Cloud-Datenschutz: Was ein Code of Conduct von Cloud-Providern leisten kann

Cloud-Datenschutz, gerade im Hinblick auf die Datenschutz-Grundverordnung (DSGVO), ist ein entscheidendes Thema für Cloud-Nutzer und Cloud-Anbieter. Für jeweils rund 90 Prozent spielen bei der Auswahl eines Cloud-Services die Aspekte Informationssicherheit, Compliance sowie Server-Standort und Vertrauenswürdigkeit des Anbieters die entscheidende Rolle, so die Studie „Cloud Governance in deutschen Unternehmen“ von PwC und ISACA. 40 Prozent der Befragten wünschen sich mehr Orientierung in puncto Nutzung und Steuerung von Cloud-Diensten, insbesondere hinsichtlich Risikomanagement und Rechtssicherheit.

Hier will ein Code of Conduct wie der von CISPE (Cloud Infrastructure Services Providers in Europe) helfen. In dem Code of Conduct von CISPE zum Cloud-Datenschutz wird von den Cloud-Infrastruktur-Service-Providern verlangt, ihren Kunden die ausschließliche Verarbeitung und Speicherung von Daten in EU-/EWR-Ländern zu ermöglichen. Unter dem CISPE Code of Conduct ist Cloud-Infrastruktur-Providern das Datamining oder die Profilerstellung auf Grundlage persönlicher Kundendaten zu Marketing-, Werbe- oder anderen Zwecken untersagt, unabhängig davon, ob dies aus eigenem Interesse oder zum Weiterverkauf an Dritte geschieht.

Eigenverantwortung: Wichtige Säule für einen funktionierenden Datenschutz

Der Code of Conduct von CISPE ist nicht der erste, der den Datenschutz in der Cloud in den Fokus nimmt. Das Thema Code of Conduct für Cloud-Datenschutz hat zum Beispiel die Cloud Select Industry Group – C-SIG bereits behandelt, hier ist unter anderem der Cloud-Provider IBM beteiligt. Die Article 29 Data Protection Working Party der EU hatte allerdings Änderungsbedarf daran gesehen. Das Dokument befindet sich noch in Bearbeitung, um die Änderungen zu berücksichtigen. Das European Committee for Interoperable Systems (ECIS) zum Beispiel zeigte sich im Juli 2016 von den Fortschritten angetan. Auch von der Universität Groningen gibt es Kommentare dazu.

Zu dem Code of Conduct von CISPE gibt verschiedene positive Stellungnahmen, von Ewa Paunowa MdEP, Mitglied im Ausschuss für Binnenmarkt und Verbraucherschutz, und von Axelle Lemaire, französische Staatssekretärin für Digitales und Innovation, von den Aufsichtsbehörden für den Datenschutz bislang nicht. Generell kann man jedoch sagen, dass sich die Aufsichtsbehörden positiv aufstellen gegenüber einem Code of Conduct, sofern dieser bestimmten Anforderungen genüge leistet. Es gibt auch bereits entsprechende Beispiele aus Branchen wie der Versicherungswirtschaft oder der Automobilindustrie.

Die Aufsichtsbehörden bezeichnen Eigenverantwortung als eine wichtige Säule für einen funktionierenden Datenschutz. Wichtig ist aber, dass jede Selbstregulierung und jeder Code of Conduct mit den Aufsichtsbehörden abgestimmt werden sollte, damit die Aussagekraft für den jeweiligen Nutzer oder Kunden gesichert ist. So besagt das Bundesdatenschutzgesetz zu Verhaltensregeln zur Förderung der Durchführung datenschutzrechtlicher Regelungen: Die Aufsichtsbehörde überprüft die Vereinbarkeit der ihr unterbreiteten Entwürfe mit dem geltenden Datenschutzrecht. Hierzu gibt es auch eine Orientierungshilfe der Aufsichtsbehörden. Auch die Datenschutz-Grundverordnung (Artikel 40 DSGVO) sieht Entsprechendes vor: Verbände und andere Vereinigungen (…), die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Verhaltensregeln bzw. den Entwurf zu deren Änderung oder Erweiterung der Aufsichtsbehörde vor (…).

Code of Conducts sind hilfreich im Zusammenspiel mit den Aufsichtsbehörden

Nicht alle Versuche der Selbstregulierung stoßen auf Zustimmung bei den Aufsichtsbehörden. Die Pläne für eine Selbstregulierung der Online-Netzwerke in Deutschland zum Beispiel bezeichneten die Datenschützer als vorerst gescheitert. Bevor also Kunden oder Nutzer den Datenschutz eines Providers auf Basis eines Codes of Conduct bewerten, sollten sie abwarten, wie der Code of Conduct von den Aufsichtsbehörden selbst bewertet wird.

Grundsätzlich lässt sich sagen, dass immer unabhängige Bestätigungen sinnvoll sind, ob eine Selbstverpflichtung eingehalten wird oder nicht. Die Zertifizierungen und Verhaltensregeln, wie sie in der DSGVO beschrieben sind, sehen entsprechende Bestätigungen durch Dritte vor. Jeder Code of Conduct sollte dies ebenfalls verpflichtend vorsehen, und Nutzer sollten bei der Durchsicht der Selbstverpflichtung eines Anbieters auf die unabhängige Bestätigung achten. Es lohnt sich, die weitere Entwicklung rund um die Codes of Conduct im Cloud-Datenschutz zu beobachten, genau wie dies für die Cloud-Zertifizierung der Fall ist.

Weitere Artikel zur EU-Datenschutz-Grundverordnung:

• EU-Datenschutz-Grundverordnung: HPE stellt Starter Kit vor
• EU-Datenschutz-Grundverordnung: Bußgelder könnten drastisch steigen
• EU-Datenschutz-Grundverordnung: weniger als 500 und fallend
• Datenschutz-Grundverordnung: Was Cloud-Nutzer beachten sollten
• Der Mittelstand braucht neue Mobile Security-Konzepte
• EU-Datenschutz-Grundverordnung: Kaspersky Lab bietet Unternehmen Online-Angebot und Assessment-Tool
• DSGVO: 11 Tipps für die optimale Umsetzung
• Wie es mit Datenübermittlungen in Drittstaaten weitergeht
• Was Sie jetzt über Datenschutz-Zertifikate wissen müssen
• Studie: Viele Unternehmen sind noch nicht auf Umsetzung der DSGVO vorbereitet