Die Datenschutz-Zertifizierung nach TCDP erfolgt auf Grundlage eines Vertrags zwischen der Zertifizierungsstelle und dem Cloud-Nutzer nach den Regeln der Verfahrensordnung (§ 4.1 Absatz 1).
Verfahrensordnung für Zertifizierungen nach dem Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP)
Stand: September 2016
Download [pdf]
Am Zertifizierungsverfahren sind drei Parteien beteiligt: Der Cloud-Anbieter, die Prüfstelle und die Zertifizierungsstelle. Der Cloud-Anbieter hat im Rahmen der Prüfung Mitwirkungs- und Auskunftspflichten gegenüber der Prüfstelle. Prüf- und Zertifizierungsstelle müssen rechtlich eigenständige und voneinander unabhängige Stellen sein, denn die Zertifizierung erfolgt auf Grundlage des Prüfberichts, der die Einhaltung der Anforderungen des TCDP feststellen soll.
Der hier dargestellte Ablauf bildet den idealtypischen Prozess ab. Die konkrete Ausgestaltung des Verfahrens im Rahmen der Verfahrensordnung obliegt den Prüf- und Zertifizierungsstellen und kann sich im Einzelfall und in Details vom hier dargestellten Ablauf unterscheiden
Prüfung des Cloud-Dienstes
Zu Beginn des Prüfverfahrens wird der Prüfgegenstand festgelegt. Hier werden von Prüfstelle und Cloud-Anbieter gemeinsam Schnittstellen bestimmt, bis zu denen die Zertifizierung gelten soll. Der Cloud-Dienst wird von anderen Produkten und in einem Target-of-Audit bezeichneten Dokument (ToA-Dokument) festgehalten.
Auf Grundlage des ToA-Dokuments erfolgt die Prüfung selbst in zwei Schritten: Der Dokumentenprüfung und den Vor-Ort-Audits. Für die Dokumentenprüfung liefert der Cloud-Dienst der Prüfstelle notwendige Unterlagen wie etwa Netzpläne, Sicherheitskonzepte, Prozessbeschreibungen und Vertragsvordrucke für die Auftragsdatenverarbeitung. Auf dieser Grundlage treffen die Prüfer eine erste Bewertung.
Inhaltlich werden die rechtlichen und technischen Voraussetzungen betrachtet. Die Prüfung rechtlicher – etwa vertraglicher – Voraussetzungen nach den TCDP Nrn. 1 bis 11 findet im Wesentlichen durch eine Dokumentenprüfung statt. Offene Fragen werden in Interviews mit dem Personal des Cloud-Anbieters geklärt. Die Prüfung der technischen Voraussetzungen erfolgt zunächst anhand übermittelter Dokumente. Im zweiten Schritt folgt in der Regel eine Begehung von Rechenzentren und die Einsicht in die Verwaltungssoftware des Dienstes.
Auf Grundlage der Prüfung erstellt die Prüfstelle einen Prüfbericht, welcher der Zertifizierungsstelle übergeben wird.
Zertifizierung auf Grundlage des Prüfberichts
Nach der Übergabe des Prüfberichts an die Zertifizierungsstelle bewertet die Stelle die Ergebnisse Prüfung. Dabei wird das Vorliegen der Voraussetzungen in Hinsicht auf die beantragte Schutzklasse und das Wiederherstellbarkeitsniveau bewertet. Die Zertifizierungsstelle kann bei Unklarheiten Erläuterungen oder Ergänzungen des Prüfberichts verlangen (§ 4.3 Absatz 2). Die Zertifizierungsstelle entscheidet auch über die Anerkennung von TCDP-Zertifikaten oder von anderen Zertifikaten.
Sind die erforderlichen Voraussetzungen erfüllt, erteilt die Zertifizierungsstelle das Zertifikat.
Erteilung des Zertifikats und des Prüfzeichens
Verbunden mit dem Zertifikat erhält der Cloud-Anbieter auch ein Prüfzeichen, das für die eigene Werbung, etwa auf der Internetseite des Dienstes, eingesetzt werden kann. Sowohl aus dem Zertifikat als auch aus dem Prüfzeichen gehen die Schutzklasse, das Wiederherstellungsniveau und die Laufzeit des Zertifikats hervor.
Aus Gründen der Transparenz ist die Zertifizierungsstelle verpflichtet, das Zertifikat zu veröffentlichen und online abrufbar vorzuhalten. Damit kann geprüft werden, ob das Zertifikat eines einzelnen Anbieters berechtigt verwendet wird.
