Im Oktober 2020 beschloss der Europäische Datenschutzausschuss (EDSA) die Einrichtung des sog. Coordinated Enforcement Frameworks (CEF), um die Durchsetzung und die Zusammenarbeit zwischen den Aufsichtsbehörden im Einklang mit der EDSA-Strategie 2021-2023 zu rationalisieren.

Clouddienste bei öffentlichen Stellen

Der EDSA hat nun einen Bericht über die Ergebnisse seiner ersten koordinierten Prüfung angenommen und veröffentlicht, die sich auf die Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor konzentrierte. Der EDSA unterstreicht dabei die Notwendigkeit, dass öffentliche Stellen in voller Übereinstimmung mit der DSGVO handeln und enthält Empfehlungen für Organisationen des öffentlichen Sektors, wenn sie Cloud-basierte Produkte oder Dienste nutzen. Darüber hinaus wird eine Liste von Maßnahmen zur Verfügung gestellt, die von Datenschutzbehörden im Bereich des Cloud Computing bereits ergriffen wurden.

Im Laufe des Jahres 2022 leiteten erstmals 22 Datenschutzbehörden im gesamten EWR (einschließlich des EDSA) koordinierte Untersuchungen über die Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor ein.

Insgesamt wurden rund 100 öffentliche Einrichtungen im gesamten EWR angesprochen, einschließlich europäischer Institutionen, die ein breites Spektrum an Sektoren abdecken (wie Gesundheit, Finanzen, Steuern, Bildung, Käufer und Anbieter von IT-Diensten).

Demnach nutzt die öffentliche Hand verstärkt Clouddienste, hat dabei aber erhebliche Probleme, die Vorgaben der DSGVO umzusetzen. Dies zeigt sich in der langen Mängelliste, aus der sich auch eine Reihe von Empfehlungen ableiten lässt.

Öffentliche Stellen, die Clouddienste einsetzen, sollten demnach (unter anderem) folgende Maßnahmen ergreifen:

  • Durchführung einer Datenschutz-Folgenabschätzung
  • Klare Verteilung der datenschutzrechtlichen Verantwortlichkeit und Abschluss von entsprechenden Vereinbarungen
  • Beteiligung der Datenschutzbeauftragten
  • Berücksichtigung aller datenschutzrechtlichen Anforderung im Vergabeverfahren
  • Ausschluss von Drittlandsübermittlungen oder Prüfung der datenschutzrechtlichen Zulässigkeit von Drittlandsübermittlungen

Andrea Jelinek, Vorsitzende des Europäischen Datenschutzausschusses, sagte: „Das CEF schlägt ein System für eine engere Zusammenarbeit zwischen den Datenschutzbehörden vor, um mehr Effizienz und Konsistenz zu erreichen. In ganz Europa greifen öffentliche Einrichtungen auf Cloud-Dienste zurück und haben Schwierigkeiten, DSGVO-konforme Dienste und Produkte zu erhalten. Personenbezogene Daten, die von öffentlichen Stellen verarbeitet werden, müssen mit äußerster Sorgfalt behandelt werden, insbesondere wenn sie von Dritten verarbeitet werden. Der EDSA-Bericht bietet hierfür einen nützlichen Maßstab, und ich bin zuversichtlich, dass er zu einem wichtigen Bezugspunkt für öffentliche Einrichtungen werden wird, die DSGVO-konforme Cloud-Dienste beschaffen wollen“.

Die Cookie-Banner-Taskforce

Darüber hinaus verabschiedete der EDSA einen Bericht über die Arbeit der Cookie-Banner-Taskforce, die im September 2021 eingerichtet wurde, um die Reaktion auf Beschwerden über Cookie-Banner zu koordinieren, die von der Nichtregierungsorganisation NOYB bei mehreren Datenschutzbehörden des EWR eingereicht wurden. Die Task Force zielt darauf ab, die Zusammenarbeit, den Informationsaustausch und bewährte Praktiken zwischen den Datenschutzbehörden zu fördern und ein einheitliches Konzept für Cookie-Banner im gesamten Europäischen Wirtschaftsraum zu gewährleisten. In dem Bericht einigten sich die Datenschutzbehörden daher auf einen gemeinsamen Nenner bei der Auslegung der anwendbaren Bestimmungen der ePrivacy-Richtlinie und der DSGVO zu Themen wie Ablehnungsschaltflächen, angekreuzte Kästchen, Bannergestaltung oder Abmeldesymbole.

So ergab die Prüfung, dass in diversen Bannern beispielsweise eine Schaltfläche zum Akzeptieren von Cookies vorhanden ist sowie eine weitere, die den Zugang zu den Optionen ermöglicht, eine Schaltfläche zum Ablehnen von Cookies hingegen gänzlich fehlt. Der EDSA erinnert daran, dass nach der DSGVO standardmäßig keine zustimmungspflichtigen Cookies ohne Zustimmung gesetzt werden dürfen und dass diese Zustimmung „durch eine positive Handlung des Nutzers zum Ausdruck kommen muss“. Die europäischen Datenschutzbehörden waren sich hierbei einig, dass das Fehlen einer Schaltfläche „Ablehnen“ für Cookies nicht mit der ePrivacy-Richtlinie oder der DSGVO vereinbar ist und einen Verstoß darstellt.

Darüber hinaus stellen vorselektierte Opt-in-Fenster keine gültige Zustimmung dar, da eine positive Handlung des Nutzers erforderlich ist und nicht ein einfaches Ja zu einer Option, die bereits angekreuzt ist.