Was ist die ISO/IEC 27018 und für wen ist es geeignet?
Bislang gab es keinen allgemeinen Standard, der sich speziell mit den datenschutzrechtlichen Anforderungen an das Cloud-Computing auseinandergesetzt hat. Dies soll sich mit der Einführung von ISO/IEC 27018 ändern. Inhaltlich baut die Norm auf bereits existierenden Sicherheitsstandards – insbesondere ISO/IEC 27002 – auf. Allerdings befasst sich ISO/IEC 27018 speziell mit der Regulierung der Verarbeitung von personenbezogenen Daten in einer Cloud.
Nach der International Organization for Standardization (ISO) ist der Standard ISO/IEC 27018:2014 für alle Arten von Unternehmen und Einheiten einsetzbar, die die Verarbeitung von personenbezogenen Daten via Cloud-Computing anbieten.
Die Kunden von Clouddienste wollen wissen, wo ihre Daten gespeichert werden.
Da Cloud Provider im Rahmen von ISO/IEC 27018 dazu verpflichtet sind, Kunden über die Länder zu informieren, in denen ihre Daten gespeichert sein können, verfügen Kunden von Microsoft Cloud Services über die erforderliche Transparenz, um alle anwendbaren Informationssicherheitsregeln einzuhalten.
Die Kundendaten dürfen nicht ohne ausdrückliche Zustimmung für Marketing- oder Werbezwecke verwendet werden.
Einige CSPs verwenden die Kundendaten für eigene kommerzielle Zwecke, einschließlich für gezielte Werbung. Da Microsoft den ISO/IEC 27018-Standard für seine im Umfang enthaltenen Enterprise Cloud Services übernommen hat, können Kunden sicher sein, dass ihre Daten ohne ausdrückliche Zustimmung nicht für derartige Zwecke verwendet werden. Eine solche Zustimmung darf keine Bedingung für die Nutzung des Cloud Services sein.
Die Kunden von Cloud Providern müssen über den Umgang mit den personenbezogenen Informationen informiert werden.
Nach ISO/IEC 27018 ist eine Richtlinie erforderlich, die die Rückgabe, Übertragung und sichere Aufbewahrung personenbezogener Informationen innerhalb eines angemessenen Zeitraums ermöglicht. Wenn eine Firma mit anderen Unternehmen zusammenarbeitet, die Zugriff auf Kundendaten benötigen, müssen die Identitäten dieser Unter-Datenverarbeiter eigeninitiativ offen gelegt werden.
Es gibt eine gesetzlich vorgeschriebene Anforderungen zur Offenlegung von Kundendaten.
Wenn eine Firma eine derartige Anforderung erfüllen muss, beispielsweise im Rahmen von polizeilichen Ermittlungen, müssen die Kunden entsprechend benachrichtigt, sofern dies gesetzlich nicht untersagt ist.