02538 Kurzhinweise: ISO/IEC 27018:2025 – Leitfaden zum Schutz personenbezogener Daten (PII) in öffentlichen Clouddiensten als Auftragsdatenverarbeitung
von:
1 Einführung
Neuauflage im Jahr 2025
Sechs Jahre sind nun vergangen, seit die zweite Fassung der ISO/IEC 27018 [1] im Jahr 2019 veröffentlicht wurde. Dieser Standard hat im Lauf der Jahre immer mehr Bedeutung für die Praxis im Bereich Public Clouds erlangt, weshalb es auch nur folgerichtig war, dass er nun Ende 2025 in dritter Fassung erschienen ist.
Sechs Jahre sind nun vergangen, seit die zweite Fassung der ISO/IEC 27018 [1] im Jahr 2019 veröffentlicht wurde. Dieser Standard hat im Lauf der Jahre immer mehr Bedeutung für die Praxis im Bereich Public Clouds erlangt, weshalb es auch nur folgerichtig war, dass er nun Ende 2025 in dritter Fassung erschienen ist.
Bedeutung von Clouds nimmt zu
Die zunehmende Bedeutung des Standards für die Praxis ist u. a. damit zu erklären, dass seit 2019 insbesondere auch aufgrund des immer weiter zunehmenden Einsatzes von KI der Bedarf an öffentlichen Clouds kontinuierlich gewachsen ist. Denn gerade KI braucht für ihr Training und ihr Betreiben hoch skalierbare IT-Infrastruktur, deren Anschaffung und Betrieb für ein einzelnes Unternehmen sehr kostenintensiv ist. Gerade um KI in einem überschaubaren Kostenrahmen zu betreiben, greifen KI-Anbieter oftmals auf Cloudstrukturen großer Cloudanbieter wie Amazon, Microsoft und Co. zurück.
Die zunehmende Bedeutung des Standards für die Praxis ist u. a. damit zu erklären, dass seit 2019 insbesondere auch aufgrund des immer weiter zunehmenden Einsatzes von KI der Bedarf an öffentlichen Clouds kontinuierlich gewachsen ist. Denn gerade KI braucht für ihr Training und ihr Betreiben hoch skalierbare IT-Infrastruktur, deren Anschaffung und Betrieb für ein einzelnes Unternehmen sehr kostenintensiv ist. Gerade um KI in einem überschaubaren Kostenrahmen zu betreiben, greifen KI-Anbieter oftmals auf Cloudstrukturen großer Cloudanbieter wie Amazon, Microsoft und Co. zurück.
Personenbezogene Daten schützen
Weil jedoch wegen der Auslagerung der Datenverarbeitung in die Cloud immer mehr personenbezogene Daten direkt bzw. „indirekt” verarbeitet werden, wurde es immer wichtiger, den Schutz von personenbezogenen Daten in diesen Umgebungen und insbesondere die technischen und organisatorischen Maßnahmen zum Schutz der Daten an die neuen Herausforderungen, die durch die wachsende Bedeutung dieser Datenverarbeitungen entstehen, anzupassen.
Weil jedoch wegen der Auslagerung der Datenverarbeitung in die Cloud immer mehr personenbezogene Daten direkt bzw. „indirekt” verarbeitet werden, wurde es immer wichtiger, den Schutz von personenbezogenen Daten in diesen Umgebungen und insbesondere die technischen und organisatorischen Maßnahmen zum Schutz der Daten an die neuen Herausforderungen, die durch die wachsende Bedeutung dieser Datenverarbeitungen entstehen, anzupassen.
Risiko durch Kontrollverlust
Wie bereits im Kurzhinweis zur alten ISO/IEC 27018:2019 angesprochen, geht mit der Verlagerung von der lokalen hin zur nicht lokalen Verarbeitung in Cloudstrukturen ein systemimmanentes Risiko einher. Denn bei der in einer Cloud stattfindenden Verarbeitung von personenbezogenen Daten, im englischen Personally Identifiable Information (PII), für die ein Cloudnutzer wie ein Unternehmen oder eine Organisation datenschutzrechtlich verantwortlich ist (PII Controller), verliert er zwangsläufig die Möglichkeit der Kontrolle über diese Datenverarbeitung. Der Verlust der Kontrolle ist wiederum mit einem Risiko für die Rechte des Betroffenen und für ihre Durchsetzbarkeit verbunden. Damit einher geht die Gefahr, dass der „Controller” immer weniger die ihm durch Gesetze/Regularien wie die EU-Datenschutz-Grundverordnung (DSGVO) auferlegten Pflichten erfüllen kann.
