ISO-Norm sorgt für einheitlichen Datenschutz in der Cloud

Vor Kurzem wurde ein neuer ISO-Standard publiziert, der den Datenschutz in der Cloud sicher stellen soll. Wir zeigen auf, was die Norm bringt und was Schweizer Provider davon halten.

» Von Jens Stark , 06.11.2014 13:26.

weitere Artikel

Bildergalerie

Gratis-Exemplar "Swiss Leader" sichern

Sie wollen Ihren ICT-Anbietern die Meinung sagen? Nutzen Sie jetzt Ihre Chance und bewerten Sie sie im Rahmen unserer Swiss IT Zufriedenheitsstudie.

Zur Swiss IT Zufriedenheitsstudie 2016

Sie ist nur wenige Wochen alt, die Norm ISO/IEC 27018:2014, und richtet sich speziell an die Anbieter von Cloud-Diensten. Die sollen mit der Norm darlegen können, dass sie sich an einen Rahmen von Datenschutzmassnahmen halten. Besonders potenzielle Unternehmenskunden von Cloud-Providern dürften hellhörig werden, sind sie doch vielerorts noch zögerlich, Cloud-Modelle für die Firmen-IT in die Arme zu schliessen. Aber auch private Anwender von öffentlichen Cloud-Angeboten könnte es künftig interessieren, ob der Provider die Norm verinnerlicht hat, stellt sie doch einen facettenreichen Schutz der eigenen Daten sicher.

Doch was regelt die Norm eigentlich?

Inhaltlich baut die ISO 27018 auf den bereits existierenden Sicherheitsstandards wie der ISO 27001 und ISO 27002 auf. Diese definieren allgemeine Informationen zu Sicherheitsgrundsätzen - dazu gehören beispielsweise die Sicherung von Büros und Einrichtungen oder die Verwaltung von Medien. Einen weiteren Schwerpunkt legt die ISO 27018 aber darauf, durch entsprechende Verpflichtungen, Vertrauen bei Kunden und Behörden bezüglich der Verarbeitung personenbezogener Daten zu schaffen.

Konkret enthält ISO 27018 unter anderen folgende Verpflichtungen für Cloud-Anbieter:

  • Personenbezogene Daten dürfen nur in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
  • Die Norm verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
  • Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
  • Alle relevanten Unterbeauftragungsverhältnisse sowie die Länder, in denen eine Datenverarbeitung stattfindet, müssen vorgängig offengelegt werden.
  • Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
  • Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
  • Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmässigen Intervallen oder aber bei grösseren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.

Nächste Seite: Interesse von Schweizer Provider


Werbung

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

*
*
*
*

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der NMGZ AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.