2. EDSA prüft Nutzung von...
DataAgenda

EDSA prüft Nutzung von Cloud-Diensten im öffentlichen Sektor

Cloud Nutzung öffentlicher Bereich

Gemäß Artikel 61 Absatz 1 DS-GVO müssen die Aufsichtsbehörden Vorkehrungen für eine wirksame Zusammenarbeit untereinander treffen. Nach Artikel 57 Absatz 1 lit. g) DS-GVO sollen die Aufsichtsbehörden mit anderen Aufsichtsbehörden zusammenarbeiten, auch durch Informationsaustausch, und ihnen Amtshilfe leisten, um die einheitliche Anwendung und Durchsetzung der DS-GVO zu gewährleisten.

Der Rahmen für eine koordinierte Durchsetzung der Verordnung (EU) 2016/679 (Coordinated Enforcement Framework, CEF) bietet eine Struktur für die Koordinierung jährlich wiederkehrender Tätigkeiten der EDSA-Aufsichtsbehörden. Die jährliche koordinierte Maßnahme konzentriert sich auf ein vorher festgelegtes Thema und ermöglicht es den Aufsichtsbehörden, dieses Thema mit der vereinbarten Methodik zu bearbeiten. Der CEF selbst bietet den verfahrenstechnischen Rahmen, innerhalb dessen die koordinierte Maßnahme durchgeführt werden kann.

Mitte Februar 2022 ist der Startschuss für die erste „koordinierte Durchsetzungsmaßnahme“ des Europäischen Datenschutzausschusses (EDSA), dem Verbund der Datenschutz-Aufsichtsbehörden in der EU zur Durchsetzung der DS-GVO gefallen.

Das gemeinsame Thema der Überprüfung:
Die Nutzung von Cloud-Diensten durch den öffentlichen Bereich.

Ziel der europaweiten Aktion ist es, den Schutz der personenbezogenen Daten in der EU zu gewährleisten, die Beratung durch die Aufsichtsbehörden zu stärken und Best Practice Beispiele zur datenschutzkonformen Nutzung von Cloud-Diensten herauszuarbeiten. Die Wahl des Untersuchungsgegenstands dürfte damit zusammenhängen, dass sich nach Angaben von EuroStat die Cloud-Nutzung durch Unternehmen in den letzten sechs Jahren europaweit verdoppelt hat. Dabei hat die COVID-19-Pandemie eine beschleunigende Wirkung auf die digitale Transformation der Institutionen ausgelöst. Viele Stellen auch des öffentlichen Bereichs sahen sich gezwungen ihre Berührungsängste schnell zu überwinden und sich mit der (in der Privatwirtschaft längst etablierten) Cloud-Technologie auseinanderzusetzen.

Dabei können gerade öffentliche Institutionen jedoch auf Schwierigkeiten stoßen, Produkte und Dienstleistungen zu finden, die den EU-Datenschutzvorschriften vollständig entsprechen. Die Nutzung von nicht datenschutzkonformen Produkten und Dienstleistungen im öffentlichen Bereich birgt das besondere Risiko, dass dem Staat anvertraute personenbezogene Daten zweckentfremdet oder gestohlen werden.

Der LfDI BW beschreibt das Vorgehen im Rahmen der EU-weiten Prüfung wie folgt:
Als ersten Schritt im Rahmen ihrer koordinierten Prüfung werden die teilnehmenden Aufsichtsbehörden einen Fragebogen an ausgewählte öffentliche Stellen richten. Insgesamt werden dabei über 80 öffentliche Einrichtungen in der gesamten EU kontaktiert. Die Aufsichtsbehörden fragen insbesondere nach Verfahren und Schutzmaßnahmen, die beim Erwerb von Cloud-Diensten eingerichtet werden, untersuchen die Herausforderungen im Zusammenhang mit internationalen Übermittlungen und analysieren die Beziehungen zwischen Verantwortlichen und sogenannten Auftragsverarbeitern, also externen Dienstleistern für Cloud-Dienste.

Anschließend werten die Aufsichtsbehörden die Antworten auf den Fragebogen auf nationaler Ebene aus und entscheiden über mögliche Aufsichts- und Durchsetzungsmaßnahmen. Darüber hinaus werden die Ergebnisse der nationalen Maßnahmen aggregiert und analysiert, um gezielte Folgemaßnahmen auf europäischer Ebene zu ermöglichen.

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit

(Foto: Gorodenkoff – stock.adobe.com)


Letztes Update:21.02.22

Das könnte Sie auch interessieren

  • Folge 38: EuGH erleichtert Massenklagen – Die Voraussetzungen des immateriellen Schadensersatzes nach Art. 82 DS-GVO

    Verfahren wegen des Ersatzes immaterieller Schäden nach Art. 82 DSGVO werden ständig mehr. Typische Anlässe sind Datenpannen, sonstige Datenschutzverstöße durch Unternehmen wie eine Werbemail ohne Einwilligung oder ein nicht rechtzeitig erfüllter Auskunftsanspruch. Deutsche Gerichte legen Art. 82 DSGVO bislang unterschiedlich weit und uneinheitlich aus. Der EuGH hat sich am 4. Mai 2023 in der Rs.

    Mehr erfahren
  • MS Cloud und IT-Grundschutz

    IT-Grundschutz in der Microsoft-Cloud

    Microsoft hat in Zusammenarbeit mit der HiSolutions AG drei kostenlose IT-Grundschutz-Handbücher entwickelt, die auf der aktuellen Edition des IT-Grundschutz-Kompendiums des Bundesamts für Sicherheit in der Informationstechnik (BSI) basieren. Die Handbücher sollen Microsoft-Kunden helfen, die Nutzung von Cloud-Diensten wie Microsoft Azure, Microsoft 365 oder Dynamics 365 unter Berücksichtigung des IT-Grundschutzes sicher und erfolgreich zu gestalten. Dabei

    Mehr erfahren

  • EuGH urteilt zum Begriff “Recht auf Kopie”

    Einige von der Datenschutzwelt mit Spannung erwartete Urteile des Europäischen Gerichtshofes wurden am 04. Mai 2023 veröffentlicht. 2. Urteil des Gerichtshofs in der Rechtssache C-487/21 | Österreichische Datenschutzbehörde und CRIF Der Hintergrund des zweiten mit Spannung erwartete Urteils des EuGH war ein Vorabentscheidungsersuchen nach Art. 267 AEUV, welches vom Bundesverwaltungsgericht (Österreich) eingereicht wurde. Das Bundesverwaltungsgericht in

    Mehr erfahren

  • DataAgenda

    ist das Lösungsportal zum Datenschutzrecht und fokussiert sich auf die inhaltlichen Entwicklungen in diesem Feld. Das DataAgenda-Experten-Team bietet News, Tools und Tipps rund um den Datenschutz.

  • DATAKONTEXT 

    ist einer der führenden Fachinformationsdienstleister in den Bereichen Datenschutz und IT-Sicherheit und bietet Kompetenz aus einer Hand: Fachbücher, Fachzeitschriften und Seminare, Zertifizierung und Beratung.