AUDITOR

Cloud-Dienste erfreuen sich großer Beliebtheit. Ihre Nutzung ist aus dem Alltag vieler Unternehmen und Endnutzer kaum mehr wegzudenken. Wirtschaftlichen Vorteilen stehen jedoch Risiken für die Persönlichkeitsrechte von Betroffenen gegenüber. Denn personenbezogene Daten werden in der Cloud verarbeitet und auch an Dritte übermittelt, oftmals ohne, dass der einzelne Betroffene Kenntnis hiervon erlangt oder einen konkreten Einfluss hierauf ausüben kann. Aufgrund der im Cloud-Dienst bestehenden Mehrparteienkonstellation und der hierdurch für den Endverbraucher bestehenden Unübersichtlichkeit, ist die Einhaltung von datenschutzrechtlichen Vorgaben und datensicherheitstechnischen Standards umso wichtiger. Dieses ist im Interesse sowohl der Endverbraucher, d.h. der potentiell Betroffenen, wie auch der Cloud-Anbieter und –Nutzer. Ihre informationelle Selbstbestimmung ist ein hohes Gut. Daher werden Verstöße gegen die Regelungen der DSGVO mit empfindlichen Geldbußen für die Verantwortlichen sanktioniert. Ihre Vermeidung ist im Interesse aller Beteiligter, insbesondere kleiner und mittlerer Unternehmen (KMU). Trotz der zahlreichen Vorteile von Cloud-Diensten bestehen durch den möglichen Verlust der Kontrolle über die Prozesse und Daten weiterhin Bedenken gegen ihre Nutzung, weil Cloud-Nutzer und Betroffene mangelnde Transparenz und Kontrollverlust befürchten. Dies wäre besonders problematisch, wenn sensitive Daten verarbeitet werden.

Zertifizierungen von IT-Anwendungen als Selbstregulierungsinstrumente werden daher oft dort eingesetzt, wo der Verantwortliche über keine eigene unmittelbare Steuerung mehr über die konkrete Datenverarbeitung verfügt. Zudem werden Zertifikate herangezogen, um den Cloud-Nutzern einen schnellen Überblick über das Datenschutzniveau des angebotenen Cloud-Dienstes zu ermöglichen. Sie schaffen damit mehr Transparenz, dienen dem Nachweis der Datenschutzkonformität und ermöglichen dem Kunden einen einfachen Vergleich zwischen den verschiedenen Anbietern. Außerdem sollen Zertifizierungen die Einhaltung insbesondere des Datenschutzrechts und weiterer Compliance-Vorgaben verbessern. Das Zertifizierungsverfahren soll Vertrauen der Nutzer dadurch generieren, dass unabhängige Dritte die Verordnungskonformität eines Dienstes überprüfen und bestätigen.

Die neue Datenschutzgrundverordnung (DSGVO), deren Geltungsbeginn am 25.5.2018 bevorsteht, regelt nunmehr erstmalig im EU-Datenschutzregime ausdrücklich, dass die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen gefördert werden soll, die dazu dienen, die Verordnungs- und damit die Datenschutzkonformität nachzuweisen.

Ziel des Forschungsprojekts „AUDITOR“ ist es, diese Vorgaben des europäischen Gesetzgebers zu konkretisieren und zu präzisieren. Dabei steht die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten im Mittelpunkt des interdisziplinären Forschungsvorhabens. 

Ein primäres Teilziel bei diesem Konkretisierungsauftrag ist die Entwicklung eines cloud-spezifischen Kriterienkatalogs für die Zertifizierung im Anwendungsbereich der Datenschutz-Grundverordnung. Des Weiteren werden geeignete Organisationsstrukturen und Verfahren zur Durchführung einer europaweit anerkannten Datenschutzzertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren, unter Einbeziehung von Anforderungen an die Akkreditierung von Zertifizierungsstellen, und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen schließlich in der Praxis erprobt und validiert werden. Die Entwicklung des Auditor-Katalogs erfolgt auf der Basis bereits etablierter Standards, wie etwa dem C5-Anforderungskatalog des BSI oder von einschlägigen internationalen Standards, wie ISO-Normen. 

Aus rechtswissenschaftlicher Perspektive besteht insbesondere Forschungsbedarf hinsichtlich des Datenschutzes und der Datensicherheit bei der Zertifizierung von Cloud-Diensten nach der neuen Rechtslage gemäß der Datenschutz-Grundverordnung, den aktuellen technischen Standards und dem aktuellen Stand der Technik.

Forschungsschwerpunkte der Projektgruppe verfassungsverträgliche Technikgestaltung liegen in der Konkretisierung und Präzisierung der Regelungen zum datenschutzspezifischen Zertifizierungsverfahren nach den Artikeln 42 und 43 DSGVO.

Erforscht werden sollen zudem Rechtswirkungen eines solchen AUDITOR-Zertifikats sowie weitere rechtliche Fragen u.a. zur Verantwortungsteilung unter den Cloud-Beteiligten, Vertragsgestaltung, Haftung, Eignungskriterien für die in den Prüf- und Zertifizierungsprozess involvierten Akteure sowie zum angemessenen Ausgleich zwischen dem Recht auf Schutz personenbezogener Daten von potentiell Betroffenen und der Gewährleistung des freien Datenverkehrs im europäischen Binnenmarkt. Die Projektgruppe verfassungsverträgliche Technikgestaltung hat sich zum Ziel gesetzt, konkrete Vorschläge für eine bestmöglich rechtskonforme Gestaltung von Zertifizierungsverfahren nach der Datenschutz-Grundverordnung und weiteren relevanten Vorschriften zu erarbeiten.

Das Projekt AUDITOR wird durch das Bundesministerium für Wirtschaft und Energie (BMWi) gefördert, um vertrauenswürdige Cloud Services für die Wirtschaft – insbesondere für den Mittelstand – auf dem europäischen Binnenmarkt weiter zu etablieren und dabei die bestmögliche Einhaltung des Datenschutzrechts durch die Förderung von Zertifizierungen zu gewährleisten. 

Projektpartner
Konsortialpartner

Karlsruher Institut für Technologie (KIT)
Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB)
Prof. Dr. Ali Sunyaev

CLOUD&HEAT Technologies GmbH
Dr. Marius Feldmann

Datenschutz cert GmbH
Dr. Sönke Maseberg und Dr. Irene Karper

DIN e.V. - DIN-Normenausschuss Informationstechnik und Anwendungen (NIA)
Dr. Volker Jacumeit

