Donnerstag, 10. Oktober 2024
Yesterday, the EDBP has issued its Opinion 22/2024 on certain obligations following from the reliance on processor(s) and sub-processor(s), which has been adopted on 7 October 2024. The opinion is based on certain questions from the Danish SA which seem to be - at least partly - based on the findings of the first coordinated enforcement action within the Coordinated Enforcement Framework (CEF) regarding use of cloud services in the public sector. Therefore, the opinion is of relevance to all controllers whose processing activities are fully or parlty “outsourced” to cloud service providers (processors and their sub-processors).
Some quick excerpts (highlighting is mine):
- Margin no 25: In cases where the controller decides to accept certain sub-processors at the time of the signature of the contract, a list of approved sub-processors should be included in the contract or an annex thereto. The list should then be kept up to date, in accordance with the general or specific authorisation given by the controller. […]
- No.28: This means that the information relating to the identification of all of the processor’s sub-processors should be easily accessible to the controller. […]
- No. 31: While this is not explicit in these provisions, the Board considers that for the purpose of Article 28(1) and 28(2) GDPR, controllers should have the information on the identity of all processors, sub-processors etc. readily available at all times27 so that they can best fulfil their obligations under the provisions mentioned above. […]
- No. 32: To this end, the processor should proactively provide to the controller all information on the identity of all processors, sub-processors etc. processing on behalf of the controller, and should keep this information regarding all engaged sub-processors up to date at all times.
- No 88: As a first step, where personal data will be transferred to third countries in connection with the use of (sub-)processors, the controller should assess and be able to show documentation relating to the transfer mapping. The controller should ensure that a transfer mapping is carried out by the exporter (which processes personal data on its behalf), setting out which personal data are transferred (including remote access), where, and for which purposes. […]
Dienstag, 23. Juli 2024
Der ständig zunehmende Trend zur Auslagerung “in die Cloud” führt da und dort zu Reaktionen von Behörden. So führte eine Informationsfreiheitsanfrage in Deutschland vor Kurzem zur Veröffentlichung der sogenannten “roten Linien” des BSI aus dem Jahr 2022, in denen festgelegt ist, welche Anforderungen Cloud-Angebote für eine souveräne Verwaltungscloud (”Requirements for Cloud Platforms in the Federal Administration“, pdf) erfüllen müssen. In bestimmten Sektoren existieren zudem (”unverbindliche”) Empfehlungen, die teilweise strengere Anforderungen enthalten, so z.B. die Aufsichtsmitteilung der deutschen BaFin zu Auslagerungen an Cloud-Anbieter, die als Aufsatzthema einiges an Stoff bietet (Thalhofer/Monschke, CR 2024, 366-373).
DIe CNIL übt Kritik an dem European certification scheme for cloud services (EUCS draft), da dieses (dereit) nicht mehr die Möglichkeit enthält, bei “sehr sensiblen” Verarbeitungen sicherzustellen, dass der Cloud-Anbieter nicht unter außereuropäische Rechtsvorschriften fällt. Ein höheres Schutzniveau sei für bestimmte “kritische” Datenverarbeitungen erforderlich (z.B. große Gesundheitsdatenbanken, strafrechtliche Daten oder Daten über Minderjährige), bei denen die in der Europäischen Union gehosteten Daten nicht dem Risiko eines unbefugten Zugriffs durch Behörden in Drittländern ausgesetzt werden sollten: In diesen Fällen empfiehlt die CNIL, dass der Dienstleister ausschließlich europäischem Recht unterliegen (on-shoring) und ein angemessenes Schutzniveau bieten soll. In Frankreich beinhalte die Zertifizierung SecNumCloud der Agence nationale de la sécurité des systèmes d'information (ANSSI) für Cloud-Dienste dieses Kriterium und schützt die Daten vor dem Zugriff ausländischer Behörden, so die CNIL.
Damit den Datenschutz- und IT-Recht-affinen Jurist:innen nicht langweilig wird, sorgt die EU u.a. mit Cloud Switching in Art 1 Abs. 1 lit d und Abs 3 lit f Data Act - es bleibt viel zu lesen und zu tun, IT-Compliance wird nicht leichter. Froh muss derjenige sein, der einen leistungsfähigen Anbieter findet, welcher all diese Anforderungen erfüllen kann und will …
Montag, 1. Juli 2024
Diese in der Praxis relevante Frage will ein neues Paper der GMDS Arbeitsgruppe „Datenschutz und IT-Sicherheit im Gesundheitswesen“ (DIG), verfasst von Dr. Bernd Schütze, beantworten. Hintergrund ist die Definition eines Cloud-Computing-Dienstes im Unionsrecht, in concreto in Artikel 6 Z 30 NIS-2-Richtlinie (diese RL ist am 16. Jänner 2023 in Kraft getreten und ist von den Mitgliedstaaten bis zum 17. Oktober 2024 umzusetzen), wonach der Begriff
|
|
„Cloud-Computing-Dienst“ einen digitalen Dienst [bezeichnet], der auf Abruf die Verwaltung und den umfassenden Fernzugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht, auch wenn diese Ressourcen auf mehrere Standorte verteilt sind;
|
Dr. Schütze geht in diesem Dokument u.a. auf die möglichen Rechtsfolgen des Vorliegens eines Cloud-Dienstes ein - diese Folgen werden in der Praxis manchmal übersehen (siehe aus österreichischer Sicht auch den Verweis auf das GTelG unten).
Der Begriff Cloud Computing beschreibt, kurz gesprochen, das Anbieten von IT-Ressourcen, die bedarfsorientiert (skalierbar) vor allem über das Internet zur Verfügung gestellt werden,[1] wobei – auch aufgrund der ständigen technischen Fortentwicklung – keine abschließende Definition existiert. Der Begriff des Cloud Computing ist auch in Legaldefinitionen im österreichischen Recht abgebildet, so wird (derzeit) in § 3 Z 17 NISG[2] ein „Cloud-Computing-Dienst“ definiert als „ein digitaler Dienst, der den Zugang zu einem skalierbaren und elastischen Pool gemeinsam nutzbarer Rechenressourcen ermöglicht.” Im Schulwesen findet sich in § 8 Abs 2 IKT-Schulverordnung[3] der nicht näher definierte Begriff des „Clouddiensteanbieters”.[4]
—
[1] Siehe ausf Österreichisches Informationssicherheitshandbuch (Version 4.2.3) A.3.1; NIST, The NIST Definition of Cloud Computing, Special Publication 800-145 (2011) 2.
[2] Bundesgesetz zur Gewährleistung eines hohen Sicherheitsniveaus von Netz- und Informationssystemen BGBl I 2018/111.
[4] Nur am Rande sei hier noch auf den in § 6 Abs 3 GTelG 2012 verwendeten Begriff des „Cloud Computing” hingewiesen, welcher wie folgt lautet: „Es ist sicherzustellen, dass die Speicherung von Gesundheitsdaten und genetischen Daten in Datenspeichern, die einem Verantwortlichen (Art. 4 Z 7 DSGVO) bedarfsorientiert von einem Auftragsverarbeiter (Art. 4 Z 8 DSGVO) bereitgestellt werden („Cloud Computing“), nur dann erfolgt, wenn die Gesundheitsdaten und genetischen Daten mit einem dem aktuellen Stand der Technik entsprechenden Verfahren (Abs. 1 Z 2) verschlüsselt worden sind.”