Datenschutz – Die europäischen Aufsichtsbehörden und der Europäische Datenschutzbeauftragte haben eine Untersuchung über die Nutzung cloud-basierter Dienste durch den öffentlichen Sektor eingeleitet. Damit wird die erste koordinierte Durchsetzungsmaßnahme des Europäischen Datenschutzausschusses (EDSA) eingeleitet.
Die Durchsetzungsmaßnahme setzt die Entscheidung des EDSA über die Einrichtung eines Rahmens für eine koordinierte Durchsetzung (CEF) vom Oktober 2020 um. Zusammen mit der Einrichtung eines Unterstützungspools von Sachverständigen (SPE) ist der CEF eine wesentliche Maßnahme des EDSA im Rahmen seiner Strategie 2021-2023. Beide Initiativen fördern die Durchsetzung und die Zusammenarbeit zwischen den Aufsichtsbehörden.
Die COVID-19-Pandemie hat den digitalen Wandel innerhalb der öffentlichen Stellen beschleunigt. Im Zuge dessen setzten viele Stellen des öffentlichen Sektors vermehrt auf cloud-basierte Dienste. In diesem Zusammenhang ist es eine der Herausforderungen IKT-Produkte und -Dienste zu nutzen, die den EU-Datenschutzvorschriften entsprechen. Durch die Nutzung nicht konformer IKT-Produkte und -Dienste durch den öffentlichen Sektor besteht die Gefahr der Untergrabung des Schutzes personenbezogener Daten. Durch koordinierte Leitlinien und Maßnahmen zielen die europäischen Aufsichtsbehörden darauf ab, bewährte Verfahren bezüglich der Einhaltung der DSGVO zu fördern und einen angemessenen Schutz personenbezogener Daten sicherzustellen.
Insgesamt werden über 75 öffentliche Stellen im EWR adressiert, darunter EU-Institutionen, die ein breites Spektrum des öffentlichen Sektors abdecken (z. B. Gesundheit, Finanzen, Steuern, Bildung, zentrale Einkäufer oder Anbieter von IT-Dienstleistungen). Aufbauend auf der gemeinsamen Vorbereitungsarbeit aller teilnehmenden Aufsichtsbehörden wird die CEF auf nationaler Ebene auf eine oder mehrere der folgenden Arten umgesetzt: Informationsermittlung, um festzustellen, ob eine förmliche Untersuchung gerechtfertigt ist; Beginn einer förmlichen Kontrolle oder der Weiterverfolgung laufender förmlicher Kontrollen. Insbesondere werden die Aufsichtsbehörden die Herausforderungen öffentlicher Stellen bei der Einhaltung der DSGVO bei der Nutzung von cloud-basierten Diensten untersuchen, einschließlich des Prozesses und der Sicherheitsvorkehrungen, die beim Erwerb von Cloud-Diensten implementiert werden, Herausforderungen im Zusammenhang mit internationalen Datenübermittlungen und Bestimmungen zur Regelung der Beziehung zwischen Verantwortlichem und Auftragsverarbeiter.
Die Ergebnisse werden koordiniert analysiert, und die Aufsichtsbehörden werden über mögliche weitere nationale Aufsichts- und Durchsetzungsmaßnahmen entscheiden. Darüber hinaus werden die Ergebnisse aggregiert, was einen tieferen Einblick in das Thema ermöglicht und eine gezielte Weiterverfolgung auf EU-Ebene ermöglicht. Der EDSA wird vor Ende 2022 einen Bericht über das Ergebnis dieser Analyse veröffentlichen.
Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit unterstützt den gemeinsamen Ansatz der europäischen Aufsichtsbehörden und nimmt im Rahmen seiner Zuständigkeiten an der Maßnahme teil und wird sich an ausgewählte öffentliche Stellen wenden.
Quelle: Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI)