Kanzlei Mitarbeiter Kontakt Impressum Datenschutz

Zertifizierungen für Cloud-Computing-Systeme und SaaS: Datenschutz und Compliance

3.12.2010 | Datenschutz und IT-Sicherheit | Cloud Computing und SaaS | von Carsten Gerlach

Zertifizierungen wie z.B. nach ISO 27001 oder SAS 70 / SSAE 16 / ISAE 3402 werden von Cloud-Computing- und SaaS-Anbietern ("Software as a Service") oft genutzt, um die Einhaltung rechtlicher und technischer Sicherheits- und Compliance-Anforderungen zu dokumentieren. Doch der praktische Nutzen von Zertifizierungen kann zweifelhaft sein - manchmal ist ein wohlklingendes Zertifikat nicht viel mehr als ein weiteres Marketing-Instrument des Anbieters. Für den Kunden kann sich ein Blick hinter die Kulissen lohnen.

Genauere Prüfung empfehlenswert


Grundsätzlich bieten Zertifizierungen einen Anhaltspunkt für Mindest-Qualitätsstandards des Anbieters.  Bei einer sorgfältigen Auswahl und Prüfung des Cloud-Computing- bzw. SaaS-Anbieters sollte der Kunde aber nicht nur das Vorliegen von Zertifizierungen "abhaken", sondern auch den Inhalt der Zertifizierung und die tatsächlichen Verhältnisse wenigstens ansatzweise näher prüfen.


Gerade Organisations- und Management-Zertifikate beschreiben manchmal leider nur den Idealzustand der zertifizierten Organisation, der in Wahrheit aber kaum so existiert.

 

Relevante Zertifizierungen bei Cloud Computing und SaaS


In Hinblick auf allgemeine Compliance-Anforderungen sind bei Cloud Computing und SaaS drei übergeordnete Themenbereiche für Zertifizierungen besonders bedeutsam:


  • IT-Sicherheit
  • Datenschutz
  • Ordnungsgemäßheit und Kontrolle der Durchführung der Datenverarbeitung

Zertifizierungen für IT-Sicherheit


IT-Sicherheitsmanagement - ISO27001

Die ISO27001-Zertifzierung betrifft das IT-Sicherheitsmanagement.  ISO27001 ist aus dem British Standard (BS) 7799-1 hervorgegangen. BS7799-1-Zertifzierungen sind daher nicht mehr als marktgängig anzusehen.

BSI-Grundschutz-Zertifikat

ISO27001-Zertifikate können auf Basis verschiedener Managementsysteme
ausgestellt werden, unter anderem auf Basis des IT-Grundschutz-Katalogs
des deutschen Bundesamts für Sicherheit in der Informationstechnik (BSI). Das BSI-Grundschutz-Zertifikat ist ein Zertifikat nach ISO27001, aber aufgrund der zusätzlich geprüften technischen Aspekte nach IT-Grundschutz umfassender als eine reine ISO 27001-Zertifizierung.

Das Grundschutz-Zertifikat ist 2 Jahre gültig und muß dann erneuert werden. Das BSI stellt die Zertifikate auf der Basis von Audit-Reports aus, die wiederum von BSI-zertifizierten Auditoren durchgeführt werden.  Ein gewisser Qualitätsstandard ist damit gesichert.

Überprüfungen empfehlenswert

Bei reinen ISO27001-Zertifikaten sollte sowohl der Auditor als auch der Inhalt des Audit-Berichts und das zugrundeliegende Managementsystem zumindest ansatzweise selber überprüft werden, je nach Bedeutung der Datensicherheit für die beim Anbieter verarbeiteten bzw. gespeicherten Daten.

IT-Sicherheit bedeutet nicht Datenschutzkonformität!

Die ISO27001- und IT-Grundschutz-Zertifizierungen erlauben keinen
zwingenden Rückschluß auf die Datenschutzkonformität der Datenverarbeitung nach § 9 BDSG. Ein funktionierendes und zertifiziertes Sicherheitsmanagement deckt zwar einen großen Teil der technischen und organisatorischen Anforderungen des § 9 BDSG in Hinblick auf die Datensicherheit ab, erfaßt aber nicht alle datenschutzrechtlich relevanten Aspekte (z.B. Trennungsgebot, Auftragskontrolle,
Eingabekontrolle).


Zertifizierungen für Datenschutz


Ergänzend können daher Datenschutzaudits und Datenschutz-Zertifizierungen
entsprechend § 9a BDSG in Betracht kommen. Ein "Auditgesetz" (wie in § 9a BDSG vorgesehen) gibt es zwar nicht. Dennoch bieten diverse private Stellen Datenschutz-Zertifizierungen "nach BDSG" an.

Da öffentlich akkreditierte Zertifizierungsstellen fehlen, läßt sich ohne nähere
Betrachtung allenfalls anhand des Renommees des Auditors abschätzen, wie
ernsthaft die Auditierung und damit die Zertifizierung betrieben wurde oder ob es sich ganz oder teilweise um ein Gefälligkeitszertifikat handelt.


Compliance-Zertifikate


SAS 70 Typ II / SSAE 16 / ISAE 3402 - SOX-Compliance

Eine Zertifizierung nach SAS 70 Typ II / SSAE 16 findet in Hinblick auf SOX-Compliance statt, wenn die Funktionalität der in die Cloud ausgelagerten Prozesse für das financial reporting des Unternehmens relevant ist.

SSAE 16 hat im Juni 2011 den bis dahin gültigen SAS70-Standard abgelöst. Mit ISAE3402 ist im Juni 2011 ein weiterer, ähnlicher internationaler Standard in Kraft getreten.

Sec. 404 SOX (Sarbanes Oxley Act) erfordert ein internes Kontrollsystem ("ICoFR-Prinzipien" - Interne Kontrolle über die Finanzberichterstattung). In Hinblick auf die IT ist sicherzustellen und nachzuweisen, daß alle relevanten Finanzdaten vollständig und richtig sowie die zugrundeliegenden IT-Prozesse ordnungsgemäß sind.

SAS 70 / SSAE 16 / ISAE3402 zertifiziert in Hinblick darauf das interne Kontrollsystem des Cloud-Anbieters für die auf den Anbieter ausgelagerten Funktionen. Die Zertifizierung bestätigt die Einhaltung und Kontrolle definierter Prozesse bei der Informationsverarbeitung durch den SaaS- bzw. Cloud-Computing-Anbieter.

IDW PS951, IWP-PE14, GzA18 PS402

Es gibt diverse länderspezifische Standards, die mit SAS70 vergleichbar  sind (zB Deutschland: IDW PS951, Österreich: IWP-PE14, Schweiz: GzA18 PS402). Diese Standards und darauf beruhende Zertifizierungen sind zwar grundsätzlich äquivalent. Bei internationalen Unternehmen, inbesondere wenn SOX-Compliance relevant sein sollte, ist aber SAS 70 / SSAE 16 vorzuziehen - nicht zuletzt wegen der englischen Berichtssprache und der internationalen Bekanntheit des SAS70-Standards (bzw. des Nachfolgers SSAE 16).

Unterschiedliche Berichtstypen (SAS 70 / SSAE 16 Typ I, Typ II)

Sowohl bei SSAE16 / SAS70 / ISAE3402 als auch bei den länderspezifischen Standards existieren zwei Berichtstypen (A/B oder I/II): Berichtstyp A umfaßt die Bescheinigung zur Darstellung und Angemessenheit des eingerichteten internen Kontrollsystems, Berichtstyp B ergänzend die Wirksamkeit ("operating effectiveness").

Praktischer Nutzen der SAS 70 / SSAE 16 / ISAE 3402- Zertifizierung

Eine SAS70 / SSAE16 / ISAE3402 - Zertifizierung des Cloud-Computing- bzw. SaaS-Anbieters ist in jedem Fall anzuraten, wenn die ausgelagerten Funktionen für das financial reporting des Kunden relevant sein könnten.

Nähere Prüfung empfehlenswert

Allerdings ist die tatsächliche und praktische Aussagekraft der Zertifizierungen (SAS70 / SSAE16 / ISAE3402 / IDW PS 951) begrenzt. Sowohl SAS 70 / SSAE 16 / ISAE 3402 als auch IDW PS951 sind reine Prozeßzertifizierungen. SAS70/SSAE16 stellen keine vordefinierten Maßnahmen und Prüfkataloge zur Verfügung. Die Qualität der Zertifizierung hängt daher wesentlich von der Festlegung des Prüfungsauftrags und der Qualität des Auditors ab.

Inhaltlich orientiert sich der Prüfkatalog meistens am CobiT- oder ITIL-Referenzmodell. Bei einer Zertifizierung sollte der Prüfkatalog bzw. Prüfauftrag daher zumindest ansatzweise inhaltlich überprüft werden. Auch sollte darauf  geachtet werden, daß der Auditor über eine gute Reputation verfügt.


28.03.2024

Ausgezeichnet


JUVE-Handbuch 2016/2017 empfiehlt erneut TCI Rechtsanwälte

mehr

 

Datenschutzgrundverordnung (DSGVO)

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Wir beraten Sie zu den neuen Anforderungen, den drohenden Risiken und zur der Umsetzung erforderlicher Maßnahmen zur Gewährleistung der Datenschutz- Compliance.

mehr

 

IT-Beschaffung und Ausschreibung

Sie finden bei uns Informationen zur Ausschreibung und Beschaffung von Software durch die öffentliche Hand - z.B. Beschaffung von Gebrauchtsoftware, Open-Source-Software oder über Rahmenverträge.

mehr

 

Aktuelle Veröffentlichungen

Carsten Gerlach, Sicherheitsanforderungen für Telemediendienste - der neue § 13 Abs. 7 TMG, in: CR 2015, 581


Carsten Gerlach, Personenbezug von IP-Adressen, in: CR 2013, S. 478


Carsten Gerlach, Vergaberechts- probleme bei der Verwendung von Open-Source-Fremdkomponenten, in: CR 2012, S. 691


Michael Karger,
BGH: "Handlungsanweisung" für Hostprovider bei möglicherweise persönlichkeitsrechtsverletzendem Blogbeitrag, in: GRUR-Prax 2012, S. 35

 

IT-Recht im beck-blog

blog zum IT-Recht von Dr. Michael Karger im Experten-blog des Verlags C.H. Beck