Bericht zur koordinierten Prüfung des European Data Protection Board vorgelegt
Die im European Data Protection Board (EDPB) zusammengeschlossenen europäischen Datenschutzaufsichtsbehörden haben im vergangenen Jahr eine Untersuchung zur Nutzung von Cloud-Diensten im öffentlichen Sektor durchgeführt. Insgesamt wurden knapp 100 Behörden und öffentliche Stellen überprüft. In diesem Artikel stellen wir Ihnen den Prüfbericht der Datenschutzaufsichtsbehörden vor und zeigen auf, welche Schritte für eine DSGVO-konforme Nutzung von Cloud-Diensten im öffentlichen Sektor erforderlich sind.
Umfassende Nutzung von Cloud-Diensten durch öffentliche Stellen
Cloud-Dienste sind aus dem öffentlichen Sektor nicht mehr wegzudenken: 87 von 98 angefragten Behörden gaben an, bereits Clouddienste zu nutzen oder diese innerhalb des vergangenen Jahres einführen zu wollen. Die Nutzung reicht von der internen Organisation der Behörde mittels Office-Suiten, internen Kommunikationsdiensten oder Cloud-Diensten zur Personalverwaltung oder zur Erfüllung von Verwaltungsaufgaben. Die meistgenutzten Anwendungen stammen in der Regel von US-Anbietern (insb. Microsoft, Amazon, IBM, Adobe oder Google).
Behörden sehen zahlreiche Mängel beim Datenschutz
Obwohl Cloud-Dienste durch öffentliche Stellen weitreichend genutzt werden, ist die Erfüllung der datenschutzrechtlichen Pflichten dem EDPB zufolge noch ausbaufähig: Lediglich 32 öffentliche Stellen gaben an, eine Datenschutz-Folgenabschätzung durchgeführt zu haben. Viele Stellen sind nach Auffassung des EDPB nicht in der Lage, die mit der Nutzung der Cloud-Dienste verbundenen Risiken zu identifizieren und zu bewerten. Bemängelt wurden außerdem fehlende oder fehlerhafte Auftragsverarbeitungsverträge, unbekannte oder nicht ausreichend konkretisierte Unterauftragsverarbeiter, fehlende Garantien für die Drittlandsübermittlung sowie die unzureichend definierte Verarbeitung von Telemetrie- und Diagnosedaten durch die Cloud-Dienste.
Signifikante Unterschiede bei den Maßnahmen der Datenschutzaufsichtsbehörden
Bemerkenswert ist, dass die aufgedeckten Mängel von den jeweils zuständigen nationalen Datenschutzaufsichtsbehörden sehr unterschiedlich bewertet werden: Während sich beispielsweise die deutschen Datenschutzaufsichtsbehörden in dem Beschluss der Datenschutzkonferenz vom 25. November 2022 äußerst kritisch zu einem Einsatz von Microsoft 365 äußern, haben sich andere europäische Datenschutzaufsichtsbehörden, wie z.B. die französische Commission Nationale de l’Informatique et des Libertés (CNIL), noch nicht eindeutig positioniert. Die niederländische Datenschutzaufsichtsbehörde bemängelte in einem Brief an die niederländische Regierung beispielsweise lediglich, dass die datenschutzrechtlichen Risiken bei einem Einsatz von Cloud-Diensten bisher nicht ausreichend in der entsprechenden Cloud Policy benannt worden seien, und informierte über die datenschutzrechtlichen Pflichten und Verantwortlichkeiten. Die dänische Datenschutzaufsichtsbehörde erließ zwar zunächst ein Verbot der Nutzung des Google Workspace an städtischen Schulen, hob diesen jedoch im September 2022 zur Aufnahme von Verhandlungen zu geeigneten Abhilfemaßnahmen zwischen den Schulen und dem Anbieter wieder auf. Die europäische Grenzschutzbehörde Frontex wurde im April 2022, nach einer Migration ihrer Systeme zu Microsoft Office 365 und Amazon Web Services, vom europäischen Datenschutzbeauftragten dazu aufgefordert, eine ordnungsgemäße Datenschutz-Folgenabschätzung mit Identifizierung der Risiken und einer Auswahl geeigneter Abhilfemaßnahmen durchzuführen. Untersagt wurde der Einsatz von Microsoft 365 jedoch nicht.
Fazit: Ein datenschutzkonformer Einsatz von Cloud-Diensten ist möglich
Die hier nur beispielhaft aufgezählten Entscheidungen der europäischen Datenschutzaufsichtsbehörden unterstreichen, dass Cloud-Dienste aus Sicht vieler Datenschutzaufsichtsbehörden in Europa auch durch öffentliche Stellen eingesetzt werden können. In nahezu allen Fällen wird deutlich, wie wichtig die Durchführung einer Datenschutz-Folgenabschätzung und eine umfassende Dokumentation der Datenschutz-Compliance sind. Öffentliche Stellen, die Cloud-Dienste nutzen oder eine Nutzung planen, sollten die Untersuchung der Datenschutzaufsichtsbehörden insoweit als Ansporn sehen: Mit einer umfassenden Dokumentation und Bewertung der Risiken sowie geeigneten Abhilfemaßnahmen kann eine DSGVO-konforme Cloud-Nutzung durch öffentliche Stellen sichergestellt werden. Kontrovers geführte Diskussionen mit den Datenschutzaufsichtsbehörden müssen öffentliche Stellen dann nicht fürchten.
Hausnachricht
Für den 15.–16. Juni 2023 laden wir Sie ein, auf unserer Hybrid-Veranstaltung Digital Business Conference mit uns und mit Vertreterinnen und Vertretern aus der Wirtschaft, den Aufsichtsbehörden und der Wissenschaft über technische und rechtliche Herausforderungen und Lösungen für Cybersicherheit zu diskutieren. Neben Trends und Zukunftsthemen, wie Software-Lieferketten, Künstliche Intelligenz oder cyberphysische Ökosysteme, stehen auch die Bezüge zum Datenschutz und IT-Recht auf der Agenda.