1.
Erwartungen an die DSGVO ^
Die im April 2016 erlassene Datenschutz-Grundverordnung (DSGVO) wird ab Mai 2018 unmittelbar anwendbar sein. Damit gilt in der gesamten Union erstmals ein einheitliches Datenschutzrecht. Der Erlass der DSGVO wurde ganz überwiegend begrüßt, gar gefeiert, entsprechend wurden hohe Erwartungen formuliert. Ob die DSGVO wirklich ein Jahrhundertwerk ist, wird sich spätestens ab 2018 im Realitätstest zeigen. Aber ganz sicher ist die DSGVO ein Meilenstein in der Entwicklung des Datenschutzrechts. Dies gilt nicht nur für Europa, sondern weltweit, da schon jetzt absehbar ist, dass die DSGVO die datenschutzrechtliche Dikussion in vielen Ländern weltweit beeinflusst.
2.1.
Cloud Computing und Auftragsverarbeitung ^
Das Datenschutzrecht fängt diese Konstellation traditionell mit dem Instrument der Auftragsverarbeitung2 auf, das zu Recht die zentrale datenschutzrechtliche Grundlage für Cloud-Dienste darstellt.3 Bei der Auftragsverarbeitung wird die Weitergabe der Daten an den Dienstleister unter der Voraussetzung zugelassen, dass der Auftraggeber die Kontrolle über die beim Auftragnehmer erfolgende Datenverarbeitung hat und für diese rechtlich verantwortlich ist.
2.2.
Herausforderungen der Auftragsverarbeitung im Cloud Computing ^
Angesichts des beschriebenen Dreiecksverhältnisses gelten in der Auftragsverarbeitung besondere Regeln zum Schutz von Daten gegen unbefugten Zugriff. So sind sowohl der Verantwortliche als auch der Auftragsverarbeiter verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um ein angemessenes Schutzniveau bei der Datenverarbeitung zu gewährleisten (Art. 32 Abs. 1 DSGVO).
Im Ergebnis dürfte dies jedenfalls weitgehend Art. 17 Abs. 1 Datenschutz-Richtlinie entsprechen. Zwar sind die Regelungsschemata unterschiedlich: Art. 17 Datenschutz-Richtlinie erwähnt in Abs. 1 nur den Verantwortlichen als Adressaten der Pflicht zur Datensicherheit, macht aber in Abs. 2 klar, dass sich die Pflicht bei der Auftragsverarbeitung auf die Auswahl des Auftragsverarbeiters und eine Vergewisserung von der Vornahme der nach Abs. 1 geschuldeten Pflichten durch den Auftragsverarbeiter beschränkt. Dasselbe muss auch im Rahmen der DSGVO gelten, da der Verantwortliche seine eigene Pflicht nach Art. 32 Abs. 1 DSGVO nur dadurch erfüllen kann, dass er einen vertrauenswürdigen Auftragsverarbeiter auswählt und sich von der Einhaltung der geschuldeten Maßnahmen überzeugt.
In Deutschland sind die entsprechenden Pflichten des Verantwortlichen in § 11 Abs. 2 BDSG geregelt. Gemäß § 11 Abs. 2 S. 1 BDSG hat der Verantwortliche den Auftragsverarbeiter sorgfältig auszuwählen. Nach § 11 Abs. 2 S. 4 BDSG hat er sich regelmäßig von der Ordnungsgemäßheit der vom Auftragsverarbeiter getroffenen technischen und organisatorischen Maßnahmen zu überzeugen. Dies schließt nach h. M. grundsätzlich auch eine Überprüfung der technischen Maßnahmen des Auftragsverarbeiters vor Ort ein.4
2.3.
Effiziente Überwachung durch Zertifizierung ^
Die datenschutzrechtliche Prüfung und Zertifizierung wird daher zu Recht als Lösung dieses Problems angesehen.10 Der prominenteste deutsche Ansatz für eine solche Zertifizierung ist die Datenschutz-Zertifizierung nach dem Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP).
3.1.
Herausforderungen einer Compliance-Zertifizierung ^
Eine sogenannte «Compliance-Zertifizierung»13, die die Erfüllung konkreter gesetzlicher Anforderungen bestätigt, hat jedoch spezifische Vorgaben zu erfüllen: Insbesonderes muss sichergestellt sein, dass Prüfung und Zertifizierung die gesetzlichen Anforderungen abbilden und dass die Prüfanforderungen einheitlich und transparent sind (dazu sogleich 3.3.). Ferner ist sicherzustellen, dass das Verfahren der Prüfung und Zertifizierung den Anforderungen einer ordnungsgemäßen Zertifizierung entspricht, insbesondere müssen Prüfer und Zertifizierer unabhängig und fachlich kompetent sein (dazu unten 3.4.).14
3.2.
Trusted Cloud und Pilotprojekt «Datenschutz-Zertifizierung für Cloud-Dienste» ^
Die Aktivitäten zu den rechtlichen Rahmenbedingungen des Cloud Computing wurden in der vom Verfasser geleiteten und mit Vertretern aller maßgeblichen Stakeholder besetzten Arbeitsgruppe «Rechtsrahmen des Cloud Computing» zusammengefasst,16 deren Arbeitsergebnisse in einer Reihe von Papieren veröffentlicht wurden.17 Ein wesentliches Arbeitsergebnis stellt das Konzeptpapier «Datenschutzrechtliche Lösungen für Cloud Computing» von Oktober 2012 dar, in dem wesentliche Merkmale einer Datenschutz-Zertifizierung für Cloud-Dienste beschrieben wurden.18
Im Pilotprojekt «Datenschutz-Zertifizierung für Cloud-Dienste», an dem Vertreter der maßgeblichen Stakeholder, darunter insgesamt 7 Datenschutzbehörden, mitwirkten,19 wurden die wesentlichen Grundlagen einer Datenschutz-Zertifizierung entwickelt. Dazu gehört insbesondere ein Datenschutzstandard, das «Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP)», das zunächst in einer Version 0.9 im April 2015 veröffentlicht20 und sodann, auf der Grundlage einer Pilot-Zertifizierung und einer öffentlichen Anhörung, zur Vollversion TCDP 1.0 weiterentwickelt wurde.21 Daneben entstanden im Rahmen des Pilotprojekts eine Verfahrensordnung für Zertifizierungen nach dem TCDP22 sowie eine Reihe begleitender Papiere.23
3.3.
Abbildung gesetzlicher Datenschutzanforderungen durch einen Prüfstandard ^
Die Einbeziehung der ISO-Standards hat mehrere zentrale Vorteile: Die ISO 27000-Gruppe ist weltweit bekannt und eine wesentliche Richtschnur für die Praxis in vielen Staaten.32 Besonders vorteilhaft ist, dass die ISO mit dem 2014 veröffentlichten Standard ISO/IEC 27018 einen Standard entwickelt hat, dessen Ziel es ist, zentrale Anforderungen der Europäischen Datenschutz-Richtlinie umzusetzen.33 Die Zielsetzung von ISO/IEC 27018 ist also ganz ähnlich, wie die des TCDP.
3.4.
Die Verfahrensordnung für Zertifizierungen nach TCDP ^
Das Zertifikat ist im fünften Kapitel im Einzelnen geregelt. Der Inhalt des Zertifikats wird in § 5.1 detailliert beschrieben, ein Zertifikatsmuster (Anlage 1 der Verfahrensordnung) erleichtert die Erfüllung der Anforderungen. Das Zertifikat ist von der Zertifizierungsstelle zu veröffentlichen (§ 5.2). Das Zertifikat wird gemäß § 5.3 für eine Zeit von längstens drei Jahren ausgestellt, während der Laufzeit ist eine «Überwachung» (§ 5.4) in Form jährlicher Zwischenprüfungen erforderlich. Die Erteilung des Zertifikats berechtigt den Cloud-Anbieter, das TCDP-Prüfzeichen (Anlage 2) zu führen.
4.1.
Grundsätze der Datenschutz-Zertifizierung ^
Die DSGVO ist dem Konzept der Datenschutz-Zertifizierung, das dem TCDP zugrunde liegt, freundlich gesonnen: Anders als die Datenschutz-Richtlinie enthält die DSGVO in ihren Artt. 42 f. eine recht umfassende, gesetzliche Regelung zur Zertifizierung.
