Die Cloud-Nutzung boomt weltweit und mit ihr die Fülle an Cloud-Service-Anbietern und Zertifizierungsstellen. Der gegenwärtige Markt gleicht einem Dschungel an Angeboten und Zertifizierungen. Gleichzeitig ergeben sich neue Anforderungen durch das Inkrafttreten der neuen EU-Datenschutz-Grundverordnung. Das Forschungsprojekt „AUDITOR“ will hier deshalb Klarheit und mehr Rechtssicherheit schaffen und gestützt auf Vorarbeiten aus dem „Trusted Cloud“-Technologieprogramm eine europaweit einheitliche Zertifizierung unter Einbindung der etablierten Normung entwickeln.
Ziel des Forschungsprojekts „AUDITOR“ ist die Konzeptionierung, exemplarische Umsetzung und Erprobung einer nachhaltig anwendbaren EU-weiten Datenschutzzertifizierung von Cloud-Diensten. Die Zertifizierung nach Maßgabe der EU-Datenschutz-Grundverordnung (DSGVO) ist im Interesse aller Beteiligten: der Cloud-Kunden, die nur mit solchen Cloud-Anbietern zusammenarbeiten dürfen, die hinreichende Garantien zur Einhaltung des Datenschutzes vorweisen können, der Cloud-Anbieter, die mit einer Zertifizierung ebendiese Sicherheit bieten können, der Prüf- und Zertifizierungsstellen, für deren Geschäftsfeld die DSGVO zwingende Regeln vorsieht, und der potentiell durch die Datenverwendungen betroffenen Endverbraucher, deren Schutz personenbezogener Daten im Mittelpunkt der Zertifizierung von Cloud-Diensten steht.Um eine nachhaltige Datenschutzzertifizierung zu konzipieren, wird zunächst ein Kriterienkatalog für die Zertifizierung von Cloud-Diensten nach der DSGVO entwickelt und eine entsprechende Standardisierung in Form einer DIN-Spezifikation angestrebt. Diese DIN-Spezifikation bildet die Grundlage für die Europäische Normung und die Entwicklung eines EU-weit anerkannten Datenschutz-Zertifizierungsschemas. Dies ist vor dem Hintergrund des europäischen Binnenmarkts sehr wichtig und Deutschland kann sich mit diesem Projekt und der DIN-Spezifikation entsprechend positionieren. Außerdem werden geeignete Organisationsstrukturen und Verfahren zur Durchführung der hier beabsichtigten Zertifizierung konzipiert. Hierzu zählt insbesondere auch die Spezifikation von modularen Zertifizierungs- und Auditierungsprozessen unter Berücksichtigung internationaler Standards. Um eine nachhaltige Verwendung und weitreichende Verbreitung von AUDITOR sicherzustellen, werden schließlich Geschäftsmodelle für ein nachhaltig erfolgreiches AUDITOR-Verfahren untersucht. Das erarbeitete Zertifizierungsverfahren und die im AUDITOR-Projekt erarbeiteten und für eine Standardisierung vorbereiteten Kriterien sollen sodann bereits während des Projektzeitraums in der Praxis erprobt und validiert werden.„Das Projekt AUDITOR soll die Vergleichbarkeit von Cloud-Diensten, die vonseiten der Unternehmen aus unterschiedlichen EU-Mitgliedstaaten angeboten werden, verbessern und damit Transparenz schaffen. Dies kommt vor allem den kleinen und mittelständischen Unternehmen aber auch größeren Unternehmen zugute, da durch eine nachhaltig anwendbare EU-weite Datenschutzzertifizierung von Cloud-Diensten nach Maßgabe der DSGVO neue Marktpotenziale erschlossen werden können. Wir arbeiten quasi im Interesse aller am Markt beteiligten Akteure an einer Weiterentwicklung, die maßgebliche Verbesserungen im Bereich der Zertifizierung von Cloud-Diensten mit sich bringt.“, berichtet Prof. Dr. Ali Sunyaev (Direktor am wissenschaftlichen Zentrum für Informationstechnikgestaltung (ITeG) der Universität Kassel). Das Projekt AUDITOR mit einem Gesamtvolumen von 1,7 Mio. Euro hat eine Laufzeit von zwei Jahren und ist am 01.11.2017 offiziell gestartet. Eine erste interne Kick-Off Veranstaltung wurde bereits am 08.11.2017 unter großer Beteiligung aller Projektpartner im Wissenschaftlichen Zentrum für Informationstechnik-Gestaltung (ITeG) der Universität Kassel abgehalten (siehe Foto).
Die folgenden Institutionen und Organisationen sind an dem Projekt beteiligt.Verbundkoordination:
Universität Kassel, Fachgebiet Wirtschaftsinformatik und Systementwicklung
Projektpartner:
- CLOUD&HEAT Technologies GmbH;
- datenschutz cert GmbH;
- DIN-Normenausschuss Informationstechnik und Anwendungen (NIA), DIN e.V.;
- ecsec GmbH;
- EuroCloud Deutschland_eco e.V., eco – Verband der Internetwirtschaft;
- Universität Kassel, Fachgebiet Öffentliches Recht mit Schwerpunkt Recht der Technik und des Umweltschutzes, Projektgruppe verfassungsverträgliche Technikgestaltung (provet)
Assoziierte Partner:
- Bundesamt für Sicherheit in der Informationstechnik (BSI);
- Fabasoft Austria GmbH;
- Hornetsecurity GmbH;
- PricewaterhouseCoopers GmbH Wirtschaftsprüfungsgesellschaft;
- SCOPE Europe b.v.b.a/s.p.r.l.;
- Kompetenznetzwerk Trusted Cloud e.V.;
- TÜV Informationstechnik GmbH;
- Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein;
- VOICE-Bundesverband der IT-Anwender e. V.