EU-Datenschützer rügt Frontex wegen Microsoft-Cloud
Der EU-Datenschutzbeauftragte moniert, Frontex habe keine ordnungsgemäße Datenschutzprüfung durchgeführt und DSGVO-konforme Lösungen außen vor gelassen.
(Bild: Juergen Nowak/Shutterstock.com)
Der rasche Wechsel der Europäischen Agentur für die Grenz- und Küstenwache (Frontex) auf die cloudbasierte Büroprogramm-Suite Microsoft Office 365 im ersten Halbjahr 2020 hat ein Nachspiel. Der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski erteilte der Behörde eine offizielle Rüge, vor allem weil die Migration in die Cloud ohne ordnungsgemäße Datenschutzprüfung erfolgte.
Frontex-Chef Fabrice Leggeri hatte Wiewiórowski Ende Mai 2020 über seine Entscheidung informiert, die IT-Dienste der Agentur in eine hybride Cloud-Umgebung zu verlagern. Diese soll künftig aus Microsoft 365, Microsoft Azure sowie Amazon Web Services (AWS) zusammengesetzt sein. Die Einführung von Office 365 ist dabei laut Leggeri "der erste Schritt" Der komplette Umstieg ist bislang nicht erfolgt. Der Datenschützer prüft in dem Fall auch, ob bei der Nutzung der anderen genannten Dienste Rechtsverstöße etwa durch internationale Datentransfers vorliegen.
Geschwärzte Rüge
Die am Dienstag – teils geschwärzt – veröffentlichte Rüge) ging bereits am 1. April an Frontex. Wiewiórowski moniert darin Verstöße gegen die Datenschutzverordnung 2018/1725, die für Organe, Ämter, Einrichtungen und Agenturen der EU gilt und der allgemeiner ausgerichteten Datenschutz-Grundverordnung (DSGVO) ähnelt.
Der EDSB stellte demnach fest, "dass Frontex ohne eine rechtzeitige, umfassende Bewertung der Datenschutzrisiken und ohne die Festlegung geeigneter Abhilfemaßnahmen oder relevanter Garantien für die Verarbeitung" in die Cloud wechselte. Die Grenzschützer hätten es überdies auch versäumt, die Notwendigkeit des Umstiegs auf die auserkorenen Cloud-Dienste nachzuweisen, heißt es in der Entscheidung.
Darüber hinaus konnte die Agentur laut dem Beschluss nicht belegen, dass sie "die Erhebung personenbezogener Daten durch Microsoft auf das notwendige Maß beschränkt hat". Für den bei der Office-Suite in der Standardkonfiguration erfolgenden Datenabfluss habe Frontex keine spezifische Rechtsgrundlage, für die Verarbeitung an sich keine spezifischen legitimen Zwecke nennen können.
Frontex habe gegen den Rechenschaftsgrundsatz sowie gegen seine Pflichten als verantwortliche Instanz und gegen die Anforderungen des Datenschutzes durch Technik verstoßen, rügt Wiewiórowski und wies Frontex an, die bisher erfolgte rudimentäre Datenschutz-Folgenabschätzung zu erweitern. Die in Warschau sitzende Behörde muss zudem Informationen über bestehende Datenflüsse an Microsoft und andere derzeit genutzte Anbieter oder Dritte bereitstellen sowie deren Zwecke begründen.
Microsofts Telemetriedaten
Zum Zeitpunkt des erfolgten Audits verfügte die Agentur "nicht über eine hinreichend feingranulare Konfiguration auf der Ebene der Anwendungsverwaltung, die es ermöglicht hätte, die Erhebung und Verarbeitung von Diagnosedaten für Windows 10 und Office Pro Plus bei Bedarf abzuschalten", kritisiert Wiewiórowski. Frontex sei bei Windows 10 auch nicht in der Lage gewesen zu prüfen, welche personenbezogenen Informationen Microsoft über die Telemetrie-Daten erfasse. Der Kontrolleur hatte im Juni 2020 vor einem unüberlegten Einsatz von Microsoft-Produkten gewarnt und zu Alternativen geraten.
Leggeri erklärte die Versäumnisse damit, dass die Umstellung auf die Cloud "in einer sehr schwierigen Situation zur Umsetzung des neuen Mandats inmitten der immer noch andauernden Covid-Krise" erfolgt sei. So habe es keine Möglichkeit einer rechtzeitigen Konsultation gegeben. Der EDSB sei aber letztlich vollständig unterrichtet worden.
(vbr)
