Europa braucht endlich eine Datenschutz-Zertifizierung
Ein Beitrag von Claus-Dieter Ulmer, Konzernbeauftragter für den Datenschutz und Senior Vice President Group Privacy.
Cloud-Dienste aller Art sind in Zeiten von Corona so stark nachgefragt wie noch nie. Videokonferenzen, Lernplattformen oder Speicherdienste in der Cloud ermöglichen erst Homeoffice, Homeschooling und trotz Distanz in Kontakt zu bleiben. Viele Verbraucher, aber auch so manche Unternehmen, stehen dabei teilweise zum ersten Mal vor der Frage, welche Dienste sie hierfür nutzen. Viele digitale Angebote setzen bereits heute Datenschutz und Datensicherheit vorbildlich um. Aber eben leider nicht alle. Hierbei die richtige Entscheidung für einen datenschutzfreundlichen Dienst zu treffen ist nicht immer ganz einfach.
Und das obwohl die Europäische Datenschutz-Grundverordnung (DSGVO) sicherstellt, dass jedenfalls europäische Angebote ein hohes Datenschutzniveau gewährleisten müssen. Doch noch erkennen Verbraucher selten auf den ersten Blick wo ein Dienst herkommt. Die Datenschutzhinweise sind oft kompliziert und werden – Hand auf’s Herz – von den wenigsten gelesen. Helfen könnte eine deutliche Kennzeichnung. Ähnlich wie ein TÜV-Siegel. Eine offiziell vergebene Zertifizierung nach DSGVO-Standards, die prüft und bestätigt, dass die Datenschutzbestimmungen eingehalten werden.
Und nicht nur Endverbrauchern gibt ein solches Zertifikat Orientierung. Unsere Großkunden legen höchsten Wert auf Datenschutz. Wenn wir unsere Cloud-Lösungen zertifizieren können, bietet dies einerseits unseren Kunden zusätzliche Sicherheit. Andererseits europäischen Produkten einen Wettbewerbsvorteil gegenüber internationalen Anbietern.
AUDITOR-Standard als Datenschutz-Zertifikat
Das Bundeswirtschaftsministerium hat zusammen mit Wissenschaft und Wirtschaft einen Standard für solch eine Zertifizierung von Cloud-Diensten nach der DSGVO geschaffen. Auch wir als Deutsche Telekom haben uns an der Entwicklung beteiligt. Der Standard AUDITOR ist seit Herbst letzten Jahres fertig. Dieses Datenschutz-Zertifikat bedeutet, dass eine externe Kontrollstelle (zum Beispiel DEKRA oder TÜV) die Einhaltung der Anforderungen überprüft und bestätigt. Was fehlt ist die Anerkennung dieses Standards von deutschen Akkreditierungs- und Aufsichtsbehörden. Bereits vor vier Jahren hat das Bundeswirtschaftsministerium mit der Initative Trusted Cloud die Entwicklung eines Datenschutzzertifikats für Cloud-Dienste angestoßen. Daraufhin ist zunächst das Trusted Cloud Datenschutzprofil von Wirtschaft und Wissenschaft fertiggestellt worden und dann der AUDITOR Standard. Entsprechende Prüfkriterien für diese Standards haben die Behörden aber bis heute nicht erarbeitet. Wenn deutsche Cloud-Produkte dauerhaft wettbewerbsfähig sein sollen, brauchen wir schnell eine Anerkennung durch die Aufsichtsbehörden.
Ich halte es daher für zwingend erforderlich, dass die deutschen Behörden nun endlich zu Ergebnissen kommen. In Zeiten von Corona arbeiten und lernen Erwachsene, Kinder und Jugendliche vorwiegend mit digitalen Cloud-Diensten. Ganze Wirtschaftszweige sind ins Homeoffice umgezogen und teilen noch mehr Daten online als bisher. Die Welt erlebt einen Digitalisierungsschub. Wir dürfen diesen Moment nicht verstreichen lassen, ohne auch das Datenschutzniveau zu heben. Im Interesse des Datenschutzes brauchen wir jetzt verlässliche Zertifizierungen.
Zusammenarbeit mit GAIA-X
Wir dürfen diese Chance für den europäischen Wettbewerbsvorteil nicht verpassen. Deswegen ist es gut, dass AUDITOR mit dem europäischen Cloud-Projekt „GAIA X“ des Bundeswirtschaftsministeriums kooperiert. GAIA-X ist ein Projekt zum Aufbau einer leistungs- und wettbewerbsfähigen, sicheren und vertrauenswürdigen Dateninfrastruktur in Europa. In der Präambel von GAIA-X ist der erst genannte Punkt die Einhaltung des europäischen Datenschutzes. Eine anwendbare Datenschutzzertifizierung ist daher essenziell. Die Arbeitsgruppe „Zertifizierung“ des GAIA-X-Projekts hat für Netzknoten und Services von GAIA-X, die für „substanzielle“ Dienste ausgelegt sind und personenbezogene Daten verarbeiten, eine DSGVO-Zertifizierung als Voraussetzung definiert. AUDITOR ist zurzeit das reifste europäische Zertifizierungsvorhaben im Datenschutz. Die Kooperation von AUDITOR und GAIA-X ist daher ein Gewinn für den europäischen Datenschutz.
Das ist ein guter und wichtiger Schritt. Nun muss die Zertifizierung von Cloud-Diensten folgen. Deswegen zertifizieren wir unsere Telekom Cloud-Lösungen Open Telekom Cloud und auch unsere vCloud-Services aktuell im Rahmen eines Piloten nach dem fertigen AUDITOR-Standard. Unabhängig von der fehlenden Anerkennung durch die Behörden. Die Open Telekom Cloud war übrigens bereits Prototyp bei der Entwicklung des Vorgängerstandards TCDP und als Leuchtturm die erste deutsche Cloud mit TCDP-Datenschutz- & BSI-Zertifizierung. Ich wünsche mir im Sinne des Datenschutzes, dass mit Abschluss der Pilotzertifizierung auch die Prüfkriterien der deutschen Behörden erarbeitet sind. Die DSGVO war eine wichtige Errungenschaft für den Datenschutz in Europa. Zwei Jahre nach ihrer Einführung brauchen Deutschland und Europa endlich eine Datenschutz-Zertifizierung.
