Zwischen Orientierungshilfe und Marketing-Gag
Zertifizierungen für Cloud-Anbieter
Wir haben 14 Cloud-Provider gefragt, wie sie die Datensicherheit ihrer Dienste für Unternehmenskunden belegen können. Zur Antwort erhielten wir Hinweise auf unterschiedlich aussagekräftige Zertifikate. Über den konkreten Prüfungsumfang wollte sich kaum ein Anbieter auslassen.
Wer personenbeziehbare Daten erfasst oder verarbeitet, muss gemäß Bundesdatenschutzgesetz (BDSG) eine Reihe datenschutzrechtlicher Vorgaben einhalten. Welche Gesichtspunkte dabei zu beachten sind, beschreiben die deutschen Datenschutzbehörden im „Handbuch zum Standard-Datenschutzmodell“ (SDM) vom Oktober 2015. Es bricht erstmals das gesamte Datenschutzrecht systematisch auf sieben gesetzlich begründete Schutzziele herunter [1].
Dies sind einerseits die drei klassischen Vorgaben, die aus der IT-Sicherheit bekannt sind: Vertraulichkeit, Integrität und Verfügbarkeit. Dazu kommen die vier Datenschutz-typischen Ziele Transparenz, Intervenierbarkeit, Nicht-Verkettbarkeit und Datensparsamkeit. Diese stellen vor allem auf Verfahrensabläufe ab. Intervenierbarkeit soll gewährleisten, dass der Auftraggeber die Datenverarbeitung jederzeit an neue Bedürfnisse anpassen kann, etwa an eine veränderte Rechtslage. Nicht-Verkettbarkeit schreibt vor, dass man an Daten, die für einen bestimmten Prozess erhoben worden sind, keinen anderen Prozess ankettet, zum Beispiel für Werbezwecke.