AUDITOR - European Cloud Service Data Protection Certification

Abstract

Ziel des Forschungsprojekts European Cloud Service Data Protection Certification („AUDITOR“) war die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten. Eine Zertifizierung nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO) ist im Interesse aller Beteiligten: der Cloud-Kunden, die nur mit solchen Cloud-Anbietern zusammenarbeiten dürfen, die hinreichend Garantien zur Einhaltung des Datenschutzes vorweisen können; der Cloud-Anbieter, die ihren Kunden mit einer Zertifizierung eben diese Sicherheit nachweislich bieten können; und der Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht. Um eine nachhaltige Datenschutzzertifizierung zu konzipieren, wurde zunächst ein Kriterienkatalog für die Zertifizierung von Cloud-Diensten nach der DSGVO entwickelt und eine entsprechende Anerkennung bei den nationalen Aufsichtsbehörden erreicht. Außerdem wurden geeignete Organisationsstrukturen und Zertifizierungsverfahren zur Durchführung einer Datenschutzzertifizierung mit hoher Marktakzeptanz konzipiert. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR zu gewährleisten, wurde darüber hinaus eine Standardisierung angestrebt und Maßnahmen zur Öffentlichkeitsarbeit durchgeführt. Das erarbeitete Zertifizierungsverfahren wurde in der Praxis bei drei Cloud-Anbietern erprobt und validiert. Abschließend durchlief AUDITOR das formale Bewilligungsverfahren der Deutschen Akkreditierungsstelle und der zuständigen Datenschutzaufsichtsbehörde erfolgreich. Durch das Forschungsprojekt konnte die erste Datenschutz-Zertifizierung für Cloud-Dienste in Europa geschaffen werden. Datei-Upload durch TIB The aim of the European Cloud Service Data Protection Certification (“AUDITOR”) research project was the conception, exemplary implementation and testing of an applicable EU-wide data protection certification of cloud services. Certification in accordance with the EU General Data Protection Regulation (GDPR) is in the interests of all parties involved: cloud customers, who may only work with cloud providers that can provide sufficient guarantees of data protection compliance; cloud providers, who can demonstrably offer their customers this conformity and security with certifications; and certification bodies, whose business area is subject to mandatory rules under the GDPR. To design an applicable data protection certification, the project consortium developed a catalog of criteria for the certification of cloud services in accordance with the GDPR. The national supervisory authorities approved the criteria. In addition, the project consortium designed suitable organizational structures and certification procedures to achieve a high level of market acceptance. Standardization was also sought and public relations measures were carried out to ensure the use and widespread dissemination of AUDITOR. The certification procedure was tested and validated in practice with three cloud providers. Finally, AUDITOR successfully passed the formal approval process of the German Accreditation Body and the data protection supervisory authorities. The research project resulted in the first data protection certification for cloud services in Europe.