ISO 27018 Leitfaden zum Schutz von personenbezogenen Daten in der Cloud
Wir setzen mit Ihnen den Standard pragmatisch, schnell und kompetent um.
Wir helfen Ihnen diesen Standard einzuführen und umzusetzen
Was ist Ziel und Inhalt der Norm?
ISO 27018 Leitfaden zum Schutz von personenbezogenen Daten in der Cloud
Die ISO 27018 ist eine Norm zur Sicherheit von personenbezogenen Daten in der Cloud. Sie gehört zur Iso 27001 Familie und baut auf dieser auf. Zielsetzung ist der Aufbau von Vertrauen bei der Verarbeitung im Sinne des Datenschutzes in der Cloud.
Die Zertifizierung ist auf Basis der 27001 mit Erweiterung auf die ISO 27017 möglich.
Der nachfolgende Text wurde in der Computerwoche zur ISO 27018 veröffentlich:
Beispielsweise enthält die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:
- Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
- Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
- Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
- Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.
- Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
- Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.
- Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
- Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.
Fazit: Die ISO 27018 ist im Gegensatz zu anderen Normen mehr als nur ein technischer Standard im Sinne von Compliance-Anforderungen, die von Unternehmen zu beachten sind und vorgeben, wie ein Unternehmen sich organisieren und verhalten müssen, um gesetzlichen Anforderungen zu entsprechen.
Zertifizierung nach ISO 27018
Cloud-Anbieter können sich entsprechend der ISO 27018 zertifizieren lassen. Um die Zertifizierung aufrecht zu erhalten, müssen sie sich dann in regelmäßigen Zeitabständen von unabhängigen Stellen erneut prüfen lassen. Namhafte Cloud-Anbieter aus den USA und Europa haben bereits angekündigt, ihre Produkte unter der neuen Norm zertifizieren zu lassen.
Dieser Zertifizierungsprozess bringt besonders für den Cloud-Nutzer erhebliche Vorteile mit sich: Geht es um die Anbieterwahl, kann ein ISO-27018-Zertifikat als entscheidendes Kriterium dienen. Liegt bei dem eigenen Cloud-Anbieter eine entsprechende Zertifizierung vor, lässt sich anwenderseitig leicht argumentieren, dass man sich von der Einhaltung der von den deutschen Aufsichtsbehörden verlangten Transparenz-, Informations- und Benachrichtigungspflichten überzeugt habe.
Selbstverständlich dürfen Cloud-Anbieter auch nur dann mit einer Zertifizierung nach ISO 27018 werben, wenn sie die Voraussetzungen erfüllen und die Zertifizierung tatsächlich nachweisen können. Eine Abweichung von der Norm hätte nicht nur den Verlust der Zertifizierung zur Folge, sondern würde den Cloud-Nutzern auch die Möglichkeit geben, das Vertragsverhältnis aus wichtigem Grund unmittelbar zu beenden.
(Quelle Computerwoche)
Inhaltsverzeichnis ISO 27018
Bezugsmöglichkeiten:
Beuth -Verlag
Beuth -Verlag