Die niederländische Datenschutzbehörde (AP) sieht die Absicht, Regierungsdaten in der Cloud von Unternehmen wie Google, Microsoft und Amazon zu speichern, kritisch. Die Daten, beispielsweise Datenbanken mit Daten niederländischer Bürger, werden auf Servern außerhalb der Niederlande gespeichert.
Laut AP birgt die Nutzung kommerzieller Cloud-Dienste große Datenschutzrisiken. Bevor die Regierung beginnt, die Cloud-Umgebung von Unternehmen zu nutzen, muss die Regierungspolitik weiter ausgearbeitet werden. Das riet die AP Staatssekretärin Alexandra van Huffelen (Digitalisierung).
Ende August stellte der Staatssekretär eine neue Cloud-Policy vor. Damit will sie dafür sorgen, dass Behörden kommerzielle Cloud-Dienste nutzen dürfen. Derzeit ist es der Regierung noch nicht gestattet, Informationen über Niederländer auf Servern beispielsweise amerikanischer Unternehmen zu speichern.
„Die Regierung hat eine riesige Menge an Daten über uns alle“, sagte AP-Vorsitzender Aleid Wolfsen. „Wie viel Sie verdienen, Ihre Sozialversicherungsnummer, Ihre Bankkontonummer und vieles mehr. Diese Informationen sollten nicht in die falschen Hände geraten.“
„Wenn Sie sie nicht auf Ihren eigenen Servern speichern, sondern auf denen eines Unternehmens, müssen Sie sicher sein, dass sie sicher sind. Es hängt also viel von der richtigen Umsetzung und Einhaltung dieser Cloud-Richtlinie ab. Das macht mir Sorgen.“ “, sagte Herr Wölfe.
Kabinett hat unzureichende Einsicht in Datenschutzrisiken
Laut AP wurden die Datenschutzrisiken in der Cloud-Richtlinie nicht ausreichend abgebildet. Bei der Frage, ob man Informationen über Bürgerinnen und Bürger bei einem Unternehmen speichern darf, soll nach Ansicht der Aufsichtsbehörde der Datenschutz der Leitgedanke sein. „Wenn nicht ausreichend untersucht wird, welche Risiken bestehen, können keine Maßnahmen ergriffen werden, um diese Risiken zu beseitigen“, sagt der Datenschutzbeauftragte.
Die AP bittet den Staatssekretär, besonders auf die Risiken der Speicherung personenbezogener Daten in Ländern außerhalb Europas zu achten. Die Datenschutz-Grundverordnung (DSGVO) findet dort keine Anwendung. Dadurch hat der Schutz personenbezogener Daten dort oft nicht das gleiche Niveau wie innerhalb der EU.
Europäische Regeln gelten nicht für US-Cloud-Dienste
Laut AP können amerikanische Geheimdienste beispielsweise personenbezogene Daten von Niederländern von amerikanischen Unternehmen anfordern. Auch wenn die Server dieser Unternehmen in Europa stehen. „Infolgedessen können diese Dienste Sie beispielsweise fälschlicherweise mit Terrorismus oder Betrug in Verbindung bringen und Sie daran hindern, in die USA und andere Länder einzureisen“, sagt Wolfsen.
Die AP weist den Staatssekretär darauf hin, dass die Speicherung bei einem europäischen Unternehmen in Sachen Datenschutz die beste Wahl sei. Da die überwiegende Mehrheit der häufig verwendeten Cloud-Anbieter derzeit amerikanisch sei, sollte der Außenminister auch europäische Alternativen fördern, sagte die Regulierungsbehörde.
Schließlich sei die Politik laut AP inzwischen zu unverbindlich. Beispielsweise sind unabhängige Verwaltungsstellen wie die UWV oder die Sozialversicherungsbank nicht verpflichtet, die Richtlinie zu befolgen.