4.2.
Compliance-Zertifizierung für Auftragsverarbeitung ^
Entscheidende Voraussetzung für eine gesetzeskonforme Auftragsverarbeitung ist damit das Vorliegen der entsprechenden «hinreichenden Garantien». Insoweit enthält Art. 28 Abs. 5 DSGVO eine entscheidende Neuerung gegenüber der Datenschutz-Richtlinie. Danach kann die Einhaltung von Verhaltensregeln gemäß Art. 40 oder eines genehmigten Zertifizierungsverfahrens gemäß Art. 42 «als Faktor herangezogen werden», um hinreichende Garantien nachzuweisen.
Im Fall einer Zertifizierung nach dem Muster des TCDP, das auf einer Prüfung der gesetzlichen Anforderungen beruht, dürfte sich die Wirkung dahin verdichten, dass die Einsichtnahme in das Zertifikat zur Vergewisserung über das Vorliegen geeigneter Garantien im Sinne von Art. 28 Abs. 1 DSGVO ausreicht und somit der Cloud-Nutzer befugt ist, den Dienst des zertifizierten Cloud-Anbieters zu nutzen.
4.3.
Anforderungen an das Zertifizierungsverfahren ^
5.1.
TCDP-Zertifizierung und DSGVO ^
Dies schließt die Annahme nicht aus, dass TCDP 1.0 oder ein anderer Standard, etwa ISO/IEC 27018, als Umsetzung der Anforderungen der DSGVO an die technischen und organisatorischen Maßnahmen angesehen werden, zumal die Regeln der DSGVO insoweit rudimentär sind und eine Konkretisierung der Anforderungen fehlt. Vorzugswürdig gegenüber einer solchen Anerkennung bestehender Standards, die sich an der Datenschutz-Richtlinie orientieren, ist freilich die Entwicklung eines neuen Standards, der die Anforderungen der DSGVO möglichst präzise abbildet.
5.2.
Offene Fragen der Datenschutz-Zertifizierung nach DSGVO ^
Die DSGVO gibt der Kommission weitreichende Möglichkeiten, die Anforderungen an Zertifizierungen zu präzisieren. Gemäß Art. 43 Abs. 8 DSGVO kann sie Anforderungen an Zertifizierungsverfahren regeln. Darüber hinaus kann sie nach Art. 43 Abs. 9 DSGVO technische Standards sowie Mechanismen zur Anerkennung von Zertifizierungsverfahren festlegen. In der Literatur wird teilweise aus Gründen der Rechtssicherheit ein rasches Tätigwerden der Kommission befürwortet.45 Ob die Kommission von dieser Befugnis Gebrauch machen wird, ist derzeit noch unklar.46
Schließlich bestehen offene Fragen in Bezug auf das Grundanliegen der Zertifizierung für Cloud-Dienste, die Erleichterung der Überwachungspflicht der Cloud-Nutzer. Es ist anzunehmen, dass Zertifizierungsverfahren mit ganz unterschiedlichen Zielen und Inhalten den Status eines Europäischen Datenschutz-Gütesiegels anstreben werden. Es ist jedoch noch sehr offen, welche Bedeutung den verschiedenen Verfahren gemäß Art. 28 Abs. 5 DSGVO in Bezug auf die Pflicht zur Auswahl des Auftragsverarbeiters nach Art. 28 Abs. 1 DSGVO zukommen wird. Diese Frage werden vorerst die Aufsichtsbehörden und vor allem die Gerichte zu beantworten haben, da zweifelhaft ist, ob sich die Konkretisierungsbefugnis der Kommission im Hinblick auf die Anerkennung von Zertifizierungsverfahren nach Art. 43 Abs. 9 DSGVO auch auf die Ausgestaltung der Rechtsfolgen einer Zertifizierung – etwa im Rahmen von Art. 28 Abs. 5 DSGVO – erstreckt.
6.
