Erst Safe Harbor, jetzt Privacy Shield – der europäische Gerichtshof (EuGH) hat das Abkommen zum Thema Datenschutz zwischen den USA und Europa gekippt. Ein Urteil mit weitreichenden Folgen, denn nun müssen Unternehmen bei der Wahl ihres Cloud-Anbieters ganz genau hinsehen. Wer personenbezogene Daten bei einem Anbieter aus Übersee verarbeitet, kann sich nicht mehr auf Privacy Shield berufen, das die Einhaltung europäischer Datenschutzstandards auch außerhalb der EU sicherstellen sollte.

Doch die Compliance-Standards von Cloud-Anbieter richtig einzuschätzen, ist für Unternehmen oftmals eine echte Herausforderung. Eine Orientierungshilfe bietet beispielsweise der C5-Kriterienkatalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Katalog listet Kriterien, die Cloud-Anbieter erfüllen sollten, um sichere Datenverarbeitung gemäß DSGVO zu ermöglichen. Laut der aktuellen Version BSI C5:2020 müssen Cloud-Provider außerdem zwei neue Bereiche von Sicherheitskriterien nachweisen. Der Bereich „Produktsicherheit“, abgeleitet aus dem 2019 in Kraft getretenen EU Cybersecurity Act, berücksichtigt Anforderungen, wie Nutzer Cloud-Dienste einsetzen, statt nur – wie bisher – die Sicherheit der Cloud-Plattformen selbst zu betrachten.

Darüber hinaus müssen Cloud-Anbieter mit Einführung des Bereichs „Umgang mit Ermittlungsanfragen staatlicher Stellen“ nun nachvollziehbar nachweisen, wie sie mit staatlichen Anfragen zur Herausgabe von Daten umgehen. Ein Kriterium, das US-Anbieter nach dem EuGH-Urteil aktuell nicht erfüllen können, weil sie unabhängig von dem Standort ihrer Rechenzentren an US-Recht gebunden sind.

Die Open Telekom Cloud, das Public-Cloud-Angebot der Telekom, unterliegt ausschließlich deutschem Recht. Unternehmen können daher zweifelsfrei Daten in der Open Telekom Cloud DSGVO-konform verarbeiten.

Doch was genau hat es eigentlich mit dem BSI-C5-Katalog auf sich? Mit dem Prüfkatalog möchte das BSI Unternehmen eine Orientierung im Zertifikate-Dschungel bieten. „Aktuell sind mehr als 400 Zertifikate, Testate und Wirtschaftsprüfer-Reports auf dem Markt vorhanden“, sagt Daniel Fussy, Security & Privacy Consultant bei T-Systems. „Um eine einheitliche Prüfsprache in Europa zu sprechen, hat das BSI amtlich mit dem Anforderungskatalog BSI C5 einen Mindeststandart für Deutschland festgelegt. Behörden, öffentliche Träger sowie deren Partner und Zulieferer sind nun aufgefordert, bei Ausschreibungen einen Anbieter zu wählen, der seinen Cloud-Services gemäß den Kriterien des BSI C5 Anforderungskatalogs geprüft hat.“

Der Open Telekom Cloud bescheinigt seit 2018 ein Testat jedes Jahr aufs Neue höchste Sicherheit und bestmögliche Voraussetzungen für DSGVO-konforme Datenverarbeitung. „Die aktuellen Diskussionen um den Privacy Shield sowie um den Umgang mit sensiblen Daten wie bei der Corona-Warn-App unterstreichen die Bedeutung des Themas Datenschutz und Datensicherheit für Cloud-Dienste gerade im europäischen Umfeld“, sagt Daniel Fussy.  

Für den umfassenden Test eines unabhängigen Prüfers wird die Open Telekom Cloud in einer zehnmonatigen Prüfphase jedes Jahr auf die Probe gestellt. Darüber hinaus werden inzwischen außerdem die erweiterten Kriterien basierend auf dem Prüfprotokoll SOC 2 Typ 2 geprüft. „Anbieter wie die Open Telekom Cloud, die gemäß BSI C5 basierend auf SOC 2 Typ 2 geprüft wurden, bieten einen noch umfassenderen Nachweis über den Datensicherheits- und Datenschutzstandard“, sagt Daniel Fussy.

Darüber hinaus strebt das BSI eine neue rechtskonforme Datenschutz-Zertifizierung für definierte Cloud-Dienste an. Dabei geht es um eine Weiterentwicklung der bestehenden Zertifizierung „Trusted Cloud Datenschutz-Profil“ (TCDP), die die Open Telekom Cloud als einer der ersten Cloud-Anbieter in Deutschland bereits 2017 erhielt. Der neue Sicherheitsstandard wird voraussichtlich gegen Ende des Jahres als akkreditiertes Zertifikat „Auditor“ zur Verfügung stehen. Daniel Fussy: „Die Open Telekom Cloud ist eine der größten Cloud-Lösungen in Europa, die auf die Open-Source-Technologie OpenStack aufbaut. Mit dem Nachweis, dass wir unseren Cloud-Dienst regelmäßig nach den Kriterien von BSI C5 auf Basis SOC 2 Typ 2 prüfen, erhalten wir erneut die Bestätigung, dass unser Cloud-Dienst zu den sichersten der Welt gehört.“ Europäische Unternehmen haben damit eine unabhängige und sichere Alternative zu US-amerikanischen Anbietern.

Das IaaS-Angebot Open Telekom Cloud kommt aufgrund der mehrfach zertifizierten, hochsicheren Rechenzentren in Deutschland bereits bei unzähligen Institutionen und Unternehmenskunden zum Einsatz – vom Start-up über den Mittelständler oder den Konzern bis zum Kernforschungsinstitut CERN oder als Basis für die Corona-Warn-App der Bundesregierung.