AUDITOR, die Datenschutz-Zertifizierung für Cloud-Anbieter (GDPR CC)
Ihr Experte für Fragen
Cloud Services und Datenschutz
Die Nutzung von Cloud Services erlebt seit Jahren einen weltweiten Boom und ist heute ein fester Bestandteil jeder modernen IT-Infrastruktur. Hohe Flexibilität bei gleichzeitig geringer Komplexität sind dabei klare Vorteile moderner Cloud-Anwendungen. Trotz der Selbstverständlichkeit, mit der Cloud Services heutzutage zum Alltag geworden sind, ergeben sich sowohl aus Sicht der Informationssicherheit als auch aus Sicht des Datenschutzes verschiedene Herausforderungen.
Häufig werden mit Hilfe von Cloud-Lösungen schützenswerte, wie zum Beispiel personenbezogene Daten, verarbeitet. Dabei kommt es nicht selten vor, dass die Daten dazu an einen externen Cloud-Anbieter (Cloud Service Provider) bzw. an dessen zur Verfügung gestellte Systeme übertragen werden. Eine zwingend erforderliche Voraussetzung für die Verarbeitung solcher Daten ist der datenschutzkonforme Betrieb des Dienstes gemäß den Vorgaben der Datenschutz-Grundverordnung (DS-GVO).
Für Cloud-Anbieter war es bislang schwierig, sich von unabhängigen Stellen bescheinigen zu lassen, dass ihre einzelnen Cloud-Dienste den Anforderungen der DS-GVO gerecht werden. Es fehlte eine offiziell akkreditierte Datenschutz-Zertifizierung zum Nachweis einer Datenschutzkonformität für die jeweiligen Verarbeitungsvorgänge je Service. In der Regel wurde dann auf verschiedene ISO-Zertifizierungen zurückgegriffen, welche jedoch keine Zertifizierung im Sinne des Art. 42 DS-GVO darstellen.
An dieser Stelle setzt die europäische Datenschutz-Zertifizierung „AUDITOR“ (European Cloud Service Data Protection Certification) für Cloud-Dienstleister an, die Datenverarbeitungsvorgänge im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO durchführen.
Ihre Vorteile einer Datenschutz-Zertifizierung im Überblick
Als Cloud-Anbieter können Sie das AUDITOR-Zertifikat nutzen, um Ihren B2B-Kunden die Einhaltung der DS-GVO nachzuweisen, denn Cloud-Kunden dürfen nur mit solchen Cloud-Anbietern zusammenarbeiten, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können. Die AUDITOR-Zertifizierung sorgt somit für Sicherheit und Transparenz und schafft Vertrauen.
Mit der AUDITOR-Zertifizierung und dem integrierten Schutzklassenkonzept kreieren Sie einen Mehrwert für Ihre Kunden und Investoren, indem Sie deren Risiken, Unsicherheiten und Kontrollkosten für die Zusammenarbeit mit Datenverarbeitern nach Art. 28 DS-GVO reduzieren.
Schaffen Sie sich Wettbewerbsvorteile gegenüber Ihren Marktteilnehmern, indem Sie eine DS-GVO-konforme grenzüberschreitende Datenübermittlung und Datenverarbeitung gemäß Art. 28, 46 DS-GVO nachweisen können.
Zertifizierungskunden können sich bereits über sogenannte Dry-Runs einer systematischen Gap-Analyse unterziehen (Art. 24, 42, 83 DS-GVO) und damit ihre rechtlichen und finanziellen Risiken identifizieren und reduzieren. Unter Berücksichtigung der einschlägigen ISO-Standards können dabei auch bestehende Zertifizierungen wie z. B. nach ISO/IEC 27001 berücksichtigt werden.
Die AUDITOR-Zertifizierung soll sowohl auf nationaler als auch auf Ebene der EU-Mitgliedsstaaten wirksam und anerkannt werden. Das AUDITOR-Konformitätsbewertungsprogramm und die AUDITOR-Zertifizierungskriterien wurden hierbei durch die DAkkS und die zuständige Datenschutzaufsichtsbehörde (LDI NRW) geprüft und bewilligt sowie vom EDSA als „Europäisches Datenschutzsiegel“ genehmigt.
Die AUDITOR-Zertifizierungskriterien werden durch ein unabhängiges internationales Gremium aus Experten und Partnern verwaltet und unter Berücksichtigung von Änderungen der Vorschriften, der Rechtsprechung und der EDSA-Veröffentlichungen ständig aktualisiert.