Fazit ^
Im Bereich der Zertifizierung von Auftragsverarbeitern können die im Pilotprojekt «Datenschutz-Zertifizierung für Cloud-Dienste» erarbeitete Verfahrungsordnung und der Prüfstandard TCDP 1.0 eine taugliche Grundlage für die erforderliche Konkretisierung und Fortentwicklung der Datenschutz-Zertifizierung bilden.
- 1 Borges/Brennscheidt, in: Borges/Schwenk (Hrsg.), Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce, 2012, S. 43, 62; implizit auch Borges, in: Borges/Meents (Hrsg.), Cloud Computing, Rechtshandbuch, 2016, § 8 Rn. 40, 42.
- 2 Das BDSG verwendet – synonym – den Begriff der «Auftragsdatenverarbeitung».
- 3 Borges, in Borges/Meents (Fn. 1.), § 7 Rn. 1; ders., «Kooperation in der IT-Regulierung durch Zertifizierung», in: Schweighofer/Kummer/Hötzendorfer (Hrsg.), Kooperation/Co-Operation, Tagungsband des 18. Internationalen Rechtsinformatik Symposions IRIS 2015, S. 530; Gola/Klug/Körffer, in: Gola/Schomerus (Hrsg.), BDSG, 12. Aufl. 2015, § 11 Rn. 8; Kompetenzzentrum Trusted Cloud, Arbeitsgruppe «Rechstrahmen des Cloud Computing», Thesenpapier – Datenschutzrechtliche Lösungen für Cloud Computing, S. 5, These 2 S. 7 ff., abrufbar unter: http://www.digitale-technologien.de/DT/Redaktion/DE/Downloads/Publikation/Trusted-Cloud/trustedcloud-ap1-datenschutzrechtliche-loesungen.pdf; Petri, in: Simitis (Hrsg.), Bundesdatenschutzgesetz, 8. Aufl. 2014, § 11 Rn. 30; Weichert, DuD 2010, 679, 682 f.
- 4 Borges, DuD 2014, 165; ders., in: Bundesamt für Sicherheit in der Informationstechnik (BSI), Informationssicherheit stärken – Vertrauen in die Zukunft schaffen. Tagungsband zum 13. Deutschen IT-Sicherheitskongress, 2013, S. 16; Borges/Brennscheidt, in: Borges/Schwenk (Fn. 1), S. 43, 65; Kompetenzzentrum Trusted Cloud (Fn. 3), S. 8. Wohl auch Bergmann/Möhrle/Herb, BDSG, 50. EL 2016, § 11 Rn. 48a; Petri, in: Simitis (Fn. 3), § 11 Rn. 59; Wedde, in: Däubler/Klebe/Wedde/Weichert (Hrsg.), BDSG, 5. Aufl. 2016, § 11 Rn. 57; a.A. Gola/Klug/Körffer, in: Gola/Schomerus (Fn. 3), § 11 Rn. 20.
- 5 Borges, DuD 2014, 165, 166; Gola/Klug/Körffer, in Gola/Schomerus (Fn. 3), § 11 Rn. 21; Kompetenzzentrum Trusted Cloud (Fn. 3), S. 9; Schuster/Reichl, CR 2010, 38, 42; Selzer, DuD 2013, 215, 216.
- 6 Borges, DuD 2014, 165, 166; ders., in: Schweighofer/Kummer/Hötzendorfer (Fn. 3), S. 529, 531; ders., in: BSI (Fn. 4), S. 19; Golland, DSB 2014, 213; Kompetenzzentrum Trusted Cloud (Fn. 3), S. 9.; vgl. auch Bergmann/Möhrle/Herb (Fn. 4), § 11 Rn. 48b.
- 7 Prüfung und Zertifizierung sind regelmäßig zwei Rollen, die durch unterschiedliche Institutionen wahrgenommen werden. Siehe dazu auch unten 3.4.
- 8 Bergmann/Möhrle/Herb (Fn. 4), § 11 Rn. 48b; Borges, DuD 2014, 165, 166; ders., in: BSI (Fn. 4), S. 19 f.; Borges/Brennscheidt, in: Borges/Schwenk (Fn. 1), 67; Kompetenzzentrum Trusted Cloud (Fn. 3), These 5 S. 12.
- 9 Kompetenzzentrum Trusted Cloud (Fn. 3), S. 12 ff.; Selzer, DuD 2013, 215, 219; Borges, in: BSI (Fn. 4), S. 19 f.; ders., in: Borges/Meents (Fn. 1), § 7 Rn. 83.
- 10 Bergmann/Möhrle/Herb (Fn. 4), § 11 Rn. 48b; Borges, DuD 2014, 165, 166; Heckmann, in: Hill/Schliesky (Hrsg.), Innovationen im und durch Recht, 2010, S. 107; Hennrich, CR 2011, 546, 552; Borges/Brennscheidt, in: Borges/Schwenk (Fn. 1), S. 43, 67; Marnau/Schirmer/Schlehan/Schunter, DuD 2011, 333, 336; Schröder/Haag, ZD 2011, 147, 149; Selzer, DuD 2013, 215, 218 f.; Weichert, DuD 2010, 679, 683.
- 11 Die Stiftung Datenschutz zählt in ihrer – beispielhaften, nicht vollständigen – Übersicht mehr als 30 Gütesiegel und Zertifikate im Bereich Datenschutz auf; die Übersicht ist abrufbar unter https://stiftungdatenschutz.org/fileadmin/Redaktion/PDF/SDS-Zertifizierungsuebersicht-November_2016.pdf.
- 12 Siehe die Übersicht «Cloud-Standards und Zertifizierungen im Überblick» des Kompetenznetzwerks Trusted Cloud e.V., abrufbar unter https://www.trusted-cloud.de/sites/default/files/beitrag-cloud-standards_und_zertifizierungen_im_ueberblick.pdf; siehe ferner die Darstellung ausgewählter Zertifizierungen mit Aussagekraft für die Einhaltung datenschutzrechtlicher Vorgaben von Borges, in: Borges/Meents (Fn. 1), § 7 Rn. 78 ff.
- 13 Der Begriff wird zur Abgrenzung gegenüber unspezifischen Gütesiegeln vewendet in: Kompetenzzentrum Trusted Cloud, Pilotprojekt «Datenschutz-Zertifizierung für Cloud-Dienste», Nr. 12, «Thesenpapier – Eckpunkte eines Zertifizierungsverfahrens für Cloud-Dienste», S. 8.
- 14 Arbeitskreise Technik und Medien der Konferenz der Datenschutzbeauftragten des Bundes und der Länder, Orientierungshilfe Cloud Computing, Version 2.0, Ziff. 3, S. 10; Borges in: Borges/Meents (Fn. 1), § 7 Rn. 86; Kompetenzzentrum Trusted Cloud (Fn. 3), S. 13; Weichert, DuD 2010, 679, 683.
- 15 http://www.digitale-technologien.de/DT/Navigation/DE/Service/Abgelaufene_Programme/Trusted-Cloud/trusted-cloud.html.
- 16 Kompetenzzentrum Trusted Cloud (Fn. 3), S. 3.
- 17 Die Ergebnispapiere sind abrufbar unter: http://www.digitale-technologien.de/DT/Navigation/DE/Service/Abgelaufene_Programme/Trusted-Cloud/Rechtsrahmen/rechtsrahmen.html.
- 18 Kompetenzzentrum Trusted Cloud (Fn. 3).
- 19 Vgl. etwa Liste der Beteiligten in Kompetenzzentrum Trusted Cloud (Fn. 13), S. 22.
- 20 Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP) – Version 0.9, abrufbar unter: http://www.digitale-technologien.de/DT/Redaktion/DE/Downloads/Publikation/Trusted-Cloud/trustedcloud-datenschutzprofil-tcdp.pdf.
- 21 Trusted Cloud-Datenschutzprofil für Cloud-Dienste – Version 1.0, abrufbar unter: http://tcdp.de/data/pdf/TCDP-1-0.pdf.
- 22 Verfahrensordnung für Zertifizierungen nach dem Trusted Cloud-Datenschutzprofil für Cloud-Dienste (TCDP), abrufbar unter: http://tcdp.de/data/pdf/Verfahrensordnung-1-0.pdf.
