Reuschlaw

Daten­schutz bei Cloud-Diensten im öffent­li­chen Sektor

Bericht zur koor­di­nier­ten Prü­fung des Euro­pean Data Pro­tec­tion Board vorgelegt

Die im Euro­pean Data Pro­tec­tion Board (EDPB) zusam­men­ge­schlos­se­nen euro­päi­schen Daten­schutz­auf­sichts­be­hör­den haben im ver­gan­ge­nen Jahr eine Unter­su­chung zur Nut­zung von Cloud-Diensten im öffent­li­chen Sek­tor durch­ge­führt. Ins­ge­samt wur­den knapp 100 Behör­den und öffent­li­che Stel­len über­prüft. In die­sem Arti­kel stel­len wir Ihnen den Prüf­be­richt der Daten­schutzauf­sichts­be­hör­den vor und zei­gen auf, wel­che Schrit­te für eine DSGVO-konforme Nut­zung von Cloud-Diensten im öffent­li­chen Sek­tor erfor­der­lich sind.

Umfas­sen­de Nut­zung von Cloud-Diensten durch öffent­li­che Stellen

Cloud-Dienste sind aus dem öffent­li­chen Sek­tor nicht mehr weg­zu­den­ken: 87 von 98 ange­frag­ten Behör­den gaben an, bereits Cloud­diens­te zu nut­zen oder die­se inner­halb des ver­gan­ge­nen Jah­res ein­füh­ren zu wol­len. Die Nut­zung reicht von der inter­nen Orga­ni­sa­ti­on der Behör­de mit­tels Office-Suiten, inter­nen Kom­mu­ni­ka­ti­ons­diens­ten oder Cloud-Diensten zur Per­so­nal­ver­wal­tung oder zur Erfül­lung von Ver­wal­tungs­auf­ga­ben. Die meist­ge­nutz­ten Anwen­dun­gen stam­men in der Regel von US-Anbietern (insb. Micro­soft, Ama­zon, IBM, Ado­be oder Google).

Behör­den sehen zahl­rei­che Män­gel beim Datenschutz

Obwohl Cloud-Dienste durch öffent­li­che Stel­len weit­rei­chend genutzt wer­den, ist die Erfül­lung der daten­schutz­recht­li­chen Pflich­ten dem EDPB zufol­ge noch aus­bau­fä­hig: Ledig­lich 32 öffent­li­che Stel­len gaben an, eine Datenschutz-Folgenabschätzung durch­ge­führt zu haben. Vie­le Stel­len sind nach Auf­fas­sung des EDPB nicht in der Lage, die mit der Nut­zung der Cloud-Dienste ver­bun­de­nen Risi­ken zu iden­ti­fi­zie­ren und zu bewer­ten. Bemän­gelt wur­den außer­dem feh­len­de oder feh­ler­haf­te Auf­trags­ver­ar­bei­tungs­ver­trä­ge, unbe­kann­te oder nicht aus­rei­chend kon­kre­ti­sier­te Unter­auf­trags­ver­ar­bei­ter, feh­len­de Garan­tien für die Dritt­lands­über­mitt­lung sowie die unzu­rei­chend defi­nier­te Ver­ar­bei­tung von Telemetrie- und Dia­gno­se­da­ten durch die Cloud-Dienste.

Signi­fi­kan­te Unter­schie­de bei den Maß­nah­men der Datenschutzaufsichtsbehörden

Bemer­kens­wert ist, dass die auf­ge­deck­ten Män­gel von den jeweils zustän­di­gen natio­na­len Daten­schutz­auf­sichts­be­hör­den sehr unter­schied­lich bewer­tet wer­den: Wäh­rend sich bei­spiels­wei­se die deut­schen Daten­schutz­auf­sichts­be­hör­den in dem Beschluss der Daten­schutz­kon­fe­renz vom 25. Novem­ber 2022 äußerst kri­tisch zu einem Ein­satz von Micro­soft 365 äußern, haben sich ande­re euro­päi­sche Daten­schutz­auf­sichts­be­hör­den, wie z.B. die fran­zö­si­sche Com­mis­si­on Natio­na­le de l’Informatique et des Liber­tés (CNIL), noch nicht ein­deu­tig posi­tio­niert. Die nie­der­län­di­sche Daten­schutz­auf­sichts­be­hör­de bemän­gel­te in einem Brief an die nie­der­län­di­sche Regie­rung bei­spiels­wei­se ledig­lich, dass die daten­schutz­recht­li­chen Risi­ken bei einem Ein­satz von Cloud-Diensten bis­her nicht aus­rei­chend in der ent­spre­chen­den Cloud Poli­cy benannt wor­den sei­en, und infor­mier­te über die daten­schutz­recht­li­chen Pflich­ten und Ver­ant­wort­lich­kei­ten. Die däni­sche Daten­schutz­auf­sichts­be­hör­de erließ zwar zunächst ein Ver­bot der Nut­zung des Goog­le Workspace an städ­ti­schen Schu­len, hob die­sen jedoch im Sep­tem­ber 2022 zur Auf­nah­me von Ver­hand­lun­gen zu geeig­ne­ten Abhil­fe­maß­nah­men zwi­schen den Schu­len und dem Anbie­ter wie­der auf. Die euro­päi­sche Grenz­schutz­be­hör­de Fron­tex wur­de im April 2022, nach einer Migra­ti­on ihrer Sys­te­me zu Micro­soft Office 365 und Ama­zon Web Ser­vices, vom euro­päi­schen Daten­schutz­be­auf­trag­ten dazu auf­ge­for­dert, eine ord­nungs­ge­mä­ße Datenschutz-Folgenabschätzung mit Iden­ti­fi­zie­rung der Risi­ken und einer Aus­wahl geeig­ne­ter Abhil­fe­maß­nah­men durch­zu­füh­ren. Unter­sagt wur­de der Ein­satz von Micro­soft 365 jedoch nicht.

Fazit: Ein daten­schutz­kon­for­mer Ein­satz von Cloud-Diensten ist möglich

Die hier nur bei­spiel­haft auf­ge­zähl­ten Ent­schei­dun­gen der euro­päi­schen Daten­schutz­auf­sichts­be­hör­den unter­strei­chen, dass Cloud-Dienste aus Sicht vie­ler Daten­schutz­auf­sichts­be­hör­den in Euro­pa auch durch öffent­li­che Stel­len ein­ge­setzt wer­den kön­nen. In nahe­zu allen Fäl­len wird deut­lich, wie wich­tig die Durch­füh­rung einer Datenschutz-Folgenabschätzung und eine umfas­sen­de Doku­men­ta­ti­on der Datenschutz-Compliance sind. Öffent­li­che Stel­len, die Cloud-Dienste nut­zen oder eine Nut­zung pla­nen, soll­ten die Unter­su­chung der Daten­schutz­auf­sichts­be­hör­den inso­weit als Ansporn sehen: Mit einer umfas­sen­den Doku­men­ta­ti­on und Bewer­tung der Risi­ken sowie geeig­ne­ten Abhil­fe­maß­nah­men kann eine DSGVO-konforme Cloud-Nutzung durch öffent­li­che Stel­len sicher­ge­stellt wer­den. Kon­tro­vers geführ­te Dis­kus­sio­nen mit den Daten­schutz­auf­sichts­be­hör­den müs­sen öffent­li­che Stel­len dann nicht fürchten.

zurück

Bleiben Sie
up to date

Wir verwenden Ihre E-Mail-Adresse ausschließlich für den Versand unseres Newsletters. Sie können Ihre Einwilligung hierfür jederzeit mit Wirkung für die Zukunft widerrufen. Weitere Informationen entnehmen Sie bitte unserer Datenschutzerklärung.