Checkliste: Welche Daten sollen und dürfen in die Cloud? Identifikation der Daten und Prozesse

München, Starnberg, 13. März 2018 - Exklusives Whitepaper zu den Anforderungen an einen sicheren Datenraum mit Hinweisen zur EU-DSGVO...

Zum Hintergrund: Zum Thema Virtuelle Datenräume hat die Uniscon GmbH nach 2016  ein neues und topaktuelles Whitepaper in Form einer Checkliste entwickelt. Darin werden die wichtigsten Aspekte, die Unternehmen bei der Auswahl und Einführung eines virtuellen Datenraums in der Cloud beachten sollten, beleuchtet. In einem gesonderten Abschnitt geht das Dokument dabei auch auf die Anforderungen im Rahmen der EU-DSGVO ein.

Die Uniscon GmbH - ein Unternehmen der TÜV SÜD-Gruppe - ist als führender Experte des „Sealed Cloud Computing“ in Deutschland bekannt. Mit iDGARD wird ein betreibersicherer Cloud-Dienst angeboten, der nach dem Trusted Cloud Datenschutzprofil (TCDP) des BMWi in der Schutzklasse III zertifiziert wurde und damit auch für Berufsgeheimnisträger nach $ 203 StGB geeignet ist.


Unser besonderer Service: Als registrierter Benutzer unserer Webseite können Sie unter folgendem Link exklusiv das neue Uniscon GmbH Whitepaper „Checkliste-Datenraum 2018“ als PDF herunterladen...


Welchen Nutzen bringt ein virtueller Datenraum?

  • Virtuelle Datenräume finden durch sinkende Kosten für Cloud-Dienstleistungen Interesse bei einem breiteren Kundenkreis, denn Revisionssicherheit ist eine Grundvoraussetzung bei Prüfprozessen, Due Diligence, der Archivierung in Entwicklungsprozessen oder bei Verfahrensdokumentation. Findet eine projektbezogene Zusammenarbeit dabei online statt, wird ein virtueller Datenraum benötigt. Uniscon - Anbieter einer "versiegelten Cloud-Infrastruktur" (sealed cloud), stellt hierzu ein geschütztes Datenraum-Angebot mit eigenem Journal im Rahmen seiner Lösung iDGARD zur Verfügung.

Welche Technik wird verwendet?

  • Die iDGARD zu Grunde liegende Technologie "sealed cloud" verhindert den Zugriff zu den physischen Signalen während der Verarbeitung. Die Daten werden dabei so verschlüsselt gespeichert, dass aufgrund der Schlüsselverteilung die Betreiber des Dienstes und der Infrastruktur die Daten selbst nicht lesen können. Macht sich jemand an einem Server-Rack des Sealed-Cloud-Datenraums zu schaffen, erkennt die Hardware den Versuch, fährt betroffene Server sofort herunter und vernichtet alle darauf gespeicherten Daten. Sämtliche Daten werden zuvor verschlüsselt im Data Center von Uniscon abgelegt; der Provider selbst hat keinen Zugriff auf die von den Nutzern verwendeten Schlüssel (an der Sealed Cloud Entwicklung waren neben Uniscon auch das Institut Fraunhofer AIESEC und die Firma SecureNet beteiligt).


Hier ein Auszug aus dem Dokument zum Bereich „Nachweis der Erfüllung von gesetzlichen Anforderungen an sichere Cloud-Dienste“

Praxistipp:

Um beurteilen zu können, ob ein Dienst die Artikel 25 und 32 der DSGVO erfüllt, kann laut Art 25, Absatz 3 ein „genehmigtes Zertifizierungsverfahren gemäß Artikel 42 (...) als Faktor herangezogen werden, um die Erfüllung der in den Absätzen 1 und 2 des vorliegenden Artikels genannten Anforderungen nachzuweisen.“

Im Klartext heißt das: Mit einem passenden Zertifikat können Cloud-Anbieter nachweisen, die gesetzlichen Anforderungen an sichere Cloud-Dienste erfüllt zu haben. Nutzer wiederum kommen damit ihrer Kontrollpflicht nach.

Bisher (Stand: Januar 2018) ist kein einheitliches Zertifikat vorhanden. Es gibt jedoch Zertifizierungen wie das TCDP, das unter der Schirmherrschaft des BMWi für die DSGVO entwickelt wurde und auf anerkannten Standards wie ISO 27001 / ISO 27018 aufbaut.

Mit Wirksamwerden der DSGVO im Mai 2018 soll eine Re-Zertifizierung des TCDP nach dem Anforderungskatalog der DSGVO erfolgen um zu einem europäischen Zertifikat gemäß Artikel 42 DSGVO ausgebaut zu werden.

Ein Nachfolgeprojekt des TCDP ist das Forschungsprojekt AUDITOR. Ziel des Projekts ist die Umsetzung einer EU-weiten Datenschutzzertifizierung für Cloud-Dienste nach den Anforderungen der DSGVO ist. Ein erster Katalog mit Zertifizierungskriterien soll bis Ende April 2018 fertiggestellt sein.

Was bedeutet das für Sie Nutzer eines virtuellen Datenraums?

Treffen Sie schon heute eine Entscheidung, die auch nach dem Inkrafttreten der EU-DSGVO richtig ist und wählen Sie Dienste aus, die mit dem TCDP versehen sind. Eine Auswahl finden Sie hier... https://tcdp.de/index.php/zertifizierung/zertifizierte-dienste


Abb. 1: Anwender-Referenz /Kundenzitat, iDGARD (Bildquelle: Uniscon / TÜV Süd)


Weitere Informationen > YouTube Videolink zur iDGARD Lösung