Hintergrund - Pilotprogramm

Das Pilotprojekt "Datenschutz-Zertifizierung für Cloud-Dienste"

Das BMWi nahm die Idee der AG "Rechtsrahmen des Cloud Computing" für die Schaffung einer Datenschutz-Zertifizierung nach Bundesdatenschutzgesetz (BDSG) auf. Zur Umsetzung der Idee förderte es die Entwicklung und Erprobung (Pilotierung) eines Datenschutz-Standards sowie die Schaffung einer für die Zertifizierung erforderlichen Verfahrensordnung. Es schrieb daher das Pilotprojekt Datenschutz-Zertifizierung für Cloud-Dienste aus. In der ersten Phase wurde der Prüfstandard – Das Trusted Cloud Datenschutz-Profil für Cloud-Dienste – Version 1.0 – entwickelt. In der zweiten Phase wurden erstmals Zertifizierungen nach TCDP durchgeführt und auf Grundlage der Erfahrungen der Prüfstandard praxisgerecht überarbeitet.

 

Phase 1: Schaffung eines Prüfstandards für den Datenschutz

Die erste Phase des Pilotprojekts nahm im November 2013 seine Tätigkeit auf. Es arbeitete sodann an der Entwicklung des Datenschutz-Standards. Die dem Standard zugrundeliegende Idee einer Verweisung auf bereits existierende und in der Praxis vielfach genutzte Standards zu verweisen, wurde hier erstmals erarbeitet und umgesetzt.

Begleitend entwickelte das Pilotprojekt mehrere Papiere, welche die grundsätzlichen Ideen des entwickelte Grundsätze eines Zertifizierungsverfahrens und schrieb diese in einem Papier fest, das bereits die wesentlichen Grundgedanken der Verfahrensordnung enthielt. Hierin sind vor allem die Unabhängigkeit von Prüf- und Zertifizierungsstelle festgeschrieben, sowie Anforderungen die Anforderungen an die Stellen in fachlicher und personeller Hinsicht.

Das TCDP wurde gemeinsam mit seinen Begleitpapieren in einer ersten Version 0.9 im April 2015 veröffentlicht. Die Versionsbezeichnung 0.9 macht deutlich, dass das TCDP in der Folge evaluiert und auf dieser Grundlage weiterentwickelt und dann als Version 1.0 veröffentlicht werden sollte.

Phase 2: Erste Zertifizierungen nach TCDP

Nach der Veröffentlichung der Ergebnisse aus Phase 1 wurde vom BMWi eine zweite Phase des Pilotprojekts ausgeschrieben, welche im September 2015 die Arbeit aufnahm. In dieser Phase wurde das TCDP 0.9 umfangreich evaluiert. Durch eine Pilotzertifizierung ausgewählter Cloud-Dienste sammelten die Projektbeteiligten Erfahrungen in der praktischen Anwendung des TCDP und identifizierten Verbesserungspotenzial, das bei der Weiterentwicklung des TCDP zu einer Vollversion 1.0 eingesetzt wurde. Zu diesem Zweck wurde auch eine öffentliche Anhörung zum TCDP durchgeführt, an der sich zahlreiche in- und ausländische Unternehmen und Institutionen beteiligten.

Im Rahmen der Pilotierung wurden vier Cloud-Dienste nach TCDP 0.9 erfolgreich zertifiziert. Zwei Zertifikate konnten im Rahmen der Cebit 2016 an die VDG für den "Authentisierungsservice der VDG" und an Uniscon für den Dienst "iDGARD" verliehen werden. Zwei weitere Zertifikate wurden im Rahmen der Abschlussveranstaltung im September 2016 an regio IT für den Dienst "Bürgerportal" und an ecsec für den Dienst "SkIDentity" vergeben.

Im Rahmen der Abschlussveranstaltung am 29. September 2016 wurde auch das TCDP 1.0 veröffentlicht. Gemeinsam mit dem Prüfstandard veröffentlichten das Pilotprojekt die erarbeitete Verfahrensordnung für Zertifizierungen nach TCDP sowie die Begleitpapiere zum TCDP mit Erläuterung der modularen Zertifizierung und dem TCDP-Schutzklassenkonzept.

Im Zuge der Abschlussveranstaltung gab das BMWi ebenfalls bekannt, dass die Stiftung Datenschutz mit der weiteren Verwaltung des TCDP und der Verfahrensordnung beauftragt werde.

Leitung und Beteiligte des Pilotprojekts

In der zweiten Phase wurde das Pilotprojekt von einem Konsortium aus TÜV Informationstechnik GmbH (TÜViT), Prof. Dr. Georg Borges und der Europäischen EDV-Akademie des Rechts gGmbH durchgeführt. Es wurde von Frau Monika Wójtowicz, LL.M. (TÜViT) geleitet. Die wissenschaftliche Leitung nahm Prof. Dr. Georg Borges wahr.

Ähnlich der AG "Rechtsrahmen des Cloud-Computing" wurde das Pilotprojekt in seinen beiden Phasen von Vertretern aller maßgeblichen Stakeholder unterstützt. Im Unterschied zur Beteiligung in der AG "Rechtsrahmen des Cloud Computing" waren im Pilotprojekt allerdings die Stakeholder selbst Mitglieder. Aus Kontinuität waren in der ersten und zweiten Phase des Pilotprojekts dies selben Stakeholder im Projekt beteiligt:

  • Berliner Beauftragte für Datenschutz und Informationsfreiheit
  • Bird & Bird LLP
  • Bitkom Bundesverband Informationswirtschaft
  • Telekommunikation und neue Medien e.V.
  • Prof. Dr. Georg Borges
  • Deutsche Telekom AG
  • Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit
  • Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht Brandenburg
  • DIN Deutsches Institut für Normung e. V.
  • ecsec GmbH
  • EuroCloud Deutschland_eco e.V.
  • Europäische EDV-Akademie des Rechts gGmbH
  • Landesbeauftragte für Datenschutz und
  • Informationsfreiheit Nordrhein-Westfalen
  • Landesbeauftragter für den Datenschutz Sachsen-Anhalt
  • PricewaterhouseCoopers AG Wirtschaftsprüfungsgesellschaft
  • regio iT gesellschaft für informationstechnologie mbh
  • SAP SE
  • Stiftung Datenschutz
  • TÜV Informationstechnik GmbH
  • TÜV SÜD Sec-IT GmbH
  • Unabhängiges Datenschutzzentrum Saarland
  • Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein
  • Uniscon GmbH
  • VOICE Bundesverband der IT-Anwender e.V.

Als Beobachtende Teilnehmer waren am Pilotprojekt außerdem beteiligt:

  • Bayerisches Landesamt für Datenschutzaufsicht
  • Bundesamt für Sicherheit in der Informationstechnik (BSI)
  • Bundesministerium des Innern