BfDIWie sicher sind Daten in der Cloud?

Die europäischen Aufsichtsbehörden und der Europäische Datenschutzbeauftragte haben eine Untersuchung über die Nutzung cloudbasierter Dienste durch den öffentlichen Sektor eingeleitet. Diese Durchsetzungsmaßnahme setzt die Entscheidung des Europäischen Datenschutzausschusses (EDSA) über die Einrichtung eines Rahmens für eine koordinierte Durchsetzung (CEF) vom Oktober 2020 um. Dies berichtet jetzt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI). Zusammen mit der Einrichtung eines Unterstützungspools von Sachverständigen (SPE) sei der CEF eine wesentliche Maßnahme des EDSA im Rahmen seiner Strategie 2021-2023. Beide Initiativen sollen die Durchsetzung und die Zusammenarbeit zwischen den Aufsichtsbehörden fördern.
Die COVID-19-Pandemie habe den digitalen Wandel innerhalb der öffentlichen Stellen beschleunigt. Damit habe auch der Einsatz cloudbasierter Dienste im öffentlichen Sektor zugenommen. Jedoch sei es nach Einschätzung des BfDI eine Herausforderung, IKT-Produkte und -Dienste zu nutzen, die den EU-Datenschutzvorschriften entsprächen. Durch die Nutzung nicht konformer IKT-Produkte und -Dienste durch den öffentlichen Sektor bestehe die Gefahr, dass der Schutz personenbezogener Daten untergraben werde. Die europäischen Aufsichtsbehörden zielten mit koordinierten Leitlinien und Maßnahmen darauf ab, bewährte Verfahren zur Einhaltung der DSGVO zu fördern.
Insgesamt sollen über 75 öffentliche Stellen im EWR adressiert werden, darunter EU-Institutionen, die ein breites Spektrum des öffentlichen Sektors abdecken (etwa Gesundheit, Finanzen, Steuern, Bildung, zentrale Einkäufer oder Anbieter von IT-Dienstleistungen). Die Umsetzung der CEF auf nationaler Ebene erfolge durch Informationsermittlung, um festzustellen, ob eine förmliche Untersuchung gerechtfertigt ist oder mit dem Beginn einer förmlichen Kontrolle oder der Weiterverfolgung laufender förmlicher Kontrollen.
Insbesondere die Herausforderungen öffentlicher Stellen bei der Einhaltung der DSGVO bei der Nutzung von cloudbasierten Diensten sollen durch die Aufsichtsbehörden untersucht werden. Im Fokus seien dabei unter anderem der Prozess und die Sicherheitsvorkehrungen, die beim Erwerb von Cloud-Diensten implementiert werden, die Herausforderungen im Zusammenhang mit internationalen Datenübermittlungen und die Bestimmungen, welche die Beziehung zwischen Verantwortlichem und Auftragsverarbeiter regeln.
Die Ergebnisse sollen koordiniert analysiert werden. Die Aufsichtsbehörden sollen im Anschluss über mögliche weitere nationale Aufsichts- und Durchsetzungsmaßnahmen entscheiden. Darüber hinaus würden die Ergebnisse aggregiert, um einen tieferen Einblick in das Thema zu gewinnen und eine gezielte Weiterverfolgung auf EU-Ebene zu ermöglichen. Der EDSA werde vor Ende 2022 einen Bericht über das Ergebnis dieser Analyse veröffentlichen.
Der BfDI erklärte, er unterstütze den gemeinsamen Ansatz der europäischen Aufsichtsbehörden. Die Behörde werde im Rahmen ihrer Zuständigkeiten an der Maßnahme teilnehmen und sich an ausgewählte öffentliche Stellen wenden.