Trusted Cloud Datenschutz-Profil für Cloud-Dienste – TCDP

Das Trusted Cloud Datenschutz-Profil für Cloud-Dienste – Version 1.0

Das Trusted Cloud Datenschutz-Profil für Cloud-Dienste – kurz TCDP – ist der erste und einzige Prüfstandard, der die Anforderungen des deutschen Bundesdatenschutzgesetzes an die Auftragsdatenverarbeitung vollständig abbildet. Daher kann mit TCDP nachgewiesen werden, dass ein Dienst die gesetzlichen Datenschutzanforderungen erfüllt. Anbieter von Prüfungen und Zertifizierungen können sich nach TCDP akkreditieren lassen und dann Dienste nach den Regeln der Verfahrensordnung prüfen und zertifizieren.

Die Entwicklung des TCDP wurde mit Mitteln des Bundesministeriums für Wirtschaft und Energie gefördert und steht kostenlos zur freien Verwendung bereit.

Trusted Cloud Datenschutz-Profil für Cloud-Dienste – Version 1.0

Bestandteile des TCDP

Das TCDP folgt dem üblichen Aufbau von Standards: Es besteht aus einem erläuternden Teil und einem normativen Teil, der die materiellen Anforderungen des Standards enthält. Ergänzt wird das TCDP durch eine Verfahrensordnung sowie Papiere zur modularen Zertifizierung und das Schutzklassenkonzept.

In seinen Nummern enthält das TCDP drei verschiedene Textkategorien: Die normativen Voraussetzungen sind die verpflichtenden "Anforderungen" des Standards.

Die normativen Voraussetzungen des TCDP werden als TCDP-Nummern bezeichnet. TCDP Nr. 4 beispielweise normiert mit seinen fünf untergeordneten Nummern den Einsatz von Unterauftragnehmern durch den Cloud-Anbieter. Als "Erläuterungen" werden Hinweise zum Verständnis der Anforderungen bezeichnet, sie entfalten keine Bindungswirkung.

Die "Umsetzungshinweise" sind Leitlinien und Hilfestellungen für das Verständnis und die Umsetzung der Anforderungen; sie sind selbst keine normativen Voraussetzungen. Umsetzungshinweise sind grundsätzlich an den Schutzklassen nach Maßgabe des TCDP-Schutzklassenkonzepts ausgerichtet.

 

Aufbau des TCDP

Die normativen Voraussetzungen des TCDP sind in vier Kapitel unterteilt und folgen im Wesentlichen dem Aufbau des deutschen Bundesdatenschutzgesetzes.

Im ersten Kapitel (TCDP-Nrn. 1 bis 1.12) werden die Anforderungen an den Vertrag über die Auftragsdatenverarbeitung, die sich aus § 11 Absatz 2 BDSG ergeben, abgebildet. Das zweite Kapitel (TCDP-Nrn. 2 bis 11) regelt die gegenseitigen Verpflichtungen im Verhältnis zwischen Auftraggeber und Auftragnehmer.

Das dritte Kapitel ist das umfangreichste Kapitel des TCDP. In den TCDP-Nrn. 21 bis 28 werden die Anforderungen an die technischen und organisatorischen Maßnahmen zur IT-Sicherheit nach Anlage zu § 9 BDSG festgelegt.

Das vierte Kapitel des TCDP enthält nur eine einzige Norm, die das Wiederherstellbarkeitsniveau von Daten festschreibt.

Verweis auf ISO-Standards

Das TCDP verweist in seinen einzelnen Nummern häufig auf ISO-Standards. Diese sind in der Industrie bekannt und für Zertifizierungen fest etabliert. So verweisen fast alle TCDP-Nummern auf "controls" von ISO/IEC 27002, ISO/IEC 27017 oder ISO/IEC 27018. Anders als die flexiblen  ISO-Standards sind jedoch alle Verweise in den "Anforderungen" und den "Umsetzungsempfehlungen" des TCDP als zwingende Voraussetzungen zu betrachten.

Version 1.0 vs. Version 0.9

Im September 2016 wurde die TCDP-Version 1.0 verabschiedet. Die Änderungen gegenüber der Version 0.9 haben wir in einer Synopse gegenübergestellt.

Einleitung zur Synopse (pdf)

Synopse TCDP Version 0.9 gegenüber TCDP Version 1.0 (pdf)