Zertifizierung - Verfahren

Das Verfahren der TCDP-Zertifizierung

Die Datenschutz-Zertifizierung nach TCDP erfolgt auf Grundlage eines Vertrags zwischen der Zertifizierungsstelle und dem Cloud-Nutzer nach den Regeln der Verfahrensordnung (§ 4.1 Absatz 1).

Am Zertifizierungsverfahren sind drei Parteien beteiligt: Der Cloud-Anbieter, die Prüfstelle und die Zertifizierungsstelle. Der Cloud-Anbieter hat im Rahmen der Prüfung Mitwirkungs- und Auskunftspflichten gegenüber der Prüfstelle. Prüf- und Zertifizierungsstelle müssen rechtlich eigenständige und voneinander unabhängige Stellen sein, denn die Zertifizierung erfolgt auf Grundlage des Prüfberichts, der die Einhaltung der Anforderungen des TCDP feststellen soll.

Der hier dargestellte Ablauf bildet den idealtypischen Prozess ab. Die konkrete Ausgestaltung des Verfahrens im Rahmen der Verfahrensordnung obliegt den Prüf- und Zertifizierungsstellen und kann sich im Einzelfall und in Details vom hier dargestellten Ablauf unterscheiden

 

Prüfung des Cloud-Dienstes

Zu Beginn des Prüfverfahrens wird der Prüfgegenstand festgelegt. Hier werden von Prüfstelle und Cloud-Anbieter gemeinsam Schnittstellen bestimmt, bis zu denen die Zertifizierung gelten soll. Der Cloud-Dienst wird von anderen Produkten und in einem Target-of-Audit bezeichneten Dokument (ToA-Dokument) festgehalten.

Auf Grundlage des ToA-Dokuments erfolgt die Prüfung selbst in zwei Schritten: Der Dokumentenprüfung und den Vor-Ort-Audits. Für die Dokumentenprüfung liefert der Cloud-Dienst der Prüfstelle notwendige Unterlagen wie etwa Netzpläne, Sicherheitskonzepte, Prozessbeschreibungen und Vertragsvordrucke für die Auftragsdatenverarbeitung. Auf dieser Grundlage treffen die Prüfer eine erste Bewertung.

Inhaltlich werden die rechtlichen und technischen Voraussetzungen betrachtet. Die Prüfung rechtlicher – etwa vertraglicher – Voraussetzungen nach den TCDP Nrn. 1 bis 11 findet im Wesentlichen durch eine Dokumentenprüfung statt. Offene Fragen werden in Interviews mit dem Personal des Cloud-Anbieters geklärt. Die Prüfung der technischen Voraussetzungen erfolgt zunächst anhand übermittelter Dokumente. Im zweiten Schritt folgt in der Regel eine Begehung von Rechenzentren und die Einsicht in die Verwaltungssoftware des Dienstes.

Auf Grundlage der Prüfung erstellt die Prüfstelle einen Prüfbericht, welcher der Zertifizierungsstelle übergeben wird.

Zertifizierung auf Grundlage des Prüfberichts

Nach der Übergabe des Prüfberichts an die Zertifizierungsstelle bewertet die Stelle die Ergebnisse Prüfung. Dabei wird das Vorliegen der Voraussetzungen in Hinsicht auf die beantragte Schutzklasse und das Wiederherstellbarkeitsniveau bewertet. Die Zertifizierungsstelle kann bei Unklarheiten Erläuterungen oder Ergänzungen des Prüfberichts verlangen (§ 4.3 Absatz 2). Die Zertifizierungsstelle entscheidet auch über die Anerkennung von TCDP-Zertifikaten oder von anderen Zertifikaten.

Sind die erforderlichen Voraussetzungen erfüllt, erteilt die Zertifizierungsstelle das Zertifikat.

Erteilung des Zertifikats und des Prüfzeichens

Verbunden mit dem Zertifikat erhält der Cloud-Anbieter auch ein Prüfzeichen, das für die eigene Werbung, etwa auf der Internetseite des Dienstes, eingesetzt werden kann. Sowohl aus dem Zertifikat als auch aus dem Prüfzeichen gehen die Schutzklasse, das Wiederherstellungsniveau und die Laufzeit des Zertifikats hervor.

Aus Gründen der Transparenz ist die Zertifizierungsstelle verpflichtet, das Zertifikat zu veröffentlichen und online abrufbar vorzuhalten. Damit kann geprüft werden, ob das Zertifikat eines einzelnen Anbieters berechtigt verwendet wird.