Advertisement

European Cloud Service Data Protection Certification

  • Ayşe Necibe BatmanEmail author
Chapter
Part of the Information Technology and Law Series book series (ITLS, volume 32)

Abstract

Cloud computing is both an economically promising and an inevitable technology. Nevertheless, some deployment models can be a source of risk in terms of the protection of personal data. The risks of data loss and data breach hold private entities back from using cloud services. Articles 42 and 43 of the EU General Data Protection Regulation (GDPR) provide a new auspicious framework for certification mechanisms to detect and to be able to minimize these risks. However, these articles do not specify any criteria for certification mechanisms and are also technology-neutral. To be implementable, the certification criteria ought to be defined and a transparent procedure needs to be established. An effective data protection certification mechanism can serve to build trust and resolve the existing uncertainties limiting the broader usage of cloud services: certification implies a presumption of conformity with regulatory standards, and may be seen as an indicator of quality, which can lead to a distinction on the market. This chapter will summarize the author’s research during her collaboration in the research project AUDITOR for the development of a catalogue of criteria according to the GDPR.

Keywords

data protection certification cloud computing GDPR certification object and criteria legal clarity regulated self-regulation 

References

  1. Baldwin B, Cave M, Lodge M (eds) (2012) Understanding Regulation. Theory, Strategy and Practice, 2nd edn. Oxford University Press, USAGoogle Scholar
  2. Batman AN (2018) Die Datenschutzzertifizierung von Cloud-Diensten nach der EU-DSGVO. In: Taeger J (ed) Rechtsfragen digitaler Transformationen – Gestaltung digitaler Veränderungsprozesse durch Recht. Tagungsband Herbstakademie 2018, OlWIR Oldenburger Verlag für Wirtschaft, Informatik und Recht, Edewecht, pp 87–101Google Scholar
  3. Bergt M (2016) Die Bedeutung von Verhaltensregeln und Zertifizierungen nach der DSGVO. In: Taeger J (ed) Smart World - Smart Law? Weltweite Netze mit regionaler Regulierung. Tagungsband Herbstakademie 2016, OlWIR Oldenburger Verlag für Wirtschaft, Informatik und Recht, Edewecht, pp 483–489Google Scholar
  4. Bergt M (2017) Art. 42. In: Kühling J, Buchner B (eds) DSGVO-Kommentar. C.H. Beck, MunichGoogle Scholar
  5. Bock K (2016) Data Protection Certification: Decorative or Effective Instrument? Audit and Seals as a Way to Enforce Privacy. In: Wright D, De Hert P (eds) Enforcing Privacy, Chapter 15, Springer International Publishing, pp 335–356Google Scholar
  6. Borges G, Brennscheidt K (2012) Rechtsfragen des Cloud Computing – ein Zwischenbericht. In: Borges G, Schwenk J (eds) Daten- und Identitätsschutz in Cloud Computing, E-Government und E-Commerce. Springer, Berlin/Heidelberg, pp 43–77Google Scholar
  7. Borges G, Meents J (eds) (2016) Cloud Computing. Rechtshandbuch. C.H. Beck, MunichGoogle Scholar
  8. Buch MS, Gebauer L, Hoffmann H (2014) Vertrauen in Cloud Computing schaffen - Aber wie? Wirtschaftsinformatik & Management, 03/2014, pp 67–77Google Scholar
  9. Bundesamt für Sicherheit in der Informationstechnik (BSI) (2018) C5-Compliance Controls Catalogue (C5). Available via https://www.bsi.bund.de/EN/Topics/CloudComputing/Compliance_Controls_Catalogue/Compliance_Controls_Catalogue_node.html. Last accessed 16 August 2018
  10. Burri M, Schär R (2016) The Reform of the EU Data Protection Framework: Outlining Key Changes and Assessing Their Fitness for a Data-Driven Economy. Journal of Information Policy, Vol. 6 (2016), pp 479–511, available via http://www.jstor.org/stable/10.5325/jinfopoli.6.2016.0479. Last accessed 16 August 2018
  11. Buttarelli G (2016) The EU GDPR as a clarion call for a new global digital gold standard. International Data Privacy Law, 2016, Vol. 6, No. 2, pp 77–78Google Scholar
