Cloud-Zertifikat für die GAD stärkt Vertrauen in den Datenschutz

MÜNSTER. 21. Februar 2014 - Das wave-Angebot der GAD hat vom TÜV Rheinland i-sec GmbH das Gütesiegel Certified Cloud Service erhalten. Die Zertifizierung erstreckt sich auf sämtliche Dienstleistungen aus der Private Cloud des genossenschaftlichen IT-Dienstleisters. Das betrifft bank21-Funktionen und webfähige Anwendungen nach dem Modell Software-as-a-Service (SaaS) ebenso wie zum Beispiel auch vorkonfigurierte Windows-Server, die als Platform-as-a-Service (PaaS) bereitgestellt werden. „Angesichts immer neuer Datenskandale fragen besorgte Bankkunden heute verstärkt nach der technischen Sicherheit und der Rechtssicherheit ihrer personenbezogenen Informationen, insbesondere wenn diese in der sogenannten „Cloud“ verarbeitet werden“, sagt Claus-Dieter Toben, Vorstandsvorsitzender der GAD eG. „Mit der Cloud-Zertifizierung der GAD können Mitgliedsbanken das hohe Schutzniveau ihrer Datenhaltung jetzt zweifelsfrei dokumentieren und so das Vertrauen ihrer Kunden festigen.“

Certified Cloud Service im Überblick

Für die Einhaltung datenschutzrechtlicher Bestimmungen ist prinzipiell jede Bank selbst verantwortlich. Dies schließt die Pflicht ein, bei der Auslagerung von Kundendaten nachzuweisen, dass auch der betreffende Dienstleister das deutsche Datenschutzrecht in vollem Umfang erfüllt. Mit dem Zertifikat des TÜV Rheinland i-sec GmbH verfügen GAD-Mitgliedsbanken nun ohne eigenes Zutun über einen solchen Nachweis – sie müssen selbst also keine entsprechenden Prüfungen durchführen oder veranlassen.

Konkret bestätigt die TÜV-Zertifizierung, dass die Bankkundendaten in der GAD zuverlässig vor unbefugtem Zutritt (physisch) und Zugang (digital) geschützt sind. Gegenstand des Zertifizierungs-Audits waren ferner die Wirksamkeit des Berechtigungskonzepts für den Datenzugriff, der Zugriffsschutz von Transport- und Übermittlungswegen sowie die Nachvollziehbarkeit sämtlicher Dateneingaben, Modifikationen und Löschungen. Gleichzeitig wurde die Gewährleistung des Datenschutzes über die komplette Erbringungskette hinweg untersucht. Auch die Verfügbarkeit der Cloud-Infrastruktur sowie deren Mandantenfähigkeit (im Sinne einer sauberen Trennung von Daten und Anwendungen verschiedener Kunden) gehören aus Datenschutzsicht zum Anforderungskatalog des Certified Cloud Service. Die Auditoren des TÜV Rheinland i-sec GmbH werden den weiteren Fortbestand der Voraussetzungen für die Zertifikatserteilung bei der GAD im Jahresrhythmus durch Folge-Audits überprüfen.