Vor kurzem gab Microsoft als erster der führenden IT-Anbieter bekannt, dass nun neben Azure auch die Cloud Produkte Office 365 und CRM Online dem neuen internationalen Standard für Datenschutz, ISO 27018, entsprechen. Einschränkend ist jedoch noch zu erwähnen, dass dies bisher nur für Geschäftskunden gilt. Grund genug, um einen genaueren Blick auf die Datenschutznorm zu werfen und den Leitfaden zur ISO 27018 zu erläutern.

Was ist ISO 27018?

Die ISO 27018 ist eine im August 2014 neu geschaffene Subnorm aus der ISO 27000-Reihe, die von der „International Organization for Standardization“ entwickelt wurde. Inhaltlich regelt sie insbesondere den Umgang mit personenbezogenen Daten in einer Cloud. Sie ist daher im Gegensatz zu den meisten anderen ISO 27000-Normen weniger ein technisch-organisatorischer Standard. Stattdessen stellt sie konzeptionelle Anforderungen an die Umsetzung des Schutzes personenbezogener Daten. Dabei werden wesentliche Punkte der ISO 27002 für anwendbar erklärt und durch spezifische Vorkehrungen zur Gewährleistung des Datenschutzes ergänzt.

Welche Regelungen beinhaltet ISO 27018?

Die wichtigsten Regelungen der neuen Datenschutznorm sind:

  • Personenbezogene Daten des Kunden dürfen ausschließlich nach dessen Weisung verarbeitet werden.
  • Der Cloud-Anbieter muss seine Kunden verbindlich und abschließend über den Standort der Datenverarbeitung informieren.
  • Cloud-Anbieter haben den Kunden über jede Verarbeitung der Daten durch Dritte zu informieren.
  • Der Kunde muss jederzeit Zugriff auf seine Daten haben und ihm müssen Möglichkeiten bereitgestellt werden, um die Daten unmittelbar zu ändern, zu löschen oder zu korrigieren.
  • Cloud-Anbieter dürfen Daten des Kunden nur an Strafverfolgungsbehörden herausgeben, sofern dazu eine gesetzliche Verpflichtung besteht. Zudem müssen die Kunden in diesem Fall über die Herausgabe informiert werden, außer die Informierung ist gesetzlich verboten.
  • Sollten Unbefugte Zugriff auf personenbezogene Daten des Kunden bekommen, so ist dieser umgehend darüber in Kenntnis zu setzen.
  • Es müssen verbindliche Regeln über Rückgabe, Transfer und Vernichtung der Daten des Kunden festgelegt werden.
  • Es müssen vertragliche Regelungen für die Vorgehensweise bei einer Datenpanne aufgenommen werden.

Wer sich im Datenschutz ein wenig auskennt, wird merken, dass hier vieles enthalten ist, was § 11 BDSG ohnehin fordert.

Ist eine Standarisierung nach ISO 27018 sinnvoll?

Eine Standarisierung nach ISO 27018 deckt vieles von dem ab, was das deutsche Datenschutzrecht und die Aufsichtsbehörden ohnehin von Cloud-Anbietern verlangen. Auch im Hinblick auf die Datenschutz-Grundverordnung ist die Übernahme der Standards sinnvoll, da dort viele Voraussetzungen an die Zulässigkeit der Datenverarbeitung gestellt werden, die auch für eine Entsprechung der Vorgaben von ISO 27018 erfüllt sein müssen.

Hinzu kommt der Wettbewerbsvorteil, den ein Unternehmen durch die Übernahme des Standards erhält. Denn obwohl die technischen Möglichkeiten im Rahmen des Outsourcings bereits jetzt beinahe unbegrenzt sind, wird die externe Datenverarbeitung vielfach noch kritisch beäugt. Das Vertrauen in die Auslagerung von Daten ist seit dem NSA-Skandal noch nicht wieder vollständig vorhanden. Daher stellt die Einhaltung von „best practises“ einem internationalen Standard gemäß für viele Unternehmen das ausschlaggebende Kriterium bei der Auswahl eines Cloud-Anbieters dar.

Wie kann sich ein Unternehmen nach ISO 27018 zertifizieren lassen?

Vielfach ist jetzt die Rede von einer „Zertifizierung nach ISO 27018“. Dies ist leider reichlich irreführend. Die ISO 27018 ist lediglich eine Subnorm der ISO 27002. Sicher kann prinzipiell jede Stelle nach ISO 27018 prüfen und ein Dokument über diese Prüfung ausstellen. Selbst die Bezeichnung als „Zertifikat“ wäre (in den Grenzen des Wettbewerbsrechts) denkbar.

Eine „echte“ Zertifizierung mit Segen einer Akkreditierungsstelle (wie etwa der DAkkS) ist aber „nur“ nach der ISO 27001 möglich. Bedauerlich ist hierbei, dass dann im Zertifikat noch nicht einmal ersichtlich sein wird, dass das Unternehmen sich die Mühe gemacht hat, die ISO 27018 umzusetzen. Ob das die Durchsetzung des Standards in der Praxis unterstützt, bleibt abzuwarten.