Cloud-Dienste erfreuen sich größter Beliebtheit, müssen allerdings auch damit leben, dass sie datenschutzrechtlich eher kritisch beäugt werden. Viele Unternehmen werben zwar mit hohen Datenschutzstandards. Nachvollziehen lassen sich diese Versprechen indes nur schwer, weil es an verbindlichen Normen mangelt. Das ändert sich mit der ISO/IEC 27018. Sie wurde im August verabschiedet und bietet Cloud-Anbietern die Chance, positiv aus der Masse hervorzustechen. Denn Datenschutz als Auswahlkriterium dürfte in den kommenden Jahren immer wichtiger werden.
Schon jetzt orientieren sich die meisten Firmen bei der Suche nach einem Cloud-Dienst an Sicherheitsverfahren und Zertifikaten. Derlei Zertifizierungen sind jedoch Mangelware und umfassen, sofern sie denn vergeben werden, längst nicht alle Datenschutzaspekte. In der Regel handelt es sich nur um allgemeine Sicherheitsbestimmungen, so wie sie bislang in der Reihe der ISO 27000-Normen formuliert wurden. Der Standard mit der Nummer 27018 geht einen entscheidenden Schritt weiter: Hier wird die Verarbeitung personenbezogener Daten durch klare datenschutzrechtliche Anforderungen reguliert. Maßgeblich sind die Schutz- und Überwachungspflichten gemäß der europäischen Datenschutzgesetze.
Für die neue Norm spricht, dass sie bereits jetzt Pflichten umfasst, die erst mit der europäischen Datenschutzgrundverordnung relevant werden. Sie tritt voraussichtlich im kommenden Jahr in Kraft. Das betrifft zum Beispiel die Informations-, Transparenz, Benachrichtigungs- und Nachweispflichten der Cloud-Dienste. Sie werden spätestens mit der Datenschutzgrundverordnung vorausgesetzt. Sobald die Verordnung auch in der Bundesrepublik gilt – die Umsetzungsfrist beträgt zwei Jahre – ist das aktuelle deutsche Bundesdatenschutzgesetz nicht mehr wirksam.
Um das Vertrauen der Nutzer in die Internetdienste zu stärken, bietet die neue Norm einen prüfbaren Rahmen für Cloud-Anbieter. Dienste, die mit dem Zertifikat werben wollen, verpflichten sich unter anderem, personenbezogene Daten nur in Übereinstimmung mit den Kundenvorgaben zu verarbeiten, Sicherheitsverletzungen zu dokumentieren und Kunden unverzüglich darüber zu informieren sowie klare Regeln für die Übermittlung, Rückgabe und Verwendung der Daten zu formulieren. Vorgeschrieben ist zudem, sich regelmäßig neu prüfen lassen zu müssen. Ob ein solcher Standard die bisherigen Bedenken ausräumen kann, bleibt abzuwarten.