Datenschutz für Cloud-Dienste

Die neue ISO/IEC 27018 im Überblick

03.11.2014 von Markus Dinnes

Es gibt seit wenigen Wochen einen neuen internationalen Standard für den Datenschutz in der Cloud: die ISO/IEC 27018. Cloud-Nutzer und -Anbieter sollten wissen, wie diese Norm aussieht - wir erklären es.

Besonders für die Anbieter von Cloud-Diensten kann die ISO 27018, die erst im August 2014 verabschiedet wurde, ein Instrument darstellen, mit dem sie sich im Wettbewerb besonders hervortun und Unternehmenskunden von ihren Lösungen überzeugen können.

Nach aktuellen Studien sieht die breite Mehrheit der Unternehmen den Einsatz anerkannter Sicherheitsverfahren oder aber die Zertifizierung durch unabhängige Dritte als entscheidendes Kriterium für die Auswahl eines Cloud-Anbieters an. An speziellen Zertifikaten mangelt es indes bislang. Zwar geben beispielsweise die vom Bundesamt für Sicherheit in der Informationstechnik (BSI) verfassten Leitlinien einen von der öffentlichen Verwaltung verlangten Schutzstandard bei Cloud-Lösungen wieder, spezifische Cloud-Zertifizierungen bietet jedoch auch das BSI bislang nicht an.

Die neue ISO 27018 soll helfen, Cloud-Anbietern und -Anwendern den sicheren Durchblick beim Datenschutz wieder zu ermöglichen.
Foto: ra2 studio - Fotolia.com

Die auf europäischer und internationaler Ebene bisher vorliegenden Datenschutzstandards wie die Reihe der ISO/IEC 27000-Normen enthalten lediglich allgemeinere Sicherheitsbestimmungen. Der nun verabschiedete 27018-Standard beschäftigt sich dagegen ausschließlich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud, indem er datenschutzrechtliche Anforderungen für Cloud-Dienste formuliert. Der Standard bietet damit einen nützlichen Rahmen für Datenschutzbestimmungen und richtet sich im Wesentlichen nach den Schutz- und Überwachungspflichten der geltenden europäischen Datenschutzgesetze.

Angepasst an neuen EU-Datenschutz

Insbesondere kommt die ISO 27018 auch den Forderungen der deutschen Aufsichtsbehörden in der im September 2011 veröffentlichen "Orientierungshilfe zum Cloud Computing" nach. Zudem stellt sie auch im Hinblick auf die erwartete europäische Datenschutzgrundverordnung (DS-GVO), die bereits 2015 in Kraft treten könnte, eine sinnvolle Zertifizierung dar. Der 27018-Standard verlangt nämlich bereits jetzt umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten von den Cloud-Anbietern. Diese Pflichten sind auch Gegenstand des Entwurfs zur europäischen Datenschutzgrundverordnung und können damit künftig europaweit vorausgesetzt werden.

EU-Datenschutzreform 2014: Die zehn wichtigsten Änderungen

Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten.

"Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen.

"Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher).

Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden.

Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können.

Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen.

Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben.

Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden.

Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben.

Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes.

Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen.

Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen.

Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)

Gerade für deutsche Anbieter und Kunden ist zu bedenken, dass die europäische Datenschutzgrundverordnung nach einer zweijährigen Umsetzungsfrist unmittelbar in allen Mitgliedstaaten gelten wird. Das führt dazu, dass bestehende Regelungen in den Mitgliedstaaten wie etwa das deutsche Bundesdatenschutzgesetz (BDSG) unwirksam werden. Zukünftig würde dann allein die erwartete europäische Datenschutzgrundverordnung Rechte und Pflichten von Cloud-Anbietern und -Nutzern bestimmen.

Inhaltliche Ausgestaltung der Norm

Inhaltlich baut die ISO 27018 auf den bereits existierenden Sicherheitsstandards wie der ISO 27001 und ISO 27002 auf. Diese definieren allgemeine Informationen zu Sicherheitsgrundsätzen - dazu gehören beispielsweise die Sicherung von Büros und Einrichtungen oder die Verwaltung von Medien. Einen weiteren Schwerpunkt legt die ISO 27018 aber darauf, durch entsprechende Verpflichtungen Vertrauen bei Kunden und Behörden bezüglich der Verarbeitung personenbezogener Daten zu schaffen. Die neue Norm greift damit die Forderung europäischer Behörden nach einem prüffähigen Rahmen für Cloud-Systeme auf, um das Vertrauen in das Internetumfeld zu stärken.

Beispielsweise enthält die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:

Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.
Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.
Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.

Fazit: Die ISO 27018 ist im Gegensatz zu anderen Normen mehr als nur ein technischer Standard im Sinne von Compliance-Anforderungen, die von Unternehmen zu beachten sind und vorgeben, wie ein Unternehmen sich organisieren und verhalten müssen, um gesetzlichen Anforderungen zu entsprechen.

Zertifizierung nach ISO 27018

Cloud-Anbieter können sich entsprechend der ISO 27018 zertifizieren lassen. Um die Zertifizierung aufrecht zu erhalten, müssen sie sich dann in regelmäßigen Zeitabständen von unabhängigen Stellen erneut prüfen lassen. Namhafte Cloud-Anbieter aus den USA und Europa haben bereits angekündigt, ihre Produkte unter der neuen Norm zertifizieren zu lassen.

Dieser Zertifizierungsprozess bringt besonders für den Cloud-Nutzer erhebliche Vorteile mit sich: Geht es um die Anbieterwahl, kann ein ISO-27018-Zertifikat als entscheidendes Kriterium dienen. Liegt bei dem eigenen Cloud-Anbieter eine entsprechende Zertifizierung vor, lässt sich anwenderseitig leicht argumentieren, dass man sich von der Einhaltung der von den deutschen Aufsichtsbehörden verlangten Transparenz-, Informations- und Benachrichtigungspflichten überzeugt habe.

Selbstverständlich dürfen Cloud-Anbieter auch nur dann mit einer Zertifizierung nach ISO 27018 werben, wenn sie die Voraussetzungen erfüllen und die Zertifizierung tatsächlich nachweisen können. Eine Abweichung von der Norm hätte nicht nur den Verlust der Zertifizierung zur Folge, sondern würde den Cloud-Nutzern auch die Möglichkeit geben, das Vertragsverhältnis aus wichtigem Grund unmittelbar zu beenden.

Spannend bleibt einzig die Frage, ob die ISO 27018 allein es schaffen kann, das durch die zahlreichen Spionageenthüllungen der letzten Monate verloren gegangene Vertrauen der Anwender in Cloud-Dienste ganz allgemein wieder aufzubauen. (sh)

Zum Video: Die neue ISO/IEC 27018 im Überblick