AUDITOR
European Cloud Service Data Protection Certification
Cloud-Dienste erfreuen sich großer Beliebtheit. Ihre Nutzung ist aus dem Alltag vieler Unternehmen und Endnutzer kaum mehr wegzudenken. Wirtschaftlichen Vorteilen stehen jedoch Risiken für die Persönlichkeitsrechte von Betroffenen gegenüber. Denn personenbezogene Daten werden in der Cloud verarbeitet und auch an Dritte übermittelt, oftmals ohne, dass der einzelne Betroffene Kenntnis hiervon erlangt oder einen konkreten Einfluss hierauf ausüben kann. Aufgrund der im Cloud-Dienst bestehenden Mehrparteienkonstellation und der hierdurch für den Endverbraucher bestehenden Unübersichtlichkeit, ist die Einhaltung von datenschutzrechtlichen Vorgaben und datensicherheitstechnischen Standards umso wichtiger. Dieses ist im Interesse sowohl der Endverbraucher, d.h. der potentiell Betroffenen, wie auch der Cloud-Anbieter und –Nutzer. Ihre informationelle Selbstbestimmung ist ein hohes Gut. Daher werden Verstöße gegen die Regelungen der DSGVO mit empfindlichen Geldbußen für die Verantwortlichen sanktioniert. Ihre Vermeidung ist im Interesse aller Beteiligter, insbesondere kleiner und mittlerer Unternehmen (KMU). Trotz der zahlreichen Vorteile von Cloud-Diensten bestehen durch den möglichen Verlust der Kontrolle über die Prozesse und Daten weiterhin Bedenken gegen ihre Nutzung, weil Cloud-Nutzer und Betroffene mangelnde Transparenz und Kontrollverlust befürchten. Dies wäre besonders problematisch, wenn sensitive Daten verarbeitet werden.
Zertifizierungen von IT-Anwendungen als Selbstregulierungsinstrumente werden daher oft dort eingesetzt, wo der Verantwortliche über keine eigene unmittelbare Steuerung mehr über die konkrete Datenverarbeitung verfügt. Zudem werden Zertifikate herangezogen, um den Cloud-Nutzern einen schnellen Überblick über das Datenschutzniveau des angebotenen Cloud-Dienstes zu ermöglichen. Sie schaffen damit mehr Transparenz, dienen dem Nachweis der Datenschutzkonformität und ermöglichen dem Kunden einen einfachen Vergleich zwischen den verschiedenen Anbietern. Außerdem sollen Zertifizierungen die Einhaltung insbesondere des Datenschutzrechts und weiterer Compliance-Vorgaben verbessern. Das Zertifizierungsverfahren soll Vertrauen der Nutzer dadurch generieren, dass unabhängige Dritte die Verordnungskonformität eines Dienstes überprüfen und bestätigen.
Die neue Datenschutzgrundverordnung (DSGVO), deren Geltungsbeginn am 25.5.2018 bevorsteht, regelt nunmehr erstmalig im EU-Datenschutzregime ausdrücklich, dass die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen gefördert werden soll, die dazu dienen, die Verordnungs- und damit die Datenschutzkonformität nachzuweisen.
Ziel des Forschungsprojekts „AUDITOR“ ist es, diese Vorgaben des europäischen Gesetzgebers zu konkretisieren und zu präzisieren. Dabei steht die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten im Mittelpunkt des interdisziplinären Forschungsvorhabens.
Ein primäres Teilziel bei diesem Konkretisierungsauftrag ist die Entwicklung eines cloud-spezifischen Kriterienkatalogs für die Zertifizierung im Anwendungsbereich der Datenschutz-Grundverordnung. Des Weiteren werden geeignete Organisationsstrukturen und Verfahren zur Durchführung einer europaweit anerkannten Datenschutzzertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren, unter Einbeziehung von Anforderungen an die Akkreditierung von Zertifizierungsstellen, und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen schließlich in der Praxis erprobt und validiert werden. Die Entwicklung des Auditor-Katalogs erfolgt auf der Basis bereits etablierter Standards, wie etwa dem C5-Anforderungskatalog des BSI oder von einschlägigen internationalen Standards, wie ISO-Normen.
Aus rechtswissenschaftlicher Perspektive besteht insbesondere Forschungsbedarf hinsichtlich des Datenschutzes und der Datensicherheit bei der Zertifizierung von Cloud-Diensten nach der neuen Rechtslage gemäß der Datenschutz-Grundverordnung, den aktuellen technischen Standards und dem aktuellen Stand der Technik.
Forschungsschwerpunkte der Projektgruppe verfassungsverträgliche Technikgestaltung liegen in der Konkretisierung und Präzisierung der Regelungen zum datenschutzspezifischen Zertifizierungsverfahren nach den Artikeln 42 und 43 DSGVO.