Unsere Kompetenz, Ihr Vorteil
Der Weg zu Ihrer Datenschutz-Zertifizierung „AUDITOR“
Auf eine Datenschutz-Zertifizierung sollte sich Ihr Unternehmen entsprechend vorbereiten, sodass diese möglichst mit geringen Kosten und Zeitaufwand durchgeführt werden kann.
Wesentliche Voraussetzungen für eine Zertifizierung von Cloud-Diensten sind:
- die Konformität mit den Anforderungen aus dem jeweiligen Kriterienkatalog
- ein angemessenes Datenschutz- und Cloud-Know-how bei allen Beteiligten und
- die Sicherheit der Cloud-Dienstleister, das Zertifizierungsverfahren zeit- und kosteneffizient bestehen zu können.
Die Implementierungsphase und eigentliche AUDITOR-Zertifizierung gemäß AUDITOR-Kriterienkatalog folgt einem standardisierten Prozess, der im Allgemeinen wie folgt aussieht:
Implementierungsphase
In dieser Phase müssen Sie zunächst sicherstellen, dass Sie alle Voraussetzungen für eine Zertifizierung erfüllen. Dazu gehört, dass Sie für die zu zertifizierenden Cloud-Dienste die relevanten Datenverarbeitungsvorgänge so implementiert haben, dass sie den Anforderungen der DS-GVO entsprechen. Außerdem sollten Sie eine Risikoanalyse durchgeführt und dokumentiert haben, wie Sie mit Risiken umgehen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von personenbezogenen Daten beeinträchtigen können.
Im Rahmen der Vorbereitung auf eine Zertifizierung haben sich sogenannte Dry-Runs (Probeläufe / Vor-Audits) bewährt. Bei der Durchführung eines Dry-Runs kann ein externer Dienstleister die Umsetzung der vorhandenen Vorgaben in Ihrem Unternehmen und dem zu betrachtenden Cloud-Dienst in Bezug auf die angestrebte Zertifizierung nach „AUDITOR“ prüfen und beurteilen sowie Verbesserungspotential identifizieren. Es wird auf bestimmte Bereiche geschaut, jedoch keine vollumfängliche Prüfung durchgeführt, welche mit einer Erst-Zertifizierung vergleichbar wäre.
Der nachfolgenden Grafik können Sie den exemplarischen Ablauf eines Dry-Runs entnehmen.
Wichtig: Die PwC Certification Services GmbH bietet selbst keinerlei Beratungen oder Dry-Runs zur Implementierung von AUDITOR-konformen Cloud Services an.
Antragsbewertung (Stage 1-Dokumentenprüfung)
Wenn Sie bereit sind, können Sie bei uns einen Antrag auf Zertifizierung stellen. Im Rahmen der Bewertung der eingereichten Antragsunterlagen wird u. a. geprüft, ob:
- die Informationen über die antragstellende Organisation und über den Zertifizierungsgegenstand ausreichend für die Durchführung der Ermittlung sind,
- die Anforderungen an die Zertifizierung seitens der Zertifizierungsstelle klar definiert und dokumentiert sind und der antragstellenden Organisation bereitgestellt wurden,
- die Zertifizierungsstelle über die Kompetenz und die Fähigkeit verfügt, die Zertifizierungstätigkeiten durchzuführen,
- der Geltungsbereich der angestrebten Zertifizierung, die Standorte der Tätigkeiten der antragstellenden Organisation, die zur Ausführung der Ermittlungen erforderliche Zeit sowie alle anderen Aspekte, die die Zertifizierungstätigkeit beeinflussen, berücksichtigt werden (Sprache, Sicherheitsbedingungen, Gefährdungen der Unparteilichkeit und so weiter)
Auf Grundlage dieser Informationen erstellen wir Ihnen ein ausführliches Angebot zur Zertifizierung inkl. Zertifizierungsvereinbarung.
