Die beiden kürzlich verabschiedeten Verhaltenskodizes für die Cloud-Branche, die allen zur Verfügung stehen werden, könnten nach grünem Licht des Europäischen Datenschutzausschusses die Einführung einer Technologie im Herzen der digitalen Wirtschaft fördern.
Der EDSA hat am Donnerstag (20. Mai) die Verhaltenskodizes zu Cloud-Dienstleistern und Cloud-Infrastruktur genehmigt.
Die beiden Kodizes wurden von Branchenführern entwickelt, um eine Blaupause für die Einhaltung der EU-Datenschutzverordnung DSGVO in einer Cloud-Umgebung zu bieten und sind die ersten ihrer Art, die von den europäischen Datenschutzbehörden offiziell genehmigt wurden.
„Wir begrüßen die Bemühungen der Code-Inhaber, Verhaltenskodizes auszuarbeiten, die praktische, transparente und potenziell kostengünstige Instrumente sind, um eine größere Kohärenz zwischen einem Sektor zu gewährleisten und die Einhaltung des Datenschutzes zu fördern“, sagte EDPB-Vorsitzende Andrea Jelinek
Branchenakzeptanz
Cloud Computing ermöglicht die Speicherung von Daten und Software in einem Netzwerk von Remote-Servern über das Internet statt auf Ihrem lokalen Gerät, wodurch die Flexibilität bei der Datenspeicherung und der Zugriff auf eine höhere Computerleistung erhöht wird.
Es ist auch kostengünstig und ermöglicht die Nutzung anderer Schlüsseltechnologien, darunter Künstliche Intelligenz, 5G und Internet der Dinge – eine gemeinsame Referenz für Milliarden physischer Geräte auf der ganzen Welt, die heute mit dem Internet verbunden sind.
In ihrer aktualisierten Industriestrategie hat die Europäische Kommission Cloud Computing als einen der Hauptanfälligkeitsbereiche bezeichnet.
Nur 36 % der EU-Unternehmen nutzen Cloud-Computing und in der Regel für sehr grundlegende Dienste wie E-Mail-Speicherung. Da Ungewissheit in Bezug auf die gerichtliche Anwendbarkeit und den Datenschutz zwei Haupthindernisse sind, wird erwartet, dass die Bereitstellung klarer Leitlinien die Akzeptanz in der Branche erhöhen wird.
Die Kodizes sollen die Transparenz und das Vertrauen in den europäischen Cloud-Computing-Markt erhöhen und den anbieterinternen Wettbewerb auf der Grundlage fairer Grundsätze fördern.
Beide Kodizes setzen unabhängige Überwachungsorgane ein, die sicherstellen, dass ihre Anwendung DSGVO-konform ist. Die Kontrollstellen führen eine externe Prüfung durch und sind von der zuständigen Datenschutzbehörde akkreditiert.
Geschäft zum Kunden
Der EU-Cloud-Verhaltenskodex (CoC) soll Cloud-Dienstleistern Orientierung bei der Einhaltung des Datenschutzes geben und das Vertrauen von Cloud-Kunden sichern. Es deckt daher Software as a Service (SaaS) ab und zählt zu seinen Abonnenten Alibaba Cloud, Cisco, Dropbox, Google Cloud, Microsoft und IBM.
Diese großen Player machen bereits einen sehr großen Anteil am europäischen Cloud-Markt aus, und die Marktakzeptanz scheint zuzunehmen.
„Wir erhalten Hunderte und Aberhunderte von Downloads pro Tag, also viele Tausende“, sagte Jonathan Sage, Government and Regulatory Affairs Executive bei IBM Europe gegenüber EURACTIV.
Für Sage stellt der CoC „den höchsten Punkt beim Nachweis der Compliance“ dar. Dies sei das Ergebnis langer Verhandlungen, um ein Gleichgewicht zwischen Brancheninteressen und Datenschutzanforderungen zu finden.
Er wies auch auf Unterlagen von Dritten hin, die die Abonnenten des Kodex vorlegen müssen, die zeigen, dass der Kodex „Zähne“ hat, um die Einhaltung sicherzustellen.
„Wenn sich der Nutzer für einen Cloud-Dienst entscheidet, der dem Kodex unterliegt, kann er sicher sein, dass alle Fragen im Zusammenhang mit der DSGVO aus Kundensicht bereits abgedeckt sind: die richtigen Sicherheitskontrollen dahinter, die richtigen Kontrollen des Datenschutzmanagements. Der Benutzer muss sich also nicht eingraben“, fügte er hinzu.
Von Geschäft zu Geschäft
Der von den Cloud Infrastructure Services Providers in Europe (CISPE) entwickelte Kodex ist für Infrastructure as a Service (IaaS)-Anbieter gedacht und zählt Amazon Web Services zu seinem Hauptabonnenten.
CISPE ist eines der Gründungsmitglieder von GAIA-X, einer deutsch-französischen Initiative für Data Governance und Infrastruktur, die Unterstützung von EU-Institutionen und europäischen Hauptstädten erhält.
Obwohl der EDSA festlegt, dass die Codes „nicht im Rahmen der internationalen Übermittlung personenbezogener Daten verwendet werden dürfen“, erklärte CISPE-Vorsitzender Alban Schmutz, dass dank des Codes „Kunden die Speicherung ihrer Daten in Europa beantragen können. ”
Auf diese Weise können Unternehmen die durch das Schrems-II-Urteil geschaffene Verunsicherung vermeiden.
Für Schmutz wird der CISPE-Code es EU-Bürgern ermöglichen, die Kontrolle über ihre personenbezogenen Daten zu haben, da er Transparenz darüber schafft, wo die Daten gespeichert und gespeichert werden. In Übereinstimmung mit den DSGVO-Anforderungen verhindert der Kodex auch, dass Dienstleister Kundendaten wiederverwenden.
Schmutz wies auch auf den Zusammenhang zwischen der Cloud-Industrie und dem grünen Übergang hin, da „Cloud-Technologie den Stromverbrauch durch Skaleneffekte reduziert“. CISPE-Mitglieder haben sich verpflichtet, bis 2030 Klimaneutralität für ihre Rechenzentren zu erreichen.
[Edited by Zoran Radosavljevic]