Wie bereits im Kurzhinweis zur alten ISO/IEC 27018:2019 angesprochen, geht mit der Verlagerung von der lokalen hin zur nicht lokalen Verarbeitung in Cloudstrukturen ein systemimmanentes Risiko einher. Denn bei der in einer Cloud stattfindenden Verarbeitung von personenbezogenen Daten, im englischen Personally Identifiable Information (PII), für die ein Cloudnutzer wie ein Unternehmen oder eine Organisation datenschutzrechtlich verantwortlich ist (PII Controller), verliert er zwangsläufig die Möglichkeit der Kontrolle über diese Datenverarbeitung. Der Verlust der Kontrolle ist wiederum mit einem Risiko für die Rechte des Betroffenen und für ihre Durchsetzbarkeit verbunden. Damit einher geht die Gefahr, dass der „Controller” immer weniger die ihm durch Gesetze/Regularien wie die EU-Datenschutz-Grundverordnung (DSGVO) auferlegten Pflichten erfüllen kann.
Verarbeiter vertraglich binden und prüfen
Um ein adäquates Schutzniveau für die Daten sowie die Rechte der Betroffenen zu erreichen, ist es somit zwingend erforderlich, den Verarbeiter vertraglich in der Form zu binden, dass er weisungsgebunden, also als sog. Auftragsverarbeiter, die Daten des Verantwortlichen mit einem hohen Schutzniveau für die Daten des Controllers verarbeitet. Mit den in der ISO/IEC 27018:2025 enthaltenen Maßnahmen und Umsetzungsempfehlungen ist der Verpflichtete grundsätzlich in der Lage, ein solches Schutzniveau zu erreichen. Es ist jedoch stets im Einzelfall zu prüfen, ob der Auftragsverarbeiter tatsächlich mit seinen Verarbeitungen die (gesetzlich) geforderten Anforderungen an eine Auftragsverarbeitung erfüllt (vgl. Art. 28 DSGVO). Tut er das nicht, ist er von Gesetzes wegen für die nicht als Auftragsverarbeitung anzusehenden Verarbeitungen als weiterer Verantwortlicher zu betrachten und benötigt dafür eine entsprechende Legitimation (vgl. Art. 28 Abs. 10 DSGVO).
Um ein adäquates Schutzniveau für die Daten sowie die Rechte der Betroffenen zu erreichen, ist es somit zwingend erforderlich, den Verarbeiter vertraglich in der Form zu binden, dass er weisungsgebunden, also als sog. Auftragsverarbeiter, die Daten des Verantwortlichen mit einem hohen Schutzniveau für die Daten des Controllers verarbeitet. Mit den in der ISO/IEC 27018:2025 enthaltenen Maßnahmen und Umsetzungsempfehlungen ist der Verpflichtete grundsätzlich in der Lage, ein solches Schutzniveau zu erreichen. Es ist jedoch stets im Einzelfall zu prüfen, ob der Auftragsverarbeiter tatsächlich mit seinen Verarbeitungen die (gesetzlich) geforderten Anforderungen an eine Auftragsverarbeitung erfüllt (vgl. Art. 28 DSGVO). Tut er das nicht, ist er von Gesetzes wegen für die nicht als Auftragsverarbeitung anzusehenden Verarbeitungen als weiterer Verantwortlicher zu betrachten und benötigt dafür eine entsprechende Legitimation (vgl. Art. 28 Abs. 10 DSGVO).
Anpassung auf ISO/IEC 27002
Die ISO/IEC 27002 wurde im Jahr 2022 überarbeitet und um neue Einzelkontrollen ergänzt. Daher musste die ISO/IEC 27018:2025, als auf dieser Norm basierende Richtlinie, entsprechend erweitert und angepasst werden. Ferner wurden durch die seit 2019 gesammelten Praxiserfahrungen in öffentlichen Clouds einige Anforderungen aus der alten ISO/IEC 27018:2019 in der neuen ISO/IEC 27018:2025 konkretisiert.
Die ISO/IEC 27002 wurde im Jahr 2022 überarbeitet und um neue Einzelkontrollen ergänzt. Daher musste die ISO/IEC 27018:2025, als auf dieser Norm basierende Richtlinie, entsprechend erweitert und angepasst werden. Ferner wurden durch die seit 2019 gesammelten Praxiserfahrungen in öffentlichen Clouds einige Anforderungen aus der alten ISO/IEC 27018:2019 in der neuen ISO/IEC 27018:2025 konkretisiert.
Die nachfolgenden Ausführungen sollen eine kurze Übersicht über die Ziel-setzung, den Nutzen sowie die Struktur dieser immer wichtiger werdenden Norm geben.
2 Zielsetzung und Nutzen
Erweiterung für Cloud-ISMS
Die ISO/IEC 27018:2025 richtet sich insbesondere an Organisationen, die ein ISMS auf der Basis der ISO/IEC 27001 etabliert haben und dies noch um die normativen (Datenschutz-)Anforderungen an ein Cloud-Computing-Informationssicherheitsmanagementsystem erweitern wollen. Darüber hinaus soll diese Norm als Unterstützung bei der Implementierung cloudspezifischer technischer oder organisatorischer Maßnahmen dienen, insbesondere für die Organisationen, die als Public-Cloud-Anbieter im Rahmen einer Auftragsverarbeitung agieren.
Die ISO/IEC 27018:2025 richtet sich insbesondere an Organisationen, die ein ISMS auf der Basis der ISO/IEC 27001 etabliert haben und dies noch um die normativen (Datenschutz-)Anforderungen an ein Cloud-Computing-Informationssicherheitsmanagementsystem erweitern wollen. Darüber hinaus soll diese Norm als Unterstützung bei der Implementierung cloudspezifischer technischer oder organisatorischer Maßnahmen dienen, insbesondere für die Organisationen, die als Public-Cloud-Anbieter im Rahmen einer Auftragsverarbeitung agieren.
Multinationale Datenschutzanforderungen
Gerade weil die Herausforderungen für einen Cloudanbieter auch darin bestehen, unterschiedlichste landesspezifische gesetzliche/regulatorische Anforderungen zu erfüllen, hat es sich die ISO/IEC 27018:2025 explizit zum Ziel gesetzt, ein sinnvolles Werkzeug zur Abbildung etwaiger multinationaler Anforderungen zu sein. Dabei orientiert sie sich hinsichtlich der zu treffenden Maßnahmen insbesondere an den in der ISO/IEC 27002:2022 enthaltenen Controls (Maßnahmen) sowie den Anforderungen der international anerkannten Datenschutznorm ISO/IEC 29100. Diese ergänzt bzw. konkretisiert sie jedoch an einigen Stellen hinsichtlich der speziellen datenschutzrechtlichen Anforderungen an Public-Cloud-Umgebungen.
Gerade weil die Herausforderungen für einen Cloudanbieter auch darin bestehen, unterschiedlichste landesspezifische gesetzliche/regulatorische Anforderungen zu erfüllen, hat es sich die ISO/IEC 27018:2025 explizit zum Ziel gesetzt, ein sinnvolles Werkzeug zur Abbildung etwaiger multinationaler Anforderungen zu sein. Dabei orientiert sie sich hinsichtlich der zu treffenden Maßnahmen insbesondere an den in der ISO/IEC 27002:2022 enthaltenen Controls (Maßnahmen) sowie den Anforderungen der international anerkannten Datenschutznorm ISO/IEC 29100. Diese ergänzt bzw. konkretisiert sie jedoch an einigen Stellen hinsichtlich der speziellen datenschutzrechtlichen Anforderungen an Public-Cloud-Umgebungen.
Die Erforderlichkeit der zu treffenden Maßnahmen bedarf, wie es auch die ISO/IEC 27018:2025 deutlich macht, immer der Analyse und Bewertung im jeweiligen Einzelfall. Die zu treffenden Maßnahmen und ihr Umfang sind daher risikoorientiert und mit Blick auf die gesetzliche/regulatorische Lage zu bestimmen.