Für die Nutzer ist es oftmals eine Herausforderung die Compliance eines Cloud-Anbieters einzuschätzen. Um hier eine Hilfestellung zu bieten, hat das Bundesamt für Sicherheit in Informationstechnik (BSI) den Kriterienkatalog Cloud Computing (C5) herausgegeben.

Eine C5-Prüfung kann als Nachweis für die Einhaltung der Informationssicherheit herangezogen werden. Datenschutz ist damit noch nicht abgedeckt. Mit der Anwendung des Prüfungshinweis des Instituts der Wirtschaftsprüfer (IDW): Prüfung der Grundsätze, Verfahren und Maßnahmen nach der EU-Datenschutz-Grundverordnung (DSGVO) und dem Bundesdatenschutzgesetz (IDW PH 9.860.1) wird der Datenschutz in prüfbarer Form mit der Informationssicherheit zusammengeführt und ergibt das Embedded Compliance Framework.

Dieser integrierte Ansatz schafft wesentliche Synergieeffekte und Verknüpfungen zwischen IT-Sicherheits- und Datenschutzprozessen (z.B. Risikomanagement, Dienstleister-/Auftragsverarbeiter-Management, Mitarbeiterschulungen, Management von Sicherheitsvorfällen/Datenschutzverletzungen). Durch die Verzahnung der technisch-organisatorischen Maßnahmen mit C5 ist eine umfangreiche und effiziente Umsetzung gewährleistet, die dem Stand der Technik entspricht.

• Sicherstellung eines umfassenden Anforderungskatalog zur Informationssicherheit und zum Datenschutz
• Konformität mit C5 und der DSGVO in der Cloud
• Einbettung des Cloud Compliance Frameworks in die vorhandene Unternehmensorganisation und -prozesse
• Einhaltung der Überwachungspflicht durch den ISAE 3000 Prüfbericht für Cloud-Nutzer
• Die Möglichkeit der Erschließung neuer Märkte durch die Erfüllung von Compliance Anforderungen für Cloud-Anbieter
• Effizientes und pragmatisches Vorgehen