Archiv

Archiv

EU Cloud Code of Conduct ist ein weiterer Meilenstein

Ein Beitrag von Claus-Dieter Ulmer, Konzernbeauftragter für den Datenschutz und Senior Vice President Group Privacy.

Claus-Dieter Ulmer, Konzernbeauftragter für den Datenschutz der Deutschen Telekom

Claus-Dieter Ulmer, Konzernbeauftragter für den Datenschutz der Deutschen Telekom.

Die Europäische Cloud steht als Synonym für etwas Essentielles, nämlich für nichts Geringeres als die digitale Souveränität Europas bei Cloud-Diensten. Darunter verstehen wir die vollständige Kontrolle über gespeicherte und verarbeitete Daten sowie die unabhängige Entscheidung darüber, wer darauf zugreifen darf. Voraussetzung dafür sind klare Regeln und Vorgaben. Diese bietet der EU Cloud Code of Conduct (EU Cloud CoC). Die europäischen Datenschutzaufsichtsbehörden haben diese Verhaltensregeln autorisiert. Mit der Unterzeichnung verpflichten sich die unterzeichnenden Unternehmen, dazu gehört auch die Deutsche Telekom, das Datenschutzniveau bei Cloud-Diensten zu erhöhen. Grundlage ist auch hier die Datenschutzgrundverordnung (DSGVO). Mit der Unterzeichnung des EU Cloud CoC erbringen die unterzeichnenden Unternehmen den Nachweis, Daten im Einklang mit den Anforderungen der DSGVO zu verarbeiten. Die Einhaltung der Regeln wird von unabhängiger Stelle überprüft.

Ein weiterer Baustein der digitalen Souveränität ist das Projekt Gaia-X, zu dessen Gründungsmitgliedern auch die Deutsche Telekom gehört. Ziel ist ein offenes und transparentes digitales Ökosystem, in dem Daten und Dienste verfügbar gemacht, zusammengeführt, vertrauensvoll geteilt und genutzt werden können. Ebenso adressiert Gaia-X die Technologiesouveränität, die eine Abhängigkeit von non-EU Plattformen reduzieren soll. Um diesem Anspruch und den Vorgaben zu Datenschutz von Gaia-X gerecht zu werden, wird anerkannten Standards, durch die Mitglieder ihre „Compliance“ demonstrieren können, auch unter Gaia-X eine entscheidende Rolle zukommen. Einer dieser anerkannten Standards ist der EU Cloud CoC.

EU Cloud CoC ergänzt andere Selbstverpflichtungen

Neben der EU Cloud CoC gibt es die Cloud Infrastructure Services Providers in Europe, kurz CISPE. Diese ist ebenfalls ein von den europäische Datenschutzaufsichtsbehörden anerkannter Standard. Dieser Standard trägt seinen Inhalt im Namen, er konzentriert sich auf Cloud-Infrastruktur-Services. Der EU Cloud CoC geht deutlich darüber hinaus. Er deckt alle Angebotsarten im Bereich Cloud Computing ab. Das passt deutlich besser zu unseren Cloud-Angeboten und gewährleistet eine umfassende Betrachtung.

Alle genannten Initiativen erfüllt spezifische Anforderungen und haben ihren Sinn. Der EU Cloud CoC ist ein wichtiger Baustein für die europäische digitale Souveränität. Dieser und Gaia-X sind zwei Seiten derselben Medaille, ergänzen sich und zahlen auf dasselbe Ziel ein: sichere, vertrauensvolle und selbstbestimmte Datenverarbeitung, die durch Code of Conducts verifizierbar werden. So ist beispielsweise die Initiative „Auditor“ ein deutsches Forschungsprojekt unter Beteiligung des Wirtschaftsministeriums. Es hat eine Zertifizierung mit Gütesiegel von Cloud-Produkten auf Basis der Datenschutzgrundverordnung zum Ziel. Leider steht hier immer noch die Anerkennung der Datenschutzbehörde des Bundeslandes Nordrhein-Westfalen und anschließend noch der europäischen Aufsichtsbehörde aus. Umso mehr freue ich mich, dass wir jetzt den EU Cloud CoC haben, der ja auch eine Prüfung beinhaltet.

Nutzen des EU Cloud CoC für Kunden und Unternehmen

Bei der Verarbeitung von Daten in der Cloud geht es neben attraktiven Diensten vor allem auch um Vertrauen. Wir können somit Vertrauen anfassbar machen und nachweisen Schließlich vertrauen uns im wahrsten Sinne des Wortes andere ihre Daten an. Die möchten natürlich im Vorfeld wissen, ob dieses Vertrauen gerechtfertigt ist. Die Verpflichtung auf den EU Cloud CoC dokumentiert, dass wir es ernst meinen. Wir behaupten nicht nur, DSGVO-konforme Cloud-Dienste anzubieten, sondern wir verpflichten uns auf geprüfte, nachvollziehbare Regeln, deren Einhaltung ebenfalls unabhängig überprüft wird.

Der EU Cloud CoC hilft bei dem Aufbau europäischer Lösungen und stärkt so das Vertrauen in Cloud Lösungen, die in Europa angeboten werden. Wer sich auf diese Standards verpflichtet, verpflichtet sich auf die europäischen Vorgaben. Ich nenne hier nochmal Gaia-X. Das ist auch ein aktiver Schritt, die hohen Anforderungen des Europäischen Gerichtshofs (EuGH) an eine Verarbeitung von Daten außerhalb der EU zu erfüllen. Bekannt ist das Urteil des EuGH als Schrems II Entscheidung.

Vielleicht noch ein weiterer interessanter Aspekt. Bei dem EU Cloud CoC wird derzeit an einem weiteren Modul gearbeitet, dass die Datenverarbeitung außerhalb der EU regeln soll. Das wäre dann ein weiterer Kriterienkatalog, der die Verpflichtungen aus der DSGVO und dem Urteil des EuGHs zu Schrems II explizit konkretisiert.

Bleibt abschließend die Frage nach der Wirksamkeit, also ab wann sich unser Engagement postiv bemerkbar macht? Da fällt mir ein berühmter Satz ein, frei nach Günther Schabowski 1989 zum neuen DDR-Reisegesetz: „Das trifft nach meiner Kenntnis - ist das sofort, unverzüglich.“

Dr. Claus-Dieter Ulmer, Konzernbeauftragter für den Datenschutz und Senior Vice President Group Privacy.

Dr. Claus-Dieter Ulmer

Konzernbeauftragter für den Datenschutz und Senior Vice President Group Privacy

Dachterrasse und Kuppel des Reichstags in Berlin.

Politik und Regulierung

Die Telekom beteiligt sich aktiv an digitalpolitischen Debatten: Verantwortungsvoll, fair und faktenbasiert.

FAQ