Ecsec GmbH
Dr. Detlef Hühnlein 

EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft
Andreas Weiss

1.11.2017		Offizieller Projektbeginn
8.11.2017	Veranstaltung	Auftaktveranstaltung und Erster Projektworkshop in Kassel: Das Projekt AUDITOR wurde unter großer Beteiligung der Projektpartner erfolgreich und bereits beim ersten Projekttreffen arbeitsintensiv begonnen.
	Pressebericht	Pressemitteilung des Bundesministeriums für Wirtschaft und Energie (BMWi) zum Projektbeginn AUDITOR
29.11.17	Pressebericht	Pressemitteilung des Lehrstuhls von Prof. Ali Sunyaev vom 29.11.17
29.11.17	Veranstaltung	Ayse Batman zusammen mit Andreas Weiss (EuroCloud, eco Verband der Internetwirtschaft), Jörg Schlißke (TÜV Informationstechnik), Thomas Niessen (Kompetenznetzwerk Trusted Cloud), Cloud Security Expo, Messe Frankfurt, Panel und Dialog zum Thema “EU DSGVO – Wie werden die Verantwortlichkeiten zur Einhaltung des Datenschutzes zwischen Nutzer und Cloud Anbieter geregelt?”
Dezember 2017	Veröffentlichung	A. Roßnagel, A. Sunyaev, A. Batman, S. Lins, N. Maier, H. Teigeler, AUDITOR: Neues Forschungsprojekt zur Datenschutz-Zertifizierung von Cloud-Diensten nach der DS-GVO, in: ZD-Aktuell 2017, 05900.
17.1.2018	Veranstaltung und Vortrag	Prof. Dr. Alexander Roßnagel, Vortrag zum Thema: Datenschutz-Grundverordnung – Herausforderung und Chance für Anbieter und Nutzer, Trusted Cloud Lounge zu Gast im Bundesministerium für Wirtschaft und Energie, Berlin
17.2.18	Arbeitsergebnis	Ein erster Entwurf des AUDITOR-Zertifizierungsgegenstandes wurde im Konsortium diskutiert.
23.3.18	Veranstaltung	Projekttreffen AUDITOR mit Projektträger BMWi und DLR in Karlsruhe.
6.6.18	Erster Meilenstein – Veröffentlichung und Arbeitsergebnis	Roßnagel, A., Sunyaev, A., Batman, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Kriterienkatalog, Entwurfsfassung 0.7, Beitrag zum Forschungsprojekt AUDITOR
6.6.18	Veranstaltung - Pressebericht	Vorstellung des AUDITOR-Kriterienkatalogs beim Bundesministerium für Wirtschaft und Energie in Berlin: Im Rahmen eines presseöffentlichen Fachgesprächs wurde der AUDITOR-Kriterienkatalog der Öffentlichkeit präsentiert. S. auch hier.
11. – 15.6.18	Veranstaltung	AUDITOR wurde auf der CEBIT 2018 präsentiert. Siehe Newsmeldung.
12.6.18	Veranstaltung und Vortrag	Ayşe Necibe Batman, Vortrag: Europäische Datenschutzzertifizierung von Cloud-Diensten – Projektvorstellung AUDITOR auf der Akkreditierungskonferenz 2018 der DAkkS in Berlin. S. auch hier.
4.7.18	Veranstaltung	Projekttreffen AUDITOR in Frankfurt a. M.
12.7.18	Veranstaltung	Workshop für Cloud Service Provider in Köln, Veranstalter: AUDITOR Konsortium und EuroCloud Deutschland, s. auch hier.
29.8.18	Veranstaltung	AUDITOR-Workshop mit der DAkkS.
September 2018	Neuzugänge im Projekt	AUDITOR begrüßt neue assoziierte Partner. Siehe Newsmeldung
6.11.2018	Veranstaltung	Projekttreffen AUDITOR in Frankfurt a. M.
15.11.2018	Veranstaltung	2. Workshop für Cloud Service Provider in Berlin. Siehe Ergebnisbericht
7. und 8.12.2018	Veranstaltung	AUDITOR auf der Digital Single Market Cloud Stakeholder Konferenz der EU. Siehe Newsmeldung
22.2.2019	Veranstaltung	Kick-Off-Veranstaltung in Köln zur Erarbeitung einer DIN SPEC auf Basis des AUDITOR-Kriterienkatalogs (DIN SPEC 27557).Siehe Projektvorstellung
28.3.2019	Veranstaltung	AUDTOR beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Bonn.
2.4.2019	Veranstaltung	AUDITOR auf der DSM Cloud Stakeholder Konferenz der EU in Berlin. Siehe Newsmeldung
3.4.2019	Veröffentlichung	Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9 (deutsche Fassung/englische Fassung)
3.4.2019	Veröffentlichung	Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Zertifizierungsgegenstand – Entwurfsfassung 0.4 (deutsche Fassung/englische Fassung)
3.4.2019	Veröffentlichung	Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Schutzklassenkonzept – Entwurfsfassung 0.2 (deutsche Fassung/englische Fassung)
April 2019	Veröffentlichung	N. Maier, S. Lins, H. Teigeler, A. Roßnagel, A. Sunyaev, Die Zertifizierung von Cloud-Diensten nach der DSGVO, Datenschutz und Datensicherheit (DuD), 43. Jg. (2019), Heft 4, 225-229.
14. und 15.5.2019	Veranstaltung	AUDITOR bei den Tagen der digitalen Technologien in Berlin. Siehe Newsmeldung
17.6.2019	Veranstaltung	AUDITOR bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit von Nordrhein-Westfalen in Düsseldorf. Siehe Newsmeldung
17. und 18.6.2019		Pilotierung bei der Cloud&Heat GmbH in Frankfurt a. M. Siehe Newsmeldung
Juli und August	2019	Pilotierung bei der Hornetsecurity GmbH in Hannover und der ecsec GmbH im Rechenzentrum der noris network AG in Nürnberg. Siehe Newsmeldung
August 2019	Veröffentlichung	N. Maier, T. Bile, Die Zertifizierung nach der DSGVO - Innovatives, aber hochkomplexes Instrument, Datenschutz und Datensicherheit (DuD), 43. Jg. (2019), Heft 8, 478-482.
7.8.2019	Veranstaltung	Projekttreffen der AUDITOR-Konsortialpartner in Kassel.
18.9.2019	Veranstaltung	AUDITOR-Projekttreffen in Karlsruhe. Siehe Newsmeldung
22.9 bis 27.9.2019	Veranstaltung	AUDITOR bei der Kanada Roadshow. Siehe Newsmeldung
4.11.2019	Veranstaltung	AUDITOR bei dem Arbeitstreffen der „Deutsch-Chinesischen Arbeitsgruppe Akkreditierung und Konformitätsbewertung“ in Peking. Siehe Newsmeldung