Datenschutz für Cloud-Dienste

Die neue ISO/IEC 27018 im Überblick

Es gibt seit August 2014 einen internationalen Standard für den Datenschutz in der Cloud: die ISO/IEC 27018. Cloud-Nutzer und -Anbieter sollten wissen, wie diese Norm aussieht - wir erklären es.

Besonders für die Anbieter von Cloud-Diensten kann die ISO 27018, die erst im August 2014 verabschiedet wurde, ein Instrument darstellen, mit dem sie sich im Wettbewerb besonders hervortun und Unternehmenskunden von ihren Lösungen überzeugen können.

Nach aktuellen Studien sieht die breite Mehrheit der Unternehmen den Einsatz anerkannter Sicherheitsverfahren oder aber die Zertifizierung durch unabhängige Dritte als entscheidendes Kriterium für die Auswahl eines Cloud-Anbieters an. An speziellen Zertifikaten mangelt es indes bislang. Zwar geben beispielsweise die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verfassten Leitlinien einen von der öffentlichen Verwaltung verlangten Schutzstandard bei Cloud-Lösungen wieder, spezifische Cloud-Zertifizierungen bietet jedoch auch das BSI bislang nicht an.

Die auf europäischer und internationaler Ebene bisher vorliegenden Datenschutzstandards wie die Reihe der ISO/IEC 27000-Normen enthalten lediglich allgemeinere Sicherheitsbestimmungen. Der nun verabschiedete 27018-Standard beschäftigt sich dagegen ausschließlich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud, indem er datenschutzrechtliche Anforderungen für Cloud-Dienste formuliert. Der Standard bietet damit einen nützlichen Rahmen für Datenschutzbestimmungen und richtet sich im Wesentlichen nach den Schutz- und Überwachungspflichten der geltenden europäischen Datenschutzgesetze.

Angepasst an neuen EU-Datenschutz

Insbesondere kommt die ISO 27018 auch den Forderungen der deutschen Aufsichtsbehörden in der im September 2011 veröffentlichen "Orientierungshilfe zum Cloud Computing" nach. Zudem stellt sie auch im Hinblick auf die erwartete europäische Datenschutzgrundverordnung (DS-GVO), die bereits 2015 in Kraft treten könnte, eine sinnvolle Zertifizierung dar. Der 27018-Standard verlangt nämlich bereits jetzt umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten von den Cloud-Anbietern. Diese Pflichten sind auch Gegenstand des Entwurfs zur europäischen Datenschutzgrundverordnung und können damit künftig europaweit vorausgesetzt werden.

Gerade für deutsche Anbieter und Kunden ist zu bedenken, dass die europäische Datenschutzgrundverordnung nach einer zweijährigen Umsetzungsfrist unmittelbar in allen Mitgliedstaaten gelten wird. Das führt dazu, dass bestehende Regelungen in den Mitgliedstaaten wie etwa das deutsche Bundesdatenschutzgesetz (BDSG) unwirksam werden. Zukünftig würde dann allein die erwartete europäische Datenschutzgrundverordnung Rechte und Pflichten von Cloud-Anbietern und -Nutzern bestimmen.

Inhaltliche Ausgestaltung der Norm

Inhaltlich baut die ISO 27018 auf den bereits existierenden Sicherheitsstandards wie der ISO 27001 und ISO 27002 auf. Diese definieren allgemeine Informationen zu Sicherheitsgrundsätzen - dazu gehören beispielsweise die Sicherung von Büros und Einrichtungen oder die Verwaltung von Medien. Einen weiteren Schwerpunkt legt die ISO 27018 aber darauf, durch entsprechende Verpflichtungen Vertrauen bei Kunden und Behörden bezüglich der Verarbeitung personenbezogener Daten zu schaffen. Die neue Norm greift damit die Forderung europäischer Behörden nach einem prüffähigen Rahmen für Cloud-Systeme auf, um das Vertrauen in das Internetumfeld zu stärken.

Beispielsweise enthält die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:

  • Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.

  • Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.

  • Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.

  • Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.

  • Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.

  • Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.

  • Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.

  • Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.

Fazit: Die ISO 27018 ist im Gegensatz zu anderen Normen mehr als nur ein technischer Standard im Sinne von Compliance-Anforderungen, die von Unternehmen zu beachten sind und vorgeben, wie ein Unternehmen sich organisieren und verhalten müssen, um gesetzlichen Anforderungen zu entsprechen.