AUDITOR, die Datenschutz-Zertifizierung für Cloud-Anbieter (GDPR CC)
Ihr Experte für Fragen
Cloud Services und Datenschutz
Die Nutzung von Cloud Services erlebt seit Jahren einen weltweiten Boom und ist heute ein fester Bestandteil jeder modernen IT-Infrastruktur. Hohe Flexibilität bei gleichzeitig geringer Komplexität sind dabei klare Vorteile moderner Cloud-Anwendungen. Trotz der Selbstverständlichkeit, mit der Cloud Services heutzutage zum Alltag geworden sind, ergeben sich sowohl aus Sicht der Informationssicherheit als auch aus Sicht des Datenschutzes verschiedene Herausforderungen.
Häufig werden mit Hilfe von Cloud-Lösungen schützenswerte, wie zum Beispiel personenbezogene Daten, verarbeitet. Dabei kommt es nicht selten vor, dass die Daten dazu an einen externen Cloud-Anbieter (Cloud Service Provider) bzw. an dessen zur Verfügung gestellte Systeme übertragen werden. Eine zwingend erforderliche Voraussetzung für die Verarbeitung solcher Daten ist der datenschutzkonforme Betrieb des Dienstes gemäß den Vorgaben der Datenschutz-Grundverordnung (DS-GVO).
Für Cloud-Anbieter war es bislang schwierig, sich von unabhängigen Stellen bescheinigen zu lassen, dass ihre einzelnen Cloud-Dienste den Anforderungen der DS-GVO gerecht werden. Es fehlte eine offiziell akkreditierte Datenschutz-Zertifizierung zum Nachweis einer Datenschutzkonformität für die jeweiligen Verarbeitungsvorgänge je Service. In der Regel wurde dann auf verschiedene ISO-Zertifizierungen zurückgegriffen, welche jedoch keine Zertifizierung im Sinne des Art. 42 DS-GVO darstellen.
An dieser Stelle setzt die europäische Datenschutz-Zertifizierung „AUDITOR“ (European Cloud Service Data Protection Certification) für Cloud-Dienstleister an, die Datenverarbeitungsvorgänge im Rahmen einer Auftragsverarbeitung gemäß Art. 28 DS-GVO durchführen.
Ihre Vorteile einer Datenschutz-Zertifizierung im Überblick
Als Cloud-Anbieter können Sie das AUDITOR-Zertifikat nutzen, um Ihren B2B-Kunden die Einhaltung der DS-GVO nachzuweisen, denn Cloud-Kunden dürfen nur mit solchen Cloud-Anbietern zusammenarbeiten, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können. Die AUDITOR-Zertifizierung sorgt somit für Sicherheit und Transparenz und schafft Vertrauen.
Mit der AUDITOR-Zertifizierung und dem integrierten Schutzklassenkonzept kreieren Sie einen Mehrwert für Ihre Kunden und Investoren, indem Sie deren Risiken, Unsicherheiten und Kontrollkosten für die Zusammenarbeit mit Datenverarbeitern nach Art. 28 DS-GVO reduzieren.
Schaffen Sie sich Wettbewerbsvorteile gegenüber Ihren Marktteilnehmern, indem Sie eine DS-GVO-konforme grenzüberschreitende Datenübermittlung und Datenverarbeitung gemäß Art. 28, 46 DS-GVO nachweisen können.
Zertifizierungskunden können sich bereits über sogenannte Dry-Runs einer systematischen Gap-Analyse unterziehen (Art. 24, 42, 83 DS-GVO) und damit ihre rechtlichen und finanziellen Risiken identifizieren und reduzieren. Unter Berücksichtigung der einschlägigen ISO-Standards können dabei auch bestehende Zertifizierungen wie z. B. nach ISO/IEC 27001 berücksichtigt werden.
Die AUDITOR-Zertifizierung soll sowohl auf nationaler als auch auf Ebene der EU-Mitgliedsstaaten wirksam und anerkannt werden. Das AUDITOR-Konformitätsbewertungsprogramm und die AUDITOR-Zertifizierungskriterien wurden hierbei durch die DAkkS und die zuständige Datenschutzaufsichtsbehörde (LDI NRW) geprüft und bewilligt sowie vom EDSA als „Europäisches Datenschutzsiegel“ genehmigt.
Die AUDITOR-Zertifizierungskriterien werden durch ein unabhängiges internationales Gremium aus Experten und Partnern verwaltet und unter Berücksichtigung von Änderungen der Vorschriften, der Rechtsprechung und der EDSA-Veröffentlichungen ständig aktualisiert.
Unsere Kompetenz, Ihr Vorteil
Der Weg zu Ihrer Datenschutz-Zertifizierung „AUDITOR“
Auf eine Datenschutz-Zertifizierung sollte sich Ihr Unternehmen entsprechend vorbereiten, sodass diese möglichst mit geringen Kosten und Zeitaufwand durchgeführt werden kann.
Wesentliche Voraussetzungen für eine Zertifizierung von Cloud-Diensten sind:
- die Konformität mit den Anforderungen aus dem jeweiligen Kriterienkatalog
- ein angemessenes Datenschutz- und Cloud-Know-how bei allen Beteiligten und
- die Sicherheit der Cloud-Dienstleister, das Zertifizierungsverfahren zeit- und kosteneffizient bestehen zu können.
Die Implementierungsphase und eigentliche AUDITOR-Zertifizierung gemäß AUDITOR-Kriterienkatalog folgt einem standardisierten Prozess, der im Allgemeinen wie folgt aussieht:
Implementierungsphase
In dieser Phase müssen Sie zunächst sicherstellen, dass Sie alle Voraussetzungen für eine Zertifizierung erfüllen. Dazu gehört, dass Sie für die zu zertifizierenden Cloud-Dienste die relevanten Datenverarbeitungsvorgänge so implementiert haben, dass sie den Anforderungen der DS-GVO entsprechen. Außerdem sollten Sie eine Risikoanalyse durchgeführt und dokumentiert haben, wie Sie mit Risiken umgehen, die die Vertraulichkeit, Integrität oder Verfügbarkeit von personenbezogenen Daten beeinträchtigen können.
Im Rahmen der Vorbereitung auf eine Zertifizierung haben sich sogenannte Dry-Runs (Probeläufe / Vor-Audits) bewährt. Bei der Durchführung eines Dry-Runs kann ein externer Dienstleister die Umsetzung der vorhandenen Vorgaben in Ihrem Unternehmen und dem zu betrachtenden Cloud-Dienst in Bezug auf die angestrebte Zertifizierung nach „AUDITOR“ prüfen und beurteilen sowie Verbesserungspotential identifizieren. Es wird auf bestimmte Bereiche geschaut, jedoch keine vollumfängliche Prüfung durchgeführt, welche mit einer Erst-Zertifizierung vergleichbar wäre.
Der nachfolgenden Grafik können Sie den exemplarischen Ablauf eines Dry-Runs entnehmen.
Wichtig: Die PwC Certification Services GmbH bietet selbst keinerlei Beratungen oder Dry-Runs zur Implementierung von AUDITOR-konformen Cloud Services an.
Audit Stufe 1 – Bereitschaftsbewertung
Wenn Sie bereit sind, können Sie bei uns einen Antrag auf Zertifizierung stellen. Im Audit der Stufe 1 prüfen von uns anerkannte Auditoren (mind. teilweise vor Ort), ob Ihr Unternehmen grundsätzlich bereit ist für das Audit der Stufe 2. Dazu wird z. B. geprüft, ob die Dokumentation Ihrer zu zertifizierenden Datenverarbeitungsvorgänge den Anforderungen des AUDITOR-Kriterienkatalogs entspricht.