  12. De Hert P, Papakonstantinou V (2016) The new General Data Protection Regulation: Still a sound system for the protection of individuals? Computer Law & Security Review, 2016, Vol. 32, pp 179–194Google Scholar
  13. Determann L (2015) Determann’s Field Guide to Data Privacy Law. International Corporate Compliance, 2nd edn. Edward Elgar Publishing LtdGoogle Scholar
  14. ENISA (2012) Cloud Computing - Benefits, risks and recommendations for information security. ReportGoogle Scholar
  15. ENISA (2017) ENISA Recommendations on European Data Protection Certification Version 1.0, November 2017, p 15, available via https://www.enisa.europa.eu/publications/recommendations-on-european-data-protection-certification. Last accessed 16 August 2018
  16. European Commission (2012) Communication from the Commission to the European Parliament, the Council, the ECOSOC and the Committee of the Regions, COM 2012, 529, 27 September 2012, Unleashing the Potential of Cloud Computing in Europe, available via http://ec.europa.eu/transparency/regdoc/rep/1/2012/EN/1-2012-529-EN-F1-1.Pdf. Last accessed 16 August 2018
  17. Fladung A (2018) In: Wybitul T (ed) (2018) Handbuch EU-Datenschutz-Grundverordnung. Fachmedien Recht und Wirtschaft, dfv Mediengruppe Frankfurt am Main, Commentary of Art. 42 GDPRGoogle Scholar
  18. Flint D (2017a) Sharing the Risk: Processors and the GDPR. Business Law Review, 2017, Vol. 38, pp 171–172Google Scholar
  19. Flint D (2017b) Storms ahead for Cloud Service Providers. Business Law Review, 2017, Vol. 38, pp 125–126Google Scholar
  20. Forum Privacy and Self-Determined Life in the Digital World (ed) (2018) Policy Paper, National Implementation of the General Data Protection Regulation, Challenges - Approaches - Strategies, available via https://www.forum-privatheit.de/forum-privatheit-de/publikationen-und-downloads/veroeffentlichungen-des-forums/positionspapiere-policy-paper/Policy-Paper-National-Implementation-of-the-GDPR_EN.pdf. Last accessed 16 August 2018
  21. Gebauer L, Söllner M, Leimeister JM (2018) Vertrauensproblematiken im Cloud-Computing-Umfeld. In: Krcmar H, Leimeister JM et al. (eds) Cloud-Services aus der Geschäftsperspektive. Springer Fachmedien Wiesbaden, pp 59–69Google Scholar
  22. Hennrich T (2011) Compliance in Clouds. Datenschutz und Datensicherheit in Datenwolken. Computer & Recht (CR), Vol. 8/2011, pp 546–552Google Scholar
  23. Hildebrandt M, Tielemans L (2013) Data protection by design and technology neutral law. Computer Law & Security Review, Vol. 29 (2013), pp 509–521Google Scholar
  24. Hoffmann SG (2016) Regulation of Cloud Services under US and EU Antitrust, Competition and Privacy Laws. Peter Lang GmbH, Internationaler Verlag der Wissenschaften, Frankfurt am MainGoogle Scholar
  25. Hofmann JM (2016) Zertifizierungen nach der DS-GVO. In: ZD-Aktuell 2016, 05324 (online-resource)Google Scholar
  26. Hofmann JM, Roßnagel A (2018) Rechtliche Anforderungen an Zertifizierungen nach der DSGVO. In: Krcmar H, Eckert C et al. (eds) Management sicherer Cloud-Services. Springer Fachmedien Wiesbaden, pp 101–112Google Scholar
  27. Hornung G (2017) Art. 42. In: Auernhammer H (ed) DSGVO BDSG Kommentar, 5th edn. Carl Heymanns Verlag, CologneGoogle Scholar
  28. Hornung G, Hartl K (2014) Datenschutz durch Marktanreize – auch in Europa? - Stand der Diskussion zu Datenschutzzertifizierung und Datenschutzaudit. Zeitschrift für Datenschutz (ZD) 2014, pp 219–225Google Scholar
  29. Horwitz J (1982) The History of the Public/Private Distinction. University of Pennsylvania Law Review, Vol. 130, No. 6 (1982), pp 1423–1428, available via http://www.jstor.org/stable/3311976. Last accessed 16 August 2018
  30. IT Governance Privacy Team (eds) (2017) EU General Data Protection Regulation (GDPR). An Implementation and Compliance Guide, 2nd edn.Google Scholar
  31. Jaatun MG, Pearson S, Gittler F, Leenes R (2014) Towards Strong Accountability for Cloud Service Providers. IEEE 6th International Conference on Cloud Computing Technology and Science, pp 1001–1006Google Scholar
  32. Jarass H (2018) Art. 8. In: Jarass H, Pieroth B (eds) Grundgesetz für die Bundesrepublik Deutschland: GG, Kommentar. C.H. Beck, MunichGoogle Scholar
  33. Jentzsch N (2012) Was können Datenschutz-Gütesiegel leisten? Wirtschaftsdienst 2012, pp 413–419Google Scholar
  34. Jung A (2018) Datenschutz-(Compliance-)Management-Systeme – Nachweis- und Rechenschaftspflichten nach der DSGVO. ZD (Zeitschrift für Datenschutz), 2018, pp 208–213Google Scholar
  35. Kamara I, de Hert P (2018) Data Protection Certification in the EU: Possibilities, Actors and Building Blocks in a Reformed Landscape. In: Rodrigues R, Papakonstantinou V (eds) Privacy and Data Protection Seals. T.M.C. Asser Press, The HagueGoogle Scholar
  36. Kinast K, Schröder M (2012) Audit & Rating: Vorsprung durch Selbstregulierung. Datenschutz als Chance für den Wettbewerb. ZD (Zeitschrift für Datenschutz), 2012, pp 207–210Google Scholar
  37. Koops BJ (2008) Should ICT Regulation be Technology-Neutral? In: Koops BJ, Lips M et al. (eds) Starting Points for ICT Regulation. Deconstructing Prevalent Policy One-Liners. IT & Law Series Vol. 9, T.M.C. Asser Press, The Hague, pp 77–108Google Scholar
  38. Krcmar H, Eckart C et al. (eds) (2018) Management sicherer Cloud-Services. Entwicklung und Evaluation dynamischer Zertifikate. Springer Fachmedien, WiesbadenGoogle Scholar
  39. Lachaud E (2018) The General Data Protection Regulation and the rise of certification as a regulatory instrument. Computer Law & Security Review 34, 2018, pp 244–256Google Scholar
  40. Loomans D, Matz M, Wiedemann M (eds) (2014) Praxisleitfaden zur Implementierung eines Datenschutzmanagementsystems. Ein risikobasierter Ansatz für alle Unternehmensgrößen. Springer Fachmedien, WiesbadenGoogle Scholar
  41. Martini M (2018) In: Paal BP, Pauly AD (eds) Beck’sche Kompakt-Kommentare. Datenschutz-Grundverordnung, Article 24 GDPR. C.H. Beck Verlag, MunichGoogle Scholar
  42. Martini M (2016) Do it yourself im Datenschutzrecht. NVwZ – Extra 6/2016, pp 1–10Google Scholar
  43. Mitchell C (2015) Privacy, Compliance and the Cloud. In: Zhu/Hill/Trovati (eds) Guide to Security Assurance for Cloud Computing. Springer International Publishing, pp 3–14Google Scholar
  44. Niemann F, Hennrich T (2010) Kontrollen in den Wolken? Auftragsdatenverarbeitung in Zeiten des Cloud Computing. Computer & Recht (CR) 10/2010, pp 686–692Google Scholar
  45. Pfarr F, Buckel T, Winkelmann A (2014) Cloud Computing Data Protection – A Literature Review and Analysis. 2014 47th Hawaii International Conference on System Science, pp 5018–5027Google Scholar
  46. Power M (1996) The audit explosion. Demos. White Dove Press, London, available via https://www.demos.co.uk/files/theauditexplosion.pdf. Last accessed 16 August 2018
  47. Rodrigues R, Barnard-Wills D, De Hert P, Papakonstantinou V (2016) The future of privacy certification in Europe: An exploration of options under article 42 of the GDPR. International Review of Law 2016, Computers & Technology, available via http://dx.doi.org/10.1080/13600869.2016.1189737. Last accessed 16 August 2018
  48. Rodrigues R, Wright D, Wadhwa K (2013) Developing a privacy seal scheme (that works). International Data Privacy Law, 2013, Vol. 3, No. 2, pp 100–116Google Scholar
  49. Roßnagel A (2000) Datenschutzaudit. Konzeption. Durchführung. Gesetzliche Regelung. Vieweg, BraunschweigGoogle Scholar
  50. Roßnagel A (2011) Datenschutzaudit - ein modernes Steuerungsinstrument. In: Hampel L, Krasmann S, Bröcking U (eds) Sichtbarkeitsregime. Überwachung. Sicherheit und Privatheit im 21. Jahrhundert, pp 263–280Google Scholar
  51. Roßnagel A (2018) Art. 2. In: Simitis S, Hornung G, Spiecker gen., Döhmann I (eds) Datenschutzrecht – DSGVO mit BDSG, Großkommentar. Nomos, Baden-BadenGoogle Scholar
  52. Roßnagel A (ed) (2018) Das neue Datenschutzrecht. Europäische Datenschutz-Grundverordnung und deutsche Datenschutzgesetze. Nomos, Baden-BadenGoogle Scholar
  53. Roßnagel A, Nebel M. Richter P (2015) Was bleibt vom Europäischen Datenschutzrecht? - Überlegungen zum Ratsentwurf der DS-GVO. ZD 2015, pp 455–460Google Scholar
  54. Roßnagel A, Sunyaev A, Batman A et al. (2017) AUDITOR: Neues Forschungsprojekt zur Datenschutz-Zertifizierung von Cloud-Diensten nach der DS-GVO. ZD-Aktuell 2017, 05900 (online-resource)Google Scholar
  55. Roßnagel A, Sunyaev A, Batman A, Lins et al. (2018) AUDITOR-Kriterienkatalog, draft version v.07, research contribution 4 June 2018, available as a technical report via https://publikationen.bibliothek.kit.edu/1000083222. Last accessed 16 August 2018
  56. Schäfer C, Fox D (2016) Zertifizierte Auftragsdatenverarbeitung. Das Standard-ADV-Model. Datenschutz und Datensicherheit (DuD), 2016, Vol. 11, pp 744–748Google Scholar
  57. Schneider S, Sunyaev A et al. (2016) Entwicklung eines Kriterienkatalogs zur Zertifizierung von Cloud Services. In: Krcmar H, Leimeister JM et al (eds) Cloud-Services aus der Geschäftsperspektive. Springer Fachmedien, Wiesbaden, pp 337–349Google Scholar
  58. Schultze-Melling J (2013) Datenschutz. In: Bräutigam P (ed) IT-Outsourcing und Cloud-Computing. Eine Darstellung aus rechtlicher, technischer, wirtschaftlicher und vertraglicher Sicht, 3rd edn. Erich Schmidt Verlag GmbH & Co., BerlinGoogle Scholar
  59. Schwartmann R, Weiß S (2018) In: Schwartmann R, Jaspers A, Thüsing G, Kugelmann D (eds) Heidelberger Kommentar. DS-GVO/BDSG. C.F. Müller, HeidelbergGoogle Scholar
  60. Semmelmann C (2012) Theoretical Reflections on the Public-Private Distinction and their Traces in European Union Law. Oñati Socio-legal Series (online), 2012, Vol. 2 (4), pp 25–59, available via http://ssrn.com/abstract=2016077. Last accessed 16 August 2018
  61. Siemen B (2006) Datenschutz als europäisches Grundrecht. Duncker und Humblot, BerlinGoogle Scholar
  62. Spindler G (2016) Selbstregulierung und Zertifizierungsverfahren nach der DS-GVO. Reichweite und Rechtsfolgen der genehmigten Verhaltensregeln. ZD 2016, p 407Google Scholar
  63. Spindler G, Thorun C (2015) Eckpunkte einer digitalen Ordnungspolitik. Politikempfehlungen zur Verbesserung der Rahmenbedingungen für eine effektive Ko-Regulierung in der Informationsgesellschaft, available via https://sriw.de/images/pdf/Spindler_Thorun-Eckpunkte_digitale_Ordnungspolitik_final.pdf. Accessed 15 August 2018
  64. Stone CD (1982) Corporate Vices and Corporate Virtues: Do Public/Private Distinctions Matter? University of Pennsylvania Law Review, 1982 Vol. 130, No. 6, pp 1441–1509, available via http://www.jstor.org/stable/3311978. Last accessed 16 August 2018
  65. Tinnefeld C, Hanßen C (2018) In: Wybitul T (ed) (2018) Handbuch EU-Datenschutz-Grundverordnung. Fachmedien Recht und Wirtschaft, dfv Mediengruppe Frankfurt am Main, Commentary of Article 24 GDPRGoogle Scholar
  66. van der Sloot B, Broeders D, Schrijvers E (2016) Exploring the boundaries of Big Data. Amsterdam University PressGoogle Scholar
  67. Weichert T (2010) Datenschutzzertifizierung – Vorteile für Unternehmen. ITK-Kompendium 2010, pp 274–279Google Scholar
  68. Weichert T (2018) Art. 4. In: Däubler et al. (eds) EU-Datenschutz-Grundverordnung und BDSG-neu. Kompaktkommentar. Bund-Verlag, Frankfurt am MainGoogle Scholar
  69. Werner F (1959) Verwaltungsrecht als konkretisiertes Verfassungsrecht. DVBl, 1959, pp 527–533Google Scholar
  70. Wybitul T (ed) (2018) Handbuch EU-Datenschutz-Grundverordnung. Fachmedien Recht und Wirtschaft, dfv Mediengruppe, Frankfurt am MainGoogle Scholar

Copyright information

© T.M.C. Asser press and the authors 2019

Authors and Affiliations

  1. 1.Frankfurt am MainGermany

Personalised recommendations