Bundesamt für Sicherheit in der Informationstechnik

C5 und Datenschutz

Zielgruppen

Das Thema "C5 und Datenschutz" richtet sich in erster Linie an Cloud-Anbieter, deren Kunden personenbezogene Daten in der Cloud verarbeiten. Cloud-Anbieter sind dadurch auch Auftragsdatenverarbeiter und müssen den Datenschutz (BDSG und künftig BDSG n.F. bzw. EU-DSGVO) nachweislich erfüllen.

Rolle: Cloud-Anbieter (primär), Cloud-Nutzer (sekundär)
Zielgruppe: Management (primär), Professionals (sekundär)

Inhalt

Cloud-Dienste verarbeiten häufig personenbezogene Daten, was rechtlich eine Auftragsdatenverarbeitung darstellt. Damit unterliegen diese Cloud-Dienste den Regelungen des Datenschutzes. Datenschutz und Informationssicherheit unterscheiden sich, aber sie überlappen auch stark. Die technischen und organisatorischen Maßnahmen (TOM) des Datenschutzes zielen wie die Maßnahmen der Informationssicherheit auf den Schutz der Daten zur Gewährleistung von Vertraulichkeit, Integrität und Verfügbarkeit. Der C5 stellt Sicherheitsanforderungen auf, die auch für den Datenschutz relevant sein können.

TCDP

Ziel des im Jahr 2015 abgelaufenen Förderprogramms "Trusted Cloud" des BMWi war es, eine Grundlage für eine Datenschutzzertifizierung für Cloud-Dienste gemäß BDSG zu schaffen. In einer einmaligen Konstellation arbeiteten Forschung, Datenschutzbehörden, Cloud-Anbieter und Cloud-Nutzer zusammen, um eine gemeinsame Lösung zu erzielen. So entstand TCDP, das Trusted Cloud Data Protection Profile (www.tcdp.de), das nun von der Stiftung Datenschutz (https://stiftungdatenschutz.org) verwaltet wird. Momentan basiert TCDP noch auf dem Bundesdatenschutzgesetz (BDSG), soll aber an die neue europäische Datenschutzgrundverordnung angepasst werden.

Vor allem bei den technischen und organisatorischen Maßnahmen (TOM) gibt es zwischen TCDP und C5 eine große Übereinstimmung. Die Referenzierung des TCDP auf den C5 zeigt, dass der C5 viele der Forderungen des TCDP abdeckt. So kann bei einem Audit nach C5 auf effiziente Weise eine Datenschutzzertifizierung nach TCDP mit durchgeführt werden. Die rechtliche Seite des Datenschutzes wird jedoch nicht vom C5 adressiert. TCDP und C5 ergänzen also einander und ermöglichen so Cloud-Anbietern neben dem Nachweis der Informationssicherheit auch den des Datenschutzes.
Neben TCDP gibt es noch weitere Datenschutzzertifikate, für die aber noch keine Referenzierungen auf den C5 vorliegen.

Download

Hinweis zur Verwendung von Cookies

Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen hierzu erhalten Sie in unserer Datenschutzerklärung.

OK