Wurden während des Audits Schwachstellen identifiziert, müssen diese analysiert und durch geeignete Korrekturmaßnahmen behoben werden. In der Regel haben Sie eine bestimmte Frist, in der Sie diese umsetzen müssen.
Audit Stufe 2 – Erst-Zertifizierungsaudit
Wenn Sie die Korrekturmaßnahmen nachweislich erfolgreich umgesetzt haben, erfolgt das Audit der Stufe 2. Es beinhaltet immer ein Audit vor Ort und umfasst alle relevanten Standorte der Organisation für die zu zertifizierenden Datenverarbeitungsvorgänge. Neben der Dokumentation prüft der Auditor anhand von Interviews mit Mitarbeitenden die Prozesse und Verfahren des Cloud Services gemäß den Vorgaben des AUDITOR-Kriterienkatalogs.
Bewertung und Zertifizierungsentscheidung
Die Bewertung und Entscheidung der normkonformen Umsetzung der Anforderungen und ggf. Korrekturmaßnahmen des Audits erfolgt durch die Zertifizierungsstelle. Erst wenn alle Anforderungen der Norm erfüllt sind, erhalten Sie das Zertifikat, das eine Laufzeit von 3 Jahren hat.
Überwachungsaudits
Um die Einhaltung der DS-GVO der zertifizierten Cloud Services zu überprüfen und sicherzustellen, dass diese weiterhin den Anforderungen des AUDITOR-Kriterienkatalogs entsprechen, werden regelmäßig Überwachungsaudits durchgeführt. Diese finden in der Regel jährlich statt. Das 1. Überwachungsaudit nach der Erst-Zertifizierung muss innerhalb von 12 Monaten nach der Zertifizierungsentscheidung durchgeführt worden sein. Der optimale Zeitpunkt für die Planung des Überwachungsaudits ist der Tag und Monat des Zertifikatsauslaufdatums minus drei (3) Monate. Um diesen Stichtag herum kann ein Zeitfenster von minus (-) drei (3) Monaten und plus (+) drei Monaten flexibel gewählt werden, um die Größe Ihres Unternehmens, den Geltungsbereich, die Komplexität Ihres Managementsystems mit Ihren Produkten, Dienstleistungen und Prozessen sowie Ihr dargelegtes Niveau der Wirksamkeit Ihres Managementsystems – unter Berücksichtigung der Faktoren wie Jahreszeiten und Möglichkeiten der Zertifizierungen durch zum Beispiel temporäre Baustellen oder Tätigkeiten – einzubeziehen.
Re-Zertifizierung
Nach drei Jahren müssen Sie sich einer Re-Zertifizierung unterziehen, um sicherzustellen, dass Sie weiterhin den Anforderungen des AUDITOR-Kriterienkatalogs entsprechen. Das Re-Zertifizierungsaudit muss vor dem Zertifikatsaudit vollumfänglich durchgeführt worden sein, ansonsten wird ein Erst-Zertifizierungsaudit mit Stufe 1 und Stufe 2 relevant.
Die Datenschutz-Zertifizierung im Überblick
Der Zertifizierungsgegenstand
Zertifizierungsgegenstand des AUDITOR-Verfahrens sind Verarbeitungsvorgänge von personenbezogenen Daten, die in oder mit Hilfe von Produkten oder Dienstleistungen erbracht werden. Im AUDITOR-Verfahren werden die Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter des privaten Sektors als Auftragsverarbeiter im Rahmen der Auftragsverarbeitung gemäß Art. 28 DS-GVO durchführt. Weiterhin werden Datenverarbeitungsvorgänge betrachtet, die der Cloud-Anbieter als Verantwortlicher vornimmt, um den Vertrag mit dem Cloud-Nutzer über die Bereitstellung des Cloud-Dienstes schließen und durchführen sowie um rechtliche Pflichten erfüllen zu können.
