Der Europäische Datenschutzausschuss (EDSA), der sich aus allen europäischen Datenschutzbehörden zusammensetzt, hat heute eine positive Stellungnahme über den CISPE Code of Conduct zum Datenschutz abgegeben. Demnach entspricht der CISPE Datenschutzkodex der Datenschutz-Grundverordnung (DSGVO). Der von der französischen Datenschutzbehörde CNIL vorgelegte Kodex ist der erste europaweit geltende, sektorspezifische Verhaltenskodex für Cloud-Infrastrukturanbieter, der dieses Stadium erreicht hat.
Der richtungsweisende CISPE Datenschutzkodex hilft Organisationen in ganz Europa dabei, die Entwicklung DSGVO-konformer Cloud-basierter Dienste für Verbraucher, Unternehmen und Institutionen voranzutreiben. Durch die Auswahl von Services, die dem CISPE Datenschutzkodex entsprechen, können IaaS-Kunden sicher sein, dass sie auf vertrauenswürdige Cloud-Infrastrukturen zugreifen, die mit den Datenverarbeitungs- und -speicherpraktiken der DSGVO übereinstimmen.
„Die DSGVO war ein wichtiger Schritt und der CISPE Datenschutzkodex bringt Klarheit, welche Anforderungen für den Datenschutz bei Cloud-Infrastrukturanbieter bestehen“, sagt Alban Schmutz, Präsident von CISPE (Cloud Infrastructure Service Providers in Europe), dem Branchenverband hinter dem Kodex.
„Der CISPE Datenschutzkodex definiert für Cloud-Service-Provider einen anerkannten Rahmen, um die vollständige Konformität ihrer zertifizierten Cloud-Dienste nachzuweisen. Darüber hinaus liefert er konkrete Beispiele dafür, was sie und ihre Kunden tun müssen, um Daten gemäß den Regeln der DSGVO zu schützen.“
Der CISPE Datenschutzkodex ist in dreierlei Hinsicht einzigartig. Er ist der erste und derzeit einzige Kodex, der sich ausschließlich auf den Infrastructure-as-a-Service (IaaS)-Sektor konzentriert und die spezifischen Rollen und Verantwortlichkeiten von IaaS-Anbietern anspricht, die in allgemeineren Kodizes nicht vertreten sind. Der CISPE Kodex schafft Vertrauen bei Kunden und deren Endnutzern, dass eine deklarierte IaaS-Lösung mit der DSGVO konform ist. Er versichert ihnen auch, dass Cloud-Infrastrukturanbieter nur auf Kundendaten zugreifen oder diese nutzen, wenn es für die Bereitstellung oder Wartung der Dienste erforderlich ist, und Kundendaten nicht für Marketing- oder Werbezwecke verwenden.
Europäische Unternehmen wollen die Souveränität über ihre Daten behalten, indem sie sicherstellen, dass diese innerhalb der EU verbleiben – obwohl dies für die Einhaltung der DSGVO nicht zwingend erforderlich ist. Einzigartig ist, dass der CISPE Code of Conduct IaaS-Kunden explizit die Möglichkeit gibt, Dienste auszuwählen, die eine vollständige Datenverarbeitung innerhalb des Europäischen Wirtschaftsraums ermöglichen. Damit fördert der CISPE Datenschutzkodex auch Best Practices für den Datenschutz, die gleichzeitig wertvoll sind für die GAIA-X-Initiative der EU zur Entwicklung europäischer Cloud-Dienste.
Die Einhaltung des CISPE Code of Conduct wird von unabhängigen, externen Auditoren überprüft, die von den jeweils zuständigen Datenschutzbehörden akkreditiert sind. Diese fungieren als „Überwachungsstellen“ und verstärken das Sicherheitsniveau der nach dem Kodex zertifizierten Dienste. Verschiedene unabhängige Überwachungsstellen, die eine breite Palette von Angeboten und Preismodellen anbieten, gewährleisten, dass der CISPE Datenschutzkodex der Vielfalt von Unternehmen im wachsenden Cloud-Infrastruktursektor gerecht wird. Die Einhaltung der DSGVO kann komplex und teuer sein, insbesondere für KMU und Start-ups. Diese Unternehmen verlassen sich oft stark auf IaaS und werden in hohem Masse von der Benutzerfreundlichkeit und Kosteneffizienz des CISPE Datenschutzkodex profitieren.
„CISPE war die erste Organisation in der Branche, die mit den zuständigen Datenschutzbehörden und den EU-Institutionen konstruktiv Hand in Hand gearbeitet hat, um einen Kodex zu definieren, der über die Anforderungen der DSGVO hinausgeht, um die Interessen von Infrastrukturanbietern, ihren Kunden und Endnutzern zu schützen“, fügt Schmutz hinzu.
„Cloud-Infrastrukturen sind für jedes Unternehmen und jede öffentliche Verwaltung auf dem Weg der digitalen Transformation von zentraler Bedeutung. Für sie ist es entscheidend, dass mit ihren Daten sicher und in Übereinstimmung mit der DSGVO umgegangen wird“, so die Europaabgeordnete Eva Maydell. „Aus diesem Grund habe ich den Datenschutzkodex von Beginn an unterstützt. Ich freue mich sehr darüber, dass sich die konsequenten Bemühungen von CISPE auszahlen.“
Cloud-Service-Provider, die den CISPE Kodex übernehmen, profitieren von praktischen und betrieblichen Anleitungen und sind an eine Reihe von durchsetzbaren Regeln gebunden, die die DSGVO-Konformität ihrer Dienste sicherstellen.
Die endgültige formale Genehmigung des Kodex wird von der zuständigen Behörde (CNIL) erteilt.
Der CISPE Datenschutzkodex
Der CISPE Datenschutzkodex unterstützt die Umsetzung der DSGVO der Europäischen Union, insbesondere im Bereich des Datenschutzes. Der CISPE Kodex beschreibt Best Practices und gibt praktische Anleitungen, damit Anbieter von Cloud-Infrastrukturen die Messlatte für den Datenschutz höher legen und - was entscheidend ist - ihren Kunden Transparenz bieten können, indem sie die Rolle, die Verantwortlichkeiten und die Grenzen sowohl für Anbieter als auch für Kunden klar definieren. Erfahren Sie mehr unter https://cispe.cloud/code-of-conduct/
Was sind Codes of Conduct?
Codes of Conduct (Kodexe) sind regulierte, branchenspezifische Richtlinien, die von Wirtschaftsverbänden oder Vertretungsorganen erstellt werden und die Besonderheiten der verschiedenen Branchen und Tätigkeiten sowie die besonderen Bedürfnisse von Unternehmen unterschiedlicher Grösse, einschliesslich Kleinst-, kleinen und mittelständischen Unternehmen, berücksichtigen. Die Einhaltung eines solchen Verhaltenskodex bietet Organisationen in ganz Europa die Möglichkeit, den Datenschutz besser zu operationalisieren und die Einhaltung der DSGVO nachzuweisen. Verhaltenskodizes werden von einer Datenschutzbehörde, die im Namen der 27 anderen Behörden handelt, nach einer formellen Stellungnahme des EDSA genehmigt.
Über CISPE
CISPE ist eine Vereinigung von Cloud-Infrastruktur-Providern in Europa. Sie hat 34 Mitglieder mit globalen Hauptsitzen in 14 EU-Mitgliedstaaten. CISPE hat den ersten DSGVO Kodex entwickelt, der die Speicherung und Verarbeitung von personenbezogenen Daten ausschließlich in Europa fördert. Seit 2017 teilt sich CISPE mit EuroCIO und anschließend mit CIGREF den Vorsitz der Arbeitsgruppe, die Verhaltenskodizes für die Industrie entwickelt, um Datenportabilität zu erleichtern und überhaupt zu ermöglichen. Diese wurde von der Europäischen Kommission im Rahmen der EU-Verordnung zum freien Verkehr nicht-personenbezogener Daten eingerichtet. Darüber hinaus gehört CISPE zu den 22 Gründungsmitgliedern der GAIA-X-Initiative und ist Initiator des „Climate Neutral Data Centre Pact“.
