CISPE Kodex: Europas Cloud-Anbieter positionieren sich zum Datenschutz

CISPE Code of Conduct (Grafik: CISPE)

In dem noch jungen Verband “Cloud Infrastructure Services Providers in Europe” (CISPE) sind aktuell gut 20 Unternehmen vertreten. Ihm gehören auch 1&1, Hetzner, LeaseWeb und OVH an. Der nun vorgelegte CISPE Kodex greift der im Mai 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung vor und soll sich ihr anpassen.

Die Industrievereinigung “Cloud Infrastructure Services Providers in Europe” (CISPE) hat diese Woche in Brüssel einen “Code of Conduct” zum Datenschutz vorgelegt. Darin wird von Cloud-Infrastruktur-Service-Providern verlangt, dass sie es Kunden ermöglichen, Daten ohne Eingriff des Providers ausschließlich in EU-/EWR-Ländern speichern und verarbeiten zu lassen.

Der Datenschutz-Kodex greift Gedanken und Grundsätze der 2018 in Kraft tretenden EU-Datenschutz-Grundverordnung auf. Seine Richtlinien sollen sich dann leicht an sie anpassen lassen. Firmen, sich jetzt schon an den CISPE Kodex halten, dürften dann beim Übergang auf die EU-Regelung kaum Schwierigkeiten haben. Da im CISPE derzeit gut 20 Cloud-Provider aus insgesamt 11 europäischen Ländern, darunter auch Deutschland und der Schweiz organisiert sind, ist das Dokument aber natürlich auch eine Waffe im Kampf gegen die Konkurrenz aus Amerika.

CISPE Code of Conduct (Grafik: CISPE)

Dem CISPE gehören derzeit unter anderem 1&1 Internet, Hetzner Online, die Host-Europe-Gruppe, LeaseWeb, sowie OVH an. Laut Satzung steht die Teilnahme jedoch allen Cloud-Infrastruktur-Providern offen, deren Dienstleistungen den Anforderungen des CISPE Kodex an Datenschutz und Datenverarbeitungssicherheit genügen. Erklärtes Ziel von CISPE ist es dafür zu sorgen, “dass Cloud-Infrastruktur-Anbieter, insbesondere KMU, im Mittelpunkt der Diskussionen der europäischen Politik zum Thema Cloud-Computing stehen.”

Dem CISPE Code of Conduct zufolge ist Cloud-Infrastruktur-Providern zum Beispiel Datamining oder die Profilerstellung auf Grundlage persönlicher Kundendaten zu Marketing-, Werbe- oder anderen Zwecken untersagt. Das Verbot ist unabhängig davon, ob dies aus eigenem Interesse oder zum Weiterverkauf an Dritte geschieht. Zusätzlich müssen Anbieter die Möglichkeit bieten, Daten ausschließlich in EU-/EWR-Ländern zu verarbeiten und zu speichern.

Die Selbstverpflichtung der Anbieter greift damit der geplanten Datenschutz-Grundverordnung in der Europäischen Union vor. Die Provider, die sich dem CISPE Kodex unterworfen haben, können das mit einem Siegel nach außen erkennbar darstellen und sind zudem auf der CISPE Webseite aufgeführt.

Tipp der Redaktion

EU-Datenschutzgrundverordnung (DSGVO)

Im Mai 2018 endet die Übergangsfrist für die neue EU-Datenschutzverordnung. Welche Neuerungen sie bringt, was passiert, wenn sich Firmen nicht daran halten und wie sich Unternehmen vorbereiten können, erfahren Sie im Special auf silicon.de.