Es handelt sich hierbei um eine akkreditierte Zertifizierung auf Basis der Datenschutz Grundverordnung (DSGVO), wodurch Cloud-Anbieter nachweisen können, dass einzelne Datenverarbeitungsprozesse mit den Grundsätzen der DSGVO in Einklang stehen. Für diverse Unternehmen aus der IT-Branche bietet sich durch dieses Projekt die Gelegenheit, im Rahmen einer assoziierten Partnerschaft an der Erstellung eines Kriterienkataloges, welcher als Grundlage für eine spätere Zertifizierung dienen soll, aktiv mitzuwirken. Neben verschiedener weiterer Unternehmen, wie beispielsweise IBM, Fujitsu oder der deutschen Telekom, ist auch die x-ion GmbH am Projekt AUDITOR als assoziierter Partner aktiv beteiligt.
Das Projekttreffen diente unter anderem dem Zweck, den aktuellen Entwicklungsstand abzubilden und die zeitlich nachfolgenden Projektphasen aufzuzeigen. Herr Professor Rossnagel von der Universität Kassel erörterte beispielsweise die Akkreditierungspflicht nach Art. 43 Abs. 1 DSGVO und den sich daraus ergebenden Nachweisprozess einzelner Zertifizierungsstellen gegenüber der DAkks sowie einen Hinweis auf die abschließende Genehmigung und Akkreditierung des Projektes durch den Europäischen Datenschutzausschuss (EDSA).
Gegenstand der Veranstaltung war es ebenfalls, einzelne Voraussetzungen des Kriterienkataloges, welcher als Grundlage für eine spätere Zertifizierung dienen sollen, auf praxisorientierte Weise anzupassen und weitere Änderungen an dem Katalog einzuarbeiten. Im Vortrag der ecsec GmbH stand die Frage im Raum, wie das Thema Pseudonymisierung bei einem Identity-Management-Dienstleister in der Cloud abgebildet bzw. ob dies überhaupt umgesetzt werden kann.
In einem weiteren Vortrag hat die Projektleiterin für Datenschutz der DAkks Bezug genommen auf den aktuellen Verlauf des Akkreditierungsprozesses sowie dem damit verbundenen Abstimmungserfordernis mit den Datenschutzaufsichtsbehörden.
In diesem Zusammenhang wurde unter anderem das derzeit bestehende, unterschiedliche Datenschutzniveau der einzelnen Länder im europäischen Raum thematisiert und die Intention des AUDITOR-Projekts hervorgehoben, eine Vereinheitlichung bzw. Verstärkung des Datenschutzniveaus auf europäischer Ebene zu erreichen.
Vortrag der x-ion GmbH in Bezug auf die Zertifizierung
Im Rahmen der Veranstaltung bot sich auch für die x-ion GmbH die Gelegenheit, ein individuelles Feedback bezüglich der Umsetzung des Kriterienkataloges abzugeben.
Im Vortrag wurden die Aspekte der Pseudonymisierung und das allgemeine Löschen von Daten thematisiert, die ebenfalls Gegenstand des Kriterienkataloges sind. Im Fokus des Vortrages steht eine praktikable Anwendung der einzelnen Kriterien sowie die kritische Auseinandersetzung mit der Frage, ob im Falle einer pauschalen Pseudonymisierung eine Weiterverarbeitung der Daten möglich ist und inwiefern sich eine Pseudonymisierung potentiell auf die Performance der technischen Systeme auswirken kann, bzw. die Sinnhaftigkeit dieser Pseudonymisierung im Kontext von IaaS-Anbietern erörtert.
Zudem wurde sich mit der Frage auseinandergesetzt, unter welchen Voraussetzungen das Löschen von Daten in der Cloud möglich ist und unter welchen Voraussetzungen dies rechtskonform zu erfolgen hat.
In diesem Zusammenhang gilt es zu beachten, dass das Löschen von Daten grundsätzlich auf unterschiedliche Art und Weise erfolgen kann; werden Daten im logischen Sinne gelöscht, erfolgt lediglich eine Entfernung der Zugriffsmöglichkeit des Nutzers auf die Daten. Eine Löschung im physikalischen Sinne geht hingegen oft nur mit einer Vernichtung der jeweiligen Datenträger einher bzw. mit der anschließenden Weitergabe an ein zertifiziertes Entsorgungsunternehmen.
Alternativ besteht zwar die Möglichkeit, den Datenträger mehrfach durch entsprechende Tools überschreiben zu lassen, jedoch wird dieses Verfahren von einigen offiziellen Stellen nicht mehr als sichere Löschmethode angesehen. Hierbei ist allerdings zu beachten, dass eine physische Löschung regelmäßig mit der Erbringung eines nicht unerheblichen Aufwandes verbunden ist und eine Umsetzung generell im Cloud-Verbund nicht ohne Weiteres möglich ist.
In der Datenschutz-Grundverordnung findet sich keine Regelung, wodurch eine Löschung von Daten definiert bzw. konkreter spezifiziert wird. Für eine Zertifizierung auf Basis der DSGVO ist es dennoch sinnvoll, bestimmte Kriterien näher zu spezifizieren, wodurch eine einheitliche Umsetzung gewährleistet wird.