Europäischer Datenschutzausschuss berichtet über europaweit erste gemeinsame Datenschutzmaßname zu Cloud-Diensten. LfDI führt erfolgreiche Gespräche mit BITBW fort.

Dr. Jan Wacke, Leitender Beamter LfDI BW: „Die digitale Transformation der öffentlichen Verwaltung ist häufig mit dem Wunsch verbunden, auf Cloud-Dienste umzusteigen. Dabei müssen die handelnden Stellen die Vorgaben der EU-Datenschutzvorschriften beachten. Einheitliche europäische Empfehlungen und ein koordiniertes Vorgehen der Datenschutzaufsichtsbehörden in ganz Europa bieten eine wichtige Unterstützung für öffentliche Stellen bei einem solchen Übergang.“

Der Europäische Datenschutzausschuss (EDSA) hat einen Bericht über die Ergebnisse seiner ersten koordinierten Durchsetzungsmaßnahme (Coordinated Enforcement Framework, CEF) angenommen, die sich auf die Nutzung von Cloud-Diensten im öffentlichen Sektor konzentrierte. Der EDSA betont die Notwendigkeit, dass öffentliche Stellen in vollem Einklang mit der Datenschutz-Grundverordnung (DS-GVO) handeln, und gibt Empfehlungen für Einrichtungen des öffentlichen Bereichs bei der Nutzung von Cloud-Produkten oder -Diensten. Darüber hinaus veranschaulicht eine Liste die Maßnahmen, die bereits von Datenschutzbehörden im Bereich des Cloud-Computing ergriffen wurden.

Im Laufe des Jahres 2022 haben 22 Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum (EWR), einschließlich des Europäischen Datenschutzbeauftragten (EDSB), koordinierte Untersuchungen über die Nutzung von Cloud-Diensten durch den öffentlichen Sektor eingeleitet.

Insgesamt wurden rund 100 öffentliche Einrichtungen im gesamten EWR kontaktiert, darunter auch europäische Institutionen, die ein breites Spektrum an Sektoren abdecken (wie Gesundheit, Finanzen, Steuern, Bildung, Käufer und Anbieter von IT-Diensten).

Der Landesbeauftragte hat an dieser Maßnahme des EDSA teilgenommen. Hierzu hat er der zentralen IT-Dienstleisterin des Landes Baden-Württemberg (BITBW) mit dem EDSA abgestimmte Fragen gestellt und sie um Stellungnahme zu verschiedenen datenschutzrechtlichen Aspekten von Cloud-Dienstleistungen gebeten. Dabei ging es unter anderem um den Umgang mit Risiken für die Rechte und Freiheiten natürlicher Personen vor – beispielsweise Rechte- und Rollenkonzepte – und während der Verarbeitung und insbesondere bei der Übermittlung personenbezogener Daten in Drittstaaten, um die Verarbeitung von Telemetrie- beziehungsweise Diagnosedaten durch von der BITBW eingesetzte Cloud-Dienstleister, um die Vertragsgestaltung bei einer Auftragsverarbeitung und um die Einbindung der oder des Datenschutzbeauftragten der BITBW.

Der fachlich sehr gute Austausch wird in diesem Jahr vertieft fortgeführt. Dabei wird der Landesbeauftragte weiter beratend die BITBW unterstützen und, wo nötig, konkrete Hinweise zur datenschutzrechtlichen Optimierung geben.

Datenschutzrechtlich kann eine gut und von (externen) Fachleuten gemanagte Cloud Vorzüge haben, insbesondere dann, wenn sie etwa ein aus Mangel an Kapazitäten mit unzureichenden technischen und organisatorischen Maßnahmen betriebenes Eigenhosting ersetzt. Allerdings zeigt die europäische Auswertung der Ergebnisse, dass insbesondere zwischen großen Cloud-Dienstleistern und öffentlichen Stellen ein erhebliches Ungleichgewicht bestehen kann und dann notwendige rechtliche und technische Anpassungen an Standardprodukte oft nur schwer umsetzbar sein können.

Die koordinierte Maßnahme des EDSA ist eine Schlüsselaktion seiner „Strategie 2021-2023“ und zielt darauf ab, die Durchsetzung datenschutzrechtlicher Vorgaben zu stärken sowie die Zusammenarbeit zwischen den Aufsichtsbehörden zu intensivieren.

In seiner aktuellen Aktion 2023 wird sich der Europäische Datenschutzausschuss mit der Benennung und der Rolle von Datenschutzbeauftragten befassen.

Der Landesbeauftragte wird die Ergebnisse der koordinierten Durchsetzungsmaßnahmen des EDSA auch in seine eigene Praxis einfließen lassen und Verantwortliche und Datenschutzbeauftrage weiterhin beratend unterstützen.

Weitere Informationen:

Der Bericht zur ersten koordinierten Durchsetzungsmaßnahme:
https://edpb.europa.eu/our-work-tools/our-documents/report/coordinated-enforcement-action-use-cloud-based-services-public_en

Die Pressemitteilung des EDSA:
https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en

Die Pressemitteilung zum Start der koordinierten Durchsetzungsmaßnahme:
https://www.baden-wuerttemberg.datenschutz.de/eu-weite-pruefung-cloud-dienste-oeffentlicher-bereich/

Videokonferenzsysteme – Hinweise zur praktischen Nutzung:
https://www.baden-wuerttemberg.datenschutz.de/videokonferenzsysteme/

Orientierungshilfe: Was jetzt in Sachen internationaler Datentransfer?
https://www.baden-wuerttemberg.datenschutz.de/wp-content/uploads/2021/10/OH-int-Datentransfer.pdf

Hinweise des LfDI zur Nutzung von Microsoft 365 durch Schulen
https://www.baden-wuerttemberg.datenschutz.de/ms-365-schulen-hinweise-weiteres-vorgehen/

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de