Seit August 2014 gibt es einen neuen internationalen Standard für den Datenschutz in der Cloud, die ISO/IEC 27018. Welche Vorteile der Standard hat, für wen er geeignet ist und welchen Inhalt der Standard hat erfahren Sie in diesem Artikel.
Der Inhalt im Überblick
Was ist die ISO/IEC 27018 und für wen ist es geeignet?
Bislang gab es keinen allgemeinen Standard, der sich speziell mit den datenschutzrechtlichen Anforderungen an das Cloud-Computing auseinandergesetzt hat. Dies soll sich mit der Einführung von ISO/IEC 27018 ändern. Inhaltlich baut die Norm auf bereits existierenden Sicherheitsstandards – insbesondere ISO/IEC 27002 – auf. Allerdings befasst sich ISO/IEC 27018 speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in einer Cloud.
Nach der International Organization for Standardization (ISO) ist der Standard ISO/IEC 27018:2014 für alle Arten von Unternehmen und Einheiten einsetzbar, die die Verarbeitung von personenbezogenen Daten via Cloud-Computing anbieten.
Welche Vorteile bietet ein international zertifizierter Cloud-Standard?
Mit der Einführung von ISO/IEC 27018 besteht für Anbieter von Cloud-Computing nunmehr die Möglichkeit, ihre Dienste zertifizieren zu lassen, wodurch ihr Angebot an Attraktivität gewinnen kann.
In der Praxis ist der Einsatz anerkannter Sicherheitsverfahren oder aber die Zertifizierung durch unabhängige Dritte ein entscheidendes Kriterium für die Auswahl des Cloud-Anbieters. Dies gilt umso mehr für die Kontrollrechte des Auftraggebers im Rahmen einer Auftragsdatenverarbeitung nach § 11 Abs. 2 Nr. 7 BDSG.
ISO/IEC 27018 legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud-Diensten fest und formuliert Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen. Dabei berücksichtigt die Norm datenschutzrechtliche Anforderungen, die in anderen Bereichen bereits existieren und passt diese speziell auf Informationssicherheitsrisiken im Bereich des Cloud-Computing an.
Der neue Standard im Überblick
Die folgende Übersicht deckt sich im Wesentlichen mit Übersichten aus einem Artikel der Computerwoche sowie einem Artikel von Lexology:
- Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
- ISO 27018 verlangt, dass Cloud-Provider Tools anbieten, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
- Cloud-Provider haben Prozesse festzulegen, die Rückgabe, Übermittlung, Transfer und Vernichtung von personenbezogenen Daten festlegen.
- Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss von der rechtlichen Verpflichtung in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
- Personenbezogene Daten sind nicht für eigene Zwecke zu nutzen.
- Bevor personenbezogene Daten für Marketing- oder Werbezwecke genutzt werden, bedarf es einer ausdrücklichen Einwilligung des Kunden.
- Cloud-Provider habe die Länder offen zu legen, in denen eine Verarbeitung personenbezogener Daten stattfindet.
- Cloud-Anbieter müssen dem Kunden jede Art von Verletzung der Datensicherheit anzeigen und ihm diejenigen Informationen bereitstellen, die er seinerseits benötigt, um seinen Anzeigepflichten nachzukommen.
- Der Zeitraum für die Vornahme der Anzeigeverpflichtung ist festzulegen.
- Zeitpunkt, Art und Konsequenzen hinsichtlich der Verletzung der Datensicherheit sind zu dokumentieren.
Fazit
Für Anbieter von Cloud-Computing Diensten bietet die Einhaltung eines solchen Standards den Vorteil, das Vertrauen potentieller Kunden in die angebotenen Dienste zu stärken.
Vor dem Hintergrund, dass zunehmend mehr Datenverarbeitungsprozesse innerhalb von Cloud-Diensten stattfinden, ist die Einführung spezieller Standards aus datenschutzrechtlicher Sicht zumindest zu begrüßen. Es bleibt abzuwarten, wie der Standard in der Praxis umgesetzt wird.
Sieht nach einer reinen Marketingsache aus. Ein echter Vorteil gegenüber dem status quo ist nicht zu erkennen.
Wenn eine deutsche Firma in der Cloud personenbezogene Daten verarbeiten lässt, muss sie ja sowieso das Bundesdatenschutz beachten bzw. haftet dafür, dass der Cloud-Anbieter die Bestimmungen des Bundesdatenschutzgesetzes beachtet.
Und das Bundesdatenschutzgesetz ist um einiges schärfer als die Bestimmungen dieser neuen ISO.
Sehe ich wie RealAdmin, seit geraumer Zeit werden massive Anstrengungen unternommen, um Cloud Computing und die Datenübermittlung in unsichere Drittstaaten hoffähig zu machen. Anbieter wie MS lassen sich inzwischen sogar den Besitz der ISO27018 Zertifizierung nochmals zertifizieren… Am Schluss stellt sich aber immer die Frage: wem müssen sie letztlich gehorchen, den US-Behörden und Geheimdiensten oder ihren Vertragspartnern in Europa? Die Erkenntnisse der jüngsten Skandale strafen doch alle Beteuerungen und Papierbekenntnisse Lügen.
insbesondere der Punkt 3:
Prozesse zur… Vernichtung personenbezogener Daten festlegen wird zur Farce. Wie will man denn in Bangalore (wenn man so will, auch in den USA) die Verpflichtungseinhaltung nachprüfen?
Kann ich im Falle des NSA, oder der Strafverfolgungsbehörden auf die Einhaltung der Datenschutzrichtlinien pochen?
Eine kurze Frage: Ist eine Vereinbarung zur Auftragsdatenverarbeitung trotz ISO 27018 nötig? Gerade bei Cloud-Services aus den USA (zenDesk) ist das Auftreiben einer ADV Vereinbarung nicht ganz einfach. Die ISO Zertifizierung ist allerdings fast überall vorhanden.
Vorsicht! Im Beitrag fehlt eine ganz entscheidende Information. Eine „echte“ Zertifizierung nach ISO 27018 ist derzeit nicht möglich! Es gibt aktuell keine akkreditierten Zertifizierungsstellen. Bestehende Zertifikate sind ein Dokument der jeweiligen beliebigen Prüfstelle, ohne Gewähr für Richtigkeit.