Zertifizierung und Zertifikate sind keine neuen Themen im Datenschutz. Schon seit vielen Jahren verleihen Zertifizierungsstellen Datenschutz-Zertifikate, präsentieren Unternehmen ihre jeweilige Zertifizierung auf ihrer Website und suchen Kunden nach Orientierung und Unterstützung, welcher Anbieter nachweislich über das notwendige Datenschutzniveau verfügt.
Foto: bestfoto77 - shutterstock.com
Was hat sich im Datenschutz bei Zertifikaten geändert?
Das alte Bundesdatenschutzgesetz, das zum 25. Mai 2018 seine Gültigkeit verloren hat und durch die Datenschutz-Grundverordnung (DSGVO / GDPR) in Verbindung mit dem neuen Bundesdatenschutzgesetz (BDSG) ersetzt wurde, verlangte zum Beispiel im Fall der Auftrags(daten)verarbeitung, dass sich "der Auftraggeber vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung der beim Auftragnehmer getroffenen technischen und organisatorischen Maßnahmen zu überzeugen" hatte. Nicht nur im Fall von Cloud Computing, das in aller Regel eine Auftragsverarbeitung darstellt, war dies keine leichte Aufgabe.
Das alte BDSG sah aber auch eine Hilfe vor, in §9a BSDG (alt) hieß es: "Zur Verbesserung des Datenschutzes und der Datensicherheit können Anbieter von Datenverarbeitungssystemen und -programmen und datenverarbeitende Stellen ihr Datenschutzkonzept sowie ihre technischen Einrichtungen durch unabhängige und zugelassene Gutachter prüfen und bewerten lassen sowie das Ergebnis der Prüfung veröffentlichen." Das geplante Gesetz über Datenschutzaudits wurde jedoch nie Realität.
Trotzdem gab und gibt es eine Vielzahl an Datenschutz-Zertifikaten, die die Stiftung Datenschutz übersichtlich zusammengestellt hat. Auch Aufsichtsbehörden wie das ULD (Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein) haben Datenschutz-Gütesiegel eingeführt.
Mit der Datenschutz-Grundverordnung und dem neuen BDSG haben sich die Rechtslage und die Grundlage für Datenschutz-Zertifikate jedoch geändert. Entsprechend klärt das ULD auf: "Ab dem 25. Mai 2018 können aufgrund der veränderten Rechtslage das Datenschutz-Gütesiegel Schleswig-Holstein und das Audit-Verfahren in der bisherigen Form nicht mehr angeboten werden. Für Organisationen in Schleswig-Holstein planen wir zeitnah, Zertifizierungen nach Datenschutz-Grundverordnung anzubieten. (…) Bitte beachten Sie, dass alle bisher erteilten Zertifizierungen (Datenschutz-Gütesiegel und Audit) des ULD auf der Rechtslage vor dem 25. Mai 2018 bzw. vor Gültigkeit der Datenschutz-Grundverordnung beruhten."
Auch Prüfstandards wie das Trusted Cloud Datenschutz-Profil für Cloud-Dienste (TCDP) befinden sich in Umstellung, um die neue Rechtsgrundlage durch die DSGVO zu berücksichtigen. Entsprechend erarbeitet das Forschungsprojekt AUDITOR derzeit einen Standard für die Datenschutz-Zertifizierung von Cloud-Diensten nach der DSGVO.
Welche Rolle spielen Zertifikate in der DSGVO?
Die Bundesdatenschutzbeauftragte sagte hierzu: "Die EU-Datenschutz-Grundverordnung stärkt mit Zertifizierungsverfahren und der Vergabe von Datenschutzsiegeln den Datenschutz auf europäischer Ebene. Die Zertifikate und Siegel sollen deutlich machen, dass der geprüfte Auftragnehmer die Sicherheit der verarbeiteten Daten gewährleisten kann. Eine regelmäßige Erneuerung der Zertifikate ist dabei ebenso unerlässlich wie der Entzug bei fehlenden Voraussetzungen. Auch die Zertifizierungsstellen selbst müssen sich regelmäßig akkreditieren, um einen hohen Standard zu gewährleisten."
Die DSGVO behandelt die Zertifizierung wesentlich ausführlicher als das alte BDSG. Artikel 42 (Zertifizierung) und Artikel 43 (Zertifizierungsstellen) legen die Basis für die neue Rechtsgrundlage einer Datenschutz-Zertifizierung.
Die gestärkte Bedeutung einer Datenschutz-Zertifizierung wird deutlich, wenn man sich ansieht, wo Datenschutz-Zertifikate überall in der DSGVO eine Erwähnung finden:
Auftragsverarbeitung (Artikel 28 DSGVO): Geeignete Datenschutz-Zertifikate können als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.
Datenübermittlung in Drittstaaten (Artikel 46 DSGVO): Datenschutz-Zertifikate gehören zu den möglichen Garantien für ein angemessenes Datenschutz-Niveau, wenn es um die Rechtsgrundlage für die Datenübermittlung in einen Drittstaat geht.
Allgemeine Bedingungen für die Verhängung von Bußgeldern (Artikel 83 DSGVO): Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall auch gebührend berücksichtigt: Einhaltung von genehmigten Zertifizierungsverfahren nach Artikel 42 DSGVO.
Mit einem Datenschutz-Zertifikat lassen sich also notwendige Nachweise bei Auftragsverarbeitung bzw. Datenübermittlung in Drittstaaten erbringen. Bei einer Datenschutzverletzung könnten mögliche Bußgeldhöhen "positiv beeinflusst" werden, also Bußgelder niedriger ausfallen oder sogar entfallen.
Warum sind Datenschutz-Zertifikate im Cloud Computing so wichtig?
Cloud Computing wird als Auftragsverarbeitung (Artikel 28 DSGVO) eingestuft. Hiernach gilt insbesondere: "Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der DSGVO erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet."
Wie eine solche Garantie aussehen kann, sagt die DSGVO auch: "Die Einhaltung (…) eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien (…) nachzuweisen."
Datenschutz-Zertifikate nach DSGVO können also dabei helfen, die erforderliche rechtliche Grundlage für die Cloud-Nutzung zu legen.
Für Cloud-Nutzer ist die Konformität mit der DSGVO inzwischen das entscheidende Auswahlkriterium geworden, wenn es um die Suche nach Cloud-Anbietern geht, wie der Cloud-Monitor 2018 von Bitkom und KPMG ergab. Alleine schon deshalb sollten und werden Cloud-Anbieter ein hohes Interesse an entsprechenden Datenschutz-Zertifikaten haben, die Cloud-Nutzer ebenso.
Auf Seiten der Cloud-Nutzer wird der Bedarf an Orientierung und Nachweis durch Cloud-Zertifikate noch dadurch verstärkt, dass vielen Unternehmen eigene Datenschutz-Experten fehlen, wie eine weitere Umfrage des Digitalverbandes Bitkom ergab. Eigene Datenschutz-Prüfungen bei Cloud-Diensten erscheinen generell sehr schwierig, ohne Expertenwissen jedoch sind sie nicht möglich. Datenschutz-Zertifikate sind entsprechend der Weg der Wahl als Hilfe bei der Cloud-Anbietersuche.
Was fordern die Aufsichtsbehörden bei Zertifizierungen?
Die Aufsichtsbehörden für den Datenschutz in Deutschland haben bereits kommuniziert, was für sie grundsätzlich bei einer Zertifizierung gelten muss:
Die Zertifizierung muss freiwillig und über ein transparentes Verfahren zugänglich sein.
Der Verantwortliche oder der Auftragsverarbeiter, der die von ihm durchgeführte Verarbeitung dem Zertifizierungsverfahren unterwirft, stellt der Zertifizierungsstelle oder gegebenenfalls der zuständigen Aufsichtsbehörde alle für die Durchführung des Zertifizierungsverfahrens erforderlichen Informationen zur Verfügung und gewährt ihr den in diesem Zusammenhang erforderlichen Zugang zu seinen Verarbeitungstätigkeiten.
Die Zertifizierung wird einem Verantwortlichen oder einem Auftragsverarbeiter für eine Höchstdauer von drei Jahren erteilt und kann unter denselben Bedingungen verlängert werden, sofern die einschlägigen Voraussetzungen weiterhin erfüllt werden. Die Zertifizierung wird gegebenenfalls durch die Zertifizierungsstellen oder durch die zuständige Aufsichtsbehörde widerrufen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden.
Der seit 25. Mai 2018 aktive Europäische Datenschutzausschuss (EDPB) erstellt gegenwärtig Leitlinien zur Zertifizierung. Dabei zeigt sich zum Beispiel, dass man eine Zersplitterung des Marktes für Datenschutz-Zertifikate vermeiden möchte. Entsprechend ist zu erwarten, dass die Bestrebungen in Richtung "Europäisches Datenschutzsiegel" verstärkt werden.
Ebenso ist bereits erkennbar, dass zum Beispiel diese Datenschutzvorgaben in den Kriterienkatalogen für Datenschutz-Zertifikate ein hohes Gewicht haben werden:
Betroffenenrechte (wie das Recht auf Vergessenwerden, das Recht auf Datenübertragbarkeit)
Meldepflichten bei Datenschutzverletzungen
Privacy by Design und Privacy by Default
Sicherheit der Verarbeitung und
Datenschutzfolgenabschätzungen.
Welche Zertifizierungen reichen nicht aus?
Die nationalen Aufsichtsbehörden haben ihre Erfahrungen mit bisherigen Datenschutz-Zertifikaten so beschrieben: "Die Aufsichtsbehörden haben in ihren Kontrollen zwar festgestellt, dass Organisationen oft verschiedenste Zertifikate vorweisen konnten -jedoch war häufig unklar, inwieweit die gesetzlichen Anforderungen an den Datenschutz ausreichend berücksichtigt wurden. Manche bestehende Zertifizierungsverfahren, wie beispielsweise das Informationssicherheitsmanagement nach ISO 27001, decken nur einen Teilbereich des Datenschutzes ab und haben mitunter auch die betroffenen Personen mit ihren Rechten und Freiheiten nicht im Mittelpunkt der Betrachtung."
Kurz gesagt: Eine Zertifizierung nach ISO 27001 ersetzt keine Datenschutz-Zertifizierung.
Im Bereich der Cloud Computing-Testate spielt C5 des BSI (Bundesamt für Sicherheit in der Informationstechnik) eine zunehmend wichtige Rolle. Aber auch ein C5-Testat ersetzt kein Datenschutz-Zertifikat für einen Cloud-Dienst. Das BSI stellt hierzu fest: "Der C5 stellt Sicherheitsanforderungen auf, die auch für den Datenschutz relevant sein können. (…) Die rechtliche Seite des Datenschutzes wird jedoch nicht vom C5 adressiert."
Welche neuen Datenschutz-Zertifikate gibt es?
Es wird weiterhin eine Reihe von Datenschutz-Zertifikaten geben, da noch kein einheitliches, europaweites Datenschutz-Zertifikat nach DSGVO existiert. Wichtig für Cloud-Anbieter und andere Unternehmen, die eine Zertifizierung nach DSGVO anstreben, ist es, einen solchen Zertifizierer zu wählen, der die Kriterien erfüllt, die insbesondere von dem Europäischen Datenschutzausschuss (EDPB) und den nationalen Aufsichtsbehörden erarbeitet werden.
Foto: BMWi/Susanne Eriksson
Gemäß DSGVO (Artikel 43 Zertifizierungsstellen) gibt es verschiedene Organisationen wie die Aufsichtsbehörden und bestimmte, nationale Akkreditierungsstellen, die Zertifizierer akkreditieren dürfen. Nur die Zertifikate, die von akkreditierten Zertifizierern stammen, können die gewünschte Rechtswirkung nach DSGVO und damit die gewünschten Vorteile für Anbieter und Kunden haben.
Besondere Beobachtung verdient das oben genannte Projekt AUDITOR. Prüf- und Zertifizierungsstellen können AUDITOR als Prüfkatalog in ihr Portfolio aufnehmen. Die Kriterien von AUDITOR sind dann öffentlich einsehbar, Entwürfe dazu sind schon jetzt verfügbar.
Staatssekretär Dr. Ulrich Nussbaum vom Bundesministerium für Wirtschaft und Energie (BMWi) erklärte dazu: "Wir wollen Unternehmen dabei unterstützen, die neuen Regeln umzusetzen und diesen Rechtsrahmen mit innovativen Geschäftsmodellen zu füllen. Dazu gehört, dass Cloud-Dienste weiterhin einfach und rechtskonform nutzbar sein müssen, denn sie sind zentral für die Wirtschaft und ihre weitere Digitalisierung. Deshalb haben wir das Projekt AUDITOR ins Leben gerufen. Unser Ziel ist es, Anbietern wie Nutzern von Cloud-Diensten eine Datenschutz-Zertifizierung an die Hand zu geben, die europaweit anerkannt ist. Zertifizierte Produkte werden alle Vorteile einer Cloud bieten und dabei das Grundrecht auf Datenschutz sicherstellen. Das kann über die EU hinaus ein Wettbewerbsvorteil für unsere Unternehmen sein."
Das Forschungsprojekt European Cloud Service Protection Certification (AUDITOR) soll 2019 mit ersten Pilotzertifizierungen abgeschlossen werden.
Das Thema Datenschutz-Zertifizierung ist also nicht neu, aber noch lange nicht abgeschlossen, sondern es erhält nun (hoffentlich) die notwendige Dynamik.