Datum

Europäischer Datenschutzbeauftragter rügt Frontex

Die Europäische Grenz- und Küstenwachenagentur Frontex sieht sich angesichts der Ermittlungen durch das Europäische Amt für Betrugsbekämpfung Olaf strenger Kritik ausgesetzt (Amt für Betrugsbekämpfung äußert schwere Vorwürfe gegenüber Frontex, OLAF-Ermittlungen – Zeug:innen sind sich einig) und die Abgeordneten des Haushaltskontrollausschusses haben die Entscheidung über den Rechnungsabschluss 2020 für Frontex als einzige EU-Agentur vertagt.

Vergangene Woche wurde schließlich auch eine Datenschutzrüge durch den Europäischen Datenschutzbeauftragten (EDPS) Wojciech Wiewiórowski veröffentlicht. Frontex wurde diese bereits am 1. April 2022 übermittelt. Die Rüge bezieht sich auf einen Wechsel der Grenzschutzagentur auf das cloudbasierte Programm Microsoft Office 365 im Frühjahr 2020 sowie die Entscheidung, die Frontex-IT-Dienste in eine hybride Cloud, bestehend aus Microsoft 365, Microsoft Azure sowie Amazon Web Services (AWS), zu verlagern. Dieser komplette Umstieg ist noch nicht erfolgt. Frontex Generaldirektor Fabrice Leggeri soll Wiewiórowski im Mai 2020 über seine Entscheidung informiert haben. Das Vorhaben sowie die Nutzung von Microsoft Office 365 sei, so der Vorwurf, allerdings ohne ordnungsgemäße Datenschutzprüfung erfolgt sein.

Konkret bezieht sich die Rüge auf die Datenschutzverordnung 2018/1725, die für Organe, Ämter, Einrichtungen und Agenturen der Europäischen Union gilt. Der Wechsel in die Cloud sei ohne Bewertung der Datenschutzrisiken, ohne Festlegung geeigneter Abhilfemaßnahmen oder relevanter Garantien für die Verarbeitung und ohne Nachweis für die Notwendigkeit für diesen Umstieg erfolgt. Ebenso konnte nicht belegt werden, dass die Agentur die Erhebung personenbezogener Daten beschränkt hat. Ob bei der geplanten Nutzung der anderen genannten Dienste Rechtsverstöße, beispielsweise durch internationale Datentransfers vorliegen, wird geprüft.

Als Begründung für den schnellen Wechsel gab die Agentur die Notwendigkeit an, Vorgaben der 2019 eingeführten Frontex-Regulierung zu erfüllen. Datenschutzprüfung hätte es aufgrund von Zeitdruck keine gegeben. Beweise, dass DSGVO-konforme Alternativen untersucht wurden, konnte die Agentur nicht vorlegen. Bereits im Juni 2020 hat Wiewiórowski zu Alternativen geraten.

Die Agentur wurde nun angewiesen, ihre Datenschutz-Folgenabschätzung zu erweitern sowie Informationen über bestehende Datenflüsse an Microsoft und andere Anbieter beziehungsweise Dritte bereitzustellen und zu begründen.

Quellen:

https://www.derstandard.at/story/2000134902871/frontex-erhaelt-datenschutzruege-fuer-umzug-in-die-cloud

https://www.heise.de/news/Grenzschutz-EU-Datenschuetzer-ruegt-Frontex-wegen-Microsoft-Cloud-6670191.html

weiter
lesen