Categories: Cloud

Cloud-Datenschutz: Was ein Code of Conduct von Cloud-Providern leisten kann

Cloud-Datenschutz, gerade im Hinblick auf die Datenschutz-Grundverordnung (DSGVO), ist ein entscheidendes Thema für Cloud-Nutzer und Cloud-Anbieter. Für jeweils rund 90 Prozent spielen bei der Auswahl eines Cloud-Services die Aspekte Informationssicherheit, Compliance sowie Server-Standort und Vertrauenswürdigkeit des Anbieters die entscheidende Rolle, so die Studie „Cloud Governance in deutschen Unternehmen“ von PwC und ISACA. 40 Prozent der Befragten wünschen sich mehr Orientierung in puncto Nutzung und Steuerung von Cloud-Diensten, insbesondere hinsichtlich Risikomanagement und Rechtssicherheit.

Hier will ein Code of Conduct wie der von CISPE (Cloud Infrastructure Services Providers in Europe) helfen. In dem Code of Conduct von CISPE zum Cloud-Datenschutz wird von den Cloud-Infrastruktur-Service-Providern verlangt, ihren Kunden die ausschließliche Verarbeitung und Speicherung von Daten in EU-/EWR-Ländern zu ermöglichen. Unter dem CISPE Code of Conduct ist Cloud-Infrastruktur-Providern das Datamining oder die Profilerstellung auf Grundlage persönlicher Kundendaten zu Marketing-, Werbe- oder anderen Zwecken untersagt, unabhängig davon, ob dies aus eigenem Interesse oder zum Weiterverkauf an Dritte geschieht.

Eigenverantwortung: Wichtige Säule für einen funktionierenden Datenschutz

Der Code of Conduct von CISPE ist nicht der erste, der den Datenschutz in der Cloud in den Fokus nimmt. Das Thema Code of Conduct für Cloud-Datenschutz hat zum Beispiel die Cloud Select Industry Group – C-SIG bereits behandelt, hier ist unter anderem der Cloud-Provider IBM beteiligt. Die Article 29 Data Protection Working Party der EU hatte allerdings Änderungsbedarf daran gesehen. Das Dokument befindet sich noch in Bearbeitung, um die Änderungen zu berücksichtigen. Das European Committee for Interoperable Systems (ECIS) zum Beispiel zeigte sich im Juli 2016 von den Fortschritten angetan. Auch von der Universität Groningen gibt es Kommentare dazu.

Zu dem Code of Conduct von CISPE gibt verschiedene positive Stellungnahmen, von Ewa Paunowa MdEP, Mitglied im Ausschuss für Binnenmarkt und Verbraucherschutz, und von Axelle Lemaire, französische Staatssekretärin für Digitales und Innovation, von den Aufsichtsbehörden für den Datenschutz bislang nicht. Generell kann man jedoch sagen, dass sich die Aufsichtsbehörden positiv aufstellen gegenüber einem Code of Conduct, sofern dieser bestimmten Anforderungen genüge leistet. Es gibt auch bereits entsprechende Beispiele aus Branchen wie der Versicherungswirtschaft oder der Automobilindustrie.

Die Aufsichtsbehörden bezeichnen Eigenverantwortung als eine wichtige Säule für einen funktionierenden Datenschutz. Wichtig ist aber, dass jede Selbstregulierung und jeder Code of Conduct mit den Aufsichtsbehörden abgestimmt werden sollte, damit die Aussagekraft für den jeweiligen Nutzer oder Kunden gesichert ist. So besagt das Bundesdatenschutzgesetz zu Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen: Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. Hierzu gibt es auch eine Orientierungshilfe der Aufsichtsbehörden. Auch die Datenschutz-Grundverordnung (Artikel 40 DSGVO) sieht Entsprechendes vor: Verbände und andere Vereinigungen (…), die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor (…).

Code of Conducts sind hilfreich im Zusammenspiel mit den Aufsichtsbehörden

Nicht alle Versuche der Selbstregulierung stoßen auf Zustimmung bei den Aufsichtsbehörden. Die Pläne für eine Selbstregulierung der Online-Netzwerke in Deutschland zum Beispiel bezeichneten die Datenschützer als vorerst gescheitert. Bevor also Kunden oder Nutzer den Datenschutz eines Providers auf Basis eines Codes of Conduct bewerten, sollten sie abwarten, wie der Code of Conduct von den Aufsichtsbehörden selbst bewertet wird.

Grundsätzlich lässt sich sagen, dass immer unabhängige Bestätigungen sinnvoll sind, ob eine Selbstverpflichtung eingehalten wird oder nicht. Die Zertifizierungen und Verhaltensregeln, wie sie in der DSGVO beschrieben sind, sehen entsprechende Bestätigungen durch Dritte vor. Jeder Code of Conduct sollte dies ebenfalls verpflichtend vorsehen, und Nutzer sollten bei der Durchsicht der Selbstverpflichtung eines Anbieters auf die unabhängige Bestätigung achten. Es lohnt sich, die weitere Entwicklung rund um die Codes of Conduct im Cloud-Datenschutz zu beobachten, genau wie dies für die Cloud-Zertifizierung der Fall ist.

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Black Friday: Vorsicht vor schädlichen QR-Codes

Bösartige QR-Codes, die per E-Mail versendet werden, eignen sich sehr gut, um Spam-Filter zu umgehen.

2 Tagen ago

Black Friday: Zahl der ominösen Shopping-Websites steigt

Unsichere Websites und Phishing-Mails in Verbindung mit Black Friday können kauffreudigen Konsumenten zum Verhängnis werden.

2 Tagen ago

SmokeBuster bekämpft SmokeLoader

Malware SmokeLoader wird weiterhin von Bedrohungsakteuren genutzt, um Payloads über neue C2-Infrastrukturen zu verbreiten.

2 Tagen ago

Taugen Kryptowährungen als Unterstützer der Energiewende?

Bankhaus Metzler und Telekom-Tochter MMS testen, inwieweit Bitcoin-Miner das deutsche Stromnetz stabilisieren könnten.

3 Tagen ago

Supercomputer-Ranking: El Capitan überholt Frontier und Aurora

Mit 1,7 Exaflops ist El Capitan nun der dritte Exascale-Supercomputer weltweit. Deutschland stellt erneut den…

3 Tagen ago

Ionos führt neue AMD-Prozessoren ein

Der deutsche Hyperscaler erweitert sein Server-Portfolio um vier Angebote mit den neuen AMD EPYC 4004…

3 Tagen ago