Die ISO möchte eine international einheitliche Cloud-Datenschutznorm etablieren. Gut für Unternehmen, denn Cloud-Services lassen sich besser einschätzen und Compliance-Anforderungen leichter erfüllen.
Die International Organisation for Standardization (ISO) hat eine einheitliche Norm für den Datenschutz in Public Clouds entwickelt, die Unternehmen mehr Transparenz und Sicherheit bei der Auswahl ihres Service-Providers verschaffen soll. Cloud-Anbieter, die die Richtlinien und Sicherheitsmaßnahmen des Standards ISO/IEC 27018 umsetzen, müssen ihre Dienste zertifizieren lassen.
Die ISO will pünktlich zur Cebit ein Update der Spezifikationen veröffentlichen und den Standard weiter verfeinern.
Die neue Datenschutznorm ist aber schon in der Praxis angekommen: Nach anfänglichen Pilotprojekten implementieren inzwischen erste Cloud-Provider den internationalen Datenschutzstandard.
International einheitliches Datenschutzniveau
Service-Provider, die die ISO-27018-Anforderungen erfüllen wollen, müssen sich zum Schutz personenbezogener Daten verpflichten, transparente Prozesse schaffen und Sicherheitsverfahren sowie Überwachungsmechanismen einsetzen, um unerlaubte Zugriffe zu verhindern. Das bedeutet konkret, dass die Dienstleister die sensiblen Daten nur in der Art und Weise verwenden und an Partner weitergeben dürfen, wie das vom Kunden gewollt ist. Es klingt selbstverständlich, aber personenbezogene Daten dürfen vom Provider natürlich nicht für werbliche Zwecke missbraucht werden. Für Unternehmen muss ersichtlich sein, in welchem Land ihre Daten gespeichert werden.
Die Dienstleister müssen auch Prozesse anbieten, mit denen Unternehmen ihre Daten ins eigene Rechenzentrum zurück transferieren, die Daten zu anderen Providern migrieren und bei Bedarf vollständig löschen können. Auch den Endanwendern steht ein Zugang zu ihren persönlichen Daten zu, um sie zu ändern oder zu löschen.
Sollte es trotz der vorgeschriebenen Sicherheitstools zu einer Datenschutzverletzung wie einer erfolgreichen Hackerattacke kommen, muss der Provider den Kunden darüber ausführlich informieren. Auch bei einem – rechtlich abgesicherten – Datenabruf durch Strafverfolgungsbehörden besteht eine Informationspflicht, außer die Weitergabe dieser Information ist rechtlich untersagt. Vor den neugierigen Augen der NSA wird der Datenschutzstandard die personenbezogenen Daten also nicht schützen können.
Wenn ISO 27018 in den Rechenzentren der Cloud-Provider ankommt, erhalten Unternehmen dennoch eine bessere Kontrolle über ihre Daten. Der internationale Datenschutzstandard hilft IT-Verantwortlichen dabei, das Sicherheitsniveau von Cloud-Services einzuordnen und macht Dienste weltweit besser vergleichbar.