Die ISO 27018 und der Datenschutz
Die neue Norm ISO 27018 regelt unter anderem, wie Cloud-Anbieter mit personenbezogenen Daten ihrer Kunden umzugehen haben. Im Wesentlichen nimmt sie vorweg, was nach dem zu erwartenden Inkrafttreten der Europäischen Datenschutzgrundverordnung ohnehin rechtlich verpflichtend sein wird. Im Kern geht es um die Anpassung des Datenschutzes an den in der Praxis längst vollzogenen Wandel des Verhaltens der Internetnutzer. Das in die Jahre gekommene alte Datenschutzrecht ging davon aus, dass niemand ein Interesse daran hat, sensible persönliche Daten der Öffentlichkeit zugänglich zu machen. Die Sozialen Medien haben das grundlegend geändert. Ziel der anstehenden Änderungen ist es, den Nutzern der Cloud Dienste die Kontrolle über ihre Daten zu geben.
Jedwede Nutzung oder Weitergabe personenbezogener Daten bedarf der ausdrücklichen Zustimmung des Kunden. Das gilt künftig auch in Fällen, in denen eine Nutzung bislang zulässig war, wenn der Kunde ihr nicht widersprochen hat. Darüber hinaus müssen die Cloud-Anbieter ihre Kunden bei der Wahrnehmung ihrer Datenschutzinteressen aktiv unterstützen. Auf technischer Seite bedeutet dies, dass der Cloud-Anbieter Programme bereitstellen muss, mit denen Endverbraucher ihre Daten ändern oder löschen können. Darüber hinaus unterliegen die Anbieter weitreichenden Informationspflichten. Schon vor Vertragsabschluss müssen Kunden darüber informiert werden, welche Partnerunternehmen Zugang zu den Daten haben und in welchen Staaten die Daten gespeichert und gegebenenfalls verarbeitet werden. Auch alle Verletzungen der Datensicherheit müssen den Kunden unverzüglich mitgeteilt werden. Die Zusammenarbeit der Cloud-Anbieter mit Sicherheitsbehörden wird strikt auf das rechtlich Geforderte beschränkt. Daten dürfen nur herausgegeben werden, wenn es rechtlich zwingend vorgeschrieben ist. Auch darüber müssen die Kunden informiert werden, sofern dies im Einzelfall nicht ausdrücklich gesetzlich untersagt ist.
Zwei wichtige Gründe sprechen dafür, dass sich Unternehmen zertifizieren lassen sollten. Erstens sind die oben beschriebenen Anforderungen weitgehend identisch mit der kommenden Europäischen Datengrundschutzverordnung, es führt also ohnehin kein Weg daran vorbei. Zweitens sind die Kunden durch die aktuellen Diskussionen bezüglich des Datenschutzes sensibilisiert worden, weswegen die Zertifizierung ein wichtiges Auswahlkriterium sein wird. Weitere Informationen zur Umsetzung können über Fachexperten (https://suhling.biz) bezogen werden.