Business-Lösungen

CoC – Code of Conduct

Drei Buchstaben schaffen Vertrauen in die Cloud

Ohne Cloud geht bei den meisten deutschen Unternehmen nichts mehr, wie der Bitkom Cloud-Monitor 2017 bestätigt. Top-Priorität hat dabei das Thema Sicherheit, sodass sich nun verbindliche Regeln etablieren. Denn damit eine neue Technologie im Markt akzeptiert wird, müssen klare Regeln festgelegt werden, die regelmäßig überprüft werden.

Entscheidend sind also nicht nur die Wahl des richtigen Cloud-Dienstes und des jeweiligen Anbieters, sondern auch die Standards. Das hat auch die Politik erkannt und mit einigen Unternehmen den European Union Data Protection Code of Conduct for Cloud Service Providers (CoC) erarbeitet. Es ist nicht das erste Regelwerk, aber das umfassendste und auf Langfristig­keit angelegt. SCOPE Europe, eine neue unabhängige Organisation, wird die weitere Entwicklung des CoC beaufsichtigen, geeignete Governance-Gremien einrichten und so die Zuverlässigkeit und Transparenz des CoC sicherstellen.

Der CoC entstand in dreijähriger Zusammenarbeit zwischen der Europäischen Kommission und verschiedenen Cloud-Service-Providern wie IBM – eines der Gründungsmitglieder des CoC. Der CoC orientiert sich an den Bedürfnissen des Markts sowie an Kundenanwendungen und umfasst Dienste für Infrastruktur-, Plattform- und Software-as-a-Service, die individuell zertifiziert werden müssen, nicht der Anbieter als solcher. Das ist essenziell, denn ein Anbieter kann durchaus sichere Plattformdienste anbieten, aber die Anforderungen an Software-as-a-Service nicht erfüllen.

Vertrauen ist gut, Kontrolle ist besser!

Die Anwender profitieren vom CoC, hilft er ihnen doch bei der Auswahl des entsprechenden Cloud-Providers und des jeweiligen Dienstes. Denn die Unternehmen, die ihre Cloud-Dienste im Rahmen des CoC zertifizieren, verpflichten sich, dass ihre Datenschutz- und Sicherheitsrichtlinien weit über die gesetzliche Einhaltung hinausgehen. Über den CoC bekommen Unternehmen einen transparenten Überblick über das Angebot am Markt und können nach ihren individuellen Anforderungen entscheiden.

Es liegt in der Hand jedes Anwenders zu bewerten, inwieweit man sich auf den CoC oder auf individuelle Definitionen einzelner Cloud-Anbieter verlässt. Der Beitritt zum CoC ist grundsätzlich freiwillig – die Anbieter entscheiden selbst, ob sie ihre Dienste zertifizieren lassen oder einen individuellen Weg gehen, um spätestens im Mai 2018 konform mit der EU-GDPR (Datenschutz-Grundverordnung) zu sein. In der Praxis bedeutet das, dass Rechtsabteilungen bei Abweichungen vom CoC die herstellerspezifischen Vorschläge prüfen, was wiederum zu Verzögerungen in den Projekten führen kann. Warum also auf individuelle Regeln eingehen, wenn es eine EU-weite Regelung gibt?

Generell gilt: Augen auf bei der Wahl des Cloud-Service-Providers. Beim Thema Sicherheit setzt der CoC einen soliden Rahmen, auf den sich Unternehmen fraglos verlassen können.

Aleksandar Francuz,
IBM Cloud Platform Leader Deutschland, Österreich und Schweiz

Ihr Ansprechpartner bei der PROFI AG:
Robert Raß, Leiter Professional Services