Mit der ISO 27018 Norm zur DSGVO Konformität

Bonn (ots) - Die ISO 27018 Norm ist ein neuer Datenschutzstandard
für Cloud-Anbieter und befasst sich speziell mit der Verarbeitung von
personenbezogenen Daten in Cloud-Umgebungen. Sie legt
datenschutzrechtliche Anforderungen für die Anbieter von
Cloud-Diensten fest sowie Überwachungsmechanismen und Richtlinien für
die Implementierung von Maßnahmen, die den Schutz personenbezogener
Daten in einer Cloud-Umgebung sicherstellen. Dabei berücksichtigt die
Norm datenschutzrechtliche Anforderungen aus der
Datenschutzgrundverordnung und passt diese speziell für
Informationssicherheitsrisiken im Bereich des Cloud-Computing an. Mit
einer Zertifizierung nach ISO 27018 verfolgen Unternehmen im
wesentlichen zwei Ziele. Erstens wird das Vertrauen der Kunden
dadurch gestärkt, dass den Unternehmen von einer unabhängigen Distanz
nach transparenten Kriterien ein hohes Datenschutz- und
Datensicherheitsniveau bescheinigt wird. Zweitens ist eine ISO 27018
Zertifizierung ein wichtiges Kriterium zur Wahl von
Cloud-Dienstleistern. Nach der ISO 27018 zertifizierte Technologien
und Dienstleistern leisten bereits einen wesentlichen Beitrag zur
DSGVO Compliance für ihre Kunden.

Am 25. Mai 2016 ist mit der Datenschutzgrundverordnung eine neue
rechtliche Grundlage zum Datenschutz in der EU verabschiedet worden.
Betroffen sind nahezu alle Unternehmen - in jedem Fall solche, zu
deren Geschäftsmodell die Erfassung und Verarbeitung von
(personenbezogenen) Daten gehört. Für das digitale Marketing, das
heute zunehmend datengetrieben ist, gibt es eine Reihe von besonderen
Herausforderungen, aber auch Chancen, die zu beachten sind. Einige
der Neuerungen sind grundlegender Natur und können Geschäftsmodelle
in Frage stellen. In jedem Fall steigen der Aufwand und das Risiko im
Bereich der Implementierung von Datenschutz in Unternehmen. Eine
Neuerung der DSGVO besteht darin, dass die Verordnung explizit
Privacy by Design und Privacy by Default von Unternehmen einfordert.

Privacy by Design bedeutet, dass Unternehmen bereits in der
Design-/Planungsphase eines Projekts das Thema Datenschutz mitdenken
müssen. Dazu gehört auch z. B. Dienstleister und Technologien
auszuwählen, die dazu geeignet sind, die Anforderungen aus der
Datenschutzgrundverordnung umzusetzen. Die Umsetzung der
Anforderungen aus der Datenschutzgrundverordnung wird vereinfacht
durch den Einsatz von Technologien, die Datenschutzmaßnahmen als
Standardeinstellungen vorkonfiguriert haben (Privacy by Default).
Auch beim Einsatz von fremden Technologien und Dienstleistern stehen
Unternehmen jedoch grundsätzlich in der Haftung hinsichtlich der
Einhaltung der Anforderungen aus der Datenschutzgrundverordnung. Das
bedeutet, dass sie auch für Datenschutz- oder
Datensicherheitsvorfälle verantwortlich gemacht werden können, die
aufgrund von Sicherheitslücken in den eingesetzten Technologien
auftreten. Unternehmen sind daher verpflichtet, diese Technologien
regelmäßig auf Datenschutz- und Datensicherheitskonformität im Rahmen
der Datenschutzgrundverordnung zu prüfen. Die DSGVO weist jedoch
explizit darauf hin, dass genehmigte Zertifizierungsverfahren als
Faktor herangezogen werden können, um die Umsetzung der Anforderungen
nachzuweisen. Durch Zertifizierungen, bzw. die Wahl zertifizierter
Dienstleister und Technologien, lässt sich der Prüfprozess daher
vereinfachen. Hier haben sich insb. die internationalen Standards ISO
27018 und ISO 27001 bewährt.

ISO 27018 als Grundlage für DSGVO-konforme Vertragsbeziehungen

Heutzutage handelt es sich bei externen Technologien im IT-Umfeld
üblicherweise um Cloud-Services. Um die Anforderungen der DSGVO bei
Einsatz einer datenverarbeitenden Cloud-Technologie umsetzen zu
können, ist eine besondere Transparenz zwischen Auftraggeber und
Cloud-Anbieter gefordert, da datenschutzrelevante Fähigkeiten der
genutzten Cloud-Lösung im Detail bewertet werden müssen. Die ISO
27018 legt datenschutzrechtliche Anforderungen für die Anbieter von
Cloud-Diensten fest und formuliert Überwachungsmechanismen und
Richtlinien für die Implementierung von Maßnahmen, die den Schutz
personenbezogener Daten in einer Cloud-Umgebung sicherstellen sollen.
Dabei berücksichtigt die Norm datenschutzrechtliche Anforderungen,
die in anderen Bereichen bereits existieren und passt diese speziell
auf Informationssicherheitsrisiken im Bereich des Cloud-Computing an.
Insbesondere werden die IT-Sicherheits-Standards ISO 27001 und ISO
27002 hier für Cloud-Angebote konkretisiert. DIE ISO 27018
bescheinigt dem Cloud Anbieter Konformität mit den Verpflichtungen
aus der DSGVO, d.h. dass er technisch und organisatorisch in der Lage
ist, diesen nachzukommen. Die Verordnung macht unter anderem folgende
Vorgaben:

- Der Cloud-Anbieter darf personebezogene Daten nur auf Weisung
der Auftraggebers verarbeiten und nur so, wie vom Auftraggeber
vorgegeben.
- Kommt es zu einem Sicherheitsvorfall beim Cloud-Anbieter,
besteht unverzügliche Anzeigepflicht gegenüber dem Auftraggeber.
Der Cloud-Anbieter muss das dazugehörige Datum, die zu
erwartenden Konsequenzen des Vorfalls sowie die geplanten
Schritte zur Problemlösung dokumentieren. Waren Dritte von dem
Vorfall betroffen, z.B. Nutzer deren personenbezogene Daten
unrechtmäßig veröffentlich wurden, besteht diesen gegenüber
ebenfalls Anzeigepflicht durch den Auftraggeber. Der
Cloud-Anbieter ist verpflichtet, den Auftraggeber bei der
Wahrnehumung der Anzeigepflichten zu unterstützen.
- Cloud Anbieter sind verpflichtet, dem Auftraggeber bereits vor
Auftragserteilung alle beteiligten Dienstleister
(Unterauftragsverhältnisse) strukturiert und transparent
offenzulegen.
- Machen Betroffene gegenüber dem Auftraggeber ihre Rechte
geltend, z.B. das Recht auf Auskunft, Korrektur oder Löschung
ihrer personenbezogenen Daten, sind Cloud Anbieter dazu
verpflichtet, bei der Durchsetzung der Betroffenenrechte zu
unterstützen. Dazu gehört z.B. Funktionen und Prozesse
anzubieten, die den Betroffenen selbst Zugang zu ihren
personenbezogenen Daten zu gewähren, sowie die Möglichkeit,
diese anzupassen oder zu löschen.
- Verlangen Strafverfolgungsbehörden Zugriff auf personenbezogene
Daten des Cloud-Anbieters, musss dieser auf das rechtlich
verpflichtende Maß beschränkt werden. Der Cloud-Anbieter ist
verpflichtet, Behördenanfragen unverzüglich dem Auftraggeber
mitzuteilen, außer dies ist ihm explizit rechtlich untersagt.
- Es müssen verbindliche Regeln dafür existieren, wie der
Cloud-Anbieter mit personenbezogenen Daten im Falle der
Beendigung des Vertragsverhältnisses mit dem Auftragggeber zu
verfahren, z.B. eindeutiger Nachweis der Löschung.
- Etc.

Vorteile der Zertifizierung nach ISO 27018

Die ISO 27018 Zertifizierung hat sich als internationaler Standard
für den Datenschutz in der Cloud etabliert. Was sind die Vorteile
einer Zertifizierung? Hier gilt es grundsätzlich zu unterscheiden
zwischen der Konformität mit den Vorgaben der Zertifizierung und der
Zertifizierung ansich. Die Komformität mit den ISO 27018 Normen
definiert eine sinnvolle und und DSGVO-konforme Schnittstelle zum
(potenziellen) Auftraggeber. Sie bietet eine sinnvolle Grundlage zur
Definition einer Auftragsdatenverarbeitung (ADV), bestätigt dem
(potenziellen) Auftraggeber die DSGVO-Konformität des Cloud-Anbieters
und so sichert so gewissermaßen den rechtlichen Rahmen der durch den
Cloud-Anbieter angebotenen Leistungen ab.

Die Zertifizierung ansich hat darüber hinaus noch den Vorteil,
dass sie den Aufwand für die, von der DSGVO vorgegebenen, Prüfungen
sowohl für den potenziellen Auftraggeber als auch den Cloud-Anbieter
vereinfacht.

Voraussetzungen für die Zertifizierung nach ISO 27018

Grundsätzlich gilt, dass Cloud-Anbieter, die eine ISO 27018
Zertifizierung anstreben, Konformität mit den Vorgaben der
Zertifizierung schaffen müssen. D.h. technisch und organisatorisch in
der Lage sein muss, unter anderem die weiter oben genannten
Anforderungen umzusetzen. Wer über die reine Konformität hinaus eine
konkrete Zertifizierung anstrebt, muss sich durch eine
Zertifizierungsstelle auditieren lassen. Hier gibt es eine Reihe von
Anbietern, z.B. die verschiedenen TÜV Gesellschaften oder die Dekra.
Nach einmaliger Zertifizierung werden die Audits in regelmäßigen
Abständen wiederholt. Die ISO 27018 Norm baut auf den Standards der
ISO 27001 und ISO 27002 Normen auf. Sind bereits Zertifizierungen
nach diesen Standards vorhanden, ist es empfehlenswert, die ISO 27018
Auditierung an bereits bestehende Auditverfahren zu koppeln. Dies
senkt die Aufwände enorm.

artegic AG - WE ENGINEER SUCCESS IN DIGITAL CRM

Die artegic AG unterstützt Unternehmen beim Aufbau von
kundenzentriertem, digitalen, Best-In-Class Dialogmarketing. artegic
hat über 10 Jahre Erfahrung im Bereich Marketing Engineering. Das
Leistungsportfolio umfasst Beratung, IT-Integration und Technologie
für Realtime Marketing Automation und Online CRM.

artegic ist der führende deutsche Spezialanbieter von
Standardsoftware für Realtime Marketing Automation mit E-Mail und
Mobile sowie Betreiber einer der größten Software-as-a-Service
Plattformen für digitales Marketing in Europa.

Mit 65 Mitarbeitern an den deutschen Standorten Bonn und München
sowie internationalen Repräsentanzen steht artegic für nachhaltig
erfolgreiches Dialogmarketing mit signifikant besseren Ergebnissen
und weniger operativem Aufwand.

Kern der Lösungen von artegic ist die vielfach prämierte ELAINE
Online Dialog CRM Suite für beeindruckendes digitales Cross-Channel
Dialogmarketing in Echtzeit. 2015 wurde die Lösung von der Fachpresse
zur besten europäischen Marketing Suite für kundenzentriertes
Marketing gekürt.

Über artegic Technologie stehen rund 82 Prozent der Deutschen
Internetnutzer mit Unternehmen in Kontakt. Jeder dritte DAX Konzern
sowie internationale Key-Player wie BMW, PAYBACK, RTL, BURDA, REWE,
Web.de, und maxdome zählen zu den Kunden von artegic.

Weltweit werden jeden Monat über artegic Technologie rund 2,7 Mrd.
E-Mails, SMS und Social Media Messages in 141 Länder versandt.

artegic ist vom TÜV Rheinland unternehmensweit nach dem
internationalen Standard für IT- und Datensicherheit ISO/IEC 27001
zertifiziert. Das 2005 gegründete Fraunhofer Spin-Off wurde vielfach
ausgezeichnet für Innovation und die richtungweisende Umsetzung
datenschutzrechtlicher Anforderungen u.a. mit dem eco Internet Award,
dem Cased Security Award und dem International Business Award
(Stevie).

Pressekontakt:

artegic AG
Zanderstraße 7
53177 Bonn

Herr Sebastian Pieper

Tel: +49(0)228 22 77 97-0
Fax: +49(0)228 22 77 97-900

pr@artegic.de
https://www.artegic.com
Twitter: http://twitter.com/artegic
Facebook: http://facebook.com/artegic

Original-Content von: artegic AG, übermittelt durch news aktuell