Europäische Datenschutzbehörden untersuchen Cloud-Nutzung durch den öffentlichen Sektor

Am Dienstag (15. Februar) haben 22 nationale Datenschutzbehörden eine gemeinsame Untersuchung zur Nutzung von Cloud-Diensten durch den öffentlichen Sektor eingeleitet.

Die Initiative ist die erste im Rahmen für eine koordinierte Durchsetzung der Verordnung des Europäischen Datenschutzausschusses (EDSA). Der EDSA ist eine EU-Behörde, die alle europäischen Datenschutzbehörden zusammenbringt, um eine koordinierte Durchsetzung der Datenschutzvorschriften der Datenschutz-Grundverordnung (DSGVO) sicherzustellen.

Im Oktober 2020 beschloss der Ausschuss, im Rahmen seiner Dreijahresstrategie jedes Jahr gemeinsame Untersuchungen zu bestimmten Themen durchzuführen, die grenzüberschreitende Relevanz haben könnten. Im vergangenen Jahr wurde das Thema neben anderen wichtigen Themen wie der Sicherheit von Websites und Handy-Apps ausgewählt.

„Der Rahmen für eine koordinierte Durchsetzung der Verordnung wird Synergieeffekte zwischen den Regulierungsbehörden schaffen. Durch koordinierte Maßnahmen rund um ein vereinbartes Thema können sie vom Fachwissen der anderen lernen, ihre Ansätze harmonisieren und ihre Wirkung verstärken. Mittelfristig wird dies zu einer besseren Durchsetzung der Vorschriften führen“, sagte Gwendal Le Grand, Leiter des EDSA für die Unterstützung der Durchsetzung und die Koordinierung.

Die synchronisierten Einsätze stellen einen verbesserten Kooperationsmechanismus dar, bauen aber auf einer bestehenden Methodik auf, die über themenspezifische Arbeitsgruppen entwickelt wurde.

Für Charles Helleputte, Leiter der Datenschutzmaßnahmen bei Steptoe, wurde dieser Rahmen für eine koordinierte Durchsetzung zu einem Zeitpunkt angenommen, als die Datenschutzbehörden den Druck einer mangelnden Durchsetzung zu spüren bekamen.

„Das ist nun der zweite Akt, wir gehen jetzt mehr in Richtung koordinierter Maßnahmen. Für die EU würde das wahrscheinlich bedeuten, dass sich eine Reihe von Ländern einmischt und die Spielregeln vorgibt“, so Helleputte.

Eurostat schätzt, dass sich die Nutzung von Cloud-Diensten durch europäische Unternehmen in den letzten sechs Jahren verdoppelt hat. Öffentliche Einrichtungen haben eine ähnliche Beschleunigung erfahren, da sie zunehmend Cloud-Technologien einsetzen, um ihre Dienste zu digitalisieren.

Laut dem digitalen Kompass der EU sollen bis 2030 alle wesentlichen öffentlichen Dienstleistungen online erbracht werden. In diesem Zusammenhang hat die Europäische Kommission auch einen Vorschlag für eine „digitale Brieftasche“ vorgelegt, mit der Bürger:innen amtliche Dokumente elektronisch authentifizieren und verwalten können.

Infolgedessen hat das Cloud Computing für viele Datenschutzbehörden in der EU höchste Priorität. Länderspezifische Untersuchungen gingen so weit, dass sie die Konformität bestimmter Tools wie Microsoft Office prüften. Internationale Datenübertragungen sind in diesem Zusammenhang besonders bedenklich.

Im bahnbrechenden Urteil in der Rechtssache Schrems II erklärte der oberste Gerichtshof der EU die Übermittlung personenbezogener Daten in die Vereinigten Staaten für rechtswidrig. Die amerikanische Rechtsprechung bot im Vergleich zum europäischen Datenschutzrecht keine angemessenen Datenschutznormen.

Für Vincenzo Tiani, Partner bei der Anwaltskanzlei Panetta, sind derartige Untersuchungen zu erwarten.

„Es ist ein Jahr vergangen, seitdem der Europäische Datenschutzbeauftragte ähnliche Untersuchungen in derselben Angelegenheit gegen die EU-Institutionen durchgeführt hat. Das Urteil zu Schrems II wird bald zwei Jahre alt sein, ohne dass eine neue Angemessenheitsentscheidung getroffen wurde“, sagte Tiani.

Letzten Monat rügte der Europäische Datenschutzbeauftragte das Europäische Parlament für die Nutzung einer internen Website, die Daten an die USA übermittelt hat.

Der Europäische Datenschutzbeauftragte schätzt, dass im Rahmen der gemeinsamen Aktion mehr als 80 öffentliche Einrichtungen überprüft werden, darunter das Gesundheits-, Steuer- und Bildungswesen. Jede Behörde wird von Fall zu Fall selbst entscheiden, ob sie Informationen einholt, eine neue Untersuchung einleitet oder eine laufende Untersuchung fortsetzt.

Internationale Datenübertragungen werden ausdrücklich als Hauptanliegen der EU-Behörden genannt, ebenso wie die Schutzmaßnahmen bei der Nutzung von Cloud-Diensten und die rechtlichen Verpflichtungen hinsichtlich der Kontrolle und Verarbeitung personenbezogener Daten.

„Abgesehen von der Schwierigkeit, Cloud-Anbieter zu wechseln, gibt es immer das Dilemma, ob eine andere Lösung als die von den Tech-Riesen angebotene genauso funktionsfähig und sicher ist. In der Tat haben sich die europäischen Staaten im Geheimen sogar beim GAIA X-Projekt die Tür offen gehalten“, so Tiani weiter.

Es wird erwartet, dass diese gemeinsame Aktion allgemeine Probleme identifiziert und eine allgemeine Empfehlung für öffentliche Einrichtungen zur Nutzung von Cloud-Diensten in einer konformen Weise bereitstellt.

Dies ist beispielsweise dann der Fall, wenn die öffentliche Beschaffung von zentralisierten Einrichtungen durchgeführt wird, die einen Katalog relevanter Dienste bereitstellen. Die Liste der angebotenen Dienste sollte also von vornherein regelkonform sein.

Auf EU-Ebene gibt es bereits zwei Verhaltenskodizes, die die Einhaltung der DSGVO für Cloud-Dienste beziehungsweise Cloud-Infrastrukturen operationalisieren. In beiden Fällen wird die Einhaltung des Kodexes durch unabhängige Audits zertifiziert.

CISPE, der Fachverband, der hinter dem Infrastrukturkodex steht, wird der Europäischen Kommission am Mittwoch sein neues Handbuch über den Kauf von Cloud-Diensten im öffentlichen Sektor vorlegen.

Für den Generalsekretär von CISPE, Francisco Mingorance, ergänzt das Handbuch „die politischen Initiativen des Europäischen Datenschutzbeauftragten, indem es praktische Ratschläge für die Umsetzung von Datenschutz-Verhaltenskodizes bei der Beschaffung von Cloud-Diensten gibt.“

[Bearbeitet von Nathalie Weatherald]