Cloud + Datenschutz = ISO 27018

Donnerstag, 15. Februar 2018 | Fabian Kaiser

Finden Sie sich bei diesen Datenschutzgedanken wieder?

„Datenschutz ist wichtig. Für mich privat genauso wie im Business.“

„Ich kenne das Potential und die Relevanz der Cloud für mein Unternehmen. Wenn nur nicht die Sicherheitsbedenken und Datenschutzanforderungen so schwer wiegen würden.“

Genau hier kommt die aktuelle ISO Norm 27018 zu Hilfe:

Bislang gab es keinen allgemeinen Standard, der sich speziell mit den datenschutzrechtlichen Anforderungen an das Cloud-Computing auseinandergesetzt hat. Dies hat sich mit der Einführung von ISO/IEC 27018:2014 geändert.

Prima, also einfach gemäß der 27018 zertifizieren lassen oder einen entsprechend zertifizierten Cloud Provider suchen? Halt! So einfach geht es nicht. Eine Zertifizierung ist nur gemäß der ISO 27001 Norm möglich – mit der 27018 als Ergänzung. Geht nicht ohne!

Die Ausrichtung nach der ISO 27018 lohnt sich dreifach:

  1. Die ISO 27018 befasst sich speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in einer Cloud.
  2. Die ISO 27018 kommt den Forderungen der deutschen Aufsichtsbehörden in der 2011 veröffentlichen „Orientierungshilfe zum Cloud Computing" nach.
  3. Sie stellt im Hinblick auf die neue europäische Datenschutzgrundverordnung (DS-GVO) eine sinnvolle Zertifizierung dar. Denn sie vereinfacht die Einhaltung der Kontrollrechte des Auftraggebers im Rahmen einer Auftragsdatenverarbeitung.

Nach der International Organization for Standardization (ISO) ist der Standard ISO/IEC 27018 für alle Arten von Unternehmen und Einheiten einsetzbar, die die Verarbeitung von personenbezogenen Daten via Cloud-Computing anbieten.

Die ISO 27018 enthält zahlreiche Verpflichtungen für Cloud Provider – wie beispielsweise:

  • Es sind Prozesse zu definieren, die Rückgabe, Übermittlung, Transfer und Vernichtung von personenbezogenen Daten festlegen.
  • Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden. Und bevor personenbezogene Daten für Marketingzwecke genutzt werden, bedarf es einer ausdrücklichen Einwilligung des Kunden.
  • Cloud-Provider haben die Länder offen zu legen, in denen eine Verarbeitung personenbezogener Daten stattfindet.
  • Cloud-Anbieter müssen dem Kunden jede Art von Verletzung der Datensicherheit anzeigen (haben also eine Dokumentationspflicht bezüglich Zeitpunkt, Art und Konsequenzen der Verletzung der Datensicherheit).

Oh, das ist ja ordentlich. Warum nimmt ein Cloud-Anbieter all diese Verpflichtungen auf sich?

Aktuell besitzen neben den großen Public Cloud Providern wie Google, AWS und Azure nur wenige kleinere Provider – darunter auch Claranet – die ISO 27018 Erweiterung des ISO 27001 Zertifikats. Sie bieten damit ihren Kunden einen stichhaltigen Nachweis für ihre Kompetenzen hinsichtlich Datenschutz in der Cloud sowie definierte Schnittstellen und Prozesse, auf die die Kunden zurückgreifen können. Außerdem zeigen sie Unternehmen, die wegen Sicherheitsbedenken den Schritt in die Cloud scheuen, dass sensible Daten in den Händen von Cloud-Experten häufig sicherer sind als beim Betrieb eigener Infrastrukturlösungen.

Geschrieben von Fabian Kaiser - Head of Security & Compliance

Fabian Kaiser verantwortet den Bereich Informationssicherheit und Compliance bei Claranet Deutschland. Seit 2012 ist er CISO und lebt diese Rolle im Unternehmen. Fabian teilt sein umfangreiches Wissen zu Security & Compliance in der Cloud auf Vortragsveranstaltungen und in Expertenrunden.

Profitieren Sie von unserem Know-how und kontaktieren Sie uns!

Rufen Sie uns an:

Wir sind Montags bis Freitags zwischen 08:00 und 18:00 unter +49 (0)69 40 80 18 0 für Sie da.

Unseren technischen Support erreichen Sie rund um die Uhr unter der Nummer +49 (0)69 40 80 18 300.