Die ISO 27018 Norm ist ein neuer Datenschutzstandard für Cloud-Anbieter und befasst sich speziell mit der Verarbeitung von personenbezogenen Daten in Cloud-Umgebungen. Sie legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud-Diensten fest sowie Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen. Dabei berücksichtigt die Norm datenschutzrechtliche Anforderungen aus der Datenschutzgrundverordnung und passt diese speziell für Informationssicherheitsrisiken im Bereich des Cloud-Computing an. Mit einer Zertifizierung nach ISO 27018 verfolgen Unternehmen im wesentlichen zwei Ziele. Erstens wird das Vertrauen der Kunden dadurch gestärkt, dass den Unternehmen von einer unabhängigen Distanz nach transparenten Kriterien ein hohes Datenschutz- und Datensicherheitsniveau bescheinigt wird. Zweitens ist eine ISO 27018 Zertifizierung ein wichtiges Kriterium zur Wahl von Cloud-Dienstleistern. Nach der ISO 27018 zertifizierte Technologien und Dienstleistern leisten bereits einen wesentlichen Beitrag zur DSGVO Compliance für ihre Kunden.
Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden. Betroffen sind nahezu alle Unternehmen – in jedem Fall solche, zu deren Geschäftsmodell die Erfassung und Verarbeitung von (personenbezogenen) Daten gehört. Für das digitale Marketing, das heute zunehmend datengetrieben ist, gibt es eine Reihe von besonderen Herausforderungen, aber auch Chancen, die zu beachten sind. Einige der Neuerungen sind grundlegender Natur und können Geschäftsmodelle in Frage stellen. In jedem Fall steigen der Aufwand und das Risiko im Bereich der Implementierung von Datenschutz in Unternehmen. Eine Neuerung der DSGVO besteht darin, dass die Verordnung explizit Privacy by Design und Privacy by Default von Unternehmen einfordert.
Privacy by Design bedeutet, dass Unternehmen bereits in der Design-/Planungsphase eines Projekts das Thema Datenschutz mitdenken müssen. Dazu gehört auch z. B. Dienstleister und Technologien auszuwählen, die dazu geeignet sind, die Anforderungen aus der Datenschutzgrundverordnung umzusetzen. Die Umsetzung der Anforderungen aus der Datenschutzgrundverordnung wird vereinfacht durch den Einsatz von Technologien, die Datenschutzmaßnahmen als Standardeinstellungen vorkonfiguriert haben (Privacy by Default). Auch beim Einsatz von fremden Technologien und Dienstleistern stehen Unternehmen jedoch grundsätzlich in der Haftung hinsichtlich der Einhaltung der Anforderungen aus der Datenschutzgrundverordnung. Das bedeutet, dass sie auch für Datenschutz- oder Datensicherheitsvorfälle verantwortlich gemacht werden können, die aufgrund von Sicherheitslücken in den eingesetzten Technologien auftreten. Unternehmen sind daher verpflichtet, diese Technologien regelmäßig auf Datenschutz- und Datensicherheitskonformität im Rahmen der Datenschutzgrundverordnung zu prüfen. Die DSGVO weist jedoch explizit darauf hin, dass genehmigte Zertifizierungsverfahren als Faktor herangezogen werden können, um die Umsetzung der Anforderungen nachzuweisen. Durch Zertifizierungen, bzw. die Wahl zertifizierter Dienstleister und Technologien, lässt sich der Prüfprozess daher vereinfachen. Hier haben sich insb. die internationalen Standards ISO 27018 und ISO 27001 bewährt.
ISO 27018 als Grundlage für DSGVO-konforme Vertragsbeziehungen
Heutzutage handelt es sich bei externen Technologien im IT-Umfeld üblicherweise um Cloud-Services. Um die Anforderungen der DSGVO bei Einsatz einer datenverarbeitenden Cloud-Technologie umsetzen zu können, ist eine besondere Transparenz zwischen Auftraggeber und Cloud-Anbieter gefordert, da datenschutzrelevante Fähigkeiten der genutzten Cloud-Lösung im Detail bewertet werden müssen. Die ISO 27018 legt datenschutzrechtliche Anforderungen für die Anbieter von Cloud-Diensten fest und formuliert Überwachungsmechanismen und Richtlinien für die Implementierung von Maßnahmen, die den Schutz personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen. Dabei berücksichtigt die Norm datenschutzrechtliche Anforderungen, die in anderen Bereichen bereits existieren und passt diese speziell auf Informationssicherheitsrisiken im Bereich des Cloud-Computing an. Insbesondere werden die IT-Sicherheits-Standards ISO 27001 und ISO 27002 hier für Cloud-Angebote konkretisiert. DIE ISO 27018 bescheinigt dem Cloud Anbieter Konformität mit den Verpflichtungen aus der DSGVO, d.h. dass er technisch und organisatorisch in der Lage ist, diesen nachzukommen. Die Verordnung macht unter anderem folgende Vorgaben:
- Der Cloud-Anbieter darf personebezogene Daten nur auf Weisung der Auftraggebers verarbeiten und nur so, wie vom Auftraggeber vorgegeben.
- Kommt es zu einem Sicherheitsvorfall beim Cloud-Anbieter, besteht unverzügliche Anzeigepflicht gegenüber dem Auftraggeber. Der Cloud-Anbieter muss das dazugehörige Datum, die zu erwartenden Konsequenzen des Vorfalls sowie die geplanten Schritte zur Problemlösung dokumentieren. Waren Dritte von dem Vorfall betroffen, z.B. Nutzer deren personenbezogene Daten unrechtmäßig veröffentlich wurden, besteht diesen gegenüber ebenfalls Anzeigepflicht durch den AUftraggeber. Der Cloud-Anbieter ist verpflichtet, den Auftraggeber bei der Wahrnehumung der Anzeigepflichten zu unterstützen.
- Cloud Anbieter sind verpflichtet, dem Auftraggeber bereits vor Auftragserteilung alle beteiligten Dienstleister (Unterauftragsverhältnisse) strukturiert und transparent offenzulegen.
- Machen Betroffene gegenüber dem Auftraggeber ihre Rechte geltend, z.B. das Recht auf Auskunft, Korrektur oder Löschung ihrer personenbezogenen Daten, sind Cloud Anbieter dazu verpflichtet, bei der Durchsetzung der Betroffenenrechte zu unterstützen. Dazu gehört z.B. Funktionen und Prozesse anzubieten, die den Betroffenen selbst Zugang zu ihren personenbezogenen Daten zu gewähren, sowie die Möglichkeit, diese anzupassen oder zu löschen.
- Verlangen Strafverfolgungsbehörden Zugriff auf personenbezogene Daten des Cloud-Anbieters, musss dieser auf das rechtlich verpflichtende Maß beschränkt werden. Der Cloud-Anbieter ist verpflichtet, Behördenanfragen unverzüglich dem Auftraggeber mitzuteilen, außer dies ist ihm explizit rechtlich untersagt.
- Es müssen verbindliche Regeln dafür existieren, wie der Cloud-Anbieter mit personenbezogenen Daten im Falle der Beendigung des Vertragsverhältnisses mit dem Auftragggeber zu verfahren, z.B. eindeutiger Nachweis der Löschung.
- Etc.
Vorteile der Zertifizierung nach ISO 27018
Die ISO 27018 Zertifizierung hat sich als internationaler Standard für den Datenschutz in der Cloud etabliert. Was sind die Vorteile einer Zertifizierung? Hier gilt es grundsätzlich zu unterscheiden zwischen der Konformität mit den Vorgaben der Zertifizierung und der Zertifizierung ansich. Die Komformität mit den ISO 27018 Normen definiert eine sinnvolle und und DSGVO-konforme Schnittstelle zum (potenziellen) Auftraggeber. Sie bietet eine sinnvolle Grundlage zur Definition einer Auftragsdatenverarbeitung (ADV), bestätigt dem (potenziellen) Auftraggeber die DSGVO-Konformität des Cloud-Anbieters und so sichert so gewissermaßen den rechtlichen Rahmen der durch den Cloud-Anbieter angebotenen Leistungen ab.
Die Zertifizierung ansich hat darüber hinaus noch den Vorteil, dass sie den Aufwand für die, von der DSGVO vorgegebenen, Prüfungen sowohl für den potenziellen Auftraggeber als auch den Cloud-Anbieter vereinfacht.
Voraussetzungen für die Zertifizierung nach ISO 27018
Grundsätzlich gilt, dass Cloud-Anbieter, die eine ISO 27018 Zertifizierung anstreben, Konformität mit den Vorgaben der Zertifizierung schaffen müssen. D.h. technisch und organisatorisch in der Lage sein muss, unter anderem die weiter oben genannten Anforderungen umzusetzen. Wer über die reine Konformität hinaus eine konkrete Zertifizierung anstrebt, muss sich durch eine Zertifizierungsstelle auditieren lassen. Hier gibt es eine Reihe von Anbietern, z.B. die verschiedenen TÜV Gesellschaften oder die Dekra. Nach einmaliger Zertifizierung werden die Audits in regelmäßigen Abständen wiederholt. Die ISO 27018 Norm baut auf den Standards der ISO 27001 und ISO 27002 Normen auf. Sind bereits Zertifizierungen nach diesen Standards vorhanden, ist es empfehlenswert, die ISO 27018 Auditierung an bereits bestehende Auditverfahren zu koppeln. Dies senkt die Aufwände enorm.