Categories: Cloud

Cloud-Datenschutz: Was ein Code of Conduct von Cloud-Providern leisten kann

Cloud-Datenschutz, gerade im Hinblick auf die Datenschutz-Grundverordnung (DSGVO), ist ein entscheidendes Thema für Cloud-Nutzer und Cloud-Anbieter. Für jeweils rund 90 Prozent spielen bei der Auswahl eines Cloud-Services die Aspekte Informationssicherheit, Compliance sowie Server-Standort und Vertrauenswürdigkeit des Anbieters die entscheidende Rolle, so die Studie „Cloud Governance in deutschen Unternehmen“ von PwC und ISACA. 40 Prozent der Befragten wünschen sich mehr Orientierung in puncto Nutzung und Steuerung von Cloud-Diensten, insbesondere hinsichtlich Risikomanagement und Rechtssicherheit.

Hier will ein Code of Conduct wie der von CISPE (Cloud Infrastructure Services Providers in Europe) helfen. In dem Code of Conduct von CISPE zum Cloud-Datenschutz wird von den Cloud-Infrastruktur-Service-Providern verlangt, ihren Kunden die ausschließliche Verarbeitung und Speicherung von Daten in EU-/EWR-Ländern zu ermöglichen. Unter dem CISPE Code of Conduct ist Cloud-Infrastruktur-Providern das Datamining oder die Profilerstellung auf Grundlage persönlicher Kundendaten zu Marketing-, Werbe- oder anderen Zwecken untersagt, unabhängig davon, ob dies aus eigenem Interesse oder zum Weiterverkauf an Dritte geschieht.

Eigenverantwortung: Wichtige Säule für einen funktionierenden Datenschutz

Der Code of Conduct von CISPE ist nicht der erste, der den Datenschutz in der Cloud in den Fokus nimmt. Das Thema Code of Conduct für Cloud-Datenschutz hat zum Beispiel die Cloud Select Industry Group – C-SIG bereits behandelt, hier ist unter anderem der Cloud-Provider IBM beteiligt. Die Article 29 Data Protection Working Party der EU hatte allerdings Änderungsbedarf daran gesehen. Das Dokument befindet sich noch in Bearbeitung, um die Änderungen zu berücksichtigen. Das European Committee for Interoperable Systems (ECIS) zum Beispiel zeigte sich im Juli 2016 von den Fortschritten angetan. Auch von der Universität Groningen gibt es Kommentare dazu.

Zu dem Code of Conduct von CISPE gibt verschiedene positive Stellungnahmen, von Ewa Paunowa MdEP, Mitglied im Ausschuss für Binnenmarkt und Verbraucherschutz, und von Axelle Lemaire, französische Staatssekretärin für Digitales und Innovation, von den Aufsichtsbehörden für den Datenschutz bislang nicht. Generell kann man jedoch sagen, dass sich die Aufsichtsbehörden positiv aufstellen gegenüber einem Code of Conduct, sofern dieser bestimmten Anforderungen genüge leistet. Es gibt auch bereits entsprechende Beispiele aus Branchen wie der Versicherungswirtschaft oder der Automobilindustrie.

Die Aufsichtsbehörden bezeichnen Eigenverantwortung als eine wichtige Säule für einen funktionierenden Datenschutz. Wichtig ist aber, dass jede Selbstregulierung und jeder Code of Conduct mit den Aufsichtsbehörden abgestimmt werden sollte, damit die Aussagekraft für den jeweiligen Nutzer oder Kunden gesichert ist. So besagt das Bundesdatenschutzgesetz zu Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen: Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. Hierzu gibt es auch eine Orientierungshilfe der Aufsichtsbehörden. Auch die Datenschutz-Grundverordnung (Artikel 40 DSGVO) sieht Entsprechendes vor: Verbände und andere Vereinigungen (…), die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor (…).

Code of Conducts sind hilfreich im Zusammenspiel mit den Aufsichtsbehörden

Nicht alle Versuche der Selbstregulierung stoßen auf Zustimmung bei den Aufsichtsbehörden. Die Pläne für eine Selbstregulierung der Online-Netzwerke in Deutschland zum Beispiel bezeichneten die Datenschützer als vorerst gescheitert. Bevor also Kunden oder Nutzer den Datenschutz eines Providers auf Basis eines Codes of Conduct bewerten, sollten sie abwarten, wie der Code of Conduct von den Aufsichtsbehörden selbst bewertet wird.

Grundsätzlich lässt sich sagen, dass immer unabhängige Bestätigungen sinnvoll sind, ob eine Selbstverpflichtung eingehalten wird oder nicht. Die Zertifizierungen und Verhaltensregeln, wie sie in der DSGVO beschrieben sind, sehen entsprechende Bestätigungen durch Dritte vor. Jeder Code of Conduct sollte dies ebenfalls verpflichtend vorsehen, und Nutzer sollten bei der Durchsicht der Selbstverpflichtung eines Anbieters auf die unabhängige Bestätigung achten. Es lohnt sich, die weitere Entwicklung rund um die Codes of Conduct im Cloud-Datenschutz zu beobachten, genau wie dies für die Cloud-Zertifizierung der Fall ist.

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

SEO-Beratung von Spezialisten wie WOXOW: Deshalb wird sie immer wichtiger

Wer bei Google mit den passenden Suchbegriffen nicht in den Top-Rankings gefunden wird, der kann…

9 Stunden ago

Umfrage: Weniger als die Hälfte der digitalen Initiativen sind erfolgreich

Unternehmen räumen der Entwicklung technischer und digitaler Führungskompetenzen ein zu geringe Priorität ein. Gartner fordert…

10 Stunden ago

Google schließt zwei Zero-Day-Lücken in Android

Betroffen sind Android 12, 13, 14 und 15. Google sind zielgerichtete Angriffe auf die beiden…

1 Tag ago

Gefährliche Weiterentwicklung der APT36-Malware ElizaRAT

Schadprogramm der pakistanischen Hackergruppe APT36 weitet seine Aktivitäten aus und verbessert seine Techniken.

1 Tag ago

Google schließt weitere schwerwiegende Sicherheitslücken in Chrome 130

Tenable vergibt für beide Schwachstellen einen CVSS-Basis-Score von 9,8. Zwei Use-after-free-Bugs erlauben möglicherweise das Einschleusen…

1 Tag ago

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

2 Tagen ago