ausreichenden Maße beachtet wurde. Denn bereits in Bezug auf die „bloße“ Speicherung dieser Daten war die
Erforderlichkeit im Gesetzesentwurf nicht (hinreichend) belegt. Das vorgesehene Register sieht jedoch nunmehr
auch vor, Daten des Bewachungspersonals nicht nur verdachtsunabhängig zu speichern, sondern auch elektronisch auswertbar vorzuhalten.
Meine datenschutzrechtlichen Bedenken habe ich dem Ausschuss für Wirtschaft und Energie, dem Innenausschuss und dem Ausschuss für Recht und Verbraucherschutz mitgeteilt. Sie blieben im Wesentlichen jedoch
unberücksichtigt. Lediglich die Intervalle der regelmäßigen Überprüfung wurden von drei auf fünf Jahre angehoben. Die Verschärfungen des Bewachungsrechts traten am 1. Dezember 2016 in Kraft (BGBl. I, S. 2456).
17.2.3 Trusted Cloud - die dunklen Wolken verziehen sich
Mit der neuen Datenschutz-Grundverordnung wird ab 2018 europaweit ein Rechtsrahmen für Datenschutzzertifizierungen geschaffen. Das im Projekt „Trusted Cloud“ des Bundesministeriums für Wirtschaft und Energie (BMWi) entwickelte „Trusted Cloud Datenschutz Profil“ (TCDP) ist weiter gereift.
Zum Thema Cloud Computing habe ich in den vergangenen Tätigkeitsberichten (vgl. 25. TB Nr. 8.5 und 24. TB
Nr. 5.3) ausführlich berichtet und dabei zuletzt auch die geplante Datenschutzzertifizierung des „Trusted-Cloud
Projektes“ des BMWi angesprochen. Das TCDP bildet die gesetzlichen Anforderungen an eine Auftragsdatenverarbeitung in einen Prüfstandard ab und unterscheidet sich deshalb von sonstigen Datenschutzgütesiegeln.
Zudem hilft der modulare Aufbau erneute Überprüfungen von bereits zertifizierten Teilen zu vermeiden. Mitte
2016 wurde das TCDP in der Version 1.0 finalisiert und veröffentlicht. Hiermit können nun Cloud Dienste nach
dem Bundesdatenschutzgesetz zertifiziert werden. Bereits auf der CeBIT 2016 konnte als Testlauf der Methodik
ein erstes Zertifikat nach TCDP 0.9 ausgehändigt werden (siehe auch http://www.tcdp.de/).
Das Projekt „Trusted-Cloud“ habe ich in den letzten Jahren intensiv begleitet und dabei wiederholt deutlich
gemacht, wie wichtig das Thema für Datenschützer ist. Mit der Verwaltung der nun fertigen Dokumente ist die
Stiftung Datenschutz beauftragt worden; dies begrüße ich. Die eventuell notwendigen Anpassungen und die
Weitentwicklung des TCDP werde ich im Auge behalten.
Weiter hat das Bundesamt für Sicherheit in der Informationstechnik einen Anforderungskatalog zum Cloud
Computing entwickelt. Dieser richtet sich in erster Linie an professionelle Cloud-Diensteanbieter sowie deren
Prüfer und Kunden. Darin wird festgelegt, welche Anforderungen die Cloud-Diensteanbieter erfüllen müssen
bzw. auf welche Anforderungen sie mindestens verpflichtet werden sollten (siehe auch http://www.bsi.de).
In der vorliegenden Form setzt der Anforderungskatalog seinen Schwerpunkt in der Beurteilung der Informationssicherheit bei Cloud-Diensten, das TCDP seinen direkt bei § 9 BDSG und den technischen und organisatorischen Ma��nahmen. Der Anforderungskatalog des BSI referenziert daher nicht unmittelbar zu den - insbesondere
aus § 11 BDSG folgenden - datenschutzrechtlichen Anforderungen. Er erscheint mir aber als ein gut geeignetes
Instrument, um die rechtlichen Vorgaben aus § 11 BDSG inhaltlich mit Leben zu erfüllen. Danach muss sich
der Auftraggeber (Cloud-Kunde) vor Beginn der Datenverarbeitung und sodann regelmäßig von der Einhaltung
der erforderlichen technischen und organisatorischen Maßnahmen überzeugen und hat das Ergebnis zu dokumentieren. Diese Überprüfungs- und Dokumentationspflicht kann auch durch Zertifizierungen des Auftragnehmers (Cloud-Dienstanbieters) erreicht werden.
Die Datenschutz-Grundverordnung (DSGVO) enthält eine Regelung zur Zertifizierung. Die Zertifizierung nach
Trusted Cloud Datenschutz Profil entspricht den Prinzipien, die der Regelung der DSGVO zugrunde liegen.
Von den Projektbeteiligten wird daher angestrebt, die TCDP-Zertifizierung zu einer Datenschutz-Zertifizierung
auf der Grundlage der DSGVO weiterzuentwickeln. Dabei sollen TCDP-Zertifikate in einem vereinfachten
Verfahren in Zertifikate nach DSGVO überführt werden können. Zusätzlich kann das
TCDP-Schutzklassenkonzept als Grundlage für ein Schutzklassenkonzept einer künftigen Zertifizierung nach
DSGVO dienen. Daher kann ich bereits jetzt allen Cloud-Dienstanbietern eine Datenschutzzertifizierung auf der
Grundlage des TCDP empfehlen.
– 164 –
BfDI 26. Tätigkeitsbericht 2015-2016