Mehr Klarheit für den IaaS-Sektor
Europäische Datenschutzbehörden genehmigen CISPE-Verhaltenskodex
Der Europäische Datenschutzausschuss (EDSA) hat eine positive Stellungnahme über den CISPE Code of Conduct abgegeben: Demnach entspricht der sektorspezifische Verhaltenskodex der DSGVO. So zertifizierte IaaS-Dienste sollen Kunden Sicherheit geben, auf vertrauenswürdige Infrastrukturen zuzugreifen.
Vorgelegt wurde der Kodex von der französischen Datenschutzbehörde CNIL. Mit der Genehmigung durch den Europäischen Datenschutzausschuss (EDSA) wurde am 20. Mai bestätigt, dass der Kodex der DSGVO entspricht. Der EDSA ist eine unabhängige europäische Einrichtung, die zur einheitlichen Anwendung der Datenschutzvorschriften in der Europäischen Union beiträgt und die Zusammenarbeit zwischen den EU-Datenschutzbehörden fördert. Die endgültige formale Genehmigung des Kodex wird von der zuständigen Behörde, der CNIL, erteilt. „Die DSGVO war ein wichtiger Schritt und der CISPE-Datenschutzkodex bringt Klarheit, welche Anforderungen für den Datenschutz bei Cloud-Infrastrukturanbieter bestehen“, sagt Alban Schmutz, Präsident von Cloud Infrastructure Service Providers in Europe (CISPE), dem Branchenverband hinter dem Kodex.
Spezifische Anforderungen des IaaS-Sektors
Der Kodex konzentriert sich ausschließlich auf den IaaS-Sektor. Er soll Organisationen helfen, die Entwicklung DSGVO-konformer Cloud-basierter Dienste für Verbraucher, Unternehmen und Institutionen voranzutreiben. Mit Services, die dem Codex entsprechen, soll IaaS-Kunden die Sicherheit gegeben werden, dass sie auf vertrauenswürdige Cloud-Infrastrukturen zugreifen, die mit den Datenverarbeitungs- und -speicherpraktiken der DSGVO übereinstimmen. „CISPE war die erste Organisation in der Branche, die mit den zuständigen Datenschutzbehörden und den EU-Institutionen konstruktiv Hand in Hand gearbeitet hat, um einen Kodex zu definieren, der über die Anforderungen der DSGVO hinausgeht, um die Interessen von Infrastrukturanbietern, ihren Kunden und Endnutzern zu schützen“, so Schmutz.
Durch die Konzentration auf den IaaS-Sektor thematisiert der Kodex die spezifischen Rollen und Verantwortlichkeiten von IaaS-Anbietern, die in allgemeineren Kodizes nicht vertreten sind. „Cloud-Infrastrukturen sind für jedes Unternehmen und jede öffentliche Verwaltung auf dem Weg der digitalen Transformation von zentraler Bedeutung. Für sie ist es entscheidend, dass mit ihren Daten sicher und in Übereinstimmung mit der DSGVO umgegangen wird“, so die Europaabgeordnete Eva Maydell. „Aus diesem Grund habe ich den Datenschutzkodex von Beginn an unterstützt. Ich freue mich sehr darüber, dass sich die konsequenten Bemühungen von CISPE auszahlen.“
Der CISPE Code of Conduct gibt laut Verbandsangaben IaaS-Kunden explizit die Möglichkeit, Dienste auszuwählen, die eine vollständige Datenverarbeitung innerhalb des Europäischen Wirtschaftsraums ermöglichen. Die Einhaltung des Verhaltenskodex werde von unabhängigen, externen Auditoren überprüft, die von den jeweils zuständigen Datenschutzbehörden akkreditiert sind.
CISPE ist eine Vereinigung von Cloud-Infrastruktur-Providern in Europa mit aktuell 34 Mitgliedern mit Hauptsitzen in 14 EU-Mitgliedstaaten, darunter AWS oder OVHcloud. Die Vereinigung gehört auch zu den 22 Gründungsmitgliedern der GAIA-X-Initiative.
Lesen Sie mehr zum Thema
