EU-Datenschutzbeauftragter untersucht AWS- und Azure-Cloud

Der EU-Datenschutzbeauftragte startet eine formelle Untersuchung, ob Verträge mit den US-amerikanischen Cloud-Giganten GDPR-konform sind.

Der Europäische Datenschutzbeauftragte (EDSB), hat mit einer Untersuchung begonnen, ob die wichtigsten Institutionen und Behörden der EU die persönlichen Daten der Bürger bei der Nutzung der Cloud-Dienste AWS von Amazon und Azure von Microsoft effektiv schützen.

In einer separaten Untersuchung wird der EDSB auch untersuchen, ob die Nutzung von Microsoft Office 365 durch die Europäische Kommission mit den Datenschutzgesetzen konform ist.

Der EDSB kündigte die Einleitung beider Untersuchungen im Zusammenhang mit dem Schrems-II-Urteil an, das im letzten Sommer erging und neue Hindernisse für den Transfer von personenbezogenen Daten zwischen den USA – wo Amazon und Microsoft ihren Sitz haben – und der EU einführte.

In dem Urteil kam der EU-Gerichtshof zu dem Schluss, dass die nationalen Gesetze in den USA nicht mit den strengen Datenschutzanforderungen der EU-Datenschutzverordnung (GDPR/DSGVO) übereinstimmen. Das bedeutet, dass die personenbezogenen Daten von EU-Bürgern ohne zusätzliche Sicherheitsvorkehrungen nicht sicher über den Atlantik verarbeitet werden können.

Nach dem Gesetz Clarifying Lawful Overseas Use of Data Act (CLOUD) dürfen US-Behörden beispielsweise von nationalen Speicheranbietern verlangen, dass sie ihnen Zugang zu den auf ihren Servern gespeicherten Informationen gewähren, auch wenn sich diese Daten im Ausland befinden.

Ein in der EU ansässiges Unternehmen, das einen in den USA ansässigen Cloud-Anbieter wie AWS oder Azure nutzt, könnte daher feststellen, dass einige seiner Daten – beispielsweise personenbezogene Daten über Kunden oder Mitarbeiter – potenziell für US-Behörden zum Ausspähen zur Verfügung gestellt werden können.

Aus diesem Grund hat der Europäische Gerichtshof das sogenannte Privacy Shield, das den freien Verkehr personenbezogener Daten zwischen der EU und den USA ermöglichen sollte, für ungültig erklärt und entschieden, dass Unternehmen stattdessen für jeden Datentransfer neue datenschutzfreundliche Verträge, sogenannte Standardvertragsklauseln (SCCs), abschließen müssen.

In einigen Fällen, in denen selbst die SCCs unzureichend sind, kann der Datenaustausch ausgesetzt werden. Der EDSB hat die Auswirkungen von Schrems II auf einige der Verträge, die europäische Ämter und Agenturen mit Technologieunternehmen in den USA verbinden, genau beobachtet.

„Wir haben bestimmte Arten von Verträgen identifiziert, die besondere Aufmerksamkeit erfordern, und deshalb haben wir beschlossen, diese beiden Untersuchungen einzuleiten“, sagte Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte.

„Wir erkennen an, dass EUIs (Institutionen der Europäischen Union) – wie andere Einrichtungen in der EU/EWR – von einer begrenzten Anzahl großer Anbieter abhängig sind. Mit diesen Untersuchungen möchte der EDSB den EUIs helfen, ihre Datenschutz-Compliance zu verbessern, wenn sie Verträge mit ihren Dienstleistern aushandeln.“

Insbesondere wird der Datenschutzbeauftragte die sogenannten „Cloud II“-Verträge untersuchen, die zwischen der EU und Microsoft oder Amazon für die Nutzung ihrer Cloud-Dienste vereinbart wurden.

Wenn EU-Institutionen Azure und AWS nutzen, können personenbezogene Daten von Personen außerhalb der EU und in die USA gesendet werden, und wenn keine angemessenen GDPR-konformen Maßnahmen zum Schutz des Datentransfers getroffen werden, besteht das Risiko einer Überwachung durch die Behörden.

Auf die Gefahren für die Privatsphäre, die durch die Abhängigkeit von Cloud-Diensten ausländischer IKT-Anbieter entstehen, weist der EDSB schon lange hin: Bereits 2018 veröffentlichte der Datenschutzbeauftragte Leitlinien für EU-Institutionen, die die Verantwortung der EU-Institutionen bei der Gewährleistung des Schutzes personenbezogener Daten in Cloud-Infrastrukturen hervorheben.

Die Botschaft ist nicht ungehört geblieben. Kürzlich bestätigte der Europäische Datenschutzausschuss die Verwendung eines neuen „EU Cloud Code of Conduct“, der als Standard fungiert, dass ein bestimmter Cloud-Dienstanbieter GDPR-konform ist. Unter anderem haben Microsoft Azure und Google Cloud bereits erklärt, sich an den Verhaltenskodex zu halten.

 

Themenseiten: AWS, Datenschutz-Grundverordnung, Microsoft

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu EU-Datenschutzbeauftragter untersucht AWS- und Azure-Cloud

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *