Datenschutz-Zertifikat für iDGARD

STS Machnig und Dr. Hubert Jäger

Eines der ersten Datenschutz-Zertifikate geht an iDGARD – in der höchsten Schutzklasse. Der Cloud-Dienst für Zusammenarbeit, der sich von Anfang an für den Technischen Datenschutz (privacy by design) eingesetzt hat, erhielt das Zertifikat nach dem Trusted Cloud Datenschutzprofil (TCDP) in Schutzklasse 3. Dieses Datenschutz-Zertifikat überreichte Matthias Machnig, der Parlamentarische Staatssekretär des Bundesministeriums für Wirtschaft und Energie (BMWi).

Die “versiegelte Cloud” iDGARD, in der Sie Dokumente versenden und digitale Datenräume einrichten können, erhielt das höchste Datenschutzniveau bescheinigt – Schutzklasse 3. Darüber freut sich Dr. Hubert Jäger, Geschäftsführer des jungen Münchner Unternehmens Uniscon, dem Betreiber von iDGARD. Das Zertifikat bescheinigt, dass iDGARD in Sachen Privatsphäre, Datenschutz und Compliance mindestens genauso vertrauenswürdig ist wie eine Telekom Cloud. Wenn nicht sogar besser: Da bei iDGARD rein mit technischen Maßnahmen ausgeschlossen ist, dass der Betreiber auf die Daten zugreifen kann.

Wer war an der Entwicklung des Zertifikats beteiligt?

Zwei Jahre lang entwickelten Experten im Auftrag des BMWi dieses Datenschutz-Zertifikat. Man wollte Unternehmen ein Instrument in die Hand geben, mit dem sie Cloud-Dienste hinsichtlich ihrer Datensicherheit beurteilen können. Eine Entscheidung, welcher Dienst überhaupt für das Unternehmen infrage kommt, sollte einfacher zu treffen sein, als bisher. Grundlage dieses Datenschutz-Zertifikats ist das 2015 entwickelte Trusted Cloud Datenschutzprofil, ein Anforderungskatalog, der auf anerkannte Standards (z. B. ISO 27018) aufbaut. Er erfüllt alle datenschutzrechtlichen Vorgaben für die Auftragsverarbeitung in der Cloud.

An der Entwicklung des Profils waren unter der Leitung der TÜV Informationstechnik GmbH (TÜVit) Vertreter aller maßgeblichen Akteure beteiligt, darunter

  • mehrere Datenschutzaufsichtsbehörden: unter anderen der Bundesdatenschutzbeauftragte, Datenschutz Berlin, ULD, Datenschutz Brandenburg, Nordrhein-Westfalen, Bayern.
  • Anbieter und Anwender von Cloud-Diensten: zum Beispiel der Telekom, regioIT, Uniscon, SAP,
  • Verbände wie der Branchenverband BitKOM und die Eurocloud
  • Ministerien: darunter das Bundesministerium des Inneren (BMI) und das BMWi,
  • Stiftungen und Ämter des Bundes, Standardisierungsorganisationen: zum Beispiel das Bundesamt für Sicherheit in der Informationstechnologie (BSI), die Stiftung Datenschutz, das Deutsche Institut für Normung (DIN e.V. )
  • Unternehmen aus den Bereichen der IT-Auditierung: unter anderen das TÜV Süd, TÜViT, TÜV Rheinland.

Das Zertifikat bezieht sich nun explizit auf den Datenschutz und die Datensicherheit einer Public Cloud.

Es standardisiert die Anforderungen des Datenschutzes einschließlich der Informationssicherheit. Damit potentielle Cloud-Nutzer eine Wahl zwischen verschiedenen Diensten treffen und den Grad an Datensicherheit beurteilen können, brauchen sie eine Vergleichsmöglichkeit. Hierfür sieht das Zertifikat nach dem TCDP Schutzklassen vor, die auf den unterschiedlichen Schutzbedarf einzelner Unternehmen eingehen. Die Schutzklassen erleichtern den Cloud-Nutzern

  1. 1. grundsätzlich die Wahl und
  2. 2. unterstützen sie Unternehmen dabei, die von den Datenschutzgesetzen geforderten Kontrollpflichten zu erfüllen. IT-Leiter sollen in Zukunft damit sogar Haftungsrisiken vermeiden können.

Was bringt Unternehmen dieses Datenschutz-Zertifikat?

Unternehmen brauchen dringend Hilfe im Bereich Compliance.

Mithilfe des vom TÜV-Nord / TÜVit vergebenen Datenschutz Zertifikats nach TCDP können Firmen viele Fallstricke in Sachen Compliance vermeiden. Denn Anbieter von Cloud-Diensten, die ein solches Datenschutz Zertifikat nach dem TCDP besitzen, sind  bezüglich der Rechtskonformität bei der Datenverarbeitung geprüft:

Die technischen und organisatorischen Vorkehrungen, die diese hinsichtlich der Datensicherheit getroffen haben, sind vom jeweiligen Auditor – in diesem Fall von TÜVit – kontrolliert.

Für Unternehmen heißt das konkret:

  • 1. Schritt: Mithilfe eines Schutzklassen-Rechners können sie ermitteln, welche Schutzklasse die Unternehmensdaten benötigen.
  • 2. Schritt: Sie wählen einen Cloud-Dienst mit der entsprechenden Schutzklasse aus.
  • 3. Schritt: Sie wissen, dass mit der richtigen Schutzklasse die von den Datenschutzgesetzen geforderten Kontrollpflichten erfüllt sind. Tritt die EU-Datenschutz-Grundverordnung in Kraft, sollen IT-Leiter damit sogar Haftungsrisiken vermeiden.

Mehr Information zur Datenschutz-Zertifizierung finden Sie in diesem White Paper.