Aufsichtsbehörden forcieren Datenschutzkontrollen im öffentlichen Sektor

Corona als Digitalisierungskatalysator

Nicht nur die Wirtschaft, sondern auch der öffentliche Sektor durchlief im Zuge der COVID-19-Pandemie eine beschleunigte Digitalisierung. In vielen Verwaltungseinrichtungen wurden für die Aufrechterhaltung des operativen Betriebs cloudbasierte Dienste eingeführt. Die Compliance-konforme Nutzung solcher Services stellt vor dem Hintergrund der hohen Anforderungen zum Schutz personenbezogener Daten durch die DSGVO eine massive Herausforderung dar. Zugunsten der Erhaltung operativer Handlungsfähigkeit rückte die Datenschutzthematik in dieser Ausnahmesituation an manchen Stellen in den Hintergrund, so die Befürchtung der EU-Datenschützer.

Im Blick der Aufsicht: Prozesse, Sicherheitsvorkehrungen, Datentransfers und Verantwortlichkeiten

Im Fokus der Aufsicht stehen über 75 öffentliche Stellen im Europäischen Wirtschaftsraum (EWR), darunter Einrichtungen aus den Bereichen Gesundheit, Finanzen, Steuern, Bildung sowie auch zentrale Einkäufer oder Anbieter von IT-Dienstleistungen. Die Aufsichtsbehörden konzentrieren sich bei ihren Untersuchungen hinsichtlich der Cloud-Nutzung auf:

• Implementierte Prozesse und Sicherheitsvorkehrungen

• Internationale Datenübermittlungen

• Bestimmungen zur Regelung der Beziehung zwischen Verantwortlichem und Auftragsverarbeiter

Sollten die Datenschützer bei ihren Überprüfungen eklatante Mängel feststellen, kann das weitreichende Konsequenzen für die betroffene Behörde nach sich ziehen. Hierzu zählen etwa die bei einer Anpassung der implementierten Lösung anfallenden Mehrkosten, Ausfälle von Serviceleistungen und zusätzliche Aufwendungen für etwaige Providerwechsel.

Die Aufsichtsbehörden wollen die Ergebnisse der Untersuchung koordiniert analysieren und hinsichtlich weiterer Durchsetzungsmaßnahmen beratschlagen. Außerdem soll noch vor Ende 2022 ein Bericht mit den aggregierten Resultaten veröffentlicht werden.

Das Erbe von Privacy Shield: Mehraufwand und Rechtsunsicherheit

Die Diskussion um den rechtssicheren Einsatz von Cloud-Services gewann insbesondere im Sommer 2020 an Brisanz. Das Urteil des Europäischen Gerichtshofs (EuGH) zu „Schremms II“ verschärfte mit dem Wegfall von Privacy Shield die geltende Gesetzeslage. Seither können sich Verwaltungsbehörden bei der Übertragung sensibler Daten zur Verarbeitung bei Cloud-Dienstleistern in den USA nicht mehr auf die Angemessenheit des Datenschutzniveaus nach Artikel 45 der DSGVO berufen. Alternativ sind zwar Datentransfers über Standardvertragsklauseln (SCC) oder Binding Corporate Rules (BCR) möglich, um die Rechtssicherheit der Datenübertragung zu vereinbaren – allerdings gestaltet sich das in den meisten Fällen äußerst schwierig. So betont der EuGH in seinem Urteil, dass der Datenexporteur die Verantwortung zur Prüfung des Schutzniveaus trägt. Personenbezogene Daten müssen in einem Drittland im Wesentlichen einen gleichwertigen Schutz wie unter der DSGVO genießen. Andernfalls sind Garantien über zusätzliche Sicherheitsmechanismen nach Art. 46 DSGVO zu implementieren, wie etwa Pseudonymisierung und Verschlüsselung.

Wirtschaft ist ebenfalls im Fokus der Aufsicht

Während die Durchsetzung geltender Datenschutzbestimmungen im öffentlichen Sektor gerade erst forciert wird, sieht sich die Privatwirtschaft solchen Untersuchungen schon länger ausgesetzt. Speziell seit vergangenem Herbst erhalten mehr und mehr deutsche Unternehmen Post von der Datenschutzaufsicht mit der Aufforderung, sich für den Einsatz eines US-amerikanischen Cloud-Dienstleisters zu rechtfertigen. Firmen, die keinen rechtskonformen Transfer sensibler Daten gewährleisten können, müssen die Datenübermittlung unverzüglich beenden oder letztlich sogar den Dienstleister wechseln.