Maren Winter - stock.adobe.com

Wie ein Code of Conduct dem Cloud-Datenschutz helfen kann

Der CISPE Datenschutzkodex definiert für Cloud-Service-Provider einen Rahmen, um die Konformität ihrer Cloud-Dienste mit der Datenschutz-Grundverordnung (DSGVO) nachzuweisen.

Es ist schon seit langem bekannt: Datenschutz und Sicherheit sind das „A und O“ für die Akzeptanz von Cloud Computing. Wie zum Beispiel der Cloud-Monitor 2020 von Bitkom und KPMG zeigt, haben Unternehmen ohne Public-Cloud-Lösungen vor allem Sicherheitsbedenken. Sieben von zehn Nichtnutzern (70 Prozent) fürchten einen unberechtigten Zugriff auf sensible Unternehmensdaten. Für 60 Prozent ist die Rechtslage unklar.

Gleichzeitig gilt: Wer Cloud-Anwendungen nutzt oder damit plant, macht verschiedene Kriterien bei der Auswahl eines Cloud-Dienstleisters zur Voraussetzung. Die Konformität mit der Datenschutz-Grundverordnung (DSGVO) ist dabei am wichtigsten, fast alle Unternehmen (96 Prozent) geben dies an. Für 88 Prozent ist eine transparente Sicherheitsarchitektur eine Grundvoraussetzung.

Doch wie kann der Cloud-Interessent oder Cloud-Nutzer erkennen, wie es um den Datenschutz bei einem Cloud-Provider steht? Und wie kann ein Cloud-Provider nachweisen, dass die Konformität mit der DSGVO gewährleistet wird?

Die DSGVO kennt darauf verschiedene Antworten, darunter diese: Die Einhaltung genehmigter Verhaltensregeln gemäß Artikel 40 DSGVO oder eines genehmigten Zertifizierungsverfahrens gemäß Artikel 42 DSGVO durch einen Auftragsverarbeiter kann als Faktor herangezogen werden, um hinreichende Garantien nachzuweisen.

Datenschutz-Zertifizierungen nach DSGVO sind weiterhin noch nicht verfügbar, doch bei den Verhaltensregeln hat sich etwas getan.

Verhaltensregeln für den Cloud-Datenschutz

Auf einer Plenartagung hat der Europäische Datenschutzausschuss (EDSA) zwei Stellungnahmen zu den ersten Entscheidungsentwürfen zu transnationalen Verhaltenskodizes (Kodizes) veröffentlicht, die von den belgischen und französischen Aufsichtsbehörden vorgelegt wurden.

Der Entscheidungsentwurf der belgischen Aufsichtsbehörde betrifft insbesondere den Verhaltenskodex der EU CLOUD, der sich an Anbieter von Cloud-Diensten richtet. Der Entscheidungsentwurf der französischen Aufsichtsbehörde betrifft den CISPE-Verhaltenskodex, der sich an Anbieter von Cloud-Infrastrukturdiensten richtet.

Diese Kodizes sollen praktische Anleitungen bieten und spezifische Anforderungen (nach Art. 28 DSGVO) für Auftragsverarbeiter in der EU festlegen, die diesen Kodizes unterliegen. Sie dürfen nicht im Rahmen der internationalen Übermittlung personenbezogener Daten verwendet werden. Der EDSA ist der Auffassung, dass beide Kodexentwürfe der DSGVO entsprechen. Laut DSGVO kann die Einhaltung genehmigter Verhaltenskodizes als Nachweis der Rechtskonformität dienen.

Die Vorsitzende des EDSA, Andrea Jelinek, sagte: „Wir begrüßen die Bemühungen der Kodex-Eigentümer, Verhaltenskodizes auszuarbeiten, die praktische, transparente und potenziell kostengünstige Instrumente sind, um eine größere Kohärenz zwischen einem Sektor zu gewährleisten und die Einhaltung des Datenschutzes zu fördern.“

DSGVO-Compliance-Kodex für Cloud-Infrastrukturanbieter

Der Europäische Datenschutzausschuss (EDSA), der sich aus allen europäischen Datenschutzbehörden zusammensetzt, hat somit eine positive Stellungnahme über den CISPE Code of Conduct zum Datenschutz abgegeben. CISPE ist eine Vereinigung von Cloud-Infrastruktur-Providern in Europa. Sie hat 34 Mitglieder mit globalen Hauptsitzen in 14 EU-Mitgliedstaaten.

Der CISPE Datenschutzkodex unterstützt die Umsetzung der DSGVO. Der CISPE Kodex beschreibt Best Practices und gibt praktische Anleitungen, damit Anbieter von Cloud-Infrastrukturen die Messlatte für den Datenschutz höher legen und ihren Kunden Transparenz bieten können, indem sie die Rolle, die Verantwortlichkeiten und die Grenzen sowohl für Anbieter als auch für Kunden klar definieren, erklärt die Vereinigung CISPE.

„Die DSGVO war ein wichtiger Schritt und der CISPE Datenschutzkodex bringt Klarheit, welche Anforderungen für den Datenschutz bei Cloud-Infrastrukturanbieter bestehen“, sagte Alban Schmutz, Präsident von CISPE (Cloud Infrastructure Service Providers in Europe), dem Branchenverband hinter dem Kodex.

„CISPE war die erste Organisation in der Branche, die mit den zuständigen Datenschutzbehörden und den EU-Institutionen konstruktiv Hand in Hand gearbeitet hat, um einen Kodex zu definieren, der über die Anforderungen der DSGVO hinausgeht, um die Interessen von Infrastrukturanbietern, ihren Kunden und Endnutzern zu schützen“, fügt Schmutz hinzu.

Die Einhaltung des CISPE Code of Conduct wird von unabhängigen, externen Auditoren überprüft, die von den jeweils zuständigen Datenschutzbehörden akkreditiert sind. Diese fungieren als „Überwachungsstellen“ und verstärken das Sicherheitsniveau der nach dem Kodex zertifizierten Dienste.

Damit sind wichtige Schritte getan, um die Transparenz im Cloud-Datenschutz und damit die Akzeptanz im Cloud Computing weiter zu erhöhen, eine erfreuliche Entwicklung für den Datenschutz, für Cloud-Anbieter und Cloud-Nutzer.

Erfahren Sie mehr über Cloud-Sicherheit