Gaestle
2015-02-17, 08:42:54
Hallo allerseits,
im Sommer 2014 wurde die ISO/IEC-Norm 27018 verabschiedet.
Offenbar soll sie Regelungen zum Schutz der Daten für die Nutzer von Clouddienstleistungen aufstellen.
Beispielsweise enthält die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:
Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.
Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.
Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.
Quelle: http://www.computerwoche.de/a/die-neue-iso-iec-27018-im-ueberblick,3069892
Wie ist das Eurer Meinung nach vor dem Hintergrund der geschäftlichen Nutzung der Userdaten (der Nutzer als Produkt) zu bewerten?
Es geht mir explizit nicht um Zugriffe von Geheimdiensten.
:) - Datenschutz in Perfektion !
:| - Wenigstens ein erster Schritt in die richtige Richtung.
:( - Totaler Schrott !
Und warum/wieso/weshalb?
im Sommer 2014 wurde die ISO/IEC-Norm 27018 verabschiedet.
Offenbar soll sie Regelungen zum Schutz der Daten für die Nutzer von Clouddienstleistungen aufstellen.
Beispielsweise enthält die ISO 27018 folgende Verpflichtungen für Cloud-Anbieter:
Personenbezogene Daten dürfen ausschließlich in Übereinstimmung mit den Vorgaben der Kunden verarbeitet werden.
Kunden müssen im Falle der Wahrnehmung von Betroffenenrechten unterstützt werden: Die ISO 27018 verlangt, dass Cloud-Anbieter Tools offerieren, die ihren Kunden bei der Verpflichtung helfen, Endnutzern Zugang zu persönlichen Daten zu gewähren beziehungsweise diese ändern, löschen und korrigieren zu können.
Die Herausgabe von Daten an Strafverfolgungsbehörden darf nur bei vorliegender rechtlicher Verpflichtung erfolgen. Der betroffene Kunde muss vor der Herausgabe davon in Kenntnis gesetzt werden, es sei denn, diese Information ist rechtlich untersagt.
Die Offenlegung aller relevanten Unterbeauftragungsverhältnisse sowie der Länder, in denen eine Datenverarbeitung stattfindet, muss vor Vertragsschluss erfolgen.
Cloud-Anbieter müssen jede Art von Sicherheitsverletzung, mit dazugehörigem Datum und den daraus zu erwartenden Konsequenzen, sowie die einzelnen Schritte zur Lösung des Problems dokumentieren. Sicherheitsverletzungen müssen unverzüglich gegenüber dem Kunden angezeigt werden.
Die Kunden müssen bei der Wahrnehmung ihrer Anzeigepflichten im Fall von Verstößen gegen die Datensicherheit unterstützt werden.
Es müssen verbindliche Regeln für die Übermittlung, Rückgabe und Verwendung personenbezogener Daten implementiert werden, zum Beispiel im Falle der Vertragsbeendigung.
Die Anbieter müssen sich verpflichten, die angebotenen Cloud-Dienstleistungen in regelmäßigen Intervallen oder aber bei größeren Systemumstellungen durch unabhängige Dritte überprüfen zu lassen.
Quelle: http://www.computerwoche.de/a/die-neue-iso-iec-27018-im-ueberblick,3069892
Wie ist das Eurer Meinung nach vor dem Hintergrund der geschäftlichen Nutzung der Userdaten (der Nutzer als Produkt) zu bewerten?
Es geht mir explizit nicht um Zugriffe von Geheimdiensten.
:) - Datenschutz in Perfektion !
:| - Wenigstens ein erster Schritt in die richtige Richtung.
:( - Totaler Schrott !
Und warum/wieso/weshalb?