Im August 2014 hat die Internationale Standardisierungsorganisation (ISO) ihre Norm „ISO/IEC 27018:2014 – Code of Practice for Protection of Personal Identifiable Information (PII) in Public Clouds as PII-processors“ eingeführt, die allgemein anerkannte Kontrollziele, Kontrollmechanismen und Leitlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten in der Cloud definiert.
Im Gegensatz zu den sehr technisch orientierten Normen ISO 27001 und ISO 27002 verfügt ISO 27018 über eine eher organisatorische und konzeptionelle Ausrichtung. Während erstere als Hauptnormen zudem auf ein recht breites Anwendungsspektrum ausgerichtet sind, beschäftigt sich ISO 27018 sehr spezifisch mit dem Teilaspekt der Verarbeitung von personenbezogenen Daten in der Cloud. Sie enthält Kontrollen und Leitlinien für die Schutzanforderungen an die Verarbeitung personenbezogener Daten in der Public Cloud, die von den Kontrollen beispielsweise der ISO 27002 nicht berücksichtigt werden.
Für Anbieter und Nutzer von Cloud-Lösungen ist die ISO 27018 unter anderem deshalb interessant, weil sie weitgehend mit den Bestimmungen von Art. 28 DSGVO übereinstimmt, die für Cloud Computing relevant sind. Mit einer Zertifizierung nach ISO 27018 kann die DSGVO-konforme Umsetzung technischer und organisatorischer Maßnahmen daher standardisiert und nachhaltig dokumentiert werden. Dies erleichtert auch den Nachweis und die Bewertung der DSGVO-Konformität beim Abschluss von Auftragsverarbeitungsverträgen.
Die Anforderungen der ISO 27018 an die Betreiber von Cloud Computing-Diensten spiegeln die Anforderungen von Art. 28 DSGVO weitgehend wider. Die Norm kann daher als Wegweiser dienen, der das Unternehmen auf dem teilweise komplizierten Pfad des Datenschutzes leitet.
ISO 27018 stellt unter anderem folgende Anforderungen an die Anbieter von Clouds:
- Personenbezogene Daten müssen stets nach den Anweisungen des Kunden verarbeitet werden.
- Vor der Verarbeitung personenbezogener Daten für Marketing- oder Werbezwecke ist eine gültige Einwilligung der betroffenen Person einzuholen.
- Der Cloud-Anbieter muss seinen Kunden unterstützen, wenn eine von der Datenverarbeitung betroffene Person ihr Recht auf Zugang zu ihren Daten geltend macht.
- Personenbezogene Daten aus der Cloud sollten den Strafverfolgungsbehörden nur dann zur Verfügung gestellt werden, wenn dies gesetzlich vorgeschrieben ist.
- Im Falle einer Datenschutzverletzung muss der Anbieter den Kunden bei der Meldung an die Datenschutzbehörden unterstützen.
- Es müssen Richtlinien für die sichere Rückgabe, Übermittlung und Entsorgung personenbezogener Daten vorhanden sein.
- Datenschutzaudits müssen in regelmäßigen Abständen durchgeführt werden.
- Der Cloud-Anbieter muss sicherstellen, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, Vertraulichkeitsvereinbarungen unterzeichnen und hinsichtlich Datenschutz und Datensicherheit geschult werden.
ISO 27018 Zertifizierungen werden von diversen Dienstleistern angeboten. Neben großen Anbietern wie T-Systems, IBM und Amazon/AWS lassen sich zunehmend auch mittlere und kleine Unternehmen zertifizieren. Das ISO 27018-Zertifikat (aufbauend auf ISO 27001) schafft Vertrauen bei den Kunden und hilft ihnen, sich im immer härter werdenden Wettbewerb zu differenzieren.
Clouds speichern bereits heutzutage enorme Mengen von Daten. Eine Entwicklung, die sich in naher Zukunft noch auf bisher unvorstellbare Weise beschleunigen wird. Diese Entwicklung erfordert einen umfassenden systematischen und standardisierten Schutz der in den Clouds verarbeiteten personenbezogenen Daten. Die dramatischen Folgen von Datenschutzverletzungen können den Verlust von Rechten und Freiheiten, Identitätsdiebstahl, Geldbußen und einen enormen Reputationsverlust für die von der Datenverarbeitung betroffenen Personen umfassen. Die Einhaltung der ISO 27018 trägt zum Schutz der personenbezogenen Daten bei und stellt sicher, dass personenbezogene Daten in der Cloud in Übereinstimmung mit den gesetzlichen Bestimmungen verarbeitet werden.
