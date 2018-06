Bonn (ots) - Die ISO 27018 Norm ist ein neuer Datenschutzstandardfür Cloud-Anbieter und befasst sich speziell mit der Verarbeitung vonpersonenbezogenen Daten in Cloud-Umgebungen. Sie legtdatenschutzrechtliche Anforderungen für die Anbieter vonCloud-Diensten fest sowie Überwachungsmechanismen und Richtlinien fürdie Implementierung von Maßnahmen, die den Schutz personenbezogenerDaten in einer Cloud-Umgebung sicherstellen. Dabei berücksichtigt dieNorm datenschutzrechtliche Anforderungen aus derDatenschutzgrundverordnung und passt diese speziell fürInformationssicherheitsrisiken im Bereich des Cloud-Computing an. Miteiner Zertifizierung nach ISO 27018 verfolgen Unternehmen imwesentlichen zwei Ziele. Erstens wird das Vertrauen der Kundendadurch gestärkt, dass den Unternehmen von einer unabhängigen Distanznach transparenten Kriterien ein hohes Datenschutz- undDatensicherheitsniveau bescheinigt wird. Zweitens ist eine ISO 27018Zertifizierung ein wichtiges Kriterium zur Wahl vonCloud-Dienstleistern. Nach der ISO 27018 zertifizierte Technologienund Dienstleistern leisten bereits einen wesentlichen Beitrag zurDSGVO Compliance für ihre Kunden.Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neuerechtliche Grundlage zum Datenschutz in der EU verabschiedet worden.Betroffen sind nahezu alle Unternehmen - in jedem Fall solche, zuderen Geschäftsmodell die Erfassung und Verarbeitung von(personenbezogenen) Daten gehört. Für das digitale Marketing, dasheute zunehmend datengetrieben ist, gibt es eine Reihe von besonderenHerausforderungen, aber auch Chancen, die zu beachten sind. Einigeder Neuerungen sind grundlegender Natur und können Geschäftsmodellein Frage stellen. In jedem Fall steigen der Aufwand und das Risiko imBereich der Implementierung von Datenschutz in Unternehmen. EineNeuerung der DSGVO besteht darin, dass die Verordnung explizitPrivacy by Design und Privacy by Default von Unternehmen einfordert.Privacy by Design bedeutet, dass Unternehmen bereits in derDesign-/Planungsphase eines Projekts das Thema Datenschutz mitdenkenmüssen. Dazu gehört auch z. B. Dienstleister und Technologienauszuwählen, die dazu geeignet sind, die Anforderungen aus derDatenschutzgrundverordnung umzusetzen. Die Umsetzung derAnforderungen aus der Datenschutzgrundverordnung wird vereinfachtdurch den Einsatz von Technologien, die Datenschutzmaßnahmen alsStandardeinstellungen vorkonfiguriert haben (Privacy by Default).Auch beim Einsatz von fremden Technologien und Dienstleistern stehenUnternehmen jedoch grundsätzlich in der Haftung hinsichtlich derEinhaltung der Anforderungen aus der Datenschutzgrundverordnung. Dasbedeutet, dass sie auch für Datenschutz- oderDatensicherheitsvorfälle verantwortlich gemacht werden können, dieaufgrund von Sicherheitslücken in den eingesetzten Technologienauftreten. Unternehmen sind daher verpflichtet, diese Technologienregelmäßig auf Datenschutz- und Datensicherheitskonformität im Rahmender Datenschutzgrundverordnung zu prüfen. Die DSGVO weist jedochexplizit darauf hin, dass genehmigte Zertifizierungsverfahren alsFaktor herangezogen werden können, um die Umsetzung der Anforderungennachzuweisen. Durch Zertifizierungen, bzw. die Wahl zertifizierterDienstleister und Technologien, lässt sich der Prüfprozess dahervereinfachen. Hier haben sich insb. die internationalen Standards ISO27018 und ISO 27001 bewährt.ISO 27018 als Grundlage für DSGVO-konforme VertragsbeziehungenHeutzutage handelt es sich bei externen Technologien im IT-Umfeldüblicherweise um Cloud-Services. Um die Anforderungen der DSGVO beiEinsatz einer datenverarbeitenden Cloud-Technologie umsetzen zukönnen, ist eine besondere Transparenz zwischen Auftraggeber undCloud-Anbieter gefordert, da datenschutzrelevante Fähigkeiten dergenutzten Cloud-Lösung im Detail bewertet werden müssen. Die ISO27018 legt datenschutzrechtliche Anforderungen für die Anbieter vonCloud-Diensten fest und formuliert Überwachungsmechanismen undRichtlinien für die Implementierung von Maßnahmen, die den Schutzpersonenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen.Dabei berücksichtigt die Norm datenschutzrechtliche Anforderungen,die in anderen Bereichen bereits existieren und passt diese speziellauf Informationssicherheitsrisiken im Bereich des Cloud-Computing an.Insbesondere werden die IT-Sicherheits-Standards ISO 27001 und ISO27002 hier für Cloud-Angebote konkretisiert. DIE ISO 27018bescheinigt dem Cloud Anbieter Konformität mit den Verpflichtungenaus der DSGVO, d.h. dass er technisch und organisatorisch in der Lageist, diesen nachzukommen. Die Verordnung macht unter anderem folgendeVorgaben:- Der Cloud-Anbieter darf personebezogene Daten nur auf Weisungder Auftraggebers verarbeiten und nur so, wie vom Auftraggebervorgegeben.- Kommt es zu einem Sicherheitsvorfall beim Cloud-Anbieter,besteht unverzügliche Anzeigepflicht gegenüber dem Auftraggeber.Der Cloud-Anbieter muss das dazugehörige Datum, die zuerwartenden Konsequenzen des Vorfalls sowie die geplantenSchritte zur Problemlösung dokumentieren. Waren Dritte von demVorfall betroffen, z.B. Nutzer deren personenbezogene Datenunrechtmäßig veröffentlich wurden, besteht diesen gegenüberebenfalls Anzeigepflicht durch den Auftraggeber. DerCloud-Anbieter ist verpflichtet, den Auftraggeber bei derWahrnehumung der Anzeigepflichten zu unterstützen.- Cloud Anbieter sind verpflichtet, dem Auftraggeber bereits vorAuftragserteilung alle beteiligten Dienstleister(Unterauftragsverhältnisse) strukturiert und transparentoffenzulegen.- Machen Betroffene gegenüber dem Auftraggeber ihre Rechtegeltend, z.B. das Recht auf Auskunft, Korrektur oder Löschungihrer personenbezogenen Daten, sind Cloud Anbieter dazuverpflichtet, bei der Durchsetzung der Betroffenenrechte zuunterstützen. Dazu gehört z.B. Funktionen und Prozesseanzubieten, die den Betroffenen selbst Zugang zu ihrenpersonenbezogenen Daten zu gewähren, sowie die Möglichkeit,diese anzupassen oder zu löschen.- Verlangen Strafverfolgungsbehörden Zugriff auf personenbezogeneDaten des Cloud-Anbieters, musss dieser auf das rechtlichverpflichtende Maß beschränkt werden. Der Cloud-Anbieter istverpflichtet, Behördenanfragen unverzüglich dem Auftraggebermitzuteilen, außer dies ist ihm explizit rechtlich untersagt.- Es müssen verbindliche Regeln dafür existieren, wie derCloud-Anbieter mit personenbezogenen Daten im Falle derBeendigung des Vertragsverhältnisses mit dem Auftragggeber zuverfahren, z.B. eindeutiger Nachweis der Löschung.- Etc.Vorteile der Zertifizierung nach ISO 27018Die ISO 27018 Zertifizierung hat sich als internationaler Standardfür den Datenschutz in der Cloud etabliert. Was sind die Vorteileeiner Zertifizierung? Hier gilt es grundsätzlich zu unterscheidenzwischen der Konformität mit den Vorgaben der Zertifizierung und derZertifizierung ansich. Die Komformität mit den ISO 27018 Normendefiniert eine sinnvolle und und DSGVO-konforme Schnittstelle zum(potenziellen) Auftraggeber. Sie bietet eine sinnvolle Grundlage zurDefinition einer Auftragsdatenverarbeitung (ADV), bestätigt dem(potenziellen) Auftraggeber die DSGVO-Konformität des Cloud-Anbietersund so sichert so gewissermaßen den rechtlichen Rahmen der durch denCloud-Anbieter angebotenen Leistungen ab.Die Zertifizierung ansich hat darüber hinaus noch den Vorteil,dass sie den Aufwand für die, von der DSGVO vorgegebenen, Prüfungensowohl für den potenziellen Auftraggeber als auch den Cloud-Anbietervereinfacht.Voraussetzungen für die Zertifizierung nach ISO 27018Grundsätzlich gilt, dass Cloud-Anbieter, die eine ISO 27018Zertifizierung anstreben, Konformität mit den Vorgaben derZertifizierung schaffen müssen. D.h. technisch und organisatorisch inder Lage sein muss, unter anderem die weiter oben genanntenAnforderungen umzusetzen. Wer über die reine Konformität hinaus einekonkrete Zertifizierung anstrebt, muss sich durch eineZertifizierungsstelle auditieren lassen. 