Wichtiger "Meilenstein" in Sachen Datenschutz

Microsoft ist seit letzter Woche der erste große Cloud-Anbieter, der den internationalen Standard für Datenschutz in der Cloud übernimmt.

Der ISO/IEC 27018 Standard wurde von der International Organization for Standardization (ISO) entwickelt. Er hat das Ziel ein einheitliches und international gültiges Konzept zu schaffen, um in der Cloud gelagerte personenbezogene Daten zu schützen.

Neben Microsoft Azure entsprechen jetzt auch Office 365 und Dynamics CRM Online den internationalen Standards zum Schutz von personenbezogenen Daten in Public Clouds. Das hat nun das British Standards Institute (BSI) von unabhängiger Seite überprüft. Die neue ISO 27018 soll helfen, Cloud-Anwendern den sicheren Durchblick beim Datenschutz wieder zu ermöglichen.

Beispielsweise enthält die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter*:

  • Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
  • Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
  • Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
  • Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.
    Cloud-Anbieter müssen jede Art von Sicherheitsverletzung mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
  • Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.
    Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
  • Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.

» (*Quelle: www.computerwoche.de)

Weitere Informationen:
Unter folgendem Link können Sie sich das Interview mit dem Bayerischen Landesdatenschutzbeauftragten Thomas Petri, und Rechtsanwalt Wilfried Reiners zum Thema Datenschutz vs. Datensouveränität ansehen:
Datenschutz vs. Datensouveränität