22 nationale Datenschutzbehörden haben am Dienstag (15. Februar) eine gemeinsame Untersuchung darüber eingeleitet, wie der öffentliche Sektor Cloud-Dienste nutzt.
Die Initiative ist die erste im Rahmen des Coordinated Enforcement Framework des European Data Protection Board (EDPB), der EU-Einrichtung, die alle europäischen Datenwächter versammelt, um eine koordinierte Durchsetzung der DSGVO-Datenschutzvorschriften zu gewährleisten.
Im Oktober 2020 beschloss der Vorstand, im Rahmen seiner Dreijahresstrategie jedes Jahr gemeinsame Untersuchungen zu bestimmten Themen durchzuführen, die von grenzüberschreitender Bedeutung sein könnten. Im vergangenen Jahr wurde das Thema neben anderen wichtigen Bereichen wie Website-Sicherheit und mobilen Apps ausgewählt.
„Der Koordinierte Durchsetzungsrahmen wird Synergien zwischen den Regulierungsbehörden schaffen. Koordinierte Aktionen rund um ein vereinbartes Thema ermöglichen es ihnen, vom Fachwissen der anderen zu lernen, ihre Ansätze zu harmonisieren und ihre Wirkung zu steigern. Mittelfristig wird die Durchsetzung somit auf ein höheres Niveau gebracht“, sagte Gwendal Le Grand, EDPB-Aktivitätsleiterin für Durchsetzungsunterstützung und -koordinierung.
Die synchronisierten Operationen sind ein verbesserter Kooperationsmechanismus, bauen jedoch auf einer bestehenden Methodik auf, die über themenspezifische Task Forces entwickelt wurde.
Für Charles Helleputte, Leiter der Datenschutzpraxis bei Steptoe, wurde das Coordinated Enforcement Framework zu einer Zeit verabschiedet, als die Datenschutzbehörden den Druck mangelnder Durchsetzung verspürten.
„Dies ist Akt 2, wir führen jetzt eher zu koordinierten Aktionen, was in EU-Begriffen wahrscheinlich einen Versuch für eine Reihe von Ländern bedeutet, sich einzumischen und die Playlist durchzusetzen“, sagte Helleputte.
Eurostat schätzt, dass sich die Nutzung von Cloud-Diensten durch europäische Unternehmen in den letzten sechs Jahren verdoppelt hat. Öffentliche Einrichtungen haben eine ähnliche Beschleunigung erlebt, da sie zunehmend Cloud-Technologie zur Digitalisierung ihrer Dienste einsetzen.
Laut dem digitalen Kompass der EU werden bis 2030 alle wesentlichen öffentlichen Dienstleistungen online erbracht. In diesem Zusammenhang hat die Europäische Kommission auch einen Vorschlag für eine digitale Brieftasche vorgelegt, mit der Bürger offizielle Dokumente elektronisch authentifizieren und verwalten können.
Aus diesem Grund hat Cloud Computing für viele Datenschutzbehörden in der gesamten EU höchste Priorität. Spezifische nationale Untersuchungen gingen so weit, die Konformität bestimmter Tools wie Microsoft Office zu prüfen. Internationale Datenübermittlungen sind in dieser Hinsicht von besonderer Bedeutung.
Im wegweisenden Schrems-II-Urteil hat das Oberste Gericht der EU die Übermittlung personenbezogener Daten in die Vereinigten Staaten für rechtswidrig erklärt, da die amerikanische Rechtsprechung im Vergleich zum europäischen Datenschutzrecht keine angemessenen Datenschutzstandards bietet.
Für Vincenzo Tiani, Partner der Anwaltskanzlei Panetta, sind solche Ermittlungen zu erwarten.
„Seit ähnlichen Ermittlungen des EDSB zum selben Thema gegen die EU-Organe ist ein Jahr vergangen, und das Schrems-II-Urteil wird bald zwei Jahre alt sein, ohne dass ein neuer Angemessenheitsbeschluss zustande gekommen wäre“, sagte Tiani.
Im vergangenen Monat rügte der Europäische Datenschutzbeauftragte das Europäische Parlament wegen der Nutzung einer internen Website, die Daten in die USA übermittelte.
Der EDPB schätzte, dass aufgrund der gemeinsamen Aktion über 80 öffentliche Einrichtungen, einschließlich Gesundheits-, Steuer- oder Bildungswesen, überprüft würden. Jede Behörde wird von Fall zu Fall unabhängig entscheiden, ob sie Informationen sammelt, eine neue Untersuchung einleitet oder eine laufende weiterführt.
Internationale Datenübermittlungen werden ausdrücklich als Hauptanliegen erwähnt, die die EU-Behörden prüfen werden, zusammen mit den bestehenden Sicherheitsvorkehrungen bei der Nutzung von Cloud-Diensten und den gesetzlichen Verpflichtungen in Bezug auf die Kontrolle und Verarbeitung personenbezogener Daten.
„Abgesehen von der Schwierigkeit, den Cloud-Anbieter zu wechseln, besteht immer das Dilemma, ob eine andere Lösung als die der Tech-Giganten genauso funktional und sicher ist, und tatsächlich haben sich die europäischen Staaten sogar privat die Tür offen gehalten im GAIA X-Projekt“, fügte Tiani hinzu.
Es wird erwartet, dass die gemeinsame Aktion die allgemeinen Probleme identifiziert und eine allgemeine Empfehlung für öffentliche Stellen zur konformen Nutzung von Cloud-Diensten gibt. Wenn beispielsweise die öffentliche Auftragsvergabe von zentralen Stellen zentralisiert wird, die einen Katalog relevanter Dienstleistungen bereitstellen, sollte dies dazu führen, dass die Liste der Dienstleistungen von Natur aus konform ist.
Auf EU-Ebene gibt es bereits zwei Verhaltenskodizes, die die Einhaltung der DSGVO für Cloud-Dienste bzw. Cloud-Infrastrukturen operationalisieren. In beiden Fällen wird die Einhaltung des Kodex durch unabhängige Audits bescheinigt.
CISPE, der Fachverband hinter dem Infrastrukturkodex, wird der Europäischen Kommission am Mittwoch sein neues Handbuch zum Kauf von Cloud-Diensten im öffentlichen Sektor vorstellen.
Für den Generalsekretär von CISPE, Francisco Mingorance, ergänzt das Handbuch „die politischen Initiativen des EDPB, indem es praktische Ratschläge zur Umsetzung von Datenschutz-Verhaltenskodizes bei der Cloud-Beschaffung bietet“.
[Edited by Nathalie Weatherald]