Im Rahmen der Umsetzung der EU-DSGVO, hat der Verband Cloud Infrastructure Services Providers in Europe (CISPE) Verhaltensrichtlinien für Cloud-Anbieter veröffentlicht, die helfen sollen die Anforderungen des neuen Regelwerkes zu erfüllen.
WER IST CISPE
Bei dem Verband handelt es sich um einen, erst vor Kurzem formierten Zusammenschluss von diversen europäischen Technologieunternehmen im Bereich Dienstleistungen für Cloud-Computing. Zu den über 20 Unternehmen gehören Fjord IT, gigas, Lomaco, UpCloud, Outscale und andere. Als deutscher Vertreter findet sich der Telekommunikationsanbieter 1&1 in diesem Verbund.
FASSUNG VOM SEPTEMBER
In der aktuellsten Fassung, vom September diesen Jahres, wird der Zweck dieser Richtlinien beschrieben als „Hilfe für Kunden um herauszufinden ob Cloud-Infrastruktur-Dienstleistungen für die Verarbeitung von personenbezogenen Daten für die vom Kunden gewünschten Zwecke sinnvoll sind.“ Die Richtlinie ist dabei ein freiwilliges Instrument für CISP-Unternehmen um ihre Einhaltung dieser Regeln zu demonstrieren. Dies kann entweder über eine Zertifizierung durch einen unabhängigen Auditor oder über eine Selbsteinschätzung und Selbstverpflichtung auf die Richtlinien passieren.
INHALTE DER RICHTLINIE
Die Verhaltensrichtlinie besteht aus einer Reihe von Anforderungen die CISPs als Datenverarbeiter in Sachen Datenschutz und Transparenz erfüllen müssen. Darüber hinaus gibt sie eine Governance Struktur vor, die bei der Implementierung, Überwachung und Weiterentwicklung der Richtlinie unterstützen soll. Zu den Anforderungen an Unternehmen, die sich dem „Code of Conduct“ unterwerfen, zählen so beispielsweise das Unterlassen von Datamining oder Profilerstellung für eigene Marketing- und Werbezwecke noch zur Weitergabe an Dritte. Wichtigster Punkt ist aber wohl die Vorgabe, den Kunden die Möglichkeit bieten zu müssen, die Daten ausschließlich in EU-/EWR-Ländern zu verarbeiten bzw. zu speichern.