1. Home
  2. News
  3. ISO 27018 – Sicherheitsstandard für Cloud Computing gewinnt an Bedeutung
  • Datenschutz

ISO 27018 – Sicherheitsstandard für Cloud Computing gewinnt an Bedeutung

Im August 2014 hat die Internationale Standardisierungsorganisation (ISO) ihre Norm „ISO/IEC 27018:2014 – Code of Practice for Protection of Personal Identifiable Information (PII) in Public Clouds as PII-processors“ eingeführt, die allgemein anerkannte Kontrollziele, Kontrollmechanismen und Leitlinien für die Umsetzung von Maßnahmen zum Schutz personenbezogener Daten in der Cloud definiert.

Im Gegensatz zu den sehr technisch orientierten Normen ISO 27001 und ISO 27002 verfügt ISO 27018 über eine eher organisatorische und konzeptionelle Ausrichtung. Während erstere als Hauptnormen zudem auf ein recht breites Anwendungsspektrum ausgerichtet sind, beschäftigt sich ISO 27018 sehr spezifisch mit dem Teilaspekt der Verarbeitung von personenbezogenen Daten in der Cloud. Sie enthält Kontrollen und Leitlinien für die Schutzanforderungen an die Verarbeitung personenbezogener Daten in der Public Cloud, die von den Kontrollen beispielsweise der ISO 27002 nicht berücksichtigt werden.

Für Anbieter und Nutzer von Cloud-Lösungen ist die ISO 27018 unter anderem deshalb interessant, weil sie weitgehend mit den Bestimmungen von Art. 28 DSGVO übereinstimmt, die für Cloud Computing relevant sind. Mit einer Zertifizierung nach ISO 27018 kann die DSGVO-konforme Umsetzung technischer und organisatorischer Maßnahmen daher standardisiert und nachhaltig dokumentiert werden. Dies erleichtert auch den Nachweis und die Bewertung der DSGVO-Konformität beim Abschluss von Auftragsverarbeitungsverträgen.

Die Anforderungen der ISO 27018 an die Betreiber von Cloud Computing-Diensten spiegeln die Anforderungen von Art. 28 DSGVO weitgehend wider. Die Norm kann daher als Wegweiser dienen, der das Unternehmen auf dem teilweise komplizierten Pfad des Datenschutzes leitet.

ISO 27018 stellt unter anderem folgende Anforderungen an die Anbieter von Clouds:

  • Personenbezogene Daten müssen stets nach den Anweisungen des Kunden verarbeitet werden.
  • Vor der Verarbeitung personenbezogener Daten für Marketing- oder Werbezwecke ist eine gültige Einwilligung der betroffenen Person einzuholen.
  • Der Cloud-Anbieter muss seinen Kunden unterstützen, wenn eine von der Datenverarbeitung betroffene Person ihr Recht auf Zugang zu ihren Daten geltend macht.
  • Personenbezogene Daten aus der Cloud sollten den Strafverfolgungsbehörden nur dann zur Verfügung gestellt werden, wenn dies gesetzlich vorgeschrieben ist.
  • Im Falle einer Datenschutzverletzung muss der Anbieter den Kunden bei der Meldung an die Datenschutzbehörden unterstützen.
  • Es müssen Richtlinien für die sichere Rückgabe, Übermittlung und Entsorgung personenbezogener Daten vorhanden sein.
  • Datenschutzaudits müssen in regelmäßigen Abständen durchgeführt werden.
  • Der Cloud-Anbieter muss sicherstellen, dass Mitarbeiter, die Zugang zu personenbezogenen Daten haben, Vertraulichkeitsvereinbarungen unterzeichnen und hinsichtlich Datenschutz und Datensicherheit geschult werden.

ISO 27018 Zertifizierungen werden von diversen Dienstleistern angeboten. Neben großen Anbietern wie T-Systems, IBM und Amazon/AWS lassen sich zunehmend auch mittlere und kleine Unternehmen zertifizieren. Das ISO 27018-Zertifikat (aufbauend auf ISO 27001) schafft Vertrauen bei den Kunden und hilft ihnen, sich im immer härter werdenden Wettbewerb zu differenzieren.

