Im Fokus: Cloud-Dienste im öffentlichen Bereich

Start der EU-weiten Prüfung zur Nutzung von Cloud-Diensten durch den öffentlichen Bereich

Heute fällt der Startschuss für die erste „koordinierte Durchsetzungsmaßnahme“ des Europäischen Datenschutzausschusses (EDSA), dem Verbund der Datenschutz-Aufsichtsbehörden in der EU zur Durchsetzung der Datenschutz-Grundverordnung (DS-GVO). Im kommenden Monat werden 22 nationale Aufsichtsbehörden im gesamten Europäischen Wirtschaftsraum Untersuchungen zur Nutzung von Cloud-Diensten durch den öffentlichen Bereich einleiten.

Damit beginnt die erste koordinierte Aktion des Europäischen Datenschutzausschusses. Zuvor hatte der EDSA beschlossen, einen gemeinsamen Rahmen für die koordinierte Durchsetzung der Vorgaben der DS-GVO in bestimmten Bereichen einzurichten (Coordinated Enforcement Framework, CEF). Dazu zählen auch Regeln zum Einsatz von Cloud-Diensten im öffentlichen Bereich. Ziel der europaweiten Aktion ist es, den Schutz der personenbezogenen Daten in der EU zu gewährleisten, die Beratung durch die Aufsichtsbehörden zu stärken und best practice Beispiele zur datenschutzkonformen Nutzung von Cloud-Diensten herauszuarbeiten.

Der CEF ist zusammen mit der Einrichtung eines Unterstützungspools von Experten (Support Pool of Experts, SPE) eine zentrale Maßnahme des EDSA im Rahmen seiner „Strategie 2021-2023“. Dabei ist auch vorgesehen, die Zusammenarbeit der europäischen Aufsichtsbehörden zu intensivieren und den europäischen Vollzug der DS-GVO zu verbessern.

Nach Angaben von EuroStat hat sich die Cloud-Nutzung durch Unternehmen in den letzten sechs Jahren europaweit verdoppelt. Die COVID-19-Pandemie hat eine verstärkte digitale Transformation der Institutionen ausgelöst, wobei sich auch viele Stellen des öffentlichen Bereichs der Cloud-Technologie zuwenden. Dabei können gerade öffentliche Institutionen jedoch auf Schwierigkeiten stoßen, Produkte und Dienstleistungen zu finden, die den EU-Datenschutzvorschriften vollständig entsprechen. Die Nutzung von nicht datenschutzkonformen Produkten und Dienstleistungen im öffentlichen Bereich birgt das besondere Risiko, dass dem Staat anvertraute personenbezogene Daten zweckentfremdet oder gestohlen werden.

Als ersten Schritt im Rahmen ihrer koordinierten Prüfung werden die teilnehmenden Aufsichtsbehörden einen Fragebogen an ausgewählte öffentliche Stellen richten. Insgesamt werden dabei über 80 öffentliche Einrichtungen in der gesamten EU kontaktiert. Die Aufsichtsbehörden fragen insbesondere nach Verfahren und Schutzmaßnahmen, die beim Erwerb von Cloud-Diensten eingerichtet werden, untersuchen die Herausforderungen im Zusammenhang mit internationalen Übermittlungen und analysieren die Beziehungen zwischen Verantwortlichen und sogenannten Auftragsverarbeitern, also externen Dienstleistern für Cloud-Dienste.

Anschließend werten die Aufsichtsbehörden die Antworten auf den Fragebogen auf nationaler Ebene aus und entscheiden über mögliche Aufsichts- und Durchsetzungsmaßnahmen. Darüber hinaus werden die Ergebnisse der nationalen Maßnahmen aggregiert und analysiert, um gezielte Folgemaßnahmen auf europäischer Ebene zu ermöglichen.

Der Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg Dr. Stefan Brink beteiligt sich an der europaweiten Aktion. Eine vertiefte europäische Kooperation und die gemeinsame Anwendung der Datenschutz-Grundverordnung ist für den Landesbeauftragten ein wichtiger Schritt, um die informationelle Selbstbestimmung europaweit zu stärken. Der Landesbeauftragte wird zunächst auf die zentrale IT-Dienstleisterin des Landes Baden-Württemberg (BITBW) zugehen. Durch einen intensiven kooperativen Austausch mit der BITBW erhofft sich der Landesbeauftragte zunächst einen tieferen Einblick in die datenschutzrechtliche Umsetzung und die praktischen Anwendungsfälle auf dem Gebiet der Nutzung von Cloud-Diensten auf Landesebene. Im Rahmen des Austausches können weitere Beratungen angeboten und, wo nötig, Verbesserungen gemeinsam erarbeitet werden.

Weitere Informationen:

Das Dokument zu Coordinated Enforcement Framework, CEF, findet sich hier:
https://edpb.europa.eu/our-work-tools/our-documents/other/edpb-document-coordinated-enforcement-framework-under-regulation_de

Die Strategie des EDSA für die Jahre 2021-2023 steht hier:
https://edpb.europa.eu/sites/default/files/files/file1/edpb_strategy2021-2023_de.pdf

Die Pressemitteilung des EDSA:
https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_en

 

Für Rückfragen erreichen Sie uns unter der Telefonnummer
0711/615541-23 und per E-Mail: pressestelle@lfdi.bwl.de

Weitere Informationen zu Datenschutz und Informationsfreiheit finden Sie im Internet unter www.baden-wuerttemberg.datenschutz.de oder unter www.datenschutz.de.