Erste gemeinsame Datenschutzmaßnahme in Europa: Cloud-Dienste einheitlich nutzen
Pilotprojekt für intensivere Zusammenarbeit
„Der koordinierte Durchsetzungsrahmen (Coordinated Enforcement Framework, CEF) ist ein Pilotprojekt für eine intensivere Zusammenarbeit zwischen den Datenschutzbehörden, um mehr Effizienz und Kohärenz zu erreichen“, erklärte Andrea Jelinek, die Vorsitzende des Europäischen Datenschutzausschusses, dazu in einer Pressemitteilung.
Erste koordinierte Untersuchung in Europa
Die CEF ist eine Schlüsselaktion des EDSA im Rahmen seiner Strategie 2021 bis 2023.
Dafür hatten im vergangenen Jahr 22 Datenschutzbehörden im gesamten Europäischen Wirtschaftsraum – einschließlich des Europäischen Datenschutzbeauftragten (EDSB) – koordinierte Nachforschungen eingeleitet. Die Nutzung von Cloud-Diensten durch den öffentlichen Sektor wurde untersucht und insgesamt fast 100 öffentliche Einrichtungen in ganz Europa wurden angeschrieben.
Umgang mit personenbezogenen Daten
Auch der Landesbeauftragte für Datenschutz und Informationsfreiheit Baden-Württemberg (LfDI BW) beteiligte sich an der koordinierten Maßnahme. Er bat die zentrale IT-Dienstleisterin des Landes um Stellungnahme.
„Dabei ging es unter anderem um den Umgang mit Risiken für die Rechte und Freiheiten natürlicher Personen vor – beispielsweise Rechte- und Rollenkonzepte – und während der Verarbeitung und insbesondere bei der Übermittlung personenbezogener Daten in Drittstaaten, um die Verarbeitung von Telemetrie- beziehungsweise Diagnosedaten“, erklärt Dr. Jan Wacke, Leitender Beamter LfDI BW in einer Presssemitteilung.
Einheitliche Europäische Empfehlungen
Solche Daten müssen – das betont auch Andrea Jelinek – „mit äußerster Sorgfalt behandelt werden, insbesondere wenn sie von Dritten verarbeitet werden.“
Der nun vorgelegte Bericht des EDSA biete hierfür einen nützlichen Maßstab. „Ich bin zuversichtlich, dass er zu einem wichtigen Bezugspunkt für öffentliche Einrichtungen werden wird, die Cloud-Dienste beschaffen wollen“.
Cloud muss DSGVO-konform sein
Bei der Beschaffung von Cloud-Diensten müssen öffentliche Stellen in vollem Einklang mit der Europäischen Datenschutzgrundverordnung (DSGVO) handeln – das betont der Bericht.
Darüber hinaus enthält der Bericht auch Empfehlungen für Einrichtungen des öffentlichen Bereichs bei der Nutzung von Cloud-Produkten oder -Diensten. Sowie eine Liste der Maßnahmen, die bereits von Datenschutzbehörden im Bereich des Cloud-Computing ergriffen wurden.
Große Clouds müssen oft angepasst werden
„Datenschutzrechtlich kann eine gut und von (externen) Fachleuten gemanagte Cloud Vorzüge haben, insbesondere dann, wenn sie etwa ein aus Mangel an Kapazitäten mit unzureichenden technischen und organisatorischen Maßnahmen betriebenes Eigenhosting ersetzt“, sagt Dr. Jan Wacke.
Allerdings zeige die europäische Auswertung der Ergebnisse, dass vor allem zwischen großen Cloud-Dienstleistern und öffentlichen Stellen ein erhebliches Ungleichgewicht bestehen könne. Notwendige rechtliche und technische Anpassungen an Standardprodukte seien deshalb oft nur schwer umsetzbar.
Weitere koordinierte Maßnahme
In seiner nächsten koordinierten Maßnahme im laufenden Jahr wird sich der Europäische Datenschutzausschuss mit der Benennung und der Rolle von Datenschutzbeauftragten befassen.
WEKA Manager Datenschutz – das ist eine moderne Datenschutz-Software mit umfassenden Muster-Strukturen und praxiserprobten Vorlage-Dokumenten in einer flexibel anpassbaren Dokumentations-Umgebung mit vielen Funktionen für Übersicht, Export, Nachweis und Report.
Mehr Informationen:
- Pressemitteilung des Landesbeauftragten für Datenschutz und Informationsfreiheit Baden-Württemberg am 25. Januar 2023: https://www.baden-wuerttemberg.datenschutz.de/bericht-ueber-europaweit-erste-gemeinsame-datenschutzmassname/
- Bericht des European Data Protection Board vom 17. Januar 2023: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_cef_cloud-basedservices_publicsector_en.pdf
- Pressemitteilung des EDSA am 18. Januar 2023: https://edpb.europa.eu/news/news/2023/edpb-determines-privacy-recommendations-use-cloud-services-public-sector-adopts_en
