Datenverarbeitung am Ende des Jahres 2014 ist ohne Cloud Computing kaum noch vorstellbar – wer hätte das vor wenigen Jahren gedacht? Vielfach wird die Nutzung jedoch von einem unsicheren Gefühl bzgl. der Datensicherheit und des Datenschutzes begleitet. Medienwirksam waren gehackte Accounts von Prominenten, aber auch Unternehmen machen sich Sorgen um ihre Daten. Aus deutscher Sicht wurde bisher versucht Nutzern und Betreibern von Cloud Diensten mit der Orientierungshilfe – Cloud Computing einen Leitfaden an die Hand zu geben, worauf aus datenschutzrechtlicher Sicht beim Cloud Computing zu achten ist. Auch das Bundesamt für Sicherheit in der Informationstechnik versucht mit seinem Dokument „Sichere Nutzung von Cloud-Diensten – Schritt für Schritt von der Strategie bis zum Vertragsende“, Nutzer auf dem Weg zur sicheren Nutzung von Cloud-Diensten zu unterstützen.

Was ist mit den Anbietern von Cloud Computing?

Doch wie können sich Anbieter von Cloud Computing im Wettbewerb profilieren. Wer glaubt ihnen, dass sie besonders gut aufgestellt sind? Und aus Nutzersicht: Wie kann ich überprüfen, ob mein Anbieter tatsächlich einhält, was er verspricht?

Seit August dieses Jahres gibt es eine neue ISO Norm ISO/IEC 27018, die genau hier ansetzt.

Die Norm

Im Gegensatz zu den bisher existierenden ISO/IEC Normen der 27000er Reihe, die allgemeine Datenschutz- und Sicherheitsstandards zu Grunde legen, beschäftigt sich die neue ISO/IEC 27018 ausschließlich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud. Der 27018-Standard baut dabei auf den ISO Normen 27001 und 27002 auf. Die in der Norm getroffenen Anforderungen sind an die europäischen Datenschutzgesetze angelehnt. Auch den Forderungen der deutschen Aufsichtsbehörden, die diese in ihrer Orientierungshilfe – Cloud Computing (siehe oben) zusammengefasst haben, kommt die Norm nach. Eine Zertifizierung nach dem 27018-Standard dürfte für viele Cloud Anbieter Sinn machen, da die Norm u.a. umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten von den Anbietern verlangt, die in dem zur Zeit vorliegenden Entwurf der europäischen Datenschutzgrundverordnung genannt sind (zum Stand der europäischen Datenschutzgrundverordnung können Sie sich hier und hier informieren). Die Absicht, mit einer Zertifizierung das Vertrauen der Kunden in Cloud Computing zu erhöhen, ist deutlich spürbar.

Was steht drin?

Hier sind einige Beispiel zusammengetragen, welchen Verpflichtungen ein Cloud Anbieter nachkommen muss (vgl. hier):

  • Jedwede Verarbeitung personenbezogener Daten darf nur nach den Vorgaben des Kunden erfolgen.
  • Kunden muss es möglichst leicht gemacht werden, Endnutzern die Möglichkeit zu bieten, persönliche Daten ändern oder löschen zu lassen.
  • Strafverfolgungsbehörden dürfen nur bei einer rechtlichen Verpflichtung an die Kundendaten gelangen und die Kunden sind i.d.R. vorher davon in Kenntnis zu setzen.
  • Alle Unterauftragsverhältnisse sowie alle Länder in denen eine Datenverarbeitung stattfindet, sind vor Vertragsabschluss zu benennen.
  • Sicherheitsverletzungen sind ausnahmslos vom Cloud Anbieter zu dokumentieren und dem Kunden anzuzeigen.
  • Cloud Anbieter müssen Kunden bei ihrer Anzeigepflicht im Falle von Verstößen gegen die Datensicherheit unterstützen.
  • Die Verträge zwischen Cloud Anbieter und Kunde müssen verbindliche Regelungen für die Übermittlung, Verwendung und Rückgabe personenbezogener Daten beinhalten.
  • Cloud-Anbieter sind verpflichtet, ihre Dienstleistungen regelmäßig durch Dritte überprüfen zu lassen.

Bereits jetzt haben einige Cloud Anbieter angekündigt, ihre Produkte nach der neuen Norm zertifizieren zu lassen.

| | | , ,