Cloud-Datenschutz, gerade im Hinblick auf die Datenschutz-Grundverordnung (DSGVO), ist ein entscheidendes Thema für Cloud-Nutzer und Cloud-Anbieter. Für jeweils rund 90 Prozent spielen bei der Auswahl eines Cloud-Services die Aspekte Informationssicherheit, Compliance sowie Server-Standort und Vertrauenswürdigkeit des Anbieters die entscheidende Rolle, so die Studie „Cloud Governance in deutschen Unternehmen“ von PwC und ISACA. 40 Prozent der Befragten wünschen sich mehr Orientierung in puncto Nutzung und Steuerung von Cloud-Diensten, insbesondere hinsichtlich Risikomanagement und Rechtssicherheit.
Der Code of Conduct von CISPE ist nicht der erste, der den Datenschutz in der Cloud in den Fokus nimmt. Das Thema Code of Conduct für Cloud-Datenschutz hat zum Beispiel die Cloud Select Industry Group – C-SIG bereits behandelt, hier ist unter anderem der Cloud-Provider IBM beteiligt. Die Article 29 Data Protection Working Party der EU hatte allerdings Änderungsbedarf daran gesehen. Das Dokument befindet sich noch in Bearbeitung, um die Änderungen zu berücksichtigen. Das European Committee for Interoperable Systems (ECIS) zum Beispiel zeigte sich im Juli 2016 von den Fortschritten angetan. Auch von der Universität Groningen gibt es Kommentare dazu.
Zu dem Code of Conduct von CISPE gibt verschiedene positive Stellungnahmen, von Ewa Paunowa MdEP, Mitglied im Ausschuss für Binnenmarkt und Verbraucherschutz, und von Axelle Lemaire, französische Staatssekretärin für Digitales und Innovation, von den Aufsichtsbehörden für den Datenschutz bislang nicht. Generell kann man jedoch sagen, dass sich die Aufsichtsbehörden positiv aufstellen gegenüber einem Code of Conduct, sofern dieser bestimmten Anforderungen genüge leistet. Es gibt auch bereits entsprechende Beispiele aus Branchen wie der Versicherungswirtschaft oder der Automobilindustrie.
Die Aufsichtsbehörden bezeichnen Eigenverantwortung als eine wichtige Säule für einen funktionierenden Datenschutz. Wichtig ist aber, dass jede Selbstregulierung und jeder Code of Conduct mit den Aufsichtsbehörden abgestimmt werden sollte, damit die Aussagekraft für den jeweiligen Nutzer oder Kunden gesichert ist. So besagt das Bundesdatenschutzgesetz zu Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen: Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. Hierzu gibt es auch eine Orientierungshilfe der Aufsichtsbehörden. Auch die Datenschutz-Grundverordnung (Artikel 40 DSGVO) sieht Entsprechendes vor: Verbände und andere Vereinigungen (…), die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor (…).
Nicht alle Versuche der Selbstregulierung stoßen auf Zustimmung bei den Aufsichtsbehörden. Die Pläne für eine Selbstregulierung der Online-Netzwerke in Deutschland zum Beispiel bezeichneten die Datenschützer als vorerst gescheitert. Bevor also Kunden oder Nutzer den Datenschutz eines Providers auf Basis eines Codes of Conduct bewerten, sollten sie abwarten, wie der Code of Conduct von den Aufsichtsbehörden selbst bewertet wird.
Grundsätzlich lässt sich sagen, dass immer unabhängige Bestätigungen sinnvoll sind, ob eine Selbstverpflichtung eingehalten wird oder nicht. Die Zertifizierungen und Verhaltensregeln, wie sie in der DSGVO beschrieben sind, sehen entsprechende Bestätigungen durch Dritte vor. Jeder Code of Conduct sollte dies ebenfalls verpflichtend vorsehen, und Nutzer sollten bei der Durchsicht der Selbstverpflichtung eines Anbieters auf die unabhängige Bestätigung achten. Es lohnt sich, die weitere Entwicklung rund um die Codes of Conduct im Cloud-Datenschutz zu beobachten, genau wie dies für die Cloud-Zertifizierung der Fall ist.
Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…
Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…
Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…
Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.
Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…
Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…