Categories: RechtRegulierung

EU-Datenschutzbeauftragter untersucht AWS- und Azure-Cloud

Der Europäische Datenschutzbeauftragte (EDSB), hat mit einer Untersuchung begonnen, ob die wichtigsten Institutionen und Behörden der EU die persönlichen Daten der Bürger bei der Nutzung der Cloud-Dienste AWS von Amazon und Azure von Microsoft effektiv schützen.

In einer separaten Untersuchung wird der EDSB auch untersuchen, ob die Nutzung von Microsoft Office 365 durch die Europäische Kommission mit den Datenschutzgesetzen konform ist.

Der EDSB kündigte die Einleitung beider Untersuchungen im Zusammenhang mit dem Schrems-II-Urteil an, das im letzten Sommer erging und neue Hindernisse für den Transfer von personenbezogenen Daten zwischen den USA – wo Amazon und Microsoft ihren Sitz haben – und der EU einführte.

In dem Urteil kam der EU-Gerichtshof zu dem Schluss, dass die nationalen Gesetze in den USA nicht mit den strengen Datenschutzanforderungen der EU-Datenschutzverordnung (GDPR/DSGVO) übereinstimmen. Das bedeutet, dass die personenbezogenen Daten von EU-Bürgern ohne zusätzliche Sicherheitsvorkehrungen nicht sicher über den Atlantik verarbeitet werden können.

Nach dem Gesetz Clarifying Lawful Overseas Use of Data Act (CLOUD) dürfen US-Behörden beispielsweise von nationalen Speicheranbietern verlangen, dass sie ihnen Zugang zu den auf ihren Servern gespeicherten Informationen gewähren, auch wenn sich diese Daten im Ausland befinden.

Ein in der EU ansässiges Unternehmen, das einen in den USA ansässigen Cloud-Anbieter wie AWS oder Azure nutzt, könnte daher feststellen, dass einige seiner Daten – beispielsweise personenbezogene Daten über Kunden oder Mitarbeiter – potenziell für US-Behörden zum Ausspähen zur Verfügung gestellt werden können.

Aus diesem Grund hat der Europäische Gerichtshof das sogenannte Privacy Shield, das den freien Verkehr personenbezogener Daten zwischen der EU und den USA ermöglichen sollte, für ungültig erklärt und entschieden, dass Unternehmen stattdessen für jeden Datentransfer neue datenschutzfreundliche Verträge, sogenannte Standardvertragsklauseln (SCCs), abschließen müssen.

In einigen Fällen, in denen selbst die SCCs unzureichend sind, kann der Datenaustausch ausgesetzt werden. Der EDSB hat die Auswirkungen von Schrems II auf einige der Verträge, die europäische Ämter und Agenturen mit Technologieunternehmen in den USA verbinden, genau beobachtet.

„Wir haben bestimmte Arten von Verträgen identifiziert, die besondere Aufmerksamkeit erfordern, und deshalb haben wir beschlossen, diese beiden Untersuchungen einzuleiten“, sagte Wojciech Wiewiórowski, der Europäische Datenschutzbeauftragte.

„Wir erkennen an, dass EUIs (Institutionen der Europäischen Union) – wie andere Einrichtungen in der EU/EWR – von einer begrenzten Anzahl großer Anbieter abhängig sind. Mit diesen Untersuchungen möchte der EDSB den EUIs helfen, ihre Datenschutz-Compliance zu verbessern, wenn sie Verträge mit ihren Dienstleistern aushandeln.“

Insbesondere wird der Datenschutzbeauftragte die sogenannten „Cloud II“-Verträge untersuchen, die zwischen der EU und Microsoft oder Amazon für die Nutzung ihrer Cloud-Dienste vereinbart wurden.

Wenn EU-Institutionen Azure und AWS nutzen, können personenbezogene Daten von Personen außerhalb der EU und in die USA gesendet werden, und wenn keine angemessenen GDPR-konformen Maßnahmen zum Schutz des Datentransfers getroffen werden, besteht das Risiko einer Überwachung durch die Behörden.

Auf die Gefahren für die Privatsphäre, die durch die Abhängigkeit von Cloud-Diensten ausländischer IKT-Anbieter entstehen, weist der EDSB schon lange hin: Bereits 2018 veröffentlichte der Datenschutzbeauftragte Leitlinien für EU-Institutionen, die die Verantwortung der EU-Institutionen bei der Gewährleistung des Schutzes personenbezogener Daten in Cloud-Infrastrukturen hervorheben.

Die Botschaft ist nicht ungehört geblieben. Kürzlich bestätigte der Europäische Datenschutzausschuss die Verwendung eines neuen „EU Cloud Code of Conduct“, der als Standard fungiert, dass ein bestimmter Cloud-Dienstanbieter GDPR-konform ist. Unter anderem haben Microsoft Azure und Google Cloud bereits erklärt, sich an den Verhaltenskodex zu halten.

ZDNet.de Redaktion

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

6 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago