt, erteilt die Zertifizierungsstelle das Zertifikat, das aus Gründen der Transparenz durch die Zertifizierungsstelle zu veröffentlichen und online abrufbar zu sein hat. Somit kann überprüft werden, ob das Zertifikat des jeweiligen Anbieters auch tatsächlich berechtigt verwendet wird. Verbunden mit dem Zertifikat erhält der Cloud-Anbieter auch ein Prüfzeichen, das für die eigene Werbung, etwa auf der Internetseite des Dienstes, eingesetzt werden kann. Sowohl aus dem Zertifikat als auch aus dem Prüfzeichen gehen die Schutzklasse, das Wiederherstellungsniveau und die Laufzeit des Zertifikats hervor.