AUDITOR - European Cloud Service Data Protection Certification

Abstract

Ziel des Forschungsprojekts European Cloud Service Data Protection Certification („AUDITOR“) war die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten. Eine Zertifizierung nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO) ist im Interesse aller Beteiligten: der Cloud-Kunden, die nur mit solchen Cloud-Anbietern zusammenarbeiten dürfen, die hinreichend Garantien zur Einhaltung des Datenschutzes vorweisen können; der Cloud-Anbieter, die ihren Kunden mit einer Zertifizierung eben diese Sicherheit nachweislich bieten können; und der Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht. Um eine nachhaltige Datenschutzzertifizierung zu konzipieren, wurde zunächst ein Kriterienkatalog für die Zertifizierung von Cloud-Diensten nach der DSGVO entwickelt und eine entsprechende Anerkennung bei den nationalen Aufsichtsbehörden erreicht. Außerdem wurden geeignete Organisationsstrukturen und Zertifizierungsverfahren zur Durchführung einer Datenschutzzertifizierung mit hoher Marktakzeptanz konzipiert. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR zu gewährleisten, wurde darüber hinaus eine Standardisierung angestrebt und Maßnahmen zur Öffentlichkeitsarbeit durchgeführt. Das erarbeitete Zertifizierungsverfahren wurde in der Praxis bei drei Cloud-Anbietern erprobt und validiert. Abschließend durchlief AUDITOR das formale Bewilligungsverfahren der Deutschen Akkreditierungsstelle und der zuständigen Datenschutzaufsichtsbehörde erfolgreich. Durch das Forschungsprojekt konnte die erste Datenschutz-Zertifizierung für Cloud-Dienste in Europa geschaffen werden.