AUDITOR

European Cloud Service Data Protection Certification

Cloud-Dienste erfreuen sich großer Beliebtheit. Ihre Nutzung ist aus dem Alltag vieler Unternehmen und Endnutzer kaum mehr wegzudenken. Wirtschaftlichen Vorteilen stehen jedoch Risiken für die Persönlichkeitsrechte von Betroffenen gegenüber. Denn personenbezogene Daten werden in der Cloud verarbeitet und auch an Dritte übermittelt, oftmals ohne, dass der einzelne Betroffene Kenntnis hiervon erlangt oder einen konkreten Einfluss hierauf ausüben kann. Aufgrund der im Cloud-Dienst bestehenden Mehrparteienkonstellation und der hierdurch für den Endverbraucher bestehenden Unübersichtlichkeit, ist die Einhaltung von datenschutzrechtlichen Vorgaben und datensicherheitstechnischen Standards umso wichtiger. Dieses ist im Interesse sowohl der Endverbraucher, d.h. der potentiell Betroffenen, wie auch der Cloud-Anbieter und –Nutzer. Ihre informationelle Selbstbestimmung ist ein hohes Gut. Daher werden Verstöße gegen die Regelungen der DSGVO mit empfindlichen Geldbußen für die Verantwortlichen sanktioniert. Ihre Vermeidung ist im Interesse aller Beteiligter, insbesondere kleiner und mittlerer Unternehmen (KMU). Trotz der zahlreichen Vorteile von Cloud-Diensten bestehen durch den möglichen Verlust der Kontrolle über die Prozesse und Daten weiterhin Bedenken gegen ihre Nutzung, weil Cloud-Nutzer und Betroffene mangelnde Transparenz und Kontrollverlust befürchten. Dies wäre besonders problematisch, wenn sensitive Daten verarbeitet werden.

Zertifizierungen von IT-Anwendungen als Selbstregulierungsinstrumente werden daher oft dort eingesetzt, wo der Verantwortliche über keine eigene unmittelbare Steuerung mehr über die konkrete Datenverarbeitung verfügt. Zudem werden Zertifikate herangezogen, um den Cloud-Nutzern einen schnellen Überblick über das Datenschutzniveau des angebotenen Cloud-Dienstes zu ermöglichen. Sie schaffen damit mehr Transparenz, dienen dem Nachweis der Datenschutzkonformität und ermöglichen dem Kunden einen einfachen Vergleich zwischen den verschiedenen Anbietern. Außerdem sollen Zertifizierungen die Einhaltung insbesondere des Datenschutzrechts und weiterer Compliance-Vorgaben verbessern. Das Zertifizierungsverfahren soll Vertrauen der Nutzer dadurch generieren, dass unabhängige Dritte die Verordnungskonformität eines Dienstes überprüfen und bestätigen.

Die neue Datenschutzgrundverordnung (DSGVO), deren Geltungsbeginn am 25.5.2018 bevorsteht, regelt nunmehr erstmalig im EU-Datenschutzregime ausdrücklich, dass die Einführung von datenschutzspezifischen Zertifizierungsverfahren sowie von Datenschutzsiegeln und -prüfzeichen gefördert werden soll, die dazu dienen, die Verordnungs- und damit die Datenschutzkonformität nachzuweisen.

Ziel des Forschungsprojekts „AUDITOR“ ist es, diese Vorgaben des europäischen Gesetzgebers zu konkretisieren und zu präzisieren. Dabei steht die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten im Mittelpunkt des interdisziplinären Forschungsvorhabens. 

Ein primäres Teilziel bei diesem Konkretisierungsauftrag ist die Entwicklung eines cloud-spezifischen Kriterienkatalogs für die Zertifizierung im Anwendungsbereich der Datenschutz-Grundverordnung. Des Weiteren werden geeignete Organisationsstrukturen und Verfahren zur Durchführung einer europaweit anerkannten Datenschutzzertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren, unter Einbeziehung von Anforderungen an die Akkreditierung von Zertifizierungsstellen, und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen schließlich in der Praxis erprobt und validiert werden. Die Entwicklung des Auditor-Katalogs erfolgt auf der Basis bereits etablierter Standards, wie etwa dem C5-Anforderungskatalog des BSI oder von einschlägigen internationalen Standards, wie ISO-Normen. 

Aus rechtswissenschaftlicher Perspektive besteht insbesondere Forschungsbedarf hinsichtlich des Datenschutzes und der Datensicherheit bei der Zertifizierung von Cloud-Diensten nach der neuen Rechtslage gemäß der Datenschutz-Grundverordnung, den aktuellen technischen Standards und dem aktuellen Stand der Technik.

Forschungsschwerpunkte der Projektgruppe verfassungsverträgliche Technikgestaltung liegen in der Konkretisierung und Präzisierung der Regelungen zum datenschutzspezifischen Zertifizierungsverfahren nach den Artikeln 42 und 43 DSGVO.

Erforscht werden sollen zudem Rechtswirkungen eines solchen AUDITOR-Zertifikats sowie weitere rechtliche Fragen u.a. zur Verantwortungsteilung unter den Cloud-Beteiligten, Vertragsgestaltung, Haftung, Eignungskriterien für die in den Prüf- und Zertifizierungsprozess involvierten Akteure sowie zum angemessenen Ausgleich zwischen dem Recht auf Schutz personenbezogener Daten von potentiell Betroffenen und der Gewährleistung des freien Datenverkehrs im europäischen Binnenmarkt. Die Projektgruppe verfassungsverträgliche Technikgestaltung hat sich zum Ziel gesetzt, konkrete Vorschläge für eine bestmöglich rechtskonforme Gestaltung von Zertifizierungsverfahren nach der Datenschutz-Grundverordnung und weiteren relevanten Vorschriften zu erarbeiten.

Das Projekt AUDITOR wird durch das Bundesministerium für Wirtschaft und Energie (BMWi) gefördert, um vertrauenswürdige Cloud Services für die Wirtschaft – insbesondere für den Mittelstand – auf dem europäischen Binnenmarkt weiter zu etablieren und dabei die bestmögliche Einhaltung des Datenschutzrechts durch die Förderung von Zertifizierungen zu gewährleisten. 

Projektpartner
Konsortialpartner

Karlsruher Institut für Technologie (KIT)
Institut für Angewandte Informatik und Formale Beschreibungsverfahren (AIFB)
Prof. Dr. Ali Sunyaev

CLOUD&HEAT Technologies GmbH
Dr. Marius Feldmann

Datenschutz cert GmbH
Dr. Sönke Maseberg und Dr. Irene Karper

DIN e.V. - DIN-Normenausschuss Informationstechnik und Anwendungen (NIA)
Dr. Volker Jacumeit

Ecsec GmbH
Dr. Detlef Hühnlein 

EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft
Andreas Weiss

Assoziierte Partner


Bundesamt für Sicherheit in der Informationstechnik (BSI)

CAS Software AG

Consultix GmbH

CRM!ADDON Factory GmbH

Der Bundesverband IT-Mittelstand e.V. (BITMi)

Deutsche Telekom AG

Die Landesbeauftragte für den Datenschutz Niedersachsen

direkt gruppe GmbH

Fabasoft Austria GmbH

Fujitsu Technology Solutions GmbH

IBM Corporation

mediaBEAM GmbH

Microsoft Deutschland GmbH

Mitteldeutsche Gesellschaft für Informationssicherheit und Datenschutz mbh Uniscon GmbH

MKM + PARTNER

PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft

Propstack GmbH

Salesforce.com Germany GmbH

SAP SE

SCOPE Europe b.v.b.a/s.p.r.l.

TechGDPR DPC GmbH

Trusted Cloud e.V.

TÜV Informationstechnik GmbH

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein

VIVAI Software AG, Smart Service Power

VOICE-Bundesverband der IT-Anwender e. V.

x-ion GmbH Cloud-IaaS, Hamburg

1&1 IONOS Cloud GmbH

Projektverlauf

1.11.2017   Offizieller Projektbeginn
8.11.2017 Veranstaltung Auftaktveranstaltung und Erster Projektworkshop in Kassel: Das Projekt AUDITOR wurde unter großer Beteiligung der Projektpartner erfolgreich und bereits beim ersten Projekttreffen arbeitsintensiv begonnen.
  Pressebericht Pressemitteilung des Bundesministeriums für Wirtschaft und Energie (BMWi) zum Projektbeginn AUDITOR
29.11.17 Pressebericht Pressemitteilung des Lehrstuhls von Prof. Ali Sunyaev vom 29.11.17
29.11.17 Veranstaltung Ayse Batman zusammen mit Andreas Weiss
(EuroCloud, eco Verband der Internetwirtschaft),
Jörg Schlißke (TÜV Informationstechnik),
Thomas Niessen (Kompetenznetzwerk Trusted Cloud), Cloud Security Expo, Messe Frankfurt, Panel und Dialog zum Thema “EU DSGVO – Wie werden die Verantwortlichkeiten zur Einhaltung des Datenschutzes zwischen Nutzer und Cloud Anbieter geregelt?”
Dezember 2017 Veröffentlichung A. Roßnagel, A. Sunyaev, A. Batman, S. Lins,
N. Maier, H. Teigeler,
AUDITOR: Neues Forschungsprojekt zur Datenschutz-Zertifizierung von Cloud-Diensten nach der DS-GVO, in: ZD-Aktuell 2017, 05900.
17.1.2018 Veranstaltung und Vortrag Prof. Dr. Alexander Roßnagel, Vortrag zum Thema: Datenschutz-Grundverordnung – Herausforderung und Chance für Anbieter und Nutzer, Trusted Cloud Lounge zu Gast im Bundesministerium für Wirtschaft und Energie, Berlin
17.2.18 Arbeitsergebnis Ein erster Entwurf des AUDITOR-Zertifizierungsgegenstandes wurde im Konsortium diskutiert.
23.3.18 Veranstaltung Projekttreffen AUDITOR mit Projektträger BMWi und DLR in Karlsruhe.
6.6.18 Erster Meilenstein – Veröffentlichung und Arbeitsergebnis Roßnagel, A., Sunyaev, A., Batman, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Kriterienkatalog, Entwurfsfassung 0.7, Beitrag zum Forschungsprojekt AUDITOR
6.6.18 Veranstaltung - Pressebericht Vorstellung des AUDITOR-Kriterienkatalogs beim Bundesministerium für Wirtschaft und Energie in Berlin: Im Rahmen eines presseöffentlichen Fachgesprächs wurde der AUDITOR-Kriterienkatalog der Öffentlichkeit präsentiert. S. auch hier.
11. – 15.6.18 Veranstaltung AUDITOR wurde auf der CEBIT 2018 präsentiert. Siehe Newsmeldung.
12.6.18 Veranstaltung und Vortrag Ayşe Necibe Batman, Vortrag: Europäische Datenschutzzertifizierung von Cloud-Diensten – Projektvorstellung AUDITOR auf der Akkreditierungskonferenz 2018 der DAkkS in Berlin. S. auch hier.
4.7.18 Veranstaltung Projekttreffen AUDITOR in Frankfurt a. M.
12.7.18 Veranstaltung Workshop für Cloud Service Provider in Köln, Veranstalter: AUDITOR Konsortium und EuroCloud Deutschland, s. auch hier.
29.8.18 Veranstaltung AUDITOR-Workshop mit der DAkkS.
September 2018 Neuzugänge im Projekt AUDITOR begrüßt neue assoziierte Partner. Siehe Newsmeldung
6.11.2018 Veranstaltung Projekttreffen AUDITOR in Frankfurt a. M.
15.11.2018 Veranstaltung 2. Workshop für Cloud Service Provider in Berlin. Siehe Ergebnisbericht
7. und 8.12.2018 Veranstaltung AUDITOR auf der Digital Single Market Cloud Stakeholder Konferenz der EU. Siehe Newsmeldung
22.2.2019 Veranstaltung Kick-Off-Veranstaltung in Köln zur Erarbeitung einer DIN SPEC auf Basis des AUDITOR-Kriterienkatalogs (DIN SPEC 27557).Siehe Projektvorstellung
28.3.2019 Veranstaltung AUDTOR beim Bundesbeauftragten für den Datenschutz und die Informationsfreiheit in Bonn.
2.4.2019 Veranstaltung AUDITOR auf der DSM Cloud Stakeholder Konferenz der EU in Berlin. Siehe Newsmeldung
3.4.2019 Veröffentlichung Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Kriterienkatalog – Entwurfsfassung 0.9 (deutsche Fassung/englische Fassung)
3.4.2019 Veröffentlichung Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Zertifizierungsgegenstand – Entwurfsfassung 0.4 (deutsche Fassung/englische Fassung)
3.4.2019 Veröffentlichung Roßnagel, A., Sunyaev, A., Lins, S., Maier, N., Teigeler, H., AUDITOR-Schutzklassenkonzept – Entwurfsfassung 0.2 (deutsche Fassung/englische Fassung)
April 2019 Veröffentlichung N. Maier, S. Lins, H. Teigeler, A. Roßnagel, A. Sunyaev, Die Zertifizierung von Cloud-Diensten nach der DSGVO, Datenschutz und Datensicherheit (DuD), 43. Jg. (2019), Heft 4, 225-229.
14. und 15.5.2019 Veranstaltung AUDITOR bei den Tagen der digitalen Technologien in Berlin. Siehe Newsmeldung
17.6.2019 Veranstaltung AUDITOR bei der Landesbeauftragten für den Datenschutz und die Informationsfreiheit von Nordrhein-Westfalen in Düsseldorf. Siehe Newsmeldung
17. und 18.6.2019   Pilotierung bei der Cloud&Heat GmbH in Frankfurt a. M. Siehe Newsmeldung
August 2019 Veröffentlichung N. Maier, T. Bile, Die Zertifizierung nach der DSGVO - Innovatives, aber hochkomplexes Instrument, Datenschutz und Datensicherheit (DuD), 43. Jg. (2019), Heft 8, 478-482.
7.8.2019 Veranstaltung Projekttreffen der AUDITOR-Konsortialpartner in Kassel.