Clouds speichern bereits heutzutage enorme Mengen von Daten. Eine Entwicklung, die sich in naher Zukunft noch auf bisher unvorstellbare Weise beschleunigen wird. Diese Entwicklung erfordert einen umfassenden systematischen und standardisierten Schutz der in den Clouds verarbeiteten personenbezogenen Daten. Die dramatischen Folgen von Datenschutzverletzungen können den Verlust von Rechten und Freiheiten, Identitätsdiebstahl, Geldbußen und einen enormen Reputationsverlust für die von der Datenverarbeitung betroffenen Personen umfassen. Die Einhaltung der ISO 27018 trägt zum Schutz der personenbezogenen Daten bei und stellt sicher, dass personenbezogene Daten in der Cloud in Übereinstimmung mit den gesetzlichen Bestimmungen verarbeitet werden.

Hinweis zu Cookies

Unsere Website verwendet Cookies. Einige davon sind technisch notwendig für die Funktionalität unserer Website und daher nicht zustimmungspflichtig. Darüber hinaus setzen wir Cookies, mit denen wir Statistiken über die Nutzung unserer Website führen. Hierzu werden anonymisierte Daten von Besuchern gesammelt und ausgewertet. Eine Weitergabe von Daten an Dritte findet ausdrücklich nicht statt.

Ihr Einverständnis in die Verwendung der Cookies können Sie jederzeit widerrufen. In unserer Datenschutzerklärung finden Sie weitere Informationen zu Cookies und Datenverarbeitung auf dieser Website. Beachten Sie auch unser Impressum.

Technisch notwendig

Diese Cookies sind für die einwandfreie Funktion der Website erforderlich und können daher nicht abgewählt werden. Sie zählen nicht zu den zustimmungspflichtigen Cookies nach der DSGVO.

Name Zweck Ablauf Typ Anbieter
CookieConsent Speichert Ihre Einwilligung zur Verwendung von Cookies. 1 Jahr HTML Website
fe_typo_user Dieser Cookie wird gesetzt, wenn Sie sich im Bereich myGINDAT anmelden. Session HTTP Website
PHPSESSID Kurzzeitiger Cookie, der von PHP zum zwischenzeitlichen Speichern von Daten benötigt wird. Session HTTP Website
__cfduid Wir verwenden eine "Content Security Policy", um die Sicherheit unserer Website zu verbessern. Bei potenziellen Verstößen gegen diese Policy wird ein anonymer Bericht an den Webservice report-uri.com gesendet. Dieser Webservice lässt über seinen Anbieter Cloudflare diesen Cookie setzen, um vertrauenswürdigen Web-Traffic zu identifizieren. Der Cookie wird nur kurzzeitig im Falle einer Bericht-Übermittlung auf der aktuellen Webseite gesetzt. 30 Tage/ Session HTTP Cloudflare/ report-uri.com
Statistiken

Mit Hilfe dieser Statistik-Cookies prüfen wir, wie Besucher mit unserer Website interagieren. Die Informationen werden anonymisiert gesammelt.

Name Zweck Ablauf Typ Anbieter
_pk_id Wird verwendet, um ein paar Details über den Benutzer wie die eindeutige Besucher-ID zu speichern. 13 Monate HTML Matomo
_pk_ref Wird verwendet, um die Informationen der Herkunftswebsite des Benutzers zu speichern. 6 Monate HTML Matomo
_pk_ses Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
_pk_cvar Kurzzeitiger Cookie, um vorübergehende Daten des Besuchs zu speichern. 30 Minuten HTML Matomo
MATOMO_SESSID Kurzzeitiger Cookie, der bei Verwendung des Matomo Opt-Out gesetzt wird. Session HTTP Matomo
_pk_testcookie Kurzzeitiger Cookie der prüft, ob der Browser Cookies akzeptiert. Session HTML Matomo