Skip to main content
main-content

03.03.2015 | Big Data | Im Fokus | Onlineartikel

Wie ISO 27018 den Datenschutz in der Cloud vereinheitlichen soll

Autor:
Jacqueline Pohl
2 Min. Lesedauer

Die ISO möchte eine international einheitliche Cloud-Datenschutznorm etablieren. Gut für Unternehmen, denn Cloud-Services lassen sich besser einschätzen und Compliance-Anforderungen leichter erfüllen.

Die International Organisation for Standardization (ISO) hat eine einheitliche Norm für den Datenschutz in Public Clouds entwickelt, die Unternehmen mehr Transparenz und Sicherheit bei der Auswahl ihres Service-Providers verschaffen soll. Cloud-Anbieter, die die Richtlinien und Sicherheitsmaßnahmen des Standards ISO/IEC 27018 umsetzen, müssen ihre Dienste zertifizieren lassen.

Die ISO will pünktlich zur Cebit ein Update der Spezifikationen veröffentlichen und den Standard weiter verfeinern.

Die neue Datenschutznorm ist aber schon in der Praxis angekommen: Nach anfänglichen Pilotprojekten implementieren inzwischen erste Cloud-Provider den internationalen Datenschutzstandard. 

International einheitliches Datenschutzniveau

Service-Provider, die die ISO-27018-Anforderungen erfüllen wollen, müssen sich zum Schutz personenbezogener Daten verpflichten, transparente Prozesse schaffen und Sicherheitsverfahren sowie Überwachungsmechanismen einsetzen, um unerlaubte Zugriffe zu verhindern. Das bedeutet konkret, dass die Dienstleister die sensiblen Daten nur in der Art und Weise verwenden und an Partner weitergeben dürfen, wie das vom Kunden gewollt ist. Es klingt selbstverständlich, aber personenbezogene Daten dürfen vom Provider natürlich nicht für werbliche Zwecke missbraucht werden. Für Unternehmen muss ersichtlich sein, in welchem Land ihre Daten gespeichert werden.

Die Dienstleister müssen auch Prozesse anbieten, mit denen Unternehmen ihre Daten ins eigene Rechenzentrum zurück transferieren, die Daten zu anderen Providern migrieren und bei Bedarf vollständig löschen können. Auch den Endanwendern steht ein Zugang zu ihren persönlichen Daten zu, um sie zu ändern oder zu löschen.

Sollte es trotz der vorgeschriebenen Sicherheitstools zu einer Datenschutzverletzung wie einer erfolgreichen Hackerattacke kommen, muss der Provider den Kunden darüber ausführlich informieren. Auch bei einem – rechtlich abgesicherten – Datenabruf durch Strafverfolgungsbehörden besteht eine Informationspflicht, außer die Weitergabe dieser Information ist rechtlich untersagt. Vor den neugierigen Augen der NSA wird der Datenschutzstandard die personenbezogenen Daten also nicht schützen können.

Wenn ISO 27018 in den Rechenzentren der Cloud-Provider ankommt, erhalten Unternehmen dennoch eine bessere Kontrolle über ihre Daten. Der internationale Datenschutzstandard hilft IT-Verantwortlichen dabei, das Sicherheitsniveau von Cloud-Services einzuordnen und macht Dienste weltweit besser vergleichbar.

Weiterführende Themen

Die Hintergründe zu diesem Inhalt

2015 | OriginalPaper | Buchkapitel

Grundsatzentscheidungen zum Datenschutz im Bereich der inneren Sicherheit

Rasterfahndung, Online-Durchsuchung, Kfz-Kennzeichenerfassung, Vorratsdatenspeicherung und Antiterrordatei in der Rechtsprechung des Bundesverfassungsgerichts
Quelle:
Handbuch Bundesverfassungsgericht im politischen System

01.01.2015 | Gateway | Ausgabe 1/2015

Datenschutz mit Risiken

Premium Partner

    Bildnachweise