Am 17. Januar 2023 hat der EDSA, der Europäische Datenschutzausschuss, einen Bericht zu koordinierten Untersuchungshandlungen in der EU zur Verwendung von Cloud-Diensten im öffentlichen Sektor veröffentlicht (“2022 Coordinated Enforcement Action – Use of cloud-based services by the public sector, Adopted on 17 January 2023″).
Im Laufe des Jahres 2022 hatten 22 Aufsichtsbehörden im EWR-Raum koordinierte Untersuchungen zur Nutzung von Cloud-Diensten im öffentlichen Sektor eingeleitet, die noch nicht abgeschlossen sind. Der EDSA hatte Ende 2020 beschlossen, dafür einen koordinierten Rahmen für die Rechtsdurchsetzung einzurichten, einen “CEF”:
In October 2020, the European Data Protection Board (EDPB) decided to set up a Coordinated Enforcement Framework (CEF). The CEF is a key action of the EDPB under the second pillar of its 2021 – 2023 Strategy, together with the creation of a Support Pool of Experts (SPE), aiming at streamlining enforcement and cooperation among supervisory authorities (SAs).
Es ging dabei v.a. um die häufigsten Provider, Microsoft, Amazon, Citrix, IBM, OVH, Fujitsu, Oracle, Adobe und Google.
Der Bericht enthält eine chronologische Darstellungen der Untersuchungshandlungen in Europa im Zusammenhang mit Cloud-Diensten und mit Empfehlungen zuhanden der Behörden. Interessant sind einige statistische Angaben, auch wenn sie ohne weiteren Kontext wenig aussagen:
- 32 der 87 Behörden hatten eine Datenschutz-Folgenabschätzung durchgeführt;
- 21 hatten Übermittlungen in Drittländer besonders analysiert (z.T. als “DTIA” für Data “Transfer Impact Assessment” bezeichnet);
- 36 überwachen die TOMs der Provider;
- 25 hatten angegeben, dass sie TOMs ergriffen haben und überwachen, wenn sich Änderungen der Rechtslage ergeben;
- 35 führten regelmässige Risikobewertungen durch.