News
/ 31. Januar 2023

Erste gemeinsame Datenschutzmaßnahme in Europa: Cloud-Dienste einheitlich nutzen

Der Europäische Datenschutzausschuss (EDSA) hat einen Bericht über die Ergebnisse seiner ersten koordinierten Durchsetzungsmaßnahme veröffentlicht. Darin geht es um die Frage, wie öffentliche Verwaltungen in ganz Europa Cloud-Dienste datenschutzkonform nutzen können.

Pilotprojekt für intensivere Zusammenarbeit

„Der koordinierte Durchsetzungsrahmen (Coordinated Enforcement Framework, CEF) ist ein Pilotprojekt für eine intensivere Zusammenarbeit zwischen den Datenschutzbehörden, um mehr Effizienz und Kohärenz zu erreichen“, erklärte Andrea Jelinek, die Vorsitzende des Europäischen Datenschutzausschusses, dazu in einer Pressemitteilung.

Erste koordinierte Untersuchung in Europa

Die CEF ist eine Schlüsselaktion des EDSA im Rahmen seiner Strategie 2021 bis 2023.

Dafür hatten im vergangenen Jahr 22 Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum – einschließlich des Europäischen Datenschutzbeauftragten (EDSB) – koordinierte Nachforschungen eingeleitet. Die Nutzung von Cloud-Diensten durch den öffentlichen Sektor wurde untersucht und insgesamt fast 100 öffentliche Einrichtungen in ganz Europa wurden angeschrieben.

Umgang mit personenbezogenen Daten

Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) beteiligte sich an der koordinierten Maßnahme. Er bat die zentrale IT-Dienstleisterin des Landes um Stellungnahme.

„Dabei ging es unter anderem um den Umgang mit Risiken für die Rechte und Freiheiten natürlicher Personen vor – beispielsweise Rechte- und Rollenkonzepte – und während der Verarbeitung und insbesondere bei der Übermittlung personenbezogener Daten in Drittstaaten, um die Verarbeitung von Telemetrie- beziehungsweise Diagnosedaten“, erklärt Dr. Jan Wacke, Leitender Beamter LfDI BW in einer Presssemitteilung.

Einheitliche Europäische Empfehlungen

Solche Daten müssen – das betont auch Andrea Jelinek – „mit äußerster Sorgfalt behandelt werden, insbesondere wenn sie von Dritten verarbeitet werden.“

Der nun vorgelegte Bericht des EDSA biete hierfür einen nützlichen Maßstab. „Ich bin zuversichtlich, dass er zu einem wichtigen Bezugspunkt für öffentliche Einrichtungen werden wird, die Cloud-Dienste beschaffen wollen“.

Cloud muss DSGVO-konform sein

Bei der Beschaffung von Cloud-Diensten müssen öffentliche Stellen in vollem Einklang mit der Europäischen Datenschutzgrundverordnung (DSGVO) handeln – das betont der Bericht.

Darüber hinaus enthält der Bericht auch Empfehlungen für Einrichtungen des öffentlichen Bereichs bei der Nutzung von Cloud-Produkten oder -Diensten. Sowie eine Liste der Maßnahmen, die bereits von Datenschutzbehörden im Bereich des Cloud-Computing ergriffen wurden.

Große Clouds müssen oft angepasst werden

„Datenschutzrechtlich kann eine gut und von (externen) Fachleuten gemanagte Cloud Vorzüge haben, insbesondere dann, wenn sie etwa ein aus Mangel an Kapazitäten mit unzureichenden technischen und organisatorischen Maßnahmen betriebenes Eigenhosting ersetzt“, sagt Dr. Jan Wacke.

Allerdings zeige die europäische Auswertung der Ergebnisse, dass vor allem zwischen großen Cloud-Dienstleistern und öffentlichen Stellen ein erhebliches Ungleichgewicht bestehen könne. Notwendige rechtliche und technische Anpassungen an Standardprodukte seien deshalb oft nur schwer umsetzbar.

Weitere koordinierte Maßnahme

In seiner nächsten koordinierten Maßnahme im laufenden Jahr wird sich der Europäische Datenschutzausschuss mit der Benennung und der Rolle von Datenschutzbeauftragten befassen.

WEKA Manager Datenschutz

WEKA Manager Datenschutz: Eine Plattform, drei Module – Gemeinsame Funktionalität, für die Arbeit im Team optimiert

WEKA Manager Datenschutz – das ist eine moderne Datenschutz-Software mit umfassenden Muster-Strukturen und praxiserprobten Vorlage-Dokumenten in einer flexibel anpassbaren Dokumentations-Umgebung mit vielen Funktionen für Übersicht, Export, Nachweis und Report.

 

Mehr Informationen: