Datenmissbrauch vorbeugen! Schutz personenbezogener Daten in der Cloud
Wer überall Zugriff auf seine Computer-Daten haben möchte, speichert sie in der Cloud. Cloud Computing ist die Bereitstellung von IT-Infrastruktur wie Speicherplatz, Rechenleistung oder Anwendungssoftware als Dienstleistung über das Internet. Cloud-Dienstleister, die im Rahmen eines Vertrags mit ihren Kunden personenbezogene Daten (pbD) verarbeiten, müssen ihre Dienste so betreiben, dass es beiden Parteien möglich ist, die Anforderungen der geltenden Gesetze und Vorschriften zum Schutz personenbezogener Daten zu erfüllen. Die Anforderungen und die Art und Weise, wie diese Anforderungen zwischen dem Cloud-Dienstleister und seinen Kunden aufgeteilt werden, variieren je nach rechtlicher Zuständigkeit und entsprechend den Bedingungen des zwischen Cloud-Dienstleister und Kunden geschlossenen Vertrags. Gesetze, die vorschreiben, wie pbD verarbeitet, das heißt erhoben, genutzt, übertragen und gelöscht werden dürfen, werden als Datenschutzgesetze und pbD als persönliche Daten, personenbezogene Informationen oder Personalien bezeichnet. Die Pflichten, die der Auftragsdatenverarbeiter zu erfüllen hat, variieren ebenfalls je nach rechtlicher Zuständigkeit, was es Unternehmen, die Cloud-Dienste bereitstellen, erschwert, über Ländergrenzen hinweg zu agieren. Diese Umstände machten die Entwicklung der Norm DIN ISO/IEC 27018 erforderlich.
Die Norm enthält allgemein anerkannte Ziele und Richtlinien zur Umsetzung von Maßnahmen für den Schutz personenbezogener Daten in Abstimmung mit den Datenschutz-Prinzipien der Norm ISO/IEC 29100 für die Public-Cloud-Computing-Umgebung. Sie ist anwendbar auf alle Arten und Größen von Organisationen, einschließlich privater und öffentlicher Unternehmen, Behörden und nicht gewinnorientierter Organisationen, die informationsverarbeitende Dienste mittels Cloud Computing anbieten.