Besuchen Sie uns auf der it-sa 2024!

Aufsichtsbehörden forcieren Datenschutzkontrollen im öffentlichen Sektor

SECURITY INSIGHTS | 25 Februar 2022

Datenschutz und DSGVO-Compliance sind in der Cloud nicht zuletzt für Behörden ein heikles Thema – hier werden sensible Daten gesichert und verarbeitet. Allerdings sorgte Corona auch im öffentlichen Sektor für eine Digitalisierung im Eiltempo. Jetzt prüfen EU-Datenschützer, ob dabei auch alle regulatorischen Vorgaben eingehalten wurden.

Person schreibt mit Kugelschreiber auf Papier

Der Europäische Datenschutzbeauftragte hat in Zusammenarbeit mit EU-Aufsichtsbehörden eine Untersuchung zur Cloud-Nutzung im öffentlichen Sektor eingeleitet. Dabei handelt es sich um die erste koordinierte Durchsetzungsmaßnahme des Europäischen Datenschutzausschusses (EDSA). Bereits im vergangenen Jahr hatte das EU-Parlament eine konsequentere Durchsetzung der regulatorischen Vorgaben aus der Europäischen Datenschutz-Grundverordnung (DSGVO) gefordert.

Corona als Digitalisierungskatalysator

Nicht nur die Wirtschaft, sondern auch der öffentliche Sektor durchlief im Zuge der COVID-19-Pandemie eine beschleunigte Digitalisierung. In vielen Verwaltungseinrichtungen wurden für die Aufrechterhaltung des operativen Betriebs cloudbasierte Dienste eingeführt. Die Compliance-konforme Nutzung solcher Services stellt vor dem Hintergrund der hohen Anforderungen zum Schutz personenbezogener Daten durch die DSGVO eine massive Herausforderung dar. Zugunsten der Erhaltung operativer Handlungsfähigkeit rückte die Datenschutzthematik in dieser Ausnahmesituation an manchen Stellen in den Hintergrund, so die Befürchtung der EU-Datenschützer.

Im Blick der Aufsicht: Prozesse, Sicherheitsvorkehrungen, Datentransfers und Verantwortlichkeiten

Im Fokus der Aufsicht stehen über 75 öffentliche Stellen im Europäischen Wirtschaftsraum (EWR), darunter Einrichtungen aus den Bereichen Gesundheit, Finanzen, Steuern, Bildung sowie auch zentrale Einkäufer oder Anbieter von IT-Dienstleistungen. Die Aufsichtsbehörden konzentrieren sich bei ihren Untersuchungen hinsichtlich der Cloud-Nutzung auf:

  • Implementierte Prozesse und Sicherheitsvorkehrungen

  • Internationale Datenübermittlungen

  • Bestimmungen zur Regelung der Beziehung zwischen Verantwortlichem und Auftragsverarbeiter

Sollten die Datenschützer bei ihren Überprüfungen eklatante Mängel feststellen, kann das weitreichende Konsequenzen für die betroffene Behörde nach sich ziehen. Hierzu zählen etwa die bei einer Anpassung der implementierten Lösung anfallenden Mehrkosten, Ausfälle von Serviceleistungen und zusätzliche Aufwendungen für etwaige Providerwechsel.

Die Aufsichtsbehörden wollen die Ergebnisse der Untersuchung koordiniert analysieren und hinsichtlich weiterer Durchsetzungsmaßnahmen beratschlagen. Außerdem soll noch vor Ende 2022 ein Bericht mit den aggregierten Resultaten veröffentlicht werden.

Das Erbe von Privacy Shield: Mehraufwand und Rechtsunsicherheit

Die Diskussion um den rechtssicheren Einsatz von Cloud-Services gewann insbesondere im Sommer 2020 an Brisanz. Das Urteil des Europäischen Gerichtshofs (EuGH) zu „Schremms II“ verschärfte mit dem Wegfall von Privacy Shield die geltende Gesetzeslage. Seither können sich Verwaltungsbehörden bei der Übertragung sensibler Daten zur Verarbeitung bei Cloud-Dienstleistern in den USA nicht mehr auf die Angemessenheit des Datenschutzniveaus nach Artikel 45 der DSGVO berufen. Alternativ sind zwar Datentransfers über Standardvertragsklauseln (SCC) oder Binding Corporate Rules (BCR) möglich, um die Rechtssicherheit der Datenübertragung zu vereinbaren – allerdings gestaltet sich das in den meisten Fällen äußerst schwierig. So betont der EuGH in seinem Urteil, dass der Datenexporteur die Verantwortung zur Prüfung des Schutzniveaus trägt. Personenbezogene Daten müssen in einem Drittland im Wesentlichen einen gleichwertigen Schutz wie unter der DSGVO genießen. Andernfalls sind Garantien über zusätzliche Sicherheitsmechanismen nach Art. 46 DSGVO zu implementieren, wie etwa Pseudonymisierung und Verschlüsselung.

Wirtschaft ist ebenfalls im Fokus der Aufsicht

Während die Durchsetzung geltender Datenschutzbestimmungen im öffentlichen Sektor gerade erst forciert wird, sieht sich die Privatwirtschaft solchen Untersuchungen schon länger ausgesetzt. Speziell seit vergangenem Herbst erhalten mehr und mehr deutsche Unternehmen Post von der Datenschutzaufsicht mit der Aufforderung, sich für den Einsatz eines US-amerikanischen Cloud-Dienstleisters zu rechtfertigen. Firmen, die keinen rechtskonformen Transfer sensibler Daten gewährleisten können, müssen die Datenübermittlung unverzüglich beenden oder letztlich sogar den Dienstleister wechseln.

Ähnliche Artikel