DSGVO: Cloud-Nutzung im öffentlichen Sektor wird untersucht

Der Europäische Datenschutzbeauftragte und die europäischen Aufsichtsbehörden haben eine Untersuchung über die Nutzung Cloud-basierter Dienste durch den öffentlichen Sektor eingeleitet. Dabei handelt es sich um die erste koordinierte Durchsetzungsmaßnahme des Europäischen Datenschutzausschusses (EDSA), teilt der Bundesdatenschutzbeauftrage (BfDI) mit. Im Oktober 2020 hatte der EDSA über die Einrichtung eines Rahmens für eine koordinierte Durchsetzung (CEF, Coordinated Enforcement Framework) entschieden.

Viele Stellen des öffentlichen Sektors würden vermehrt auf Cloud-basierte Dienste setzen, nicht zuletzt auch durch die COVID-19-Pandemie beschleunigt. Dabei sei es eine Herausforderung Produkte und Dienste einzusetzen, die den EU-Datenschutzvorgaben entsprechen würden. Würden Lösungen eingesetzt, die nicht DSGVO-konform seien, bestünde die Gefahr den Schutz personenbezogener Daten zu untergraben.

So würden die europäischen Aufsichtsbehörden insgesamt über 75 Stellen im Europäischen Wirtschaftsraum (EWR) adressieren. Die Institutionen decken unterschiedlichste Bereiche ab, wie etwa Gesundheit, Finanzen, Steuern oder Bildung. Auf nationaler Ebene wird die CEF auf eine der folgenden Arten umgesetzt: Es wird ermittelt, ob eine förmliche Untersuchung gerechtfertigt ist. Es beginnt eine förmliche Kontrolle oder es erfolgt eine Weiterverfolgung laufender förmlicher Kontrollen. Die Aufsichtsbehörden sollen insbesondere die Herausforderungen der öffentlichen Stellen bei der Einhaltung der DSGVO bei der Nutzung von Cloud-basierten Diensten. Betrachtet werden auch die Prozesse und Sicherheitsvorkehrungen, die beim Erwerb von Cloud-Diensten implementiert werden. Und auch die Herausforderungen im Zusammenhang mit internationalen Datenübermittlungen und Bestimmungen zur Regelung der Beziehung zwischen Verantwortlichen und Auftragsverarbeiter werden in die Untersuchung einbezogen.

Die Ergebnisse sollen koordiniert analysiert werden. Die Aufsichtsbehörden werden dann über mögliche nationale Aufsichts- und Durchsetzungsmaßnahmen entscheiden. Die aggregierten Ergebnisse sollen eine gezielte Weiterverfolgung auf EU-Ebene ermöglichen. Das Ergebnis der Analyse soll vom EDSA vor Ende des Jahres 2022 in einem Bericht veröffentlicht werden. Der Bundesdatenschutzbeauftragte unterstützt laut eigenem Bekunden den gemeinsamen Ansatz der europäischen Aufsichtsbehörden, nimmt im Rahmen seiner Zuständigkeit and er Maßnahme teil und wird sich ausgewählte öffentliche Stellen wenden. Weitere Informationen finden sich beim BfDI.