Seit August letzten Jahres gibt es die neue ISO-Norm ISO/IEC 27018. Diese Erweiterung der ISO 27001 ist der neue Standard für Datenschutz in der Cloud. Wie sieht diese neue Norm aus?

DATENSCHUTZ IN DER CLOUD

Die Sicherheitsempfehlungen des Bundesamts für Sicherheit in der Informationstechnik (BSI) gaben bereits seit längerem an, welche Schutzstandards von der öffentlichen Verwaltung für die Clouddienste gefordert werden. Eine cloud-spezifische Zertifizierung kam aber erst letztes Jahr im August, in Form der neuen ISO/IEC 27018.

WAS UNTERSCHEIDET DEN STANDARD VON DER ISO 27001?

Der neue 27018-Standard beschäftigt sich nicht wie die ISO 27001 nur mit allgemeinen Sicherheitsbestimmungen, sondern speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud. Hierzu werden datenschutzrechtliche Anforderungen für Cloud-Dienste ausformuliert. Der Standard richtet sich im Wesentlichen nach den Schutz- und Überwachungspflichten der geltenden europäischen Datenschutzgesetze und wird außerdem ein Instrument darstellen, mit dem sich Cloudanbieter im Wettbewerb besonders hervortun und Unternehmenskunden von ihren Lösungen überzeugen können.

DIE WICHTIGSTEN INHALTE DER NORM

Die ISO 27018 greift die Forderung europäischer Behörden nach einem prüffähigen Rahmen für Cloud-Systeme auf und soll das Vertrauen in das Internetumfeld stärken.
Einige wichtige Verpflichtungen im Überblick entsprechend der Vorarbeit durch Computerwoche:

• Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
• Es müssen verbindliche Regeln für die Übermittlung, Verwendung und Rückgabe personenbezogener Daten implementiert werden, z. B. im Falle der Vertragsbeendigung.
• Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
• Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, außer diese Information ist rechtlich untersagt.
• Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Diese Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
• Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.
• Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.
• Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.

 

FAZIT

Die ISO 27018 wird als Erweiterung der ISO 27000er Normenfamilie sicherlich ein sinnvolles Instrument sein um zertifizierten Anbietern einen Wettbewerbsvorteil zu verschaffen. Microsoft geht hier bereits mit gutem Beispiel voran und hat den Standard für die eigene Cloud-Lösung bereits umgesetzt. Zusätzlich zu Microsoft Azure sollen in Kürze dann auch Office 365 und Dynamics CRM Online den “Codes of Practice” des Standards zum Datenschutz in Clouds entsprechen.