Bei der Bestimmung des Zertifizierungsgegenstands sind drei Komponenten wichtig, die Cloud-Anbieter als Adressaten des AUDITOR-Zertifizierungsverfahrens beachten müssen:
- personenbezogene Daten,
- technische Systeme (Infrastruktur, Hardware und Software, die genutzt werden, um personenbezogene Daten zu verarbeiten) und
- Prozesse und Verfahren, die mit Verarbeitungsvorgängen in Verbindung stehen.
Der AUDITOR-Kriterienkatalog
Der AUDITOR-Kriterienkatalog ist der Prüfstandard für die Datenschutz-Zertifizierung von Cloud-Diensten gemäß den Anforderungen der DS-GVO. Er beschreibt die datenschutzrechtlichen Anforderungen an die Verarbeitung von personenbezogenen Daten auf der Seite des Auftragnehmers (Cloud-Anbieter). Dagegen werden die datenschutzrechtlichen Anforderungen an den Auftraggeber (Cloud-Nutzer) nicht adressiert.
Der AUDITOR-Kriterienkatalog enthält „Kriterien“, „Erläuterungen“, „Umsetzungshinweise“ und „Nachweise“. Die „Kriterien“ bezeichnen dabei die normativen Voraussetzungen, die zu erfüllen sind, um ein Zertifikat auf der Grundlage des AUDITOR-Kriterienkatalogs zu erhalten.
Die Umsetzungshinweise orientieren sich an bestehenden Industriestandards, Normen und Best-Practices wie z. B. bei den Kriterien zur Gewährleistung der Datensicherheit auf die ISO/IEC 27002 und das BSI C5.
Das AUDITOR-Schutzklassenkonzept
Das Schutzniveau und damit die Anforderungen an die technisch organisatorischen Maßnahmen (TOM) des Cloud-Dienstes werden im Schutzklassenkonzept nach unterschiedlichen „Schutzklassen“ differenziert. Die Schutzklasse nimmt eine Doppelfunktion ein: Zum einen beschreibt sie den Schutzbedarf der Datenverarbeitungsvorgänge. Zum anderen legt sie die Anforderungen an die technischen und organisatorischen Maßnahmen fest, die der Cloud-Anbieter erfüllen muss.
Um diese Doppelfunktion deutlich zu machen, wird bei der Schutzklasse zwischen zwei Komponenten unterschieden: den Schutzbedarfsklassen und den Schutzanforderungsklassen. Die Schutzbedarfsklasse beschreibt den Schutzbedarf für Datenverarbeitungsvorgänge anhand genereller Merkmale. Die Schutzanforderungsklasse beschreibt in allgemeiner Form die technischen und organisatorischen Anforderungen, die für Cloud-Dienste der betreffenden Klasse maßgeblich vom Cloud-Anbieter zu erfüllen sind. Für jede Schutzbedarfsklasse wird eine korrespondierende Schutzanforderungsklasse definiert. Die Schutzklasse eines Cloud-Dienstes kann der Cloud-Nutzer dem AUDITOR-Zertifikat des Cloud-Anbieters entnehmen.
Das Modularitätskonzept
Ein zentrales Element des AUDITOR-Zertifizierungsverfahrens bildet das AUDITOR-Modularisierungskonzept, das die horizontale und vertikale Modularisierung von Datenverarbeitungsvorgängen beschreibt. Durch das AUDITOR-Modularisierungskonzept wird die Flexibilität bei der Zertifizierung erhöht. So ist es beispielsweise möglich, dass ein Cloud-Dienst vollumfänglich oder lediglich ein einzelner Datenverarbeitungsvorgang des Cloud-Dienstes zertifiziert wird. Darüber hinaus dient das Modularitätskonzept als Grundlage für die Anerkennung von gleichwertigen Zertifizierungen im Rahmen einer AUDITOR-Zertifizierung oder auch für die Berücksichtigung anderer Zertifizierungen, die nicht durch eine akkreditierte Zertifizierungsstelle ausgestellt wurden.
Das AUDITOR-Konformitätsbewertungsprogramm
Das Konformitätsbewertungsprogramm beschreibt die spezifischen Anforderungen, Regeln sowie Prüfverfahren, die zur Konformitätsbewertung von Datenverarbeitungsvorgängen im Rahmen der AUDITOR-Zertifizierung verwendet werden müssen. Es beinhaltet alle von der Zertifizierungsstelle zu erfüllenden Grundsätze und umfasst im Wesentlichen Anforderungen an die Zertifizierungsstelle und den Zertifizierungsprozess. Das AUDITOR-Konformitätsbewertungsprogramm wird durch das Kompetenznetzwerk Trusted Cloud e.V. als Programmeigner verwaltet und ständig weiterentwickelt.
Gültige Datenschutz-Zertifikate
Unsere Datenschutz-Zertifikate schaffen Vertrauen!
Sie bestätigen dem Cloud-Anbieter die Konformität der zertifizierten Datenverarbeitungsvorgänge mit den einschlägigen Vorgaben der DSGVO und des BDSGs gemäß dem genannten AUDITOR-Kriterienkatalog für die aufgeführte Schutzklasse und Wiederherstellbarkeitsklasse. Zur Aufrechterhaltung der Datenschutz-Zertifizierung wird diese einer jährlichen Zwischenprüfung unterzogen.
Mit der Datenschutz-Zertifizierung verbunden ist das Recht, auf die von uns vergebenen Zertifikate nach festgelegten Regeln hinzuweisen. Das hilft unseren Kunden und schützt die Marke PwC.
Cloud-Anbieter
Musterstraße 1, 12345 Musterstadt, Musterland
Zertifizierungsgegenstand: eindeutige Bezeichnung des Zertifizierungsgegenstands
Schutzklasse: 1/2/3
Wiederherstellbarkeitsklasse: 1/2/3
Zertifizierungsgrundlage: AUDITOR-Konformitätsbewertungsprogramm V1.00 (2024-03-08)
Prüfgrundlage: AUDITOR-Kriterienkatalog V1.0 (2024-06-05)
Zertifikatsnummer: PwC-GDPR-000
Zertifizierungsentscheidung: JJJJ-MM-TT
Zertifikat gültig von: JJJJ-MM-TT
Zertifikat gültig bis: JJJJ-MM-TT
Datum der Erstzertifizierung: JJJJ-MM-TT
Anzahl der Rezertifizierungen: 0
Prüflaboratorium / Inspektionsstelle: ggf. eingebundener Unterauftragnehmer
Kontakt bei Beschwerden oder Nichtkonformitäten:
Kurzgutachten: PDF-Datei (Zertifizierungsergebnis, aus dem sich der genaue Zertifizierungsgegenstand (inklusive Versions- oder Funktionsstand), das Evaluationsverfahren (inklusive der der Zertifizierung zugrundliegenden Kriterien (ggf. mit Versionsangabe) und einer Angabe über Kriterien, die nicht anwendbar waren) und das Evaluationsergebnis ableiten lassen (s. DSK Tz. 7.8).)
Dokumente zum Download
Aktuell gültige Dokumente
- AUDITOR-Konformitätsbewertungsprogramm V1.00 (PDF)
- AUDITOR-Zertifizierungsgegenstand (PDF)
- AUDITOR-Kriterienkatalog (PDF)
- AUDITOR-Schutzklassenkonzept (PDF)
- AUDITOR-Modularitätskonzept (PDF)
- Antrag auf Zertifizierung AUDITOR (GDPR CC) (WORD)
- Zertifizierungsprogramm AUDITOR (GDPR CC) (PDF)
- Informationsblatt Auditierung und Zertifizierung AUDITOR (GDPR CC) (PDF)
- Verbindliche Vorgaben zur Zeichennutzung AUDITOR (GDPR CC) (PDF)
- Gebührentabelle AUDITOR (GDPR CC) (PDF)
Zurückgezogene Dokumente
Aktuell sind hier noch keine Dokumente vorhanden.