DIN EN ISO/IEC 27018

Im August 2014 wurde die erste Version der Norm für Datenschutz in Cloud-Diensten herausgegeben. Als aktuelle Version dieses Regelwerks die ISO/IEC 27018:2019 (Stand Februar 2021).

Grundsätzlich ist die ISO/IEC 27018 als Erweiterung der Informationssicherheitsnorm 27001 zu sehen. Die ISO/IEC 27018 legt Standards fest, die dabei helfen sollen, verantwortungsvoll mit der Verarbeitung von personenbezogenen Daten in einer Cloud umzugehen.

Mit Hilfe eines aussagekräftigen und anerkannten Zusatzzertifikats können Sie Ihre angebotenen Dienste noch attraktiver machen. Schließlich erfüllen Sie dadurch im Regelfall mehr Sicherheitskriterien als die durchschnittliche Konkurrenz.

In der Norm ISO/IEC 27018 sind datenschutzrechtliche Anforderungen, systematisierbare Überwachungsmaßnahmen sowie Richtlinien zur Implementierung datenschützender Methoden enthalten.

Alle diese Aspekte sollen die abgelegten personenbezogenen Daten in Cloud-Services vor Schaden durch Dritte bewahren.

• Stärkung des Kundenvertrauens
  Sobald Sie die Handlungsanweisungen nach ISO/IEC 27018 umgesetzt haben, sorgen Sie einerseits für einen systematisierten Handlungsstandard für den Umgang mit personenbezogenen Daten und sichern sich damit andererseits das Vertrauen Ihrer Kunden.
• Erhöhte Sicherheit der Daten
  Durch ein definiertes Standardvorgehen beim Umgang mit personenbezogenen Daten können Verwaltungsfehler minimiert werden. Geben Sie Ihren Mitarbeitern eine Anleitung an die Hand mit welcher sie sensible Daten leichter handhaben können.

In der Norm zur Regulierung der Verarbeitung von personenbezogenen Daten sind viele verschiedene Thematiken berücksichtigt.

Einige dieser Aspekte sind unter anderem auch im Artikel 28 der DSGVO hinterlegt.

• Verarbeiten Sie personenbezogene Daten nur nach ausdrücklicher Zustimmung und nach den Vorgaben Ihrer Kundschaft. Zusätzlich müssen Kunden benachrichtigt werden, falls eine Verarbeitung durch weitere Dritte stattfinden sollte.
• Kunden müssen zu jeder Zeit Zugang zu ihren Daten besitzen und die Möglichkeit haben diese nach Ihren Wünschen zu verändern oder zu löschen.
• Die Nutzung der personenbezogenen Daten zu eigenen Zwecken (wie beispielsweise Marketing oder Werbung) wird untersagt, außer der Kunde willigt ausdrücklich ein.
• Cloud-Dienst-Provider müssen Prozesse definieren mit welchen die Rückgabe, Übermittlung, Transfer und Löschung der personenbezogenen Daten geregelt wird.
• Cloud-Anbieter müssen offenlegen in welchen Ländern die Datenverarbeitung stattfindet.
• Nach jeder Verletzung der Datensicherheit ist der Kunde durch den Provider zu informieren. Ferner sind Zeitpunkt, Art und weitere Konsequenzen bei der Datenverletzung schriftlich festzuhalten.
• Die Herausgabe von personenbezogenen Daten aus strafrechtlichen Gründen darf nur bei vorliegender rechtlicher Verpflichtung durchgeführt werden. Für den Fall, dass es nicht durch gesetzliche Regelungen untersagt ist, hat der Cloud-Provider den Kunden über die Strafverfolgung in Kenntnis zu setzen.

Wie eingangs bereits erwähnt, ist die ISO/IEC 27018 eine Subnorm der DIN EN ISO/IEC 27001. Eine Zertifizierung nach ISO 27018 kann nur in Verbindung mit bestehenden Zertifikaten nach ISO 27001 und ISO 27017 umgesetzt werden.

Die inhaltlichen Schritte der Zertifizierung bleiben aber gleich:

1. Beratung
   Lassen Sie uns in einem unverbindlichen Gespräch Ihre Fragen zur Zertifizierung klären und legen bei Interesse die nächsten Schritte fest. Auf Wunsch können wir auch mehrere Zertifizierungen gleichzeitig für Sie durchführen.
2. Prüfen der Dokumente und Vor-Ort-Audit
   Als nächstes sichtet der Auditor Ihre Dokumentationen zu den Cloudprozessen. Er prüft wie die Prozessvorgaben definiert sind, wie sie in die Tat umgesetzt werden und wie sie laut der ISO/IEC 27018 durchgeführt werden müssten.
3. Auswertung, Abschlussbericht und Zertifizierung
   Am Ende des Audits wird ein Prüfbericht erstellt und an den zuständigen Zertifizierungsauschuss übergeben. Der Ausschuss entscheidet darüber, ob Sie die Anforderungen erfüllen und das zusätzliche Zertifikat erhalten.
   
   Sie bekommen Ihren persönlichen Auditbericht außerdem zugeschickt und können anhand dessen nachvollziehen in welchen Bereichen Sie gut abgeschnitten haben und wo noch Nachholbedarf ist.
4. Weitere Audits
   Alle 12 Monate wird ein Überwachungsaudit von uns durchgeführt um die Qualität der Zertifizierungsmaßnahmen zu überprüfen.
5. Rezertifizierung
   Nach Ablauf einer Frist von drei Jahren nach der Erstzertifizierung werden Rezertifizierungaudits durchgeführt. Informieren Sie sich gerne auf unserer Seite weiter über die DIN EN ISO/IEC 27001 und die ISO/IEC 27017.