Erforscht werden sollen zudem Rechtswirkungen eines solchen AUDITOR-Zertifikats sowie weitere rechtliche Fragen u.a. zur Verantwortungsteilung unter den Cloud-Beteiligten, Vertragsgestaltung, Haftung, Eignungskriterien für die in den Prüf- und Zertifizierungsprozess involvierten Akteure sowie zum angemessenen Ausgleich zwischen dem Recht auf Schutz personenbezogener Daten von potentiell Betroffenen und der Gewährleistung des freien Datenverkehrs im europäischen Binnenmarkt. Die Projektgruppe verfassungsverträgliche Technikgestaltung hat sich zum Ziel gesetzt, konkrete Vorschläge für eine bestmöglich rechtskonforme Gestaltung von Zertifizierungsverfahren nach der Datenschutz-Grundverordnung und weiteren relevanten Vorschriften zu erarbeiten.
Das Projekt AUDITOR wird durch das Bundesministerium für Wirtschaft und Energie (BMWi) gefördert, um vertrauenswürdige Cloud Services für die Wirtschaft – insbesondere für den Mittelstand – auf dem europäischen Binnenmarkt weiter zu etablieren und dabei die bestmögliche Einhaltung des Datenschutzrechts durch die Förderung von Zertifizierungen zu gewährleisten.
Projektpartner
Konsortialpartner
Karlsruher Institut für Technologie (KIT)
Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB)
Prof. Dr. Ali Sunyaev
CLOUD&HEAT Technologies GmbH
Dr. Marius Feldmann
Datenschutz cert GmbH
Dr. Sönke Maseberg und Dr. Irene Karper
DIN e.V. - DIN-Normenausschuss Informationstechnik und Anwendungen (NIA)
Dr. Volker Jacumeit
Ecsec GmbH
Dr. Detlef Hühnlein
EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft
Andreas Weiss
Bundesamt für Sicherheit in der Informationstechnik (BSI)
Der Bundesverband IT-Mittelstand e.V. (BITMi)
Die Landesbeauftragte für den Datenschutz Niedersachsen
Fujitsu Technology Solutions GmbH
Mitteldeutsche Gesellschaft für Informationssicherheit und Datenschutz mbh Uniscon GmbH
PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft
Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
VIVAI Software AG, Smart Service Power
VOICE-Bundesverband der IT-Anwender e. V.
x-ion GmbH Cloud-IaaS, Hamburg
Projektverlauf
| 1.11.2017 | Offizieller Projektbeginn | |
| 8.11.2017 | Veranstaltung | Auftaktveranstaltung und Erster Projektworkshop in Kassel: Das Projekt AUDITOR wurde unter großer Beteiligung der Projektpartner erfolgreich und bereits beim ersten Projekttreffen arbeitsintensiv begonnen. |
| Pressebericht | Pressemitteilung des Bundesministeriums für Wirtschaft und Energie (BMWi) zum Projektbeginn AUDITOR | |
| 29.11.17 | Pressebericht | Pressemitteilung des Lehrstuhls von Prof. Ali Sunyaev vom 29.11.17 |
| 29.11.17 | Veranstaltung | Ayse Batman zusammen mit Andreas Weiss (EuroCloud, eco Verband der Internetwirtschaft), Jörg Schlißke (TÜV Informationstechnik), Thomas Niessen (Kompetenznetzwerk Trusted Cloud), Cloud Security Expo, Messe Frankfurt, Panel und Dialog zum Thema “EU DSGVO – Wie werden die Verantwortlichkeiten zur Einhaltung des Datenschutzes zwischen Nutzer und Cloud Anbieter geregelt?” |
| Dezember 2017 | Veröffentlichung | A. Roßnagel, A. Sunyaev, A. Batman, S. Lins, N. Maier, H. Teigeler, AUDITOR: Neues Forschungsprojekt zur Datenschutz-Zertifizierung von Cloud-Diensten nach der DS-GVO, in: ZD-Aktuell 2017, 05900. |
| 17.1.2018 | Veranstaltung und Vortrag | Prof. Dr. Alexander Roßnagel, Vortrag zum Thema: Datenschutz-Grundverordnung – Herausforderung und Chance für Anbieter und Nutzer, Trusted Cloud Lounge zu Gast im Bundesministerium für Wirtschaft und Energie, Berlin |
| 17.2.18 | Arbeitsergebnis | Ein erster Entwurf des AUDITOR-Zertifizierungsgegenstandes wurde im Konsortium diskutiert. |
| 23.3.18 | Veranstaltung | Projekttreffen AUDITOR mit Projektträger BMWi und DLR in Karlsruhe. |
| 6.6.18 | Erster Meilenstein – Veröffentlichung und Arbeitsergebnis | Roßnagel, A., Sunyaev, A., Batman, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Kriterienkatalog, Entwurfsfassung 0.7, Beitrag zum Forschungsprojekt AUDITOR |
| 6.6.18 | Veranstaltung - Pressebericht | Vorstellung des AUDITOR-Kriterienkatalogs beim Bundesministerium für Wirtschaft und Energie in Berlin: Im Rahmen eines presseöffentlichen Fachgesprächs wurde der AUDITOR-Kriterienkatalog der Öffentlichkeit präsentiert. S. auch hier. |
| 11. – 15.6.18 | Veranstaltung | AUDITOR wurde auf der CEBIT 2018 präsentiert. Siehe Newsmeldung. |
| 12.6.18 | Veranstaltung und Vortrag | Ayşe Necibe Batman, Vortrag: Europäische Datenschutzzertifizierung von Cloud-Diensten – Projektvorstellung AUDITOR auf der Akkreditierungskonferenz 2018 der DAkkS in Berlin. S. auch hier. |
| 4.7.18 | Veranstaltung | Projekttreffen AUDITOR in Frankfurt a. M. |
| 12.7.18 | Veranstaltung | Workshop für Cloud Service Provider in Köln, Veranstalter: AUDITOR Konsortium und EuroCloud Deutschland, s. auch hier. |
| 29.8.18 | Veranstaltung | AUDITOR-Workshop mit der DAkkS. |
| September 2018 | Neuzugänge im Projekt | AUDITOR begrüßt neue assoziierte Partner. Siehe Newsmeldung |
| 6.11.2018 | Veranstaltung | Projekttreffen AUDITOR in Frankfurt a. M. |
| 15.11.2018 | Veranstaltung | 2. Workshop für Cloud Service Provider in Berlin. Siehe Ergebnisbericht |
| 7. und 8.12.2018 | Veranstaltung | AUDITOR auf der Digital Single Market Cloud Stakeholder Konferenz der EU. Siehe Newsmeldung |
| 22.2.2019 | Veranstaltung | Kick-Off-Veranstaltung in Köln zur Erarbeitung einer DIN SPEC auf Basis des AUDITOR-Kriterienkatalogs (DIN SPEC 27557).Siehe Projektvorstellung |
| 28.3.2019 | Veranstaltung | AUDTOR beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Bonn. |
| 2.4.2019 | Veranstaltung | AUDITOR auf der DSM Cloud Stakeholder Konferenz der EU in Berlin. Siehe Newsmeldung |
| 3.4.2019 | Veröffentlichung | Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9 (deutsche Fassung/englische Fassung) |
| 3.4.2019 | Veröffentlichung | Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Zertifizierungsgegenstand – Entwurfsfassung 0.4 (deutsche Fassung/englische Fassung) |
| 3.4.2019 | Veröffentlichung | Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Schutzklassenkonzept – Entwurfsfassung 0.2 (deutsche Fassung/englische Fassung) |
| April 2019 | Veröffentlichung | N. Maier, S. Lins, H. Teigeler, A. Roßnagel, A. Sunyaev, Die Zertifizierung von Cloud-Diensten nach der DSGVO, Datenschutz und Datensicherheit (DuD), 43. Jg. (2019), Heft 4, 225-229. |
| 14. und 15.5.2019 | Veranstaltung | AUDITOR bei den Tagen der digitalen Technologien in Berlin. Siehe Newsmeldung |
| 17.6.2019 | Veranstaltung | AUDITOR bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit von Nordrhein-Westfalen in Düsseldorf. Siehe Newsmeldung |
| 17. und 18.6.2019 | Pilotierung bei der Cloud&Heat GmbH in Frankfurt a. M. Siehe Newsmeldung | |
| August 2019 | Veröffentlichung | N. Maier, T. Bile, Die Zertifizierung nach der DSGVO - Innovatives, aber hochkomplexes Instrument, Datenschutz und Datensicherheit (DuD), 43. Jg. (2019), Heft 8, 478-482. |
| 7.8.2019 | Veranstaltung | Projekttreffen der AUDITOR-Konsortialpartner in Kassel. |
Projektinfos
Finanzierung:
Bundesministerium für Wirtschaft und Energie (BMWi) aufgrund eines Beschlusses des Deutschen Bundestages
Laufzeit:
November 2017 -
Oktober 2019
Fördersumme:
1,4 Mio. € -
Gesamtvolumen: 1,7 Mio. €
Projektverantwortliche:
Prof. Dr. Alexander Roßnagel
Dr. jur. Christian Geminn, Mag. iur.
Ansprechpartner:
