Das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) ist ein Prüfstandard, der den datenschutzrechtlichen Anforderungen des Bundesdatenschutzgesetzes an Cloud Computing entspricht. Anbieter und Nutzer von Cloud-Diensten profitieren gleichermaßen von der Prüfung und Zertifizierung des durch akkreditierte, fachkundige Stellen. Vorteile sind Kostenersparnis, Compliance und Transparenz.

Das BDSG wurde mit Wirkung zum 25. Mai 2018 durch die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ersetzt. Damit haben sich große Teile des Datenschutzrechts geändert, darunter auch die Anforderungen an die Auftrags(daten)verarbeitung.Logo Auditor

Daher entwickelt das Forschungsprojekt AUDITOR derzeit einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO. Dabei wird eine Anerkennung durch den Europäischen Datenschutz-Ausschuss nach Art. 42 Abs. 5 DSGVO angestrebt. Die Stiftung Datenschutz berät das den Standard ausarbeitende Konsortium und kann den erstellten Zertifizierungsstandard verwalten.

 

UPDATE 18. August 2023

Die notwendige, informelle Prüfung der AUDITOR-Zertifizierung durch Europäische Datenschutzaufsichtsbehörden steht vor dem Abschluss. Das AUDITOR-Konsortium hat im Rahmen der informellen Prüfung einige hilfreiche Kommentierungen in den Kriterienkatalog übernehmen und umsetzten können.
 
Leider zeigt sich auch im Rahmen der informellen Prüfung, dass einige Auslegungen der DSGVO nicht abschließend auf europäischer Ebene abgestimmt sind. Dies betrifft auch die sogenannte „Haushaltsausnahme“ (Art. 2 Absatz 2 lit. c) DSGVO). Die mitgliedsstaatlichen Prüfer:innen sind sich uneinig, ob und unter welchen Vorrausetzungen eine Zertifizierung für privat genutzte Cloud-Dienste (im Sinne des B2C-Marktes) Anwendung finden kann. Dazu wird voraussichtlich Anfang September eine Europäische Expertengruppe befragt, sodass im Laufe des Septembers eine abschließende Aussage hinsichtlich des Anwendungsbereichs von AUDITOR (B2B und B2C oder nur B2B) getroffen werden könnte. Bevor dieser Diskussionspunkt nicht beseitigt ist, wird die Datenschutzzertifizierung AUDITOR nicht in das formale Bewilligungsverfahren gebracht werden können. Als die erste Datenschutzzertifizierung für Cloud-Dienste muss sich AUDITOR also einigen noch ungelösten Fragestellungen stellen und eine Entscheidung erwirken.
 
Nach aktueller Planung wird AUDITOR daher Ende September für die abschließende Europäische Prüfung eingereicht, die bis zu 14 Wochen dauern kann. Mit einer finalen Entscheidung des Europäischen Datenschutzausschusses rechnen wir im Januar 2024. Offene Punkte müssen vom AUDITOR-Konsortium adressiert und von der zuständigen Datenschutzaufsichtsbehörde bestätigt werden.
 
Ein Abschluss der nationalen Bewilligung der AUDITOR-Zertifizierung ist daher nach aktueller Planung im April 2024 zu erwarten. 

Cloud-Anbieter

  • Sparen Kosten durch einmalige Prüfung der datenschutzrechtlichen Maßnahme
  • Weisen gegenüber ihren Nutzern Datenschutzkonformität nach
  • Erhalten maßgeschneiderte Lösung durch modulare Zertifizierung

Cloud-Nutzer

  • Sparen Kosten: Eigene Prüfung nicht mehr erforderlich
  • Können den datenschutzrechtlichen Stand des Dienstes transparent einschätzen
  • Weisen eigenen Kunden die Einhaltung der datenschutzrechtlichen Vorschriften nach