Die EU-Grenzschutzagentur Frontex gerät immer wieder in die Kritik, insbesondere wegen ihres Vorgehens gegenüber Flüchtlingen. Laut einer Untersuchung des EU-Parlaments soll sie unter anderem Grundrechtsverletzungen an den EU-Außengrenzen und bei der Seenotrettung gebilligt haben. Unter anderem gibt es den Vorwurf direkter Absprachen mit der libyschen Küstenwache.

Nun erhält Frontex eine Rüge – allerdings aus keinem der oben genannten Gründe. Stattdessen stammt die Beschwerde vom Europäischen Datenschutzbeauftragten (EDPS) Wojciech Wiewiórowski, der kritisiert, dass der Umzug von IT-Services in die Cloud-Infrastruktur von Microsoft und Amazon keiner Datenschutzprüfung unterzogen worden sei, berichtet "Heise".

Hybride Cloud

Eine Untersuchung sei laut dem EDPS bereits im Juni 2020 eingeleitet worden, nachdem Frontex-Chef Fabrice Leggeri ihn über die Entscheidung informiert hatte, "alle Frontex-Services in die Cloud" zu verlegen. Grund dafür sei die Notwendigkeit gewesen, sowohl aktuelle als auch künftige Aufgaben der Agentur zu unterstützen, die von der 2019 eingeführten Frontex-Regulierung vorgeschrieben wurden.

Die Entscheidung sei deshalb auf ein hybrides Cloud-Modell gefallen, das aus Microsoft Office 365, den Amazon Web Services und Microsoft Azure bestehen soll. "Frontex verfolgt einen stufenweisen Ansatz, und der erste Schritt ist die Einführung von Office 365", wird Leggeri in einem Schreiben des EDPS zitiert. Der Microsoft-Dienst soll bereits am 12. Mai 2020 in Betrieb gegangen sein, ab dem 29. Mai soll Frontex dann "in der Cloud einsatzbereit" gewesen sein.

Keine Datenschutzprüfung

Das Problem dabei: Vor der Implementierung dieser Änderungen wurde keine Datenschutzüberprüfung durchgeführt. Grund dafür sei laut Frontex der Zeitdruck gewesen, wegen dem es unmöglich gewesen sei, den Datenschutzbeauftragten im Vorfeld zu konsultieren. "Ich möchte Ihnen jedoch versichern, dass Frontex an der Vervollständigung der Dokumente arbeitet und in der Lage sein wird, eine Ex-post-Konsultation auf der Grundlage gut vorbereiteter und vollständiger Unterlagen durchzuführen", wird Leggeri weiter zitiert.

Die Rüge soll Frontex laut den Berichterstattern bereits am 1. April erreicht haben. Laut dieser sei es durch die Implementierung von Office 365 zu Verstößen gegen die Datenschutzverordnung für "Organe, Einrichtungen und sonstige Stellen der Union" gekommen.

Darüber hinaus schreibt der EDPS, dass Frontex keine Beweise bereitgestellt habe, dass es "mögliche Alternativlösungen zu Microsoft untersucht hat". Dabei habe es schon vor Abschluss der Bewertung Hinweise darauf gegeben, dass bei der gewählten Lösung die Vorschriften möglicherweise nicht einhalten wurden. (red, 13.4.2022)