Ermittlung (Audit Stufe 2)
Wenn die Bewertung der Antragsunterlagen zu einem positiven Bewertungsergebnis geführt hat und das Angebot zur Zertifizierung durch sie schriftlich bestätigt / angenommen wurde, erfolgt die detaillierte Planung und Durchführung der Ermittlung (Audit der Stufe 2). Sie beinhaltet immer ein Audit vor Ort und ggf. weitere Ermittlungsmethoden gemäß dem AUDITOR-Konformitätsbewertungsprogramm und umfasst alle relevanten Standorte der Organisation für die zu zertifizierenden Datenverarbeitungsvorgänge. Neben der Dokumentation prüft das Ermittlungsteam anhand von Interviews mit Mitarbeitenden die Prozesse und Verfahren des Cloud Services gemäß den Vorgaben des AUDITOR-Kriterienkatalogs.
Bewertung und Zertifizierungsentscheidung
Die Bewertung und Entscheidung der normkonformen Umsetzung der Anforderungen und ggf. Korrekturmaßnahmen des Audits erfolgt durch die Zertifizierungsstelle. Erst wenn alle Nichtkonformitäten geschlossen und die AUDITOR-Anforderungen erfüllt sind, erhalten Sie das Zertifikat, das eine Laufzeit von max. 3 Jahren hat.
Überwachungstätigkeiten (Zwischenprüfung)
Um die Einhaltung der DS-GVO der zertifizierten Cloud Services zu überprüfen und sicherzustellen, dass diese weiterhin den Anforderungen des AUDITOR-Kriterienkatalogs entsprechen, werden regelmäßig Überwachungstätigkeiten durchgeführt. Auf Grundlage einer Zwischenprüfung und geeigneter Stichproben hat die Zertifizierungsstelle festzustellen, ob die zertifizierten Datenverarbeitungsvorgänge die Zertifizierungskriterien nach der festgelegten Schutzklasse weiterhin erfüllen. Die jährliche Zwischenprüfung ist frühestens nach Ablauf des sechsten und spätestens bis zum Ablauf des zwölften Monats ab Zertifizierungserteilung oder der entsprechenden Zeitpunkte der Folgejahre durchzuführen.
Die folgenden Punkte werden bei der Zwischenprüfung u. a. berücksichtigt:
- Der Ermittlungsteamleiter führt die Zwischenprüfung gemäß dem vereinbarten Zeitplan und in Absprache mit dem Cloud-Anbieter vor Ort durch.
- Der Umfang der Zwischenprüfung ist so zu wählen, dass mindestens die seit der letzten Prüfung erfolgten Änderungen der Datenverarbeitungsvorgänge durch Ermittlungsmethoden geprüft werden.
- Im Rahmen der Überwachung prüft die Zertifizierungsstelle insbesondere, ob anerkannte Zertifikate weiterhin gültig sind. Bei der Re-Zertifizierung der anerkannten Zertifizierung wird die Ablauffrist der AUDITOR-Zertifizierung auf die Laufzeit des anerkannten Zertifikats verlängert, jedoch maximal auf die Standardlaufzeit der AUDITOR-Zertifizierung von 3 Jahren oder bei weiteren anerkannten Fremdzertifikaten auf die kürzeste Laufzeit.
Rezertifizierung
Nach drei Jahren müssen Sie sich einer Re-Zertifizierung unterziehen, um sicherzustellen, dass Sie weiterhin den Anforderungen des AUDITOR-Kriterienkatalogs entsprechen.
Grundsätzlich muss die Rezertifizierung noch während der Laufzeit des aktuellen Zertifikates abgeschlossen sein. Dies gilt auch für die Übernahme von akkreditierten Zertifizierungen anderer Zertifizierungsgesellschaften. Um dies zu ermöglichen, sollte die Rezertifizierungsermittlung möglichst 45 Tage vor Ablauf des Zertifikates abgeschlossen werden, muss jedoch spätestens 36 Monate nach der Zertifizierungsermittlung abgeschlossen sein. Aus diesem Grund ist bei der Planung zu berücksichtigen, dass die Fristen für die Bearbeitung von möglicherweise identifizierten Abweichungen angepasst werden müssen. Der Termin für den Abschluss der VorOrt-Ermittlung sollte mindestens 3 Wochen vor Ablauf des Zertifikates geplant werden, damit die Maßnahmen noch bewertet werden können und die Zertifizierungsstelle-DL das Verfahren abschließend beurteilen kann.
Wenn die Rezertifizierungstätigkeiten vor Ablauf der bestehenden Zertifizierung erfolgreich abgeschlossen werden, dann kann das Ablaufdatum der neuen Zertifizierung auf dem Ablaufdatum der bestehenden Zertifizierung beruhen. Das Ausgabedatum des neuen Zertifikats muss dem Tag der Rezertifizierungsentscheidung oder einem späteren entsprechen.
Die Datenschutz-Zertifizierung im Überblick
Der Zertifizierungsgegenstand
Zertifizierungsgegenstand des AUDITOR-Verfahrens sind Verarbeitungsvorgänge von personenbezogenen Daten, die in oder mit Hilfe von Produkten oder Dienstleistungen erbracht werden. Im AUDITOR-Verfahren werden die Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter des privaten Sektors als Auftragsverarbeiter im Rahmen der Auftragsverarbeitung gemäß Art. 28 DS-GVO durchführt. Weiterhin werden Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter als Verantwortlicher vornimmt, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und durchführen sowie um rechtliche Pflichten erfüllen zu können.
Bei der Bestimmung des Zertifizierungsgegenstands sind drei Komponenten wichtig, die Cloud-Anbieter als Adressaten des AUDITOR-Zertifizierungsverfahrens beachten müssen:
- personenbezogene Daten,
- technische Systeme (Infrastruktur, Hardware und Software, die genutzt werden, um personenbezogene Daten zu verarbeiten) und
- Prozesse und Verfahren, die mit Verarbeitungsvorgängen in Verbindung stehen.
Der AUDITOR-Kriterienkatalog
Der AUDITOR-Kriterienkatalog ist der Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten gemäß den Anforderungen der DS-GVO. Er beschreibt die datenschutzrechtlichen Anforderungen an die Verarbeitung von personenbezogenen Daten auf der Seite des Auftragnehmers (Cloud-Anbieter). Dagegen werden die datenschutzrechtlichen Anforderungen an den Auftraggeber (Cloud-Nutzer) nicht adressiert.
Der AUDITOR-Kriterienkatalog enthält „Kriterien“, „Erläuterungen“, „Umsetzungshinweise“ und „Nachweise“. Die „Kriterien“ bezeichnen dabei die normativen Voraussetzungen, die zu erfüllen sind, um ein Zertifikat auf der Grundlage des AUDITOR-Kriterienkatalogs zu erhalten.
Die Umsetzungshinweise orientieren sich an bestehenden Industriestandards, Normen und Best-Practices wie z. B. bei den Kriterien zur Gewährleistung der Datensicherheit auf die ISO/IEC 27002 und das BSI C5.
Das AUDITOR-Schutzklassenkonzept
Das Schutzniveau und damit die Anforderungen an die technisch organisatorischen Maßnahmen (TOM) des Cloud-Dienstes werden im Schutzklassenkonzept nach unterschiedlichen „Schutzklassen“ differenziert. Die Schutzklasse nimmt eine Doppelfunktion ein: Zum einen beschreibt sie den Schutzbedarf der Datenverarbeitungsvorgänge. Zum anderen legt sie die Anforderungen an die technischen und organisatorischen Maßnahmen fest, die der Cloud-Anbieter erfüllen muss.
Um diese Doppelfunktion deutlich zu machen, wird bei der Schutzklasse zwischen zwei Komponenten unterschieden: den Schutzbedarfsklassen und den Schutzanforderungsklassen. Die Schutzbedarfsklasse beschreibt den Schutzbedarf für Datenverarbeitungsvorgänge anhand genereller Merkmale. Die Schutzanforderungsklasse beschreibt in allgemeiner Form die technischen und organisatorischen Anforderungen, die für Cloud-Dienste der betreffenden Klasse maßgeblich vom Cloud-Anbieter zu erfüllen sind. Für jede Schutzbedarfsklasse wird eine korrespondierende Schutzanforderungsklasse definiert. Die Schutzklasse eines Cloud-Dienstes kann der Cloud-Nutzer dem AUDITOR-Zertifikat des Cloud-Anbieters entnehmen.
Das Modularitätskonzept
Ein zentrales Element des AUDITOR-Zertifizierungsverfahrens bildet das AUDITOR-Modularisierungskonzept, das die horizontale und vertikale Modularisierung von Datenverarbeitungsvorgängen beschreibt. Durch das AUDITOR-Modularisierungskonzept wird die Flexibilität bei der Zertifizierung erhöht. So ist es beispielsweise möglich, dass ein Cloud-Dienst vollumfänglich oder lediglich ein einzelner Datenverarbeitungsvorgang des Cloud-Dienstes zertifiziert wird. Darüber hinaus dient das Modularitätskonzept als Grundlage für die Anerkennung von gleichwertigen Zertifizierungen im Rahmen einer AUDITOR-Zertifizierung oder auch für die Berücksichtigung anderer Zertifizierungen, die nicht durch eine akkreditierte Zertifizierungsstelle ausgestellt wurden.
Das AUDITOR-Konformitätsbewertungsprogramm
Das Konformitätsbewertungsprogramm beschreibt die spezifischen Anforderungen, Regeln sowie Prüfverfahren, die zur Konformitätsbewertung von Datenverarbeitungsvorgängen im Rahmen der AUDITOR-Zertifizierung verwendet werden müssen. Es beinhaltet alle von der Zertifizierungsstelle zu erfüllenden Grundsätze und umfasst im Wesentlichen Anforderungen an die Zertifizierungsstelle und den Zertifizierungsprozess. Das AUDITOR-Konformitätsbewertungsprogramm wird durch das Kompetenznetzwerk Trusted Cloud e.V. als Programmeigner verwaltet und ständig weiterentwickelt.
Gültige Datenschutz-Zertifikate
Unsere Datenschutz-Zertifikate schaffen Vertrauen!
Sie bestätigen dem Cloud-Anbieter die Konformität der zertifizierten Datenverarbeitungsvorgänge mit den einschlägigen Vorgaben der DSGVO und des BDSGs gemäß dem genannten AUDITOR-Kriterienkatalog für die aufgeführte Schutzklasse und Wiederherstellbarkeitsklasse. Zur Aufrechterhaltung der Datenschutz-Zertifizierung wird diese einer jährlichen Zwischenprüfung unterzogen.
Mit der Datenschutz-Zertifizierung verbunden ist das Recht, auf die von uns vergebenen Zertifikate nach festgelegten Regeln hinzuweisen. Das hilft unseren Kunden und schützt die Marke PwC.
Cloud-Anbieter
Musterstraße 1, 12345 Musterstadt, Musterland
Zertifizierungsgegenstand: eindeutige Bezeichnung des Zertifizierungsgegenstands
Schutzklasse: 1/2/3
Wiederherstellbarkeitsklasse: 1/2/3
Zertifizierungsgrundlage: AUDITOR-Konformitätsbewertungsprogramm V1.00 (2024-03-08)
Prüfgrundlage: AUDITOR-Kriterienkatalog V1.0 (2024-06-05)
Zertifikatsnummer: PwC-GDPR-000
Zertifizierungsentscheidung: JJJJ-MM-TT
Zertifikat gültig von: JJJJ-MM-TT
Zertifikat gültig bis: JJJJ-MM-TT
Datum der Erstzertifizierung: JJJJ-MM-TT
Anzahl der Rezertifizierungen: 0
Prüflaboratorium / Inspektionsstelle: ggf. eingebundener Unterauftragnehmer
Kontakt bei Beschwerden oder Nichtkonformitäten:
Kurzgutachten: PDF-Datei (Zertifizierungsergebnis, aus dem sich der genaue Zertifizierungsgegenstand (inklusive Versions- oder Funktionsstand), das Evaluationsverfahren (inklusive der der Zertifizierung zugrundliegenden Kriterien (ggf. mit Versionsangabe) und einer Angabe über Kriterien, die nicht anwendbar waren) und das Evaluationsergebnis ableiten lassen (s. DSK Tz. 7.8).)
Dokumente zum Download
Aktuell gültige Dokumente
- AUDITOR-Konformitätsbewertungsprogramm V1.1 (PDF)
- AUDITOR-Zertifizierungsgegenstand V1.00 (PDF)
- AUDITOR-Kriterienkatalog V1.0 (PDF)
- AUDITOR-Schutzklassenkonzept V1.0 (PDF)
- AUDITOR-Modularitätskonzept V1.00 (PDF)
- AUDITOR-Ermittlungsmethoden V1.00 (PDF)
- Antrag auf Zertifizierung AUDITOR (GDPR CC) (WORD)
- Zertifizierungsprogramm AUDITOR (GDPR CC) (PDF)
- Informationsblatt Auditierung und Zertifizierung AUDITOR (GDPR CC) (PDF)
- Verbindliche Vorgaben zur Zeichennutzung AUDITOR (GDPR CC) (PDF)
- Gebührentabelle AUDITOR (GDPR CC) (PDF)