- 23 Siehe dazu die Übersicht der veröffentlichten Begleitpapiere, abrufbar unter http://tcdp.de/index.php/start.
- 24 Vgl. TCDP – Version 1.0 (Fn. 21), S. 4; sowie schon TCDP – Version 0.9 (Fn. 20), S. 4 f.
- 25 TCDP – Version 1.0 (Fn. 21), S. 10 f.
- 26 Vgl. zur fehlenden Aussagekraft einzelner Gütesiegel und Zertifizierungen mit Einzelnachweisen Borges, in: Borges/Meents (Fn. 1), § 7 Rn. 79 ff.; speziell zu ISO/IEC 27001 auch Kraska, ZD 2016, S. 153.
- 27 Standard «Anforderungen an Auftragnehmer nach§ 11 BDSG» – Datenschutzstandard DS-BvD-GDD-01, abrufbar unter https://www.dsz-audit.de/wp-content/uploads/GDD-BvD-DATENSCHUTZSTANDARD-DS-BVD-GDD-01-V1-0.pdf.
- 28 Staub, DuD 2014, 159, 160.
- 29 DIN ISO/IEC 27018 Informationstechnik – Sicherheitsverfahren – Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Cloud-Diensten als Auftragsdatenverarbeitung (ISO/IEC 27018:2014).
- 30 DIN ISO/IEC 27002 Informationstechnologie – IT-Sicherheitsverfahren – Leitfaden für Informationssicherheits-Maßnahmen (ISO/IEC 27002:2013 + Cor. 1:2014 + Cor. 2:2015).
- 31 TCDP – Version 1.0 (Fn. 21), S. 4.
- 32 Borges, in: Schweighofer/Kummer/Hötzendorfer (Fn. 3), S. 533; vgl. ferner Conrad, in: Auer-Reinsdorff/Conrad (Hrsg.), Handbuch IT- und Datenschutzrecht, 2. Aufl. 2016, § 33 Rn. 306 ff.; Schmidl, in: Hauschka/Moosmayer/Lösler (Hrsg.), Corporate Compliance – Handbuch der Haftungsvermeidung im Unternehmen, 3. Aufl. 2016, § 28 Rn. 126 f.; speziell zur ISO 27001 Foitzick/Plankemann, CCZ 2015, 180, 183; ähnlich Kraska, ZD 2016, 153, der ISO 27001 als die derzeit vielversprechendste Norm für einen international anerkannten Standard bezeichnet.
- 33 Borges, in: Borges/Meents (Fn. 1), § 7 Rn 81.
- 34 Vgl. TCDP – Version 1.0 (Fn. 21), S. 5 f.
- 35 ISO/IEC 27017:2015 Information technology – Security techniques – Code of practice for information security controls based on ISO/IEC 27002 for cloud services.
- 36 TCDP – Version 1.0 (Fn. 21), S. 4 f.
- 37 TCDP – Version 1.0 (Fn. 21), S. 5 f.
- 38 TCDP Version 1.0 veröffentlicht, Meldung vom 4. Oktober 2016, auf der Webseite des TCDP, abrufbar unter: http://tcdp.de/index.php/aktuelles/14-tcdp-version-1-0-veroeffentlicht.
- 39 Verfahrensordnung TCDP (Fn. 22).
- 40 Vgl. Spindler, ZD 2016, 407, 410.
- 41 Spindler, ZD 2016, 407, 410.
- 42 Plath, in: Plath (Hrsg.), BDSG/DSGVO, 2. Aufl. 2016, Art. 18 Rn. 15.
- 43 Spindler, ZD 2016, 407, 412.
- 44 Martini, in: Paal/Pauly (Hrsg.), DSGVO, 2017, Art. 28 Rn. 69.
- 45 Hofmann, ZD-Aktuell 2016, 05324 (dort 6.).
- 46 Dies ist derzeit offenbar nicht geplant, vgl. Kipker/Dix, ZD-Aktuell 2016, 04197 unter Verweis auf die Äußerungen von Thomas Zerdick, stellvertretender Leiter des Referats C.3 (Schutz personenbezogener Daten) bei der Generaldirektion Justiz und Verbraucher der Europäischen Kommission.