Dropbox wurde von EY CertifyPoint das international anerkannte Sicherheitszertifikat ISO 27018 verliehen.
Der zertifizierte Standard soll die Wahrung der Privatsphäre und den Datenschutz in der Cloud garantieren. Er beschäftigt sich ausschließlich mit der Regulierung der Verarbeitung von personenbezogenen Daten in der Cloud und formuliert datenschutzrechtliche Anforderungen für Cloud-Dienste. Der Standard fordert umfangreiche Benachrichtigungs-, Informations-, Transparenz- und Nachweispflichten von den Cloudanbietern. Inhaltlich baut er auf den bereits existierenden Sicherheitsstandards ISO 27001 und ISO 27002 auf.
Die Bestimmungen des neuen Standards verlangen zum Beispiel:
- personenbezogene Daten dürfen nur nach den Vorgaben der Kunden verarbeitet werden,
- Endnutzer sollen ihre personenbezogenen Daten ändern, löschen und korrigieren können und die Cloud-Tools sollen sie dabei untertützen,
- die Herausgabe von Daten an Strafverfolgungsbehörden ist nur statthaft, wenn eine rechtliche Verpflichtung das gebietet,
- Cloud-Anbieter müssen alle bestehenden Beziehungen zu Unterauftragnehmern öffentlich machen,
- es muss geregelt sein, was nach Vertragsbeendigung mit den Daten passiert,
- die Cloud-Anbieter müssen ihre Praxis regelmäßig durch unabhängige Dritte überprüfen lassen.
Ich bin unschlüssig ob ich einer US-Zertifizierungsstelle, die ein US Unternehmen als sicher einschätzt wirklich ernst nehmen soll. Ist für mich genauso seltsam wie die Rating Agenturen die allesamt in den USA sind.