Tipp KW 47-2014

Datenschutz-Standard für Cloud-Dienste (ISO/IEC 27018:2014)

Mit der im August 2014 von der International Organization for Standardization (ISO) verabschiedeten ISO/IEC 27018:2014 gibt es einen neuen internationalen Standard für den Datenschutz in der Cloud, auf dessen Inhalt und Bedeutung wir eingehen möchten.

Die ISO/IEC 27018:2014 baut inhaltlich auf die bereits bestehenden Standards wie ISO/IEC 27001 und 27002 auf. Dort sind bereits allgemeine Anforderungen für Herstellung, Einführung, Betrieb, Überwachung, Wartung und Verbesserung eines Informationssicherheits-Managementsystems unter Berücksichtigung von IT-Risiken definiert. Der neue Standard soll das Vertrauen bei Kunden und Aufsichtsbehörden hinsichtlich der Verarbeitung personenbezogener Daten in der Cloud stärken und erfüllt zugleich die Forderung der europäischen Behörden nach einem prüffähigen Rahmen für Cloud-Dienste. Vor allem im Hinblick auf die möglicherweise bereits 2015 zu erwartende europäische Datenschutzgrundverordnung (DS-GVO), stellt der neue ISO Standard eine sinnvolle Zertifizierung dar, da er Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten berücksichtigt, die Inhalt des Entwurfs der DS-GVO sind.

ISO/IEC 27018:2014 beinhaltet unter anderem die folgenden Verpflichtungen:

– Personenbezogene Daten werden ausschließlich nach den Vorgaben des Kunden verarbeitet und dürfen insbesondere nicht für eigene Zwecke des Cloud-Dienstleisters genutzt werden.
– Vor der Verwendung der Daten für Werbe- und Marketingzwecke bedarf es einer ausdrücklichen Zustimmung des betroffenen Endkunden.
– Der Anbieter unterstützt den Kunden bei der Erfüllung von Betroffenenrechten, zum Beispiel durch die Bereitstellung von Anwendungen, durch die der Kunde den Endnutzern Zugang zu ihren persönlichen Daten verschaffen, beziehungsweise deren Änderung, Löschung oder Korrektur veranlassen kann.
– Daten werden nur bei Vorliegen einer rechtlichen Verpflichtung an Strafverfolgungsbehörden herausgegeben.
– Über die Datenherausgabe an Strafverfolgungsbehörden wird der Kunde in Kenntnis gesetzt, sofern die Information nicht untersagt ist.
– Alle relevanten Unterbeauftragungsverhältnisse müssen vor Vertragsschluss bekannt gegeben werden.
– Der Kunde wird vor Vertragsschluss über die Länder in Kenntnis gesetzt, in denen die Datenverarbeitung erfolgt.
– Der Anbieter zeigt Sicherheitsverletzungen an und dokumentiert den Zeitpunkt, die zu erwartenden Konsequenzen sowie die Schritte zur Problemlösung.
– Der Anbieter unterstützt den Kunden im Falle von Verstößen gegen die Datensicherheit bei der Wahrnehmung seiner Anzeigepflichten.
– Es bestehen verbindliche Regelungen für die Verwendung, Übermittlung und Rückgabe oder Vernichtung personenbezogener Daten für den Zeitraum vor, während und nach der Laufzeit des Vertrages.
– Der Anbieter ist verpflichtet, die Cloud-Leistungen regelmäßig und im Falle von erheblichen Systemänderungen erneut durch unabhängige Dritte überprüfen zu lassen.
Daraus wird bereits deutlich, dass die ISO/IEC 27018:2014 im Verhältnis zu anderen Normen über einen rein technischen Ansatz hinausgeht und weitreichende Compliance- und Datenschutzanforderungen berücksichtigt.
Dem Cloud-Dienstleister bietet eine Zertifizierung nach dem neuem ISO Standard einen Wettbewerbsvorteil gegenüber anderen Anbietern. Dem Kunden eines zertifizierten Anbieters wird es leichter fallen, sich für eine Cloud-Dienstleistung zu entscheiden, wenn er sich durch die Einhaltung des ISO Standards sicher sein kann, dass die hohen Anforderungen des deutschen und internationalen Datenschutzes erfüllt werden.
Eine Zertifizierung nach dem neuen ISO Standard dürfte zudem in ausreichendem Maße nachweisen, dass ein Anbieter die von deutschen Aufsichtsbehörden geforderten Transparenz-, Informations- und Benachrichtigungspflichten erfüllt. Ein Verwender der Dienstleistung genügt den ihm obliegenden Prüf- und Sorgfaltspflichten insbesondere im Rahmen der Auftragsdatenverarbeitung und den damit einhergehenden technischen und organisatorischen Maßnahmen gemäß § 11 Abs. 2 BDSG, wenn er sich für einen zertifizierten Anbieter entscheidet.

– Felix Prömel (Junior Berater)